Mini Projet

Virtual Private Network

Etude comparative et ralisation dun

VPN MPLS

Ralis par :
NOUCHTI Ouafa
El QASMI Med Zakaria
HILALI Tarik

Promotion : IRT5

Encadr par :
Mr : ISMAILI Rachid

Anne universitaire 2009/2010

Ddicaces
Nous ddions ce travail :
A nos chers parents pour leur amour, sacrifice et soutiens.
A nos collgues pour leur comprhension et fidlit.
A nos enseignants pour leurs efforts remarquables.
A ceux qui nous devons reconnaissance.
A ceux qui nous font partager joies et souffrances.
Qu ils trouvent tous ici nos sincres gratitudes et reconnaissances.

Remerciements
Avant d entamer le vif de notre travail, il nous est tellement agrable de
prsenter nos sincres remerciements au personnel de l EMSI.
Nous tenons galement exprimer notre reconnaissance notre professeur
encadrant Mr. Rachid ISMAILI qui nous a beaucoup encourags, pour son
aide et orientation durant la priode du projet, il a engag son temps et ses
conseils pour nous venir en aide. Nos vifs remerciements sont galement
adresss tous les professeurs de l EMSI.
Enfin, notre profonde gratitude et notre respect a toute personne qui a contribu
de prs ou de loin l laboration de ce travail.

Abstract

Published by the IETF in 1997, MPLS technology first emerged within the

networking industry for IP core networks primarily as a mechanism to provide VPN

services and traffic engineering capabilities.

MPLS is now being extended toward the Ethernet/optical and access-network

segments to extend the benefits realized in the core and provide a true end-to-end
architecture for the delivery of packet data services.

This article will present an overview of the operation of MPLS, then an example of

configuration the Cisco router.

Sommaire
Introduction gnrale.

Chapitre 1 : Gnralits sur les VPNs.

1.1 Mode de fonctionnement des VPNs

1.1.1
1.2

Gnralits.

2
2

 
 
  


1.2.1 Le VPN d'accs.

1.2.2 L'intranet VPN.

1.2.3 L'extranet VPN.

1.3 Les Protocoles utiliss.

1.3.1 PPTP (Point to Point Tunneling Protocol).

1.3.2 P2TP (Layer 2 Tunneling Protocol).

1.3.3 IPSec (IP Security).

1.3.4 Comparaison entre le PPTP et le T2LP / IPSec.

1.3.5 MPLS/VPN.

1.3.5.1 Introduction.

1.3.5.2 Principe de Fonctionnement.

12

1.3.6 Comparaison entre MPLS et IPSec.

17

Chapitre 2 : Ralisation.
2.1 sentation du logiciel GNS3.
2.2 Description de la maquette.
2.2.1 L activation du routage.
2.2.2 L activation du MPLS.
2.2.3 L activation du MPLS VPN.
2.3 Configuration d'un VPN MPLS.

19
19
20
21
21
22
22

Conclusion Gnrale

30

Bibliographie.

31

Annexes.

32

Glossaire
A
p
sy

A
A

p
sutr s r

ust

B
BGP

xps w
r

C
CEF
D
t t

Diffserv
DSCP

v
t t

E
EGP
EIGRP

xt rG

t
rG

tu

F
FR
FEC

w
r

quv

tu

us t

G
GRE

I
Intserv
IGP
IGRP
ISIS
ISP

t r
v s
t rG t
t
t r G t
t
st
t
t
v
r
v r

tu
t

st

L
ts ut
t
t

LDP
LSP
LSR

t
t
tu

M
MPLS
MP-BGP
MTU

Multi Protocol Label Switching

t t
xt rG
t
u
s s
t

O
p

OSPF

tr ts

tsr

P
PPP
POP
PHP

tt
t
ut

u ty

t
p p

Q
QoS
R
RD
RIP
RSVP
RT

ut ts us s
ut
su
ut
ts

S
su

SDH

T
TDP
TE
TTL

tsr tu
t

V
VPN
VRF

utr prv

tu

tw

w
r

W
WDM

vs

tp x

Liste des figures

   m
! " nrique de Tunnelisation

 # VPN d'accs.

 $ L'intranet VPN.

 % L'extranet VPN.

 & Principe d'encapsulation PPTP.

 ' Principe d encapsulation L2TP.

 ( VPN/MPLS.

 ) Overlay model.

10

 * Peer to peer model.

11

 + Principe de fonctionnement(1).

13

  Principe de fonctionnement(2).

14

 # rcapitulatif VPN/MPLS.

16

 ##+ Maquette ralise.

20

 ## Commande traceroute excute au niveau

26

 ### Commande traceroute excute au niveau

27

 ##$ Commande Show ip vrf excute au niveau du routeur PEB.

27

 ##%: Commande Show ip vrf interfaces excute

27

du routeur CEB avec l adresse 10.0.0.1

du routeur CEA avec l adresse 10.0.6.2

au niveau du routeur PEA.

 ##& Commande Show mpls forwarding-table excute

au niveau du routeur PEB.

 ##' Commande Show ip cef vrf emsi 10.0.6.2 detail excute
au niveau du routeur PEA.

28
28

List

st

ux

,-./0-1 1.1 : 2omp3435678 9n:49 ;<=> 9: ?<>9@

AB

Tableau 2.2 : 2onC5DE43:5on FE 4oE:9E4 2GH

II

Tableau 2.3 : 2onC5DE43:5on FE 4oE:9E4 <GH

IJ

Tableau 2.4 : 2onC5DE43:5on FE 4oE:9E4 <GK

IL

Tableau 2.5 : 2onC5DE43:5on FE 4oE:9E4 2GK

IM

Tableau 2.6 : 2onC5DE43:5on FE 4oE:9E4 <

IM

[NOsPQR STUVO WXYZ[[r \t]O Otralisation dun

VPN MPLS] Introduction gnrale

^_`abcde`fb_ gnrale
Au dbut de l'Internet, la proccupation majeure tait de transmettre les paquets leur

destination. Ensuite, des mcanismes inhrents TCP ont t dvelopps pour faire face aux

consquences induites par les pertes de paquets ou la congestion du rseau. Mais depuis le
dbut des annes 1990, la communaut des fournisseurs de service (ISP : Internet service

Provider) qui administrent l'Internet est confronte non seulement au problme de croissance
explosive mais aussi des aspects de politique, globalisation et stabilit du rseau.

Par ailleurs, outre ces diffrents aspects, apparat une trs forte diversification des services
offerts. Ainsi de nouvelles applications se dveloppent sur le rseau : tlphonie,

vidoconfrence, diffusion audio et vido, jeux en rseau, radio et tlvision en direct

L mergence des rseaux privs virtuels (VPN), ncessite galement une diffrentiation de
services. La qualit de service de bout en bout apparat, dans ce contexte, essentielle au succs
de ces applications.

Avec l arrive de la technologie MPLS et les modles de gestion de la qualit de service

(Diffserv et Intserv) une nouvelle approche est considre (MPLS pour l augmentation des
performances des quipements rseaux, les notions de trafic engineering et les VPN et la
gestion de qualit de service pour le traitement de la congestion, la classification des trafics et
la garantie de service).

Du point de vue ISP, considr comme le client principal du backbone IP et la passerelle des
utilisateurs Internet et rseaux, un dfit est surmonter c est d assurer une liaison parfaite

entre ses sites travers le backbone. Plusieurs solutions existent dont la plus innovante est
MPLS VPN.

Cette tude est compose de 2 chapitres. Le premier chapitre prsente les VPN son principe
de fonctionnement, ses nouveaux concepts et ses atouts.

Le deuxime chapitre contient la ralisation de la maquette de simulation VPN/MPLS.

1

harptei

Gnralit s sur les VPNs

Mode du Fonctionnement des VPNs

Les types d'utilisation de VPN
Protocoles utiliss

[hseP
V jku
eo
d
m
atciv
p
erteralisation dun
i

VPN MPLS] Chapitre 1

Chapitre 1 : Gnralits sur les VPNs

Introduction
Les entreprises ont des rseaux locaux de plus en plus importants qui comportent des

applications et des donnes essentielles l entreprise. Le problme qui se pose est le suivant :
comment des succursales d une entreprise peuvent-elles accder ces donnes alors qu elles

sont rparties sur de grandes distances gographiques. Pour pallier ce problme, ces
entreprises mettent en place un rseau VPN.

Nous verrons dans cet article le principe de fonctionnement du VPN. Nous nous

intresserons aussi aux diffrents types d utilisation du VPN et aux protocoles permettant sa
mise en place.

1.1 Mode de fonctionnement des VPNs

1.1.1 Gnralit

Les rseaux privs virtuels reposent sur des protocoles nomms protocoles de tunneling ,

(ou encore protocoles de tunnelisation). Ils ont pour but de scuriser le rseau en cryptant les
donnes partant des extrmits du VPN l aide d algorithmes de cryptographie.

On utilise le terme Tunnel pour reprsenter le passage scuris dans lequel circulent les

donnes cryptes. Ainsi, toute personne n tant pas connecte au VPN ne peut pas dcrypter
ces donnes.

Lorsqu un utilisateur veut accder aux donnes sur le VPN, on appelle client VPN (Client

d Accs Distant) l lment qui chiffre et dchiffre les donnes du ct client et serveur VPN
(Serveur d Accs Distant) l lment qui chiffre et dchiffre les donnes du ct du serveur
(dans notre cas, c est l entreprise).

Une fois le serveur et le client identifis, le serveur crypte les donnes et les achemine en
empruntant le passage scuris (le tunnel), les donnes sont ensuite dcryptes par le client et
l utilisateur a accs aux donnes souhaites.

[lseP
V nou
eo
d
m
atciv
p
erteralisation dun
m

VPN MPLS] Chapitre 1

Figure 1.1 : Schma gnrique de Tunnelisation

1.2 Les types d'utilisation de VPN

Dans cette partie, nous tudierons les 3 types d utilisation du VPN qui sont :
Le VPN d'accs
L'intranet VPN
L'extranet VPN

1.2.1 Le VPN d accs

Le VPN d'accs est utilis pour permettre des utilisateurs d'accder au rseau priv de leur
entreprise. L'utilisateur se sert de sa connexion Internet pour tablir la connexion VPN
On a deux cas :
L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers

le serveur distant : il communique avec le NAS (Network Access Server) du

fournisseur d'accs et c'est le NAS qui tablit la connexion crypte.

L utilisateur possde son propre logiciel client pour le VPN auquel cas il tablit
directement la communication de manire crypte vers le rseau de l entreprise.

[pseP
V rsu
eo
d
m
atciv
p
erteralisation dun
q

VPN MPLS] Chapitre 1

Figure 1.2 : VPN d'accs

1.2.2 L intranet VPN

L'intranet VPN est utilis pour relier au moins deux intranets entre eux. Ce type de rseau

est particulirement utile au sein d'une entreprise possdant plusieurs sites distants.

Figure 1.3 : L'intranet VPN

1.2.3 L extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires.

Elle ouvre alors son rseau local ces derniers. Dans Ce cadre, il est fondamental que

l'administrateur du VPN puisse tracer les clients sur le rseau et grer les droits de chacun sur
celui-ci.

Figure 1.4 : L'extranet VPN

4

[tseP
V vwu
eo
d
m
atciv
p
erteralisation dun
u

VPN MPLS] Chapitre 1

1.3 Protocoles utiliss

Il existe deux catgories de protocoles, les protocoles de niveau 2 et 3.
Nous avons 3 protocoles de niveau 2 pour raliser des VPN : le PPTP (de Microsoft), le

L2F (dvelopp par CISCO) et le L2TP. Nous parlerons ici que du PPTP et du L2TP car le
L2F est un protocole quasi obsolte.

Il existe aussi un protocole de niveau 3, le IPSec qui permet de transporter des donnes
chiffres pour les rseaux IP.

1.3.1 PPTP (Point to Point Tunneling Protocol)

Le principe du protocole PPTP est de crer des trames sous le protocole PPP et de les

encapsuler dans des datagrammes IP. PPTP cre ainsi un tunnel de niveau 3 dfini par le
protocole GRE (Generic Routing Encapsulation).

Le tunnel PPTP se caractrise par une initialisation du client, une connexion de contrle

entre le client et le serveur ainsi que par la clture du tunnel par le serveur.
L'tablissement d une connexion se droule en deux tapes :

Le client effectue d'abord une connexion avec son FAI (Fournisseur d accs
Internet).

Cette premire connexion tablie une connexion de type PPP et permet de faire
circuler des donnes sur Internet.

Par la suite, une deuxime connexion dial-up est tablie. Elle permet d'encapsuler les
paquets PPP dans des datagrammes IP. C'est cette deuxime connexion qui forme le
tunnel PPTP.

Ainsi, le trafic conu pour Internet emprunte la connexion physique normale et le trafic conu
pour le rseau priv distant passe par la connexion virtuelle de PPTP.

[xseP
V z{u
eo
d
m
atciv
p
erteralisation dun
y

VPN MPLS] Chapitre 1

Figure 1.5: Principe d'encapsulation PPTP

Il existe ensuite d autres protocoles qui peuvent tre associ PPTP afin de scuriser les

donnes ou de les compresser. Mais nous ne nous s attarderons pas sur ces diffrents

protocoles.

1.3.2 P2TP (Layer 2 Tunneling Protocol)

Le protocole L2TP est issu de la convergence des protocoles PPTP et L2F. Ainsi le

protocole L2TP encapsule des trames PPP, encapsulant elles-mmes d'autres protocoles tels
que IP mais aussi IPX ou encore NetBIOS.

Lorsqu'il est configur pour transporter les donnes sur IP, L2TP peut tre utilis pour faire du
tunnelling sur Internet.

L2TP repose sur deux concepts :

les concentrateurs d'accs L2TP (LAC) : Ces priphriques LAC fournissent un

support physique aux connexions L2TP. Le trafic tant alors transfr sur les serveurs
rseau L2TP. Ces serveurs peuvent s'intgrer la structure d'un rseau commut RTC
ou alors un systme d'extrmit PPP prenant en charge le protocole L2TP. Ils

assurent le fractionnement en canaux de tous les protocoles bass sur PPP. Le LAC est
l'metteur des appels entrants et le destinataire des appels sortants.

les serveurs rseau L2TP (LNS) : Le LNS gre le protocole L2TP ct serveur. Le

protocole L2tp n'utilise qu'un seul support, sur lequel arrivent les canaux L2TP. Ils
sont cependant capables de terminer les appels en provenance de n'importe quelle
interface PPP du concentrateur d'accs Lac.

[|seP
V ~u
eo
d
m
atciv
p
erteralisation dun
}

VPN MPLS] Chapitre 1

Le LNS est l'metteur des appels sortants et le destinataire des appels entrants. C'est
lui qui sera responsable de l'authentification du tunnel.

L2TP n'intgre pas directement de protocole pour le chiffrement des donnes. C'est pourquoi

on l'utilise trs souvent avec le protocole IPSec.

On distingue principalement 2 composantes dans les paquets L2TP :

Les paquets d'information, encapsuls dans des paquets PPP pour les sessions

utilisateurs qui servent pour le transport de L2TP.

Le protocole de signalisation, qui utilise le contrle de l'information L2TP est

encapsul dans des paquets UDP/IP.

Figure 1.6: Principe d'encapsulation L2TP

1.3.3 IPSec (IP Security)

IPSec est un protocole qui permet de scuriser les changes au niveau de la couche rseau. Il

s'agit en fait d'un protocole apportant des amliorations au niveau de la scurit au protocole
IP afin de garantir la confidentialit, l'intgrit et l'authentification des changes.
Le protocole IPSec est bas sur trois modules :

Le premier, Authentification Header (AH) vise assurer l'intgrit et l'authenticit des

datagrammes IP. Il ne fournit par contre aucune confidentialit.
Le

second,

Encapsulating

Security

Payload

(ESP)

peut

aussi

permettre

l'authentification des donnes mais est principalement utilis pour le cryptage des

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

informations. Ces deux premiers mcanismes sont presque toujours utiliss

conjointement.

Le troisime, Internet Key Exchange (IKE) permet de grer les changes ou les
associations entre protocoles de scurit.

Le protocole IPSec est souvent utilis avec le L2TP.

1.3.4 Comparaison entre PPTP, T2LP et IPSec

PPTP prsente l avantage d tre compltement intgr dans les environnements Windows.
Cependant comme beaucoup de produit Microsoft la scurit est le point faible du produit :
Mauvaise gestion des mots de passe

Faiblesses dans la gnration des cls de session

Faiblesses cryptographiques

Identification des paquets non implmente

L2TP / IPSec sont plus robustes en terme de scurit que l utilisation du PPTP.
Les points ngatifs de L2TP / IPSec sont les suivants :
L ensemble des quipements d un VPN L2TP doit bien implmenter le protocole

IPSec.

IPSec ne permet d identifier que des machines et non pas des utilisateurs.

IPSec cause de la lourdeur des oprations de cryptage/dcryptage rduit les

performances globales des rseaux.

L achat de priphriques ddis, coteux est souvent indispensable.

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

1.3.5 MPLS/VPN
1.3.5.1 Introduction
Les VPN/MPLS sont essentiellement implments chez les oprateurs afin de fournir des

services leurs clients. Les oprateurs utilisent leur backbone sur MPLS pour crer des VPN,
par consquent le rseau MPLS des oprateurs se trouve partag ou mutualis avec d autre
client.

Du point de vue du client, il a l impression de bnficier d un rseau qui lui est entirement

ddi. C'est--dire qu il a l impression d tre le seul utiliser les ressources que l oprateur
lui met disposition. Ceci est d l tanchit des VPN/MPLS qui distingue bien les VPN de
chaque client et tous ces mcanismes demeurent transparents pour les clients.

Finalement, les deux parties sont gagnantes car les clients ont un vritable service IP qui

leur offre des VPN fiables des prix plus intressants que s ils devaient crer eux-mmes leur
VPN de couche 2. Les oprateurs eux aussi rduisent leurs cots du fait de la mutualisation de
leurs quipements.

Voici une reprsentation des VPN/MPLS.

Figure 1.7 : Reprsentation des VPN/MPLS.

9

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

Au lancement des VPN/MPLS le modle Overlay avait t choisi, il consiste muler des

lignes ddies entre chaque entit du client sur le rseau MPLS. Il s agit en fait d un LSP

(Label Switched Path) sur le rseau MPLS qui relie chaque site. La cration de ces LSP entre
les diffrents sites de l entreprise permettra alors de former un VPN IP.
Overlay model

Figure 1.8: Overlay model

Ce modle a cependant un inconvnient car les points d accs au rseau MPLS se situent

dans le rseau du client. En effet, l ajout de nouveaux sites dans ce VPN ncessite la cration

de nouveaux LSP. Ce modle pose ainsi un problme de scalabilit. Si nous avons 5 sites
appartenant un VPN, l ajout d un 6ime site requiert la mise en place de 5 nouveaux LSP.
Par consquent, plus le nombre de sites est lev plus la tache s avre fastidieuse.

Un autre modle rsout ce problme de scalabilit, il s agit du modle peer to peer .

Ainsi, l ajout d un grand nombre de sites ne pose pas de difficult.

D autre part, les points d accs au rseau MPLS, de ce modle, se trouvent cette fois ci du

cot de l oprateur sur les quipements PE (Provider Edge router). Chaque site change avec
10

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

les quipements PE des informations de routage et l oprateur achemine par la suite les
donnes vers les sites de destination sur son rseau MPLS.
Peer to peer model

Figure 1.9: Peer to peer model

Actuellement ce modle est largement employ chez les oprateurs car il permet l ajout de

nouveaux sites en changeant la configuration des PE. De plus, du point de vue de l utilisateur

l interconnexion avec le VPN ne se fait que sur un seul quipement de l oprateur

contrairement au modle Overlay, il s agit du PE. Enfin, le routage entres diffrents sites
clients est optimale car le PE connat sa topologie et peut de ce fait choisir la route adquate.

De manire gnrale, la topologie utilise pour relier les sites dans un VPN avec ce modle

est la topologie entirement maille ou full mesh . Cela implique que tous les sites peuvent
se voir ou bien qu il existe une liaison point point entre tous les sites du VPN.

1.3.5.2 Principe de fonctionnement

11

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

Durant la conception d un rseau d entreprise, les ingnieurs choisissent gnralement des

plages d adresses IP prives pour leur rseau LAN (10.0.0.0, 172.16.0.0, 192.168.0.0). Or le

rseau MPLS permet l implmentation de plusieurs VPN clients au sein de son rseau. Il faut
par consquent trouver un moyen de diffrencier les VPN qui peuvent avoir le mme

adressage IP. La notion de route distinguisher ou RD est alors introduite afin de

diffrencier les diffrentes routes qui circulent sur le rseau MPLS.

Cette route distinguisher d une taille de 8 octets est ajoute au prfixe ipv4 (de 4 octets)

pour tendre l adressage IP. La taille de cette adresse fait donc 96 bits en tout.
Le format de cette adresse devient alors : RD : prfixe IPV4

Cette extension de l adresse IP nous permet de diffrencier les diffrentes plages

d adresses, elle nous permet galement de diffrencier les diffrents VPN.

De plus, pour rendre la communication inter VPN interdite, la technologie MPLS

implmente des tables de routages spcifiques chaque VPN. Ces tables de routage appeles
VRF (Virtual Routing and Forwarding table) se rfrent aux identifiants de chaque VPN, les

RD. De cette faon chaque VPN possdent leur propre table de routage ou VRF dans le rseau
MPLS et ne voient pas les autres routes accessibles sur le rseau MPLS.

Nanmoins il existe une certaine flexibilit sur ces VRF, car dans le cas ou l on souhaite

implmenter un extranet par exemple, un site peut alors appartenir plusieurs VPN. Mais,
cela ne change rien au fait que le routage est impossible entre deux VPN diffrents.

Les CPE (Customer Premises Equipment) des sites utilisateurs sont connects au PE de

l oprateur pour appartenir au VPN. Ensuite les VRF des VPN en question doivent tre
configurs sur les interfaces des PE pour que les sites soient bien relis cette VRF ou encore
ce VPN.

Suivant leurs configurations les PE peuvent alors avoir plusieurs interfaces configures

pour plusieurs VRF. Il en rsulte donc que les PE peuvent avoir plusieurs tables de routage

pour chaque VPN. De plus, nous pouvons prciser que ces tables de routage VRF sont mises
jours en parallle avec la table de routage principale du PE ou n ud Edge-LSR.

12

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

Pour rappel, cette table de routage principale sert atteindre les autres n uds LSR au sein

du rseau MPLS. Elle est remplie par un protocole de routage IGP et sert mettre jour la
LFIB qui fait la correspondance entre les FEC et les labels.

Figure 1.10 : Principe de fonctionnement(1)

Sur la figure prcdente les sites connects au VPN matrialisant la connexion CPE - PE
peuvent communiquer avec l intermdiaire d une route statique ou encore RIP v2, OSPF
BGP

pour envoyer leurs informations vers le PE de l oprateur. Dans notre exemple nous

utilisons le protocole RIP v2.

Jusqu' prsent nous avons vu comment les sites clients envoyaient leurs informations vers

les PE et comment les PE grer ces diffrents VPN. Maintenant nous allons nous intresser
la communication des sites clients mais du cot backbone MPLS.

Nous avons vu plus haut que les n uds LSR utilisent un protocole IGP pour connatre leurs

voisins dans le rseau MPLS. Cela leur permettait de renseigner leur table LIB faisant
l association des FEC avec les labels.

13

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

D autre part, un protocole de distribution de label est utilis pour changer les labels et

effectuer des mapping entre les n uds LSR pour tablir un LSP. Mais avec les VPN il y a eu
l introduction du RD (Route Distinguisher) afin de distinguer les diffrents VPN.

Il a t dcid que pour les VPN implments sur les rseaux MPLS, le protocole d change
de label serait le MP-BGP (MultiProtocol

Border Gateway Protocol). Des sessions BGP

sont tablies entre deux n uds Edge-LSR (ou PE) et non entre un PE et un LSR (ou P router).
Car en effet, entre le PE et les P router, le mcanisme qui s applique est le label swapping .

Les sessions BGP sont donc effectues entre les diffrents PE pour changer les labels faisant
l association entre les labels et les VRF.

Figure 1.11 : Principe de fonctionnement(2)

Lorsqu un PE apprend une nouvelle route :
-

Il insre dans sa VRF et indique qu il sait la joindre en RIP.

Ensuite il annonce cette route avec les autres PE en tablissant une session BGP en

fournissant le label associ pour pouvoir atteindre ce VPN en question.

-

Enfin, seul les PE sur lesquels les VRF ont t configures vont rajouter ces routes dans

leur table de routage.

14

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

Ds lors qu il y a un transport de donnes entre les VPN, les CPE envoient les paquets aux

PE avec lesquels ils sont connects. Les PE identifient quels VPN ces CPE font parties,

ensuite ils consultent leur VRF et insrent le label qui est associ au prfixe IP de destination
et qui fait galement partie de ce VPN.

Par la suite, la notion de pile de labels ou stack label intervient. Le label dont vous venons

de parler juste avant est dj insr sur les paquets, il nous sert identifier vers quel VPN
nous devons communiquer. Mais lors de la traverse du c ur de rseau MPLS, nous avons
des labels supplmentaires insrs en haut de la pile pour pouvoir acheminer les donnes d un

noeud LSR un autre. Ces nouveaux labels nous servent transfrer les donnes durant le
processus de label swapping . Ces labels sont donc commuts chaque saut entre les
n uds LSR et ces n uds ne s occupent pas des labels situs en dessous du label en haut de
pile.

A l arrive sur le n ud Edge-LSR, le n ud LSR qui vient de lui envoy les donnes a

auparavant retir le label ncessaire au mcanisme de label swapping. Le n ud Edge-LSR se

retrouve ainsi avec des donnes mais possdant encore le label du VPN. Le n ud Edge-LSR
n a plus qu identifier la valeur du VPN de retirer ce dernier label et transferer les donnes
l extrieur du rseau MPLS. Ces donnes sont finalement envoyes vers le CPE reli au VPN
identifi juste avant.

Remarque : Il se peut que des PE se situent dans le mme LAN et que pour envoyer les
donnes du site 1 vers le site 2 ils n aient pas besoin de passer par un P router. Le transfert se

fait alors de PE PE directement car il s agit du chemin optimal. Ce procd est le

Penultimate Hop Popping qui consiste retirer des labels avant l envoi des donnes vers
le n ud egress. Cela vite ainsi que le n ud egress ait 2 fois consulter les labels et l entte
IP de destination pour forwarder les donnes utilisateurs.

15

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

Figure 1.12 : rcapitulatif VPN/MPLS

16

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

1.3.6 Comparaison entre MPLS et IPSec.

Qualit
service
Cot
Scurit

Mpls
de Permet d'attribuer des priorits au
trafic par le biais de classes de
service
Infrieur celui des rseaux Frame
Relay et Atm mais suprieur celui
des autres Vpn IP.
Comparable la scurit offerte par
les rseaux Atm et Frame Relay
existants.

Ipsec
Le transfert se faisant sur l'Internet
public, permet seulement un service
"best effort"
Faible grce au transfert via le
domaine Internet public
Scurit totale grce la combinaison
de certificats numriques et de Pki
pour l'authentification ainsi qu' une
srie d'options de cryptage, triple
DES et AES notamment
Accs distance et nomade scuris.
Applications sous IP, notamment
courrier lectronique et Internet.
Inadapt au trafic en temps rel ou
priorit leve
Trs vaste puisque repose sur l'accs
Internet
Les dploiements les plus vastes
exigent une planification soigneuse
pour rpondre notamment aux
problmes d'interconnexion site site
et de peering

Toutes les applications, y compris les

logiciels d'entreprise vitaux exigeant
une qualit de service leve et une
faible latence et les applications en
temps rel (vido et voix sur IP)
Dpend du rseau Mpls du
Etendue
fournisseur de services
Evolutivit leve puisque n'exige
Evolutivit
pas une interconnexion d'gal gal
entre les sites et que les dploiements
standard peuvent prendre en charge
plusieurs dizaines de milliers de
connexions par Vpn
Frais
de Aucun traitement exig par le Traitements supplmentaires pour le
cryptage et le dcryptage
gestion
du routage
rseau
Vitesse
de Le fournisseur de services doit Possibilit d'utiliser l'infrastructure du
dploiement dployer un routeur Mpls en bordure rseau Ip existant
de
rseau
pour
permettre
l&148;accs client
Prise
en Non requise. Le Mpls est une Logiciels ou matriels client requis
charge par le technologie rseau
client
Applications
compatibles

Tableau1.1: Comparaison entre MPLS et IPSec.

17

[seP
V u
eo
d
m
atciv
p
erteralisation dun

VPN MPLS] Chapitre 1

Conclusion
Cette tude des solutions Vpn, met en vidence une forte concurrence entres les
diffrents protocoles pouvant tre utiliss.
Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu,
savoir Ipsec et Mpls. Ce dernier est suprieur, mais il assure, en outre, simultanment, la
sparation des flux et leur confidentialit. Le dveloppement rapide du march pourrait bien
cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre
gnralement dans une politique de rduction des cots lis l'infrastructure rseau des
entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons loues de type Atm ou
Frame Relay. Le cot des Vpn Ip est actuellement assez intressant pour motiver de
nombreuses entreprises franchir le pas. A performance gales un Vpn Mpls cote deux fois
moins cher qu'une ligne Atm. Mais si les solutions base de Mpls prennent actuellement le
devant face aux technologies Ipsec c'est principalement grce l'intgration possible de
solution de tlphonie sur Ip. La qualit de service offerte par le Mpls autorise en effet Ce
type d'utilisation. Le march des Vpn profite donc de l'engouement actuel pour ces
technologies qui permettent elles aussi de rduire les cots des infrastructures de
communication. Les Vpn sont donc amens prendre de plus en plus de place dans les
rseaux informatiques.

18

t 2:

Ralisation

Descriptiondelamaquette.
Con
figuration

unVPN MPLS

[se
V u
eo
d
m
atciv
p
erteralisation dun VPN MPLS

] Chapitre 2

Ralisation .

Introduction.
Nous avons ralis une maquette simulant la solution MPLS VPN l'aide de

l mulateur GNS3 de Cisco, une tude a tait entame concernant les diffrents protocoles de
routages et leur configuration sur les routeurs Cisco.

2.1 Prsentation du logiciel GNS3.

Le logiciel GNS3 est en fait une interface graphique

pour l outil sous-jacent Dynamips qui permet

l mulation de machines virtuelles Cisco. Il est
ncessaire d insister sur le terme mulation, dans la

mesure o ces machines s appuient sur les vritables

IOS fournis par Cisco et leur confrent donc

l intgralit des fonctionnalits originales.

Ce logiciel peut donc tre oppos Packet Tracer, qui est un simulateur fourni par Cisco dans
le cadre de son programme acadmique, et qui est donc limit aux seules fonctionnalits
implmentes par les dveloppeurs du logiciel.

Les performances des machines ainsi cres ne sont bien entendu pas quivalentes celles des

machines physiques relles, mais elles restent amplement suffisantes pour mettre en

uvre

des configurations relativement basiques et apprhender les concepts de base des quipements
Cisco.

A l heure actuelle, seules certaines plateformes de routeurs sont mules ainsi que les

plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs

Ethernet sont muls, et permettent notamment l interconnexion du Lab virtuel ainsi cre avec
un rseau physique.

19

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment
dans le cadre de la prparation des premires certifications Cisco telles que le CCNA, mais

ncessitera une machine avec de bonnes ressources pour muler plusieurs quipements en
simultan.

Pour tout autre renseignement sur le produit ou son tlchargement, vous pouvez vous rendre

directement sur la page www.gns3.net . Concernant les IOS, il vous faudra un compte CCO
pour tlcharger les IOS souhaits depuis le site de Cisco.

2.2 Description de la maquette.

Figure 2.20: Maquette ralise.

Cette topologie met en vidence un VPN d' Intranet simple entre deux sites appartenant au

client EMSI : situe A et site B. Le rseau du client comprend les routeurs CEA et CEB.

20

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Nous avons utilis pour cette tche 5 routeurs dont :

1 routeur reprsentant le core MPLS (des routeurs P).

2 routeurs reprsentant l edge MPLS (des routeurs PE) et simulant les routeurs de

Casa et Marrakech.

2 routeurs dsignant des sites de l EMSI (des routeurs CE).

Tous les routeurs sont de type Cisco, la gamme 7200 utilisant comme image IOS c7200jk9o3s-mz.124-19.bin supportant la technologie MPLS.

2.2.1 L activation du routage

Pour le routage, le protocole OSPF est implment dans le backbone, l excution du protocole

OSPF n est pas une exigence et n a aucun effet sur le comportement des routeurs. MPLS
VPN offre la possibilit d utiliser tous types de protocoles de routages pour les sites clients
puisque l change des routes entre les routeurs PE est ralis par MP-BGP.

Un autre protocole de routage est activ qui est BGP mais seulement au niveau des routeurs
PE pour l change des routes MPLS VPN. Les connexions entre les routeurs sont assures par
leurs interfaces sries.

2.2.2 L activation du MPLS

Seulement les routeurs PE et P supportent MPLS donc l activation est ralise ce niveau.
Avant de configurer MPLS sur les interfaces des routeurs il est indispensable d activer le CEF

(Cisco Express Forwarding). Le Cisco Express Forwarding (CEF) est une technologie Couche

3 qui fournit une volutivit de transfert et d excution accrus pour grer plusieurs flux de
trafic de courte dure. L'architecture CEF place seulement les prfixes de routage dans ses

tables CEF (la seule information qu'elle requiert pour prendre des dcisions de transfert

Couche 3) se fondant sur les protocoles de routage pour faire le choix de l itinraire. En
excutant une consultation de simple table CEF, le routeur transfert les paquets rapidement et
indpendamment du nombre de flux transitant.

Nous avons choisit LDP ( Distribution Protocol) pour distribuer les labels MPLS.

Comme les interfaces des routeurs dans notre maquette sont de type srie.

21

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

2.2.3 L activation du MPLS VPN

Nous allons considrer un VPN emsi . La premire tape est la configuration du MP-

BGP sur les routeurs PE (PEA et PEB) pour cela on doit :

Activer le protocole BGP sur le routeur avec comme numro de systme autonome
65000.

Activer la session BGP VPNv4 entre les deux routeurs PE. Pour pouvoir ajouter un voisin
dans la configuration VPNv4, ce voisin doit tre pralablement dclar dans la
configuration globale de BGP.

La deuxime tape est la conception (Design) VPN caractris par le choix des paramtres

RD (Route Distinguisher) et RT (Route Target) qui sont des communauts tendues BGP et

dfinissent l appartenance aux VPN. La plus simple mthode est d assigner chaque VPN le
mme RD et RT.

2.3 Configuration d'un VPN MPLS

Cette partie dcrit les configurations gnriques exiges sur les routeurs dans le domaine du

fournisseur de services, pour mettre en application un VPN bas sur MPLS. Toutes les

configurations dcrites dans les sections suivantes sont excutes partir du rseau montr
dans la figure 2.1.

Hostname CEA
ip cef
interface FastEthernet2/0
ip address 10.0.0.1 255.255.255.0

activation du MPLS

interface Serial1/0
ip address 10.0.1.2 255.255.255.0
clock rate 2016000
router bgp 65001
no synchronization
bgp log-neighbor-changes
network 10.0.0.0
redistribute connected
neighbor 10.0.1.1 remote-as 65000

Configuration de l interface Serial1/0.

Configuration de l interface FastEthernet2/0.

Configuration du routage BGP sur le routeur CEA.

Tableau 2.2: Configuration du routeur CEA

22

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

hostname PEA
ip cef
ip vrf emsi
rd 100:100
route-target both 100:100

interface Loopback0
ip address 1.1.1.1 255.255.255.255
interface Serial1/1
ip address 10.0.2.2 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
interface Serial1/0
ip vrf forwarding emsi
ip address 10.0.1.1 255.255.255.0
clock rate 2016000
router ospf 1
network 1.1.1.1 0.0.0.0 area 0
network 10.0.4.2 0.0.0.0 area 0
router bgp 65000
no synchronization
bgp log-neighbor-changes
neighbor 2.2.2.2 remote-as 65000
neighbor 2.2.2.2 update-source
Loopback0
no auto-summary
address-family vpnv4
neighbor 2.2.2.2 activate
neighbor 2.2.2.2 send-community
both
neighbor 2.2.2.2 next-hop-self
exit-address-family
address-family ipv4 vrf emsi
neighbor 10.0.1.2 remote-as 65001
neighbor 10.0.1.2 activate
neighbor 10.0.1.2 as-override

Attribution du nom au routeur.

Activation du MPLS.
Configurer VRF sur le routeur PE :
le VRF emsi sur le routeur PEA et PEB. Ceci a comme
consquence la cration d'une table de routage VRF et d'une
table emsi Express Forwarding (CEF) pour emsi. Cet exemple
montre emsi VRF tant configur sur le routeur PEA. Notez que le
nom de VRF est sensible la casse.
Configurer le RD:
Le RD cre des tables de routage et de transmission. Le RD est
ajout au dbut des en-ttes IPv4 du client pour les convertir en
prfixes globalement uniques VPNv4.
Configuration des paramtres VRF: RT
Configurer l'importation et l'exportation des stratgies:
Configurent l'importation et l'exportation de stratgies pour les
communauts MP-BGP. La stratgie est employe pour filtrer des
itinraires pour ce "target-route" particulire.
PEA(config-vrf)#route-target both 100:100
Dfinition de l adresse pour l interface Loopback.
mpls ip (sur les interfaces internes des routeurs oprateurs).

Associer VRF avec une interface

Association de VRF l'adresse IP de l'interface.
ip address affecter l adresse APRES la VRF.
Configuration de ospf entre les PE.
Configuration des voisins MP-iBGP.

utiliser loopback comme adresse source

Configuration de l' "address-familiy" BGP VPNv4
activer les familles d adresses IPv4 et vpnv4

Configuration de BGP par VRF IPv4 (Contexte de routage)

Tableau 2.3: Configuration du routeur PEA

23

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

hostname PEB
ip cef
ip vrf emsi
rd 100:100
route-target both 100:100
interface Loopback0
ip address 2.2.2.2 255.255.255.255
interface Serial1/0
ip address 10.0.3.1 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
interface Serial1/1
ip vrf forwarding emsi
ip address 10.0.5.2 255.255.255.0
clock rate 2016000
router ospf 1
network 2.2.2.2 0.0.0.0 area 0
network 10.0.4.1 0.0.0.0 area 0
router bgp 65000
no synchronization
bgp log-neighbor-changes
redistribute connected
neighbor 1.1.1.1 remote-as 65000
neighbor 1.1.1.1 update-source Loopback0
no auto-summary
address-family vpnv4
neighbor 1.1.1.1 activate
neighbor 1.1.1.1 send-community both
neighbor 1.1.1.1 next-hop-self
exit-address-family
address-family ipv4 vrf emsi
neighbor 10.0.5.1 remote-as 65001
neighbor 10.0.5.1 activate
neighbor 10.0.5.1 as-override
no synchronization
exit-address-family

activation du MPLS
.

Tableau 2.4: Configuration du routeur PEB

24

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

hostname CEB
ip cef

activation du MPLS.

interface FastEthernet2/0
ip address 10.0.6.2 255.255.255.0

Configuration de l interface FastEthernet2/0.

interface Serial1/0
ip address 10.0.5.1 255.255.255.0
clock rate 2016000
router bgp 65001
no synchronization
bgp log-neighbor-changes
network 10.0.0.0
redistribute connected
neighbor 10.0.5.2 remote-as 65000
no auto-summary

Configuration de l interface Serial1/0.

Configuration du routage BGP sur le routeur
CEB.

Tableau 2.5 : Configuration du routeur CEB

hostname P
ip cef
interface Loopback0
ip address 3.3.3.3 255.255.255.255
interface Serial1/0
ip address 10.0.2.1 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000
interface Serial1/1
ip address 10.0.3.2 255.255.255.0
mpls label protocol ldp
mpls ip
clock rate 2016000

Activation du MPLS
.

router ospf 1
network 3.3.3.3 0.0.0.0 area 0
network 10.0.2.1 0.0.0.0 area 0
network 10.0.3.2 0.0.0.0 area 0

Tableau 2.6: Configuration du routeur P.

25

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Verification:

show ip vrf vrifies lexistence de la table VFR.

show ip vrf interfaces Vrifies les interfaces actives.

show ip route vrf emsi Vrifies les informations de routage au niveau du routeur PE.

traceroute vrf emsi 10.0.0.1 Vrifies les informations de routage au niveau du routeur
PE.

show ip bgp vpnv4 tag : Vrifie le protocole de routage BGP.

show ip cef vrf emsi 10.0.0.1 detail : Vrifie les informations de routage au niveau du
routeur PE.

sh mpls forwarding-table

sh tag-switching tdp bindings

sh ip ospf database
sh ip route

Figure 2.21: Commande traceroute excute au niveau du routeur CEB

avec l adresse 10.0.0.1
Le label MPLS affich pour chaque hop correspond au label en entre du routeur. Le

champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas
employ ici.

Le routeur PEB a insr 2 Labels dans le paquet, le premier label (19) pour le VPN

emsi , le deuxime (16) pour la commutation LSP au sein du nuage MPLS.

Le routeur P a supprim le Label (16) du paquet avant de le rexpdier au routeur PEA.

26

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Figure 2.22: Commande traceroute excute au niveau du routeur CEA

avec l adresse 10.0.6.2
Le label MPLS affich pour chaque hop correspond au label en entre du routeur. Le

champ Exp (cod sur 3 bits) est similaire au champ TOS de l'entte IP, mais n'est pas
employ ici.

Le routeur PEA a insr 2 Labels dans le paquet, le premier label (19) pour le VPN

emsi , le deuxime (17) pour le routeur lui-mme.

Le routeur P a supprim le Label (17) du paquet avant de le rexpdier au routeur PEB.

Figure 2.23: Commande Show ip vrf excute au niveau du routeur PEB.

La commande Show ip vrf permet de tester l existence des VRFs sur l ensemble des

interfaces d un routeur, et les affiches.

Dans notre exemple, le nom du vrf est emsi sur l interface srie 1/1.

Figure 2.24: Commande Show ip vrf interfaces excute au niveau

du routeur PEA.
Cette commande permet d afficher l interface sur laquelle le VRF est activ, ici c est

l interface Srie 1/0 avec comme adresse IP : 10.0.1.1

27

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Figure 2.25: Commande Show mpls forwarding-table excute au niveau

du routeur PEB.
Cette commande permet de voir le LFIB de PEB constitu dynamiquement grce au
protocole LDP.

Figure 2.26: Commande Show ip cef vrf emsi 10.0.6.2 detail excute
au niveau du routeur PEA.
La table CEF d'une VRF peut galement tre examine, au moyen de la commande show
ip cef vrf emsi

28

[Les VPN Etude comparative et ralisation dun VPN MPLS] Chapitre 2

Conclusion :
Dans ce chapitre, nous avons, tous d abord, prsent l mulateur GNS3 de CISCO. Il est
signaler que nous avons pu parvenir utiliser un IOS (Image Shell des routeurs CISCO)
rcent aprs des multiples

difficults que nous avons pu surmonter en s'appuyant sur

plusieurs profondes recherches ainsi quune documentation trs difficile trouver.

En dernier, nous avons choisi une topologie rseau permettant de mettre en

uvre les

principales fonctionnalits VPN MPLS. Une topologie qui consiste interconnecter les deux
sites EMSI via un rseau oprateur utilisant comme technologie de transport MPLS.
Les rsultats escompts sont comments et montrent bien le fonctionnement de notre rseau.

29

 alisation dun VPN MPLS csion gnrale

nrale
L volution dans le domaine des tlcommunications ne cesse de donner une grande
souplesse pour trouver des solutions efficaces pour certains dangers et pour fournir une
scurit des biens et des personnes. En effet, la combinaison entre les technologies VPN et
MPLS a permis de fournir une solution scuritaire. Cette solution assure, d une manire
efficace, la protection des biens et des personnes n importe o dans le monde.
Ce rapport s articule sur deux chapitres : dans le premier, nous avons expos les fondements
des VPNs, Dans le deuxime, nous avons prsent une solution VPN d'Intranet simple entre
deux sites appartenant au client EMSI.
Comme perspective de ce travail, nous proposons une solution mixte VPN MPLS/IPSec. La
nouvelle solution, intgrant une partie des solutions rseaux existantes, est compose d un
rseau VPN/MPLS reliant les PE, P associs des accs IPSec pour les sites qui s y
rattachent, afin de rendre le rseau plus scuris.

30

 alisation dun VPN MPLS Bibliographie/Annexes

Bibliographie

(1) GY PJOLLE, Les Rseaux , 6me dition, EYROLLES, 2008, numros

des pages consultes [853-866].
(2) . et E. Corvalan et Y, e
s

, .

(3) Bibliographie WEB

:
http://www.securiteinfo.com/
http://www.hsc.fr/
http://www.routage.org/
www.cisco.com
www.ietf.org
WWW.GNS3.com

Les VPN Etude comparative et ralisation dun VPN MPLS Bibliographie/Annexes

nnex
es
r t e
g
el eou

Verifier le BGP:

Verifier l OSPF:

Les VPN Etude comparative et ralisation dun VPN MPLS Bibliographie/Annexes