POLY

JL Langlois sur VPN IP

Chapitre 5 : les VPN IP

Chapitre 5.0 : dfinitions VPN (Virtual Private Network) :Rseau priv mul sappuyant sur une infrastructure partageIP VPN : Un VPN qui utilise le protocole IP IP-VPN est un rseau priv virtuel (VPN) sur la base du protocole Internet (IP). Ce type de rseau est rapide, fiable, disponible et souple. Il est, en outre, accessible pour les tltravailleurs, pour dautres sites dentreprise ainsi que pour les fournisseurs et acheteurs. IP-VPN utilise le mme protocole quInternet, mais pas les mmes connexions. Grce la technologie MPLS de plus en plus prsente dans cette technologie de service, lutilisateur de toutes les garanties souhaites en matire de performances et de scurit. Ces garanties sont clairement fixes dans des accords de niveau de service (Service Level Agreements). Avantages Trs souple et volutif. IP-VPN utilise la technologie de pointe MPLS, ce qui offre les avantages dIP (uniformit, flexibilit) tout en supprimant les inconvnients (service insuffisant). MPLS a spcialement t conu afin d'quiper les services IP de niveaux de qualit qui ne pouvaient tre garantis autrefois que par les rseaux couche 2 (ATM et Frame Relay).

IP-VPN offre de la vritable connectivit any-to-any. Vous en tant que client ne devez pas spcifier les flux de trafic exacts ou les dimensions de vos connexions WAN. Le rseau le fait pour vous. Il ne vous reste que dindiquer vos sites, quel VPN un site appartient et la capacit de connexion de ce site. Ceci rsulte en un contrle et flexibilit optimaux. Applications

IP-VPN est idal pour les entreprises qui souhaitent crer un rseau priv bas sur IP (nutilisant pas lInternet public) pour changer des donnes. Les entreprises travaillant dans un environnement any-to-any au lieu dun environnement traditionnel client-serveur ou les entreprises souhaitant bnficier des technologies de pointe retireront le maximum davantages de cette solution. Le VPN peut tre parfaitement associ un environnement extranet ou la technologie daccs DSL. VPN-IP : Virtual Private Network over IP Rseau priv virtuel sur infrastructure IP partage offrant :scurit des donnes, des accs et tanchit des engagements sur la QoS (SLAs) des niveaux de QoS diffrentis (CoS) prise en compte du plan dadressage client nouveaux services (voix/IP, multicast) accs INTERNET en option

Le VPN, en synthse :

V
Virtuel

P
Priv

N
Rseau

Flux transports sur un rseau partag

Scurit & QoS

Interconnexion de sites et dutilisateurs

Modliser les ressources de commutation et de transmission mises en jeu dans le dploiement d'un RPV IP Un premier schma montre quau-del des proccupations de dfinir des RPV ou VPN, il y a une htrognit des quipements et des entits physiques raccordes. Cest ainsi que sur cet exemple, il y a aussi bien des filiales indpendantes qui pourront changer pour certains applicatifs entre elles, que des quipements htrognes provenant de politique dquipements diffrents suivant leur historique.

Grer la complexit

Datacenter

Centre de contrle
256 Kb/s

Back up RNIS

256 Kb/s

Sige Groupe

Serveurs Mtier
2 * 2Mb/s

SDSL 1 Mb/s

SDSL 1 Mb/s

VPN INTERNET
Filiales & Groupe 2 Mb/s 1 Rseau par usage Fusion Rapidit Recouvrement dadresses LHistorique Encapsulation SNA Agence Type 1 X25 IPX

VPN

VPN

2
Sige Type 2

Agence Type 2

Agence Type 1

Agence Type 3

Agence Type 3

Sige Type 3

La figure suivante propose d'identifier les diffrentes composantes de commutation (routeurs IP) et de transmission mises en jeu lorsqu'il s'agit de dployer un RPV IP sur une infrastructure publique IP.

Modlisation des composantes de commutation et de transmission de RPV IP. Commentaires associs cette figure: la dlimitation des rgions centrale et priphrique de la dorsale reflte l'architecture classique d'un rseau IP, et elle indique ici que les quipements de la priphrie de la dorsale seront essentiellement impliqus dans l'acheminement des trafics caractristiques des diffrents RPV dploys sur la dorsale, en ce sens que chaque routeur de type "PE" Provider

Edge ou routeur de priphrie aura la connaissance d'une partie des RPV dploys sur la dorsale IP, au contraire des routeurs de cur de dorsale (routeurs de type" Provider) dont la fonction principale est une fonction de transit de trafic IP, quelles que puissent tre sa nature, son origine et sa destination ; chaque routeur install sur un site d'une entreprise pour laquelle un RPV IP aura t dploy (routeur de type "CPE" Customer Premises Equipment) sera raccord physiquement (traits pleins de la figure 1) au moins un routeur de priphrie de la dorsale, ainsi charg de collecter et de distribuer le trafic en provenance et destination des sites raccords au travers des RPV IP. Dans la mesure o cette figure est une reprsentation fonctionnelle, elle n'interdit pas la possibilit de raccorder des CPE des routeurs du cur de la dorsale, le cas chant, ces derniers jouant la fois le rle de PE et de P ; les traits pointills de la figure 1 expriment quant eux le principe de virtualit caractristique de chaque RPV dploy sur la dorsale. Architecture de RPV IP Le dploiement de RPV IP sur une dorsale impose de prendre en compte les contraintes spcifiques chaque RPV IP, telles que : le principe d'tanchit d'un RPV est un mode de cohabitation exclusif entre RPV IP au sein de la dorsale qui les supporte, de sorte que chaque utilisateur d'un RPV donn n'ait jamais la connaissance des autres RPV dploys sur la dorsale (technique de transparence), et que le trafic d'un RPV donn ne transite en aucune faon par un autre RPV (technique d'isolation des flux caractristiques de chaque RPV par tablissement de tunnels, techniques de gestion de plans de numrotation IP, techniques d'identification de flux IP). Toutefois, ce principe lmentaire de transparence doit tre modul par le fait que certains vnements tels qu'une modification de la topologie de la dorsale(rupture d'un lien d'interconnexion, par exemple), ou du "bon fonctionnement" gnral des services rendus par la dorsale(phnomnes d'engorgement de trafic sur certains liens de transmission, par exemple), affecteront probablement le caractre tanche des RPV IP dploys sur cette dorsale ; le principe de routage et d'acheminement associ au trafic circulant au sein d'un RPV donn entre les diffrents sites interconnects au travers de ce RPV doit tre caractristique de ce RPV, de telle sorte que l'architecture du RPV reflte la politique de routage et d'acheminement du trafic du RPV, telle qu'elle aura pu tre dfinie entre le client et le fournisseur du service (techniques d'ingnierie de trafic IP et de routage par contraintes). En vertu de ces deux principes, il existe aujourd'hui deux principales pistes technologiques qui permettent de dployer effectivement des RPV IP, comme le rsume la figure suivante :

Chapitre 5.1 : nouveaux usages

Grer une offre de service de RPV IP Un terreau privilgi pour le dploiement des techniques d'annuaires et concepts associs Le dploiement d'offres de services IP valeur ajoute telle qu'une offre de RPV IP milite en faveur des rseaux de type DEN (Directory-Enabled Networks), qui exploitent les ressources d'un ou plusieurs annuaires, gnralement accessibles par le protocole LDAP (Lightweight Directory Access Protocol), et qui sont destins maintenir l'ensemble des informations ncessaires la gestion de ces services. De plus, le dploiement de tels services passe par la mise en place de politiques diverses, telles qu'une politique de routage (au sein de chaque RPV IP, le cas chant), de scurit, ou encore de qualit de service. A ce titre, l'application effective de ces diffrentes politiques peut utiliser les ressources du protocole COPS (Common Open Policy Service), destin vhiculer les changes d'informations (de configuration, de modification de configuration, etc.) qui circuleront entre : les composantes lmentaires charges de mettre en pratique ces politiques (ces composantes sont des PEP (Policy Enforcement Point), qui sont des fonctions embarques dans les quipements de tlcommunications, tels que les routeurs impliqus dans l'acheminement du trafic d'un RPV IP), le ou les serveur(s) (ces composantes sont des PDP (Policy Decision Point)), charg(s) de transmettre les instructions de configuration aux PEP. Ces instructions sont dfinies partir des informations consignes dans les annuaires avec lesquels les PDP peuvent communiquer au moyen d'changes LDAP, par exemple. La disponibilit prochaine de telles techniques qui permettent en pratique l'application dynamique de diffrentes politiques lies au dploiement d'un ensemble d'offres de services IP valeur ajoute constituent de toute vidence l'une des cls du succs de ces offres de services, d'autant plus qu'elles favorisent naturellement le dveloppement de fonctions de commande (dynamique) de service. Les paragraphes suivants tentent de recenser l'ensemble des fonctions lmentaires qui devraient conditionner le dploiement d'une offre de services de RPV IP, et ces fonctions lmentaires sont autant d'illustrations possibles de l'application des techniques mises en uvre par les rseaux de type DEN. Gestion du trafic et de la bande passante Les ressources disponibles dans la dorsale IP charge en particulier de supporter le dploiement des RPV IP, peuvent faire l'objet de l'un ou l'autre des deux modes de gestion suivants : les ressources de commutation et de transmission de la dorsale IP sont gres selon les diffrentes classes de service mises en uvre dans le rseau. Dans ce cas, un flux (i.e. un ensemble de datagrammes IP qui partagent au moins une caractristique commune, telle que le mme identifiant de port TCP ou UDP) caractristique d'une partie du trafic circulant au sein du RPV IP sera associ l'une des classes de service disponibles, et, ce titre, il partagera l'ensemble des ressources alloues par l'oprateur de la dorsale IP pour cette classe de service. Dans ce cas, le contrle d'admission d'un tel trafic dans le RPV IP n'est pas caractristique du RPV IP, mais de la classe de service laquelle ce trafic est associ ; l'autre mode de gestion consiste grer les ressources de la dorsale selon les RPV IP susceptibles d'tre dploys sur cette dorsale. Dans ce cas, l'ensemble des flux circulant au sein d'un RPV IP sont associs des ressources qui sont puises parmi les ressources affectes ce RPV IP, et le contrle d'admission de tels trafics pourrait tre assur par un dispositif conscient de la topologie des RPV IP dploys sur la dorsale (un quipement de

type "Bandwidth Broker", par exemple), et/ou par l'activation d'un protocole de signalisation qui ne serait utilis qu' des fins de contrle d'admission exclusivement (i.e. que les fonctions de classification de datagrammes mises en uvre au sein des quipements de type P ou PE ne seraient pas impliques dans le processus de signalisation). Ainsi, la gestion du trafic et de la bande passante disponible au sein du RPV IP passe en particulier par l'application d'une politique de routage dynamique qui pourra exploiter des capacits de rpartition de la charge en fonction du taux d'occupation des liens d'interconnexion composant le RPV IP, de la plage horaire d'utilisation des ressources de transmission du RPV IP et, d'une manire gnrale, selon des indicateurs qui peuvent en particulier faire l'objet de l'activation d'une fonction d'ingnierie de trafic lorsque les RPV IP sont dploys sur un rseau MPLS. Gestion des profils Dfinir et recenser les diffrents profils de trafic par classe de service, dfinir et grer le comportement des ressources de commutation destines traiter les diffrentes classes de service retenues (i.e. configurer les quipements de commutation en fonction des diffrentes classes de service) constitue l'essentiel des tches d'un service d'administration des classes de service, lequel fera d'ailleurs l'objet d'un SLA spcifique. Ce service implique la maintenance d'une base de donnes qui identifiera au moins les types de profils utilisateurs du RPV IP (accs permanents, accs temporaires, et probablement une dcoupe organisationnelle encore plus fine), ainsi que la nature des services auxquels ces diffrents profils auront souscrit(e.g. pour les accs temporaires, possibilit de consulter des serveurs Web, mais pas de possibilit de transfert de fichiers dans une plage horaire dtermine, etc.). La consultation (et la modification en tant que de besoin - ajout, retrait et modification dynamiques de profils) de cette base de donnes, maintenue directement par l'entreprise ou par le fournisseur du service de RPV IP mandat par l'entreprise, sera rgie par des droits d'accs en lecture seule et en lecture/criture qui seront dfinis d'un commun accord entre l'entreprise et le fournisseur du service de RPV IP. Gestion de la facturation Il s'agit d'un service de traitement d'informations statistiques des fins comptables, et caractristiques du trafic qui circule sur le RPV IP. Ces informations, collectes de manire priodique ou sporadique, permettent par exemple de manipuler des indicateurs statistiques tels que : pour un accs temporaire associ un profil donn, la dure, la nature et la cause de rupture de la connexion ; pour un accs permanent, la rpartition spatiale du trafic IP sur le lien de raccordement du site au rseau support du RPV IP par application (caractrise par l'identifiant de port UDP ou TCP), ou par profil de trafic. Gestion de la qualit de service et SLA La fourniture d'un service de RPV IP implique la formalisation de la relation contractuelle entre l'entreprise et le fournisseur du service : c'est l'objet de la dfinition de SLA, lesquels pourront tre dclins en autant de domaines spcifiques couverts par l'offre de service de RPV IP, tels que la qualit de service ou la scurit. C'est au sein d'un SLA que l'on trouve la

dfinition du ou des indicateur(s) destin(s) qualifier le service rendu, ainsi que la dfinition de la mtrologie associe ces indicateurs. Ainsi, dfinir et mesurer (production de tableaux de bord) les indicateurs de qualit de service caractristiques d'un type de trafic donn (ou d'un RPV) et contractuellement ngocis avec l'entreprise au travers d'un SLA spcifique, grer le trafic de service caractristique de l'activation d'un protocole de signalisation (i.e. limiter l'impact de cette activation sur les ressources de transmission du RPV IP), constitue l'essentiel des tches d'un service de gestion de la qualit de service associe l'exploitation d'un RPV IP. Gestion de la scurit Scurit de l'accs au RPV IP, scurit de l'accs aux sites raccords au travers du RPV IP, scurisation du trafic circulant sur le RPV IP (tanchit du RPV IP vis--vis des autres utilisateurs du rseau support du RPV IP), fourniture concurrente d'accs l'Internet sur les mmes interfaces de raccordement, scurisation des ressources de commutation impliques dans l'exploitation du RPV IP sont autant de thmes qui supposent une (forte) activit de gestion de filtres (listes d'accs ou assimils), de cls, de pare-feu et de mots de passe dans le contexte d'exploitation d'un RPV IP. Aspects de commande de service A l'image des caractristiques fonctionnelles du rseau intelligent, les services dcrits par les SLA pourront faire l'objet de la mise en place d'un plan de commande dynamique dont les fonctions seront comparables celles du rseau intelligent. De telles fonctions seront accessibles aux clients du service de RPV IP, lesquels pourront ainsi modifier certaines des caractristiques techniques de leur contrat, telles que la bande passante fournie l'accs de chacun des sites du RPV IP, ou la modification des profils des utilisateurs du RPV IP. A titre d'exemple, les fonctions suivantes peuvent faire l'objet d'une commande de service volue : modification de la politique de routage dynamique applique au sein du RPV IP en fonction de la plage horaire d'utilisation des ressources de transmission du RPV IP ou de la nature du trafic circulant sur le RPV IP (e.g. les transferts de fichier ne pourront tre effectus qu'entre certains des accs permanents et selon une plage horaire dfinie) ; transfert d'appel (i.e. transfert d'une tentative de connexion d'un poste mobile et/ou isol au RPV IP) vers un site spcifique de l'entreprise, par activation dynamique d'une fonction relais de la phase de ngociation PPP (Point-to-Point Protocol) ; demande de rappel automatique de l'appelant l'issue des phases d'identification et d'authentification ; etc.

QCM