Académique Documents
Professionnel Documents
Culture Documents
Gnral
Accueil Revue de presse Contactez-nous Participez
Rseaux Privs Virtuels - Vpn Par Xavier Lasserre, Thomas Klein et _SebF
1 - Introduction 2 - Principe de fonctionnement 2.1 - Principe gnral 2.2 - Fonctionnalits des Vpn 2.2.1 - Le Vpn d'accs 2.2.2 - L'intranet Vpn 2.2.3 - L'extranet Vpn 2.2.4 - Bilan des caractristiques fondamentales d'un Vpn 3 - Protocoles utiliss pour raliser une connexion Vpn 3.1 - Rappels sur Ppp 3.1.1 - Gnralits 3.1.2 - Format d'une trame Ppp 3.1.3 - Les diffrentes phases d'une connexion Ppp 3.2 - Le protocole Pptp 3.3 - Le protocole L2tp 3.3.1 - Concentrateurs d'accs L2tp (Lac : L2tp Access Concentrator) 3.3.2 - Serveur rseau L2tp (Lns : L2tp Network Server) 3.4 - Le protocole Ipsec 3.4.1 - Vue d'ensemble 3.4.2 - Principe de fonctionnement 3.4.3 - Le protocole Ah (Authentication Header) 3.4.4 - Protocole Esp (Encapsulating Security Payload) 3.4.5 - La gestion des clefs pour Ipsec : Isakmp et Ike 3.4.6 - Les deux modes de fonctionnement de Ipsec 3.5 - Le protocole Mpls 3.5.1 - Principe de fonctionnement de Mpls 3.5.2 - Utilisation du Mpls pour les Vpn 3.5.3 - Scurit 3.6 - Le protocole Ssl 3.6.1 - Fonctionnement 4 - Comparaison des diffrents protocoles 4.1 - Vpn-Ssl, une nouveaut marketing ? 4.2 - Pptp 4.3 - L2tp / Ipsec 4.4 - Mpls 4.5 - Mpls / Ipsec 5 - Conclusion 6 - Discussion autour de la documentation 7 - Suivi du document
Recherche
Web
FrameIP
Les modles
TcpIp Osi Osi-TcpIp X.200 Les Rfc
Votre IP
41.107.115.126:52884 Tester votre dbit
Interactif
Forums Multimedia Qcm Examen blanc Cisco Sondages
Les enttes
Entte Entte Entte Entte Entte Entte Entte Entte Entte Ethernet Ip Arp Rarp Icmp Igmp Tcp Udp IPv6
Les sockets
Winsock C - connect C - non connect Vb - Tcp et Udp
Divers
La scurit
Blocks fdraux Dos Cisco Firewall Saturation Cpu Saturation Syn SmartSpoofing Smurf
Le fonctionnement
Nat Routage Sous-rseaux IP/Bluetooth
Les services
Dhcp Dns Ntp Snmp
1 - Introduction La VoIP
Les applications et les systmes distribus font de plus en plus partie intgrante du paysage d'un grand nombre d'entreprises. Ces technologies ont pu se dvelopper grce aux performances toujours plus importantes des rseaux locaux. Mais le succs de ces applications a fait aussi apparatre un de leur cueil. En effet si les applications distribues deviennent le principal outil du systme d'information de l'entreprise, comment assurer leur accs scuris au sein de structures parfois rparties sur de grandes distances gographiques ? Concrtement comment une succursale d'une entreprise peut-elle accder aux donnes situes sur un serveur de la maison mre distant de plusieurs milliers de kilomtres ? Les Vpn ont commenc tre mis en place pour rpondre Ce type de problmatique. Mais d'autres problmatiques sont apparues et les Vpn ont aujourd'hui pris une place importante dans les rseaux informatique et l'informatique distribues. Nous verrons ici quelles sont les principales caractristiques des Vpn travers un certain nombre d'utilisation type. Nous nous intresserons ensuite aux protocoles permettant leur mise en place.
Les IpVpn
Vpn IpSec L2TP PPP Mpls Mpls Cisco
La newsletter
Ici votre Email
1 mail / mois
2 - Principe de fonctionnement
2.1 - Principe gnral Un rseau Vpn repose sur un protocole appel "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le rseau de leur entreprise. Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi l'metteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou aux extranets d'entreprise, les rseaux privs virtuels d'accs simulent un rseau priv, alors qu'ils utilisent en ralit une infrastructure d'accs partage, comme Internet. Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip. Dans Ce cas, le protocole de tunneling encapsule les donnes en ajoutant une en-tte. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation. 2.2 - Fonctionnalits des Vpn Il existe 3 types standard d'utilisation des Vpn. En tudiant ces schmas d'utilisation, il est possible d'isoler les fonctionnalits indispensables des Vpn. 2.2.1 - Le Vpn d'accs
Le Vpn d'accs est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une connexion Internet pour tablir la connexion Vpn. Il existe deux cas: L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accs et c'est le Nas qui tablit la connexion crypte. L'utilisateur possde son propre logiciel client pour le Vpn auquel cas il tablit directement la communication de manire crypte vers le rseau de l'entreprise. Les deux mthodes possdent chacune leurs avantages et leurs inconvnients : La premire permet l'utilisateur de communiquer sur plusieurs rseaux en crant plusieurs tunnels, mais ncessite un fournisseur d'accs proposant un Nas compatible avec la solution Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas crypte Ce qui peut poser des problmes de scurit. Sur la deuxime mthode Ce l'tablissement de la connexion. logiciel, lui permettant d'tablir certaines entreprises mettent en navigateurs Internet du march. problme disparat puisque l'intgralit des informations sera crypte ds Par contre, cette solution ncessite que chaque client transporte avec lui le une communication crypte. Nous verrons que pour pallier Ce problme place des Vpn base de Ssl, technologie implmente dans la majorit des
Quelle que soit la mthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le Vpn d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une vrification "login / mot de passe", par un algorithme dit "Tokens scuriss" (utilisation de mots de passe alatoires) ou par certificats numriques. 2.2.2 - L'intranet Vpn
L'intranet Vpn est utilis pour relier au moins deux intranets entre eux. Ce type de rseau est particulirement utile au sein d'une entreprise possdant plusieurs sites distants. Le plus important dans Ce type de rseau est de garantir la scurit et l'intgrit des donnes. Certaines donnes trs sensibles peuvent tre amenes transiter sur le Vpn (base de donnes clients, informations financires...). Des techniques de cryptographie sont mises en oeuvre pour vrifier que les donnes n'ont pas t altres. Il s'agit d'une authentification au niveau paquet pour assurer la validit des donnes, de l'identification de leur source ainsi que leur non-rpudiation. La plupart des algorithmes utiliss font appel des signatures numriques qui sont ajoutes aux paquets. La confidentialit des donnes est, elle aussi, base sur des algorithmes de cryptographie. La technologie en la matire est suffisamment avance pour permettre une scurit quasi parfaite. Le cot matriel des quipements de cryptage et dcryptage ainsi que les limites lgales interdisent l'utilisation d'un codage " infaillible ". Gnralement pour la confidentialit, le codage en lui-mme pourra tre moyen faible, mais sera combin avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une scurit raisonnable. 2.2.3 - L'extranet Vpn
Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du Vpn puisse tracer les clients sur le rseau et grer les droits de chacun sur celui-ci.
Fanion - Sparateur de trame gale la valeur 01111110. Un seul drapeau est ncessaire entre 2 trames. Adresse - Ppp ne permet pas un adressage individuel des stations donc Ce champ doit tre 0xFF (toutes les stations). Toute adresse non reconnue entranera la destruction de la trame. Contrle - Le champ contrle doit tre 0x03 Protocole - La valeur contenue dans Ce champ doit tre impaire (l'octet de poids fort tant pair). Ce champ identifie le protocole encapsul dans le champ informations de la trame. Les diffrentes valeurs utilisables sont dfinies dans la Rfc assign number et reprsentent les diffrents protocoles supports par Ppp (Osi, Ip, Decnet IV, Ipx...), les Ncp associs ainsi que les Lcp. Donnes - De longueur comprise entre 0 et 1500 octets, Ce champ contient le datagramme du protocole suprieur
Plusieurs protocoles peuvent tre associs Pptp afin de scuriser les donnes ou de les compresser. On retrouve videment les protocoles dvelopps par Microsoft et cits prcdemment. Ainsi, pour le processus d'identification, il est possible d'utiliser les protocoles Pap (Password Authentification Protocol) ou MsChap. Pour l'encryptage des donnes, il est possible d'utiliser les fonctions de Mppe (Microsoft Point to Point Encryption). Enfin, une compression de bout en bout peut tre ralise par Mppc (Microsoft Point to Point Compression). Ces divers protocoles permettent de raliser une connexion Vpn complte, mais les protocoles suivants permettent un niveau de performance et de fiabilit bien meilleur. 3.3 - Le protocole L2tp L2tp, dfinit par la Rfc 2661, est issu de la convergence des protocoles Pptp et L2F. Il est actuellement dvelopp et valu conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs cls du march des rseaux. Il permet l'encapsulation des paquets Ppp au niveau des couches 2 (Frame Relay et Atm) et 3 (Ip). Lorsqu'il est configur pour transporter les donnes sur IP, L2tp peut tre utilis pour faire du tunnelling sur Internet. L2tp repose sur deux concepts : les concentrateurs d'accs L2tp (Lac : L2tp Access Concentrator) et les serveurs rseau L2tp (Lns : L2tp Network Server). L2tp n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi L'IETF prconise l'utilisation conjointe d'Ipsec et L2tp.
Une documentation ddi L2TP est prsent sur le site de FrameIP. 3.3.1 - Concentrateurs d'accs L2tp (Lac : L2tp Access Concentrator) Les priphriques Lac fournissent un support physique aux connexions L2tp. Le trafic tant alors transfr sur les serveurs rseau L2tp. Ces serveurs peuvent s'intgrer la structure d'un rseau commut Rtc ou alors un systme d'extrmit Ppp prenant en charge le protocole L2tp. Ils assurent le fractionnement en canaux de tous les protocoles bass sur Ppp. Le Lac est l'metteur des appels entrants et le destinataire des appels sortants.
Chaque association est identifie de manire unique l'aide d'un triplet compos de: L'adresse de destination des paquets, L'identifiant du protocole de scurit utilis (AH ou Esp), Un index des paramtres de scurit (Security Parameter Index, SPI). Un SPI est un bloc de 32 bits inscrit en clair dans l'en-tte de chaque paquet chang ; il est choisi par le rcepteur. Pour grer les associations de scurits actives, on utilise une "base de donnes des associations de scurit" (Security Association Database, SAD). Elle contient tous les paramtres relatifs chaque SA et sera consulte pour savoir comment traiter chaque paquet reu ou mettre. Les protections offertes par Ipsec sont bases sur des choix dfinis dans une "base de donnes de politique de scurit" (Security Policy Database, SPD). Cette base de donnes est tablie et maintenue par un utilisateur, un administrateur systme ou une application mise en place par ceux-ci. Elle permet de dcider, pour chaque paquet, s'il se verra apporter des services de scurit, s'il sera autoris passer ou rejet. 3.4.2 - Principe de fonctionnement Le schma ci-dessous reprsente tous les lments prsents ci-dessus (en bleu), leurs positions et leurs interactions.
On distingue deux situations : Trafic sortant Lorsque la "couche" Ipsec reoit des donnes envoyer, elle commence par consulter la base de donnes des politiques de scurit (SPD) pour savoir comment traiter ces donnes. Si cette base lui indique que le trafic doit se voir appliquer des mcanismes de scurit, elle rcupre les caractristiques requises pour la SA correspondante et va consulter la base des SA (SAD). Si la SA ncessaire existe dj, elle est utilise pour traiter le trafic en question. Dans le cas contraire, Ipsec fait appel IKE pour tablir une nouvelle SA avec les caractristiques requises. Trafic entrant Lorsque la couche Ipsec reoit un paquet en provenance du rseau, elle examine l'en-tte pour savoir si Ce paquet s'est vu appliquer un ou plusieurs services Ipsec et si oui, quelles sont les rfrences de la SA. Elle consulte alors la SAD pour connatre les paramtres utiliser pour la vrification et/ou le dchiffrement du paquet. Une fois le paquet vrifi et/ou dchiffr, la Spd est consulte pour savoir si l'association de scurit applique au paquet correspondait bien celle requise par les politiques de scurit. Dans le cas o le paquet reu est un paquet Ip classique, la Spd permet de savoir s'il a nanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traits par Ike, qui peut envoyer des alertes administratives en cas de tentative de connexion infructueuse. 3.4.3 - Le protocole Ah (Authentication Header) L'absence de confidentialit permet de s'assurer que Ce standard pourra tre largement rpandu sur Internet, y compris dans les endroits o l'exportation, l'importation ou l'utilisation du chiffrement dans des buts de confidentialit est restreint par la loi. Son principe est d'adjoindre au datagramme Ip classique un champ supplmentaire permettant la rception de vrifier l'authenticit des donnes incluses dans le datagramme. Ce bloc de donnes est appel "valeur de vrification d'intgrit" (Intgrity Check Value, Icv). La protection contre le rejet se fait grce un numro de squence.
3.4.4 - Protocole Esp (Encapsulating Security Payload) Esp peut assurer au choix, un ou plusieurs des services suivants : Confidentialit (confidentialit des donnes et protection partielle contre l'analyse du trafic si l'on utilise le
Le champ bourrage peut tre ncessaire pour les algorithmes de chiffrement par blocs ou pour aligner le texte chiffr sur une limite de 4 octets. Les donnes d'authentification ne sont prsentes que si Ce service a t slectionn. Voyons maintenant comment est applique la confidentialit dans Esp. L'expditeur : Encapsule, dans le champ "charge utile" de Esp, les donnes transportes par le datagramme original et ventuellement l'en-tte Ip (mode tunnel). Ajoute si ncessaire un bourrage. Chiffre le rsultat (donnes, bourrage, champs longueur et en-tte suivant). Ajoute ventuellement des donnes de synchronisation cryptographiques (vecteur d'initialisation) au dbut du champ "charge utile". 3.4.5 - La gestion des clefs pour Ipsec : Isakmp et Ike Les protocoles scuriss prsents dans les paragraphes prcdents ont recours des algorithmes cryptographiques et ont donc besoin de clefs. Un des problmes fondamentaux d'utilisation de la cryptographie est la gestion de ces clefs. Le terme "gestion" recouvre la gnration, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour Ipsec qui vise fournir des mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui peuvent se prsenter sur l'Internet. Il est compos de plusieurs lments : le cadre gnrique Isakmp et une partie des protocoles Oakley et Skeme. Lorsqu'il est utilis pour Ipsec, IKE est de plus complt par un "domaine d'interprtation" pour Ipsec. 3.4.5.1 - Isakmp (Internet Security Association and Key Management Protocol) Isakmp a pour rle la ngociation, l'tablissement, la modification et la suppression des associations de scurit et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs (et plus gnralement des associations de scurit). Il comporte trois aspects principaux : Il dfinit une faon de procder, en deux tapes appeles phase 1 et phase 2 : dans la premire, un certain nombre de paramtres de scurit propres Isakmp sont mis en place, afin d'tablir entre les deux tiers un canal protg ; dans un second temps, Ce canal est utilis pour ngocier les associations de scurit pour les mcanismes de scurit que l'on souhaite utiliser (AH et Esp par exemple). Il dfinit des formats de messages, par l'intermdiaire de blocs ayant chacun un rle prcis et permettant de former des messages clairs. Il prsente un certain nombre d'changes types, composs de tels messages, qui permettant des ngociations prsentant des proprits diffrentes : protection ou non de l'identit, perfect forward secrecy... Isakmp est dcrit dans la Rfc 2408. 3.4.5.2 Ike (Internet Key Exchange) IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes : Le mode principal (Main mode) Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode) Main Mode et Aggressive Mode sont utiliss durant la phase 1, Quick Mode est un change de phase 2. New Group Mode est un peu part : Ce n'est ni un change de phase 1, ni un change de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est tablie ; il sert se mettre d'accord sur un nouveau groupe pour de futurs changes Diffie-Hellman. a) Phase 1 : Main Mode et Aggressive Mode Les attributs suivants sont utiliss par Ike et ngocis durant la phase 1 : un algorithme de chiffrement, une fonction
3.4.6 - Les deux modes de fonctionnement de Ipsec Le mode transport prend un flux de niveau transport (couche de niveau 4 du modle OSI) et ralise les mcanismes de signature et de chiffrement puis transmet les donnes la couche Ip. Dans Ce mode, l'insertion de la couche Ipsec est transparente entre Tcp et Ip. Tcp envoie ses donnes vers Ipsec comme il les enverrait vers IPv4. L'inconvnient de Ce mode rside dans le fait que l'en-tte extrieur est produit par la couche Ip c'est--dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la couche Ip ne permet pas de garantir la nonutilisation des options Ip potentiellement dangereuses. L'intrt de Ce mode rside dans une relative facilit de mise en oeuvre. Dans le mode tunnel, les donnes envoyes par l'application traversent la pile de protocole jusqu' la couche Ip incluse, puis sont envoyes vers le module Ipsec. L'encapsulation Ipsec en mode tunnel permet le masquage d'adresses. Le mode tunnel est utilis entre deux passerelles de scurit (routeur, firewall, ...) alors que le mode transport se situe entre deux htes.
3.5 - Le protocole Mpls Le protocole Mpls est un brillant rejeton du "tout ip". Il se prsente comme une solution aux problmes de routage des datagrammes Ip vhiculs sur Internet. Le principe de routage sur Internet repose sur des tables de routage. Pour chaque paquet les routeurs, afin de dterminer le prochain saut, doivent analyser l'adresse de destination du paquet contenu dans l'entte de niveau 3. Puis il consulte sa table de routage pour dterminer sur quelle interface doit sortir le paquet. Ce mcanisme de recherche dans la table de routage est consommateur de temps Cpu et avec la croissance de la taille des rseaux ces dernires annes, les tables de routage des routeurs ont constamment augment. Le protocole Mpls fut initialement dvelopp pour donner une plus grande puissance aux commutateurs Ip, mais avec l'avnement de techniques de commutation comme Cef (Cisco Express Forwarding) et la mise au point de nouveaux Asic (Application Specific Interface Circuits), les routeurs Ip ont vu leurs performances augmenter sans le recours Mpls. 3.5.1 - Principe de fonctionnement de Mpls Le principe de base de Mpls est la commutation de labels. Ces labels, simples nombres entiers, sont insrs entre les en-ttes de niveaux 2 et 3, les routeurs permutant alors ces labels tout au long du rseau jusqu' destination, sans avoir besoin de consulter l'entte Ip et leur table de routage. 3.5.1.1 - Commutation par labels Cette technique de commutation par labels est appele Label Swapping. Mpls permet de dfinir des piles de labels (label stack), dont l'intrt apparatra avec les Vpn. Les routeurs ralisant les oprations de label swapping sont appels Lsr pour Label Switch Routers.
Les routeurs Mpls situs la priphrie du rseau (Edge Lsr), qui possdent la fois des interfaces Ip traditionnelles et des interfaces connectes au backbone Mpls, sont chargs d'imposer ou de retirer les labels des paquets Ip qui les traversent. Les routeurs d'entre, qui imposent les labels, sont appels Ingress Lsr, tandis que les routeurs de sortie, qui retirent les labels, sont appels Egress Lsr. 3.5.1.2 - Classification des paquets A l'entre du rseau Mpls, les paquets Ip sont classs dans des Fec (Forwarding Equivalent Classes). Des paquets appartenant une mme Fec suivront le mme chemin et auront la mme mthode de forwarding. Typiquement, les Fec sont des prfixes Ip appris par l'Igp tournant sur le backbone Mpls, mais peuvent aussi tre dfinis par des informations de Qos (Quality Of Services). La classification des paquets s'effectue l'entre du backbone Mpls, par les Ingress Lsr. A l'intrieur du backbone Mpls, les paquets sont label-switchs, et aucune reclassification des paquets n'a lieu. Chaque Lsr affecte un label local, qui sera utilis en entre, pour chacune de ses Fec et le propage ses voisins. Les Lsr voisins sont appris grce l'Igp. L'ensemble des Lsr utiliss pour une Fec, constituant un chemin travers le rseau, est appel Label Switch Path (Lsp). Il existe un Lsp pour chaque Fec et les Lsp sont unidirectionnels. 3.5.2 - Utilisation du Mpls pour les Vpn Pour satisfaire les besoins des oprateurs de services Vpn, la gestion de Vpn-IP l'aide des protocoles Mpls a t dfinie dans une spcification rfrence Rfc 2547. Des tunnels sont crs entre des routeurs Mpls de priphrie appartenant l'oprateur et ddis des groupes ferms d'usagers particuliers, qui constituent des Vpn. Dans l'optique Mpls/Vpn, un Vpn est un ensemble de sites placs sous la mme autorit administrative, ou groups suivant un intrt particulier. 3.5.2.1 - Routeurs P, Pe et Ce Une terminologie particulire est employe pour dsigner les routeurs (en fonction de leur rle) dans un environnement Mpls / Vpn : P (Provider) : ces routeurs, composant le coeur du backbone Mpls, n'ont aucune connaissance de la notion de Vpn. Ils se contentent d'acheminer les donnes grce la commutation de labels ;
3.5.2.2 - Routeurs Virtuels : VRF La notion mme de Vpn implique l'isolation du trafic entre sites clients n'appartenant pas aux mmes Vpn. Pour raliser cette sparation, les routeurs Pe ont la capacit de grer plusieurs tables de routage grce la notion de Vrf (Vpn Routing and Forwarding). Une Vrf est constitue d'une table de routage, d'une Fib (Forwarding Information Base) et d'une table Cef spcifiques, indpendantes des autres Vrf et de la table de routage globale. Chaque Vrf est dsigne par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont affects localement et n'ont aucune signification vis--vis des autres routeurs. Chaque interface de Pe, relie un site client, est rattache une Vrf particulire. Lors de la rception de paquets Ip sur une interface client, le routeur Pe procde un examen de la table de routage de la Vrf laquelle est rattache l'interface et donc ne consulte pas sa table de routage globale. Cette possibilit d'utiliser plusieurs tables de routage indpendantes permet de grer un plan d'adressage par sites, mme en cas de recouvrement d'adresses entre Vpn diffrents. 3.5.3 - Scurit La sparation des flux entre clients sur des routeurs mutualiss supportant Mpls est assure par le fait que seul la dcouverte du rseau se fait au niveau de la couche 3 et qu'ensuite le routage des paquets est effectu en s'appuyant uniquement sur le mcanisme des labels (intermdiaire entre la couche 2 et la couche 3). Le niveau de scurit est le mme que celui de Frame Relay avec les Dlci au niveau 2. Le dni de service est en gnral effectu au niveau 3 (Ip). Ici, les paquets seront quand mme routs jusqu'au destinataire au travers du rseau Mpls en s'appuyant sur les LSPs. 3.6 - Le protocole Ssl Rcemment arriv dans le monde des Vpn, les Vpn base de Ssl prsente une alternative sduisante face aux technologies contraignantes que sont les Vpn prsents jusque ici. Les Vpn Ssl prsentent en effet le gros avantage de ne pas ncessiter du cot client plus qu'un navigateur Internet classique. En effet le protocole Ssl utilis pour la scurisation des changes commerciaux sur Internet est implment en standard dans les navigateurs modernes. Ssl est un protocole de couche 4 (niveau transport) utilis par une application pour tablir un canal de communication scuris avec une autre application. Ssl a deux grandes fonctionnalits : l'authentification du serveur et du client l'tablissement de la connexion et le chiffrement des donnes durant la connexion.
Le transfert se faisant sur l'Internet public, permet seulement un service "best effort"
Infrieur celui des rseaux Frame Relay et Atm Faible grce au transfert via le domaine mais suprieur celui des autres Vpn IP. Internet public Scurit totale grce la combinaison de certificats numriques et de Pki pour Comparable la scurit offerte par les rseaux l'authentification ainsi qu' une srie Atm et Frame Relay existants. d'options de cryptage, triple DES et AES notamment Toutes les applications, y compris les logiciels d'entreprise vitaux exigeant une qualit de service leve et une faible latence et les applications en temps rel (vido et voix sur IP) Dpend du rseau Mpls du fournisseur de services Evolutivit leve puisque n'exige pas une interconnexion d'gal gal entre les sites et que les dploiements standard peuvent prendre en charge plusieurs dizaines de milliers de connexions par Vpn Aucun traitement exig par le routage Le fournisseur de services doit dployer un routeur Mpls en bordure de rseau pour permettre l&148;accs client Accs distance et nomade scuris. Applications sous IP, notamment courrier lectronique et Internet. Inadapt au trafic en temps rel ou priorit leve Trs vaste puisque repose sur l'accs Internet Les dploiements les plus vastes exigent une planification soigneuse pour rpondre notamment aux problmes d'interconnexion site site et de peering Traitements supplmentaires pour le cryptage et le dcryptage Possibilit d'utiliser l'infrastructure du rseau Ip existant
Scurit
Evolutivit
Non requise. Le Mpls est une technologie rseau Logiciels ou matriels client requis
5 - Conclusion
Cette tude des solutions Vpn, met en vidence une forte concurrence entres les diffrents protocoles pouvant tre utiliss. Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu, savoir Ipsec et Mpls. Ce dernier est suprieur sur bien des points, mais il assure, en outre, simultanment, la sparation des flux et leur confidentialit. Le dveloppement rapide du march pourrait bien cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre gnralement dans une politique de rduction des cots lis l'infrastructure rseau des entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons loues de type Atm ou Frame Relay. Le cot des Vpn Ip est actuellement assez intressant pour motiver de nombreuses entreprises franchir le pas. A performance gales un Vpn Mpls cote deux fois moins cher qu'une ligne Atm. Mais si les solutions base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est principalement grce l'intgration possible de solution de tlphonie sur Ip. La qualit de service offerte par le Mpls autorise en effet Ce type d'utilisation. Le march des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de rduire les cot des infrastructures de communication. Les Vpn sont donc amens prendre de plus en plus de place dans les rseaux informatiques.
7 - Suivi du document
Le 15 janvier 2007, par Matthias, suppression du chapitre "3.3.3 - Paquets L2tp" qui possdait des erreurs dans la reprsentation graphique. Le 15 novembre 2004, par _SebF, remplacement dans le chapitre 3.1 de la rfrence la Rfc 1331 rendue obsolte par la Rfc 1661 appuy de la Rfc 2153.
mot cl : vpn atm ipv4 network ip rseaux rseau rseaux privs virtuels rpv tcpip gre avantage vpns agance distant l2tp virtual private network virtuel virtual pptp frame cot ppp ssl connexion vpn ipsec voip mpls ip privs private l2tp site virtuels march inconvnient ipv6 vpn priv
Copyright 2003-2010 FrameIP TcpIP. Tous droits rservs. Les marques et marques commerciales mentionnes appartiennent leurs propritaires respectifs. L'utilisation de ce site Web TcpIP implique l'acceptation des conditions d'utilisation et du rglement sur le respect de la vie prive. Scurit entreprise Tlphonie entreprise Expert de votre Infrastructure Test ADSL Affiliation FrameIP Telecom