Documente Academic
Documente Profesional
Documente Cultură
********** **********
ECOLE NATIONALE SUPERIEURE NATIONAL ADVANCED SCHOOL OF
POLYTECHNIQUE DE YAOUNDE ENGINEERING OF YAOUNDE
********** **********
DEPARTEMENT DES GENIES ELECTRIQUE DEPARTMENT OF ELECTRICAL AND
ET DES TELECOMMUNICATIONS TELECOMMUNICATIONS ENGINEERING
En vue de l’obtention du
DIPLOME D’INGENIEUR DE CONCEPTION DE GENIE DES
TELECOMMUNICATIONS
Et professionnelle de :
M. MEBANDE ARMEL DADY, Ingénieur (Chef de Département de Sécurité
des Systèmes d’Information et de la Communication)
DÉDICACE
A mes parents.
REMERCIEMENTS
Mes pensées vont tout d’abord :
- Au Professeur NDZANA Benoît, enseignant à l’ENSPY, pour le grand honneur qu’il
nous fait de présider ce jury ;
- Au Professeur Emmanuel TONYE, mon encadreur académique pour la passion de
l’enseignement et la disponibilité permanente pour l’avancement de ce travail ;
- Au Professeur BOUETOU BOUETOU Thomas, enseignant à L’ENSPY, pour
avoir accepté d’examiner ce travail.
Enfin A tous ceux qui de près ou de loin ont contribué à la réalisation de ce projet, je vous dis
grandement MERCI.
GLOSSAIRE
A I
RÉSUMÉ/ABSTRACT
RÉSUMÉ
Dans le but de rester compétitif suite à la nécessité constante d’utilisation du réseau et avec la
croissance du nombre de site de son réseau d’entreprise, CAMTEL a migré vers une
architecture réseau orientée Logicielle (SD-WAN) constituée de 3 plans dont la donnée, le
contrôle et le management. L’administration de façon manuelle du réseau d’entreprise constitué
de nombreux routeurs interconnectés entre eux par un nuage MPLS, telle que connue à ce jour,
s’avère être fastidieuse et sujette à de nombreuses erreurs. Le suivi de l’interconnexion, la
disponibilité des services et la QoS étant capitaux pour le fonctionnement de l’entreprise, il
serait essentiel de pouvoir automatiser les déploiements et centraliser cette gestion de manière
à permettre aux responsables du réseau d’entreprise de se concentrer sur les aspects d’accès aux
services et gestion du trafic. Les principes technologiques du SD-WAN de Cisco sont analysés
et intégrés dans l’architecture du réseau d’entreprise afin de répondre aux différentes
problématiques qui vont se présenter dans le cadre du fonctionnement existant, le tout en
relevant un certain nombre de challenges sur les plans théoriques et pratiques. Ce travail a
permis la mise en œuvre d’une solution réseau de l’équipementier Cisco permettant d’améliorer
la gestion du réseau d’entreprise, en se basant sur le MPLS-VPN existant, avec les résultats
probants suivants : l’automatisation des déploiements, la centralisation de la gestion, la vue
globale du réseau sur interface web, la possibilité d’application de politiques de sécurité et
gestion de trafic sans intervenir physiquement sur les équipements.
RÉSUMÉ/ABSTRACT
ABSTRACT
In order to remain competitive following the constant need to use the network and with the
growth in the number of sites in its corporate network, CAMTEL has migrated to a software-
oriented network architecture (SD-WAN) made up of 3 plans including data, control and
management. Manually administering the corporate network of many routers interconnected by
an MPLS cloud, as known to date, is tedious and prone to many errors. As interconnection
monitoring, service availability and QoS are crucial for the operation of the business, it would
be essential to be able to automate deployments and centralize this management so as to allow
those responsible for the corporate network to concentrate. on aspects of access to services and
traffic management. The technological principles of Cisco's SD-WAN are analysed and
integrated into the architecture of the corporate network in order to respond to the various issues
that will arise in the context of existing operations, while relevant to a number of challenges on
the theoretical and practical plans. This work allowed the implementation of a Cisco equipment
network solution to improve the management of the corporate network, based on the existing
MPLS-VPN, with the following convincing results: the automation of deployments,
centralization of management, global view of the network on the web interface, the possibility
of applying security policies and traffic management without physically intervening on the
equipment.
Remerciements .................................................................................... 2
Glossaire ............................................................................................ 3
Résumé/Abstract .................................................................................. 5
Résumé .............................................................................................. 5
Abstract ............................................................................................. 6
1.1- Contexte................................................................................. 14
1.1.1- Réseaux étendus .................................................................................................................. 14
1.1.2- Réseaux privés virtuels..................................................................................................... 24
Méthodologie .................................................................................. 38
Conclusion et Perspectives..................................................................... 96
Bibliographie ...................................................................................... 97
INTRODUCTION GÉNÉRALE
Ces dernières années, le numérique occupe une place de plus en plus importante pour le
développement économique, social, et culturel des pays, surtout des pays en développement. Il
revient ainsi au Cameroun se voyant émergent à l’horizon 2035, d’assurer pleinement les
challenges dans ce secteur qui lui permettront alors d’être compétitif à l’échelle mondiale. C’est
dans cette vision que l’Etat du Cameroun, à travers son opérateur historique des
télécommunications qu’est la CAMTEL, se trouve dans l’obligation d’intégrer des
technologies de plus en plus innovantes pour la gestion et le déploiement de son infrastructure
réseau sur le territoire national.
Dans cette optique, la CAMTEL a implémenté un réseau IP national qui interconnecte tous les
sites opérationnels de l’entreprise à travers un réseau backbone IP-MPLS en place depuis 2014.
A l’heure actuelle plus de 80% de sites de l’entreprise ont été migrés sur ce backbone. Les
services offerts aux employés sont multiples allant des Emails aux accès de plateformes de
supervision, de suivi clientèle, de facturation et de vidéosurveillance. On est donc là dans le
cœur des services liés au système productif des ressources clés de l’opérateur. Afin d’optimiser
au mieux l’accès à ces différentes ressources et améliorer la capacité d’accès à ces différents
services, CAMTEL a décidé de migrer son réseau d’entreprise vers une architecture virtualisée
ou dématérialisée afin d’automatiser au maximum les déploiements de tous ses sites et surtout
manager les aspects réseaux et services en un point central.
Etude faite, le déploiement et la gestion de l’infrastructure réseau d’entreprise requiert de
ressources humaines et matérielles conséquentes pour CAMTEL, de ce fait l’intégration d’une
solution de virtualisation déjà utilisée et implémentée par les autres opérateurs du secteur au
Cameroun et à travers le monde devient un impératif. En effet le secteur de la virtualisation
connait une croissance intéressante et les prévisions du secteur en Afrique sont plutôt
prometteuses.
Ce mémoire décrit les perspectives des réseaux étendus et l’intégration du Software Defined
WAN (SD-WAN) dans les réseaux d’entreprises de CAMTEL. Les technologies WAN
existantes sur le marché, utilisées de façon courante par l’opérateur, seront discutées afin de
souligner leurs points faibles et forts pour de se faire une idée claire de l’existant. Les principes
technologiques du SD-WAN de Cisco sont analysés et intégrés dans l’architecture du réseau
d’entreprise afin de répondre aux différentes problématiques qui vont se présenter dans le cadre
du fonctionnement existant, le tout en relevant un certain nombre de challenges sur les plans
théoriques et pratiques.
L’essentiel de ce travail constitue de ce fait le contenu du présent mémoire que nous avons
structuré en trois (03) chapitres ainsi qu’il suit :
- Le chapitre 1 « Contexte et problématique » décrit le contexte de notre travail et fait
ressortir le problème que vient résoudre notre contribution après avoir fait une étude et
analyse de l’existant ;
- Le chapitre 2 « Méthodologie » présente la méthode que nous
avons utilisée pour résoudre ce problème sus-identifié, en l’occurrence la méthode de
déploiement et d’intégration de la solution SD-WAN de CISCO, tout en justifiant les
choix de chaque élément entrant dans la conception et la réalisation de notre système ;
- Le chapitre 3 « Résultats et commentaires » décrit les
résultats de notre travail, découlant de la méthodologie plus haut, tout en commentant
lesdits résultats en termes de déploiement et de gestion du réseau d’entreprise à partir
de la solution Cisco SD-WAN.
Nous terminerons par une conclusion et mentionnerons quelques perspectives pour
améliorer notre travail
CONTEXTE ET PROBLÉMATIQUE
C premier temps il est question de ressortir l’état actuel du réseau WAN de CAMTEL, les
technologies utilisées de façon courante au niveau du réseau d’entreprise, leurs atouts
ainsi que leurs différentes limitations. Ensuite il est question de ressortir le problème de
base qui découle de ces différentes limitations en rapport avec l’existant pour enfin proposer la
solution appropriée.
1.1- CONTEXTE
Cette partie va nous permettre de présenter plus en détails des technologies WAN actuelles
existantes sur le marché WAN, utilisées par CAMTEL pour déployer ses réseaux locaux, leurs
types et principes de fonctionnement. Les VPN Internet sont également soumis à un examen.
Les principes fondamentaux de la mise en réseau définie par logiciel sont également discutés
et expliqués en introduction du SD-WAN. La première solution WAN qui est abordée est le
MPLS VPN. Les principes de base du BGP sont expliqués avec ceux du MPLS. Les VPN de
couche 2 et de couche 3 sont examinés. La deuxième solution qui est considérée est IPsec. Les
principes généraux d'IKE sont expliqués.
Cette technologie est appelée MPLS et elle est standardisée par IETF dans RFC3031. MPLS
est basé sur la commutation de balises, un pro-solution prioritaire lancée en 1998 et axée sur
l'étiquetage des paquets IP.
Toutes les technologies WAN mentionnées ci-dessus nécessitent les services d'un fournisseur
d’équipement de télécommunications, qui est responsable pour leur gestion et les fournit en tant
que service aux clients potentiels.
1.1.1.2- TYPES
Il existe de nombreuses technologies conçues pour la communication WAN telles que SDH,
DWDM, VSAT, ISDN, Frame Relay, ATM, Metro Ethernet, MPLS, DSL. Ces technologies
peuvent être regroupées en deux grandes catégories, comme le montre la figure 1
Cette technologie représentant le plus grand concurrent du SD-WAN, et elle en est également
un élément majeur pour son fonctionnement.
A- MPLS
Afin de bien comprendre les principes du MPLS, nous devons commencer par sa terminologie.
Du point de vue d'un FAI, le périphérique client utilisé pour se connecter au FAI est appelé
périphérie client (CE). De l'autre côté, le périphérique du FAI utilisé comme connexion au client
est appelé fournisseur (PE). Les autres routeurs du réseau du FAI, qui ne sont responsables que
des opérations principales et ne sont pas connectés à des périphériques externes, sont
simplement appelés routeurs fournisseur (P). Du point de vue MPLS, tous les routeurs qui
exécutent MPLS sont appelés routeurs à commutation d'étiquettes (LSR). Cette terminologie
vient du fait que l'architecture MPLS utilise des étiquettes pour transférer des paquets via le
réseau au lieu d'adresses IP, qui est la méthode de transfert traditionnelle. On peut dire que les
routeurs P sont en fait également des routeurs LSR. De plus, les routeurs PE, du point de vue
MPLS, peuvent également être appelés routeurs de bord d'étiquette (LER). Le chemin emprunté
par les paquets MPLS, de leur point d'entrée dans le réseau du FAI au LER de sortie, est appelé
chemin à commutation d'étiquettes (LSP). Il est important de noter que les LSP sont
unidirectionnels. L'architecture MPLS est visible sur la figure 3.
affectés avec la même étiquette pour un traitement ultérieur. L'étiquette est un identifiant local
qui indique à quelle FEC appartient le paquet. La FEC peut être basée sur les adresses IP de
destination, la classe de trafic basée sur la valeur du point de code DiffServ IP (DSCP), les
groupes de multidiffusion, les valeurs du circuit virtuel (VC) MPLS VPN de couche 2 ou les
adresses IP qui font partie des ensembles spéciaux de préfixes BGP utilisés pour fins de routage.
Les paquets sont étiquetés une fois qu'ils entrent dans le LER d'entrée et leurs étiquettes sont
supprimées lorsqu'ils quittent le réseau MPLS. De plus, les paquets sont transmis via le réseau
MPLS uniquement sur la base de leurs étiquettes, qui sont utilisées pour déterminer le saut
suivant. (Voir figure 4)
avec l'ajout d'un Route Distinguisher (RD) au préfixe IP sélectionné. Le RD fait 8 octets de
long et il est utilisé pour séparer différentes routes VPN qui utilisent le même préfixe IP. [34]
De cette façon, des préfixes VPN-IP uniques sont formés. Lors de l'importation de routes IP
dans les familles d'adresses BGP, l'attribut BGP étendu Route Target (RT) est ajouté au préfixe.
Il est responsable de la mise en correspondance du préfixe IP avec le VRF / VPN spécifique
auquel il appartient. Une route IP donnée peut avoir plusieurs RT mais ne peut avoir qu'un seul
RD. Tout itinéraire mappé avec un RT spécifique doit être distribué à tous les autres itinéraires
mappés avec le même RT, créant la table VRF privée.
E- VPN DE COUCHE 2 ET DE COUCHE 3
La technologie MPLS prend en charge deux types de services VPN, la couche 2 et la couche 3
VPN.
Le VPN de couche 2, également connu sous le nom de LAN privé virtuel (VPLS). C’est un
service opérateur privé de couche 2 simple mais puissant. Il crée un canal virtuel entre les sites
d'un client, qui reste complètement privé du reste du trafic sur le réseau du FAI. Il est important
de noter qu'avec le VPN de couche 2, le routage se produit du côté client, sur le périphérique
CE et le FAI accepte « aveuglément » le trafic de couche 2 et le transporte via les interfaces de
couche 2 dans son réseau MPLS.
Avec le VPN de couche 3, le FAI est responsable de tout le routage entre les différents sites
clients. Les VPN MPLS de couche 3 sont basés sur le modèle homologue et sont donc plus
évolutifs que d'autres modèles basés sur la superposition tels que IPsec. Le VPN de couche 3
est créé à l'aide de tables VRF. Ils sont isolés des autres trafics du réseau du FAI et le trafic du
client est totalement privé. Lorsqu'il y a plusieurs clients connectés au même routeur PE, comme
le montre la figure 8, chaque client appartient à son propre VPN et a donc sa propre table VRF.
MPLS règne clairement en maître sur les réseaux étendus (WAN). Soixante-quatorze pour cent
des entreprises qui ont participé à l’étude internationale 2011-2012 Computing and
Communications Benchmark de l’entreprise Nemertes ont déployé des services MPLS/IP-VPN.
Il s’agit bien évidemment de réseaux privés virtuels IP de niveau 3, dans lesquels les routeurs
opérateurs s’associent aux routeurs du client (routeurs CE) et les communications entre
l’opérateur et l’entreprise ont lieu au niveau de la couche IP.
A- AVANTAGES
Il existe cependant une autre façon de créer des connexions WAN entre sites qui exploitent
l'infrastructure Internet existante et ne dépendant pas d'un service spécifique. Cette méthode est
nommée Virtual Private Networking. Les VPN sont des solutions extrêmement rentables,
évolutives et flexibles qui peuvent être utilisées comme alternative aux technologies WAN
susmentionnées. Les VPN utilisent l'infrastructure publique disponible, c’est-à-dire internet,
pour réaliser un WAN virtuel entre sites d'entreprise. Comme Internet est un réseau mondial, il
offre la possibilité de connecter des sites de partout dans le monde. Les VPN offrent également
une autre option que les réseaux WAN traditionnels le font pas. Il s’agit d'un accès à distance à
l’infrastructure de l'entreprise, qui peut être initialisée à partir de n’importe quel endroit grâce
à internet Il existe plusieurs solutions VPN qui peuvent être adoptées comme solutions par des
entreprises.
Dans le cas de CAMTEL il s’agit de IPsec. IPsec est un ensemble de protocoles utilisés pour
former un canal sécurisé sur Internet au niveau de la couche IP et il est principalement utilisé
pour la création de VPN. IPsec peut être utilisé avec IPv4 et IPv6 pour fournir une sécurité de
trafic de haute qualité sur Internet.
1.1.2.1- TYPES DE VPN
Les VPN sont des connexions virtuelles sécurisées entre deux sites ou plus, qui utilisent Internet
comme réseau de transport. Ils sont considérés comme sécurisés car les informations échangées
entre les sites sont protégées par cryptage. Le lien virtuel qui compose le VPN d'un point à
l'autre est appelé tunnel VPN. Une connexion VPN peut être établie entre différents bureaux
d'une entreprise, également appelés VPN site à site ou entre un appareil et un bureau, appelés
VPN d'accès à distance. L'appareil qui peut être utilisé pour accéder au réseau d'une entreprise
via une connexion VPN peut être n'importe quel type d'appareil intelligent tel qu'un ordinateur
portable, une tablette ou un téléphone.
A- VPN DE SITE À SITE
Le but des VPN de site à site est de connecter les réseaux de plusieurs sites ensemble via
Internet. Les VPN de site à site nécessitent des équipements dédiés tels que des pares-feux, des
routeurs, des commutateurs de couche 3 ou des serveurs. La seule exigence pour chaque site
est d'avoir une connexion Internet. De cette façon, les dépenses ne sont limitées qu'aux appareils
réels utilisés pour créer le VPN et les frais d'abonnement Internet. La connexion VPN de site à
site est statique et les terminaux qui résident à l'intérieur des sites ne connaissent pas son
existence. Les VPN de site à site peuvent être divisés en VPN intranet et extranet. Lorsque le
VPN de site à site connecte des bureaux de la même entreprise, il est considéré comme intranet
et lorsqu'il connecte deux entreprises différentes, il est appelé extranet. Des exemples de
solutions pouvant fournir des services VPN de site à site sont MPLS, DMVPN et IPsec.
L'architecture d'un VPN de site à site est illustrée dans la figure 9.
1.1.2.2- IPSEC
La sécurité du protocole Internet (IPsec) est une suite de protocoles et de technologies qui sont
utilisés pour assurer la sécurité des données transitant sur Internet. Les spécifications et les
méthodes pour réaliser IPsec sont définies dans RFC4301 et RFC6071. Deux protocoles sont
utilisés pour la fourniture de la sécurité sur les réseaux IP, Encapsulating Security Payload
(ESP) et Authentication Header (AH). La version actuelle d'IPsec est IPsec-v3.
A- ARCHITECTURE IPSEC
L'architecture IPsec est illustrée dans la figure 11. Son mécanisme crée un tunnel privé sur
Internet conçu pour transporter en toute sécurité les données des clients entre les points
d'extrémité locaux et distants. Le tunnel privé se compose en fait de deux tunnels distincts, l'un
englobé dans l'autre, grâce à l'utilisation du protocole Internet Key Exchange (IKE) qui sera
discuté plus loin dans cette sous-section. IPsec peut également être utilisé au-dessus du VPN
MPLS afin d'assurer la transmission sécurisée des données IP.
LA PHASE 1 : Dans la phase 1, IKE crée un canal sécurisé entre les pairs qui est appelé IKE
SA. IKE authentifie l'homologue et les paquets que l'homologue envoie pendant la phase 1. Il
s'agit de la première étape de la communication IPsec et elle peut être effectuée en deux modes,
principal et agressif. Les principaux paramètres sur lesquels les pairs doivent se mettre d'accord
sont l'authentification, le chiffrement, le groupe diffie-hellman et les méthodes de hachage.
LA PHASE 2 : Dans la phase 2, IKE négocie les SA IPsec, qui sont utilisées pour créer le tunnel
IPsec sur le canal de communication sécurisé IKE phase 1 existant. Les paramètres négociés
pour la phase 2 comprennent le protocole de sécurité sélectionné ESP ou AH et les paramètres
spécifiques d'authentification et de cryptage.
Le VPN IPsec peut être réalisé dans différents types de pairs, comme illustré dans la figure 12
Le premier type est un VPN de site à site typique et parce que les périphériques utilisés pour
créer le tunnel VPN sont appelés des passerelles, il est considéré comme un VPN de passerelle
à passerelle IPsec. Le deuxième exemple montre un VPN IPsec d'accès à distance, réalisé à
partir d'un périphérique final vers une passerelle de sécurité. Ce type de VPN IPsec est appelé
hôte à passerelle. Le dernier type d'homologue VPN est d'hôte à hôte et comme illustré il
représente une solution VPN de bout en bout d'un hôte privé à un autre.
entre le tunnel ESP et le mode de transport est illustrée dans la figure 12. En mode transport,
l'en-tête ESP est inséré entre l'en-tête IP et les données. Cela maintient l'en-tête IP d'origine et
permet aux données d'être cryptées, authentifiées et transmises avec ses paramètres d'origine.
En mode tunnel, tout le paquet IP est crypté et l'en-tête ESP est placé avec un nouvel en-tête IP
au-dessus du datagramme d'origine.
utilisateur ou serveur. Même si IPSec est exécuté dans le système de terminal, le logiciel de
couche supérieure n'est pas affecté.
Le VPN IPSec a des performances de sécurité élevées. Étant donné que le protocole IPSec
fonctionne au niveau de la couche réseau, non seulement tous les canaux réseau sont chiffrés,
mais également lorsque les utilisateurs accèdent à toutes les ressources d'entreprise, tout comme
ils sont directement connectés au réseau d'entreprise via la ligne privée. IPSec non seulement
crypte la petite partie du canal en cours de communication, mais crypte également tous les
canaux. En outre, IPSec VPN nécessite également l'installation et la configuration appropriées
du logiciel client IPSec et des périphériques d'accès sur les clients d'accès à distance, ce qui
augmente considérablement le niveau de sécurité car l'accès est limité par des périphériques
d'accès spécifiques, des clients logiciels, des mécanismes d'authentification des utilisateurs et
des règles de sécurité prédéfinies.
B- LIMITES
Les performances de communication du VPN IPSec sont faibles. Par ailleurs, étant relativement
élevé en termes de sécurité, il affecte ses performances de communication.
Le VPN IPSec nécessite un logiciel client. Dans le VPN IPSec, vous devez installer un logiciel
client spécial pour chaque client pour remplacer ou ajouter la pile TCP/IP du système
client. Dans de nombreux systèmes, cela peut entraîner un risque de problèmes de compatibilité
avec d'autres logiciels système. Actuellement, il n'y a pas de norme cohérente pour la
compatibilité du protocole IPSec. Presque tous les logiciels clients IPSec sont exclusifs et ne
peuvent pas être compatibles avec d'autres.
La traversée de NAT et de pare-feu n'est pas facile à résoudre. Les produits VPN IPSec ne
résolvent pas les problèmes complexes d'accès à distance, notamment la traduction d'adresses
réseau, la traversée de pare-feu et l'accès à large bande. Par exemple, si un utilisateur a installé
un client IPSec mais ne peut pas accéder à Internet au sein du réseau d'une autre entreprise,
IPSec sera bloqué par le pare-feu de l'entreprise à moins que l'utilisateur ne négocie avec
l'administrateur réseau de l'entreprise pour ouvrir un autre port sur le pare-feu.
1.2- PROBLÉMATIQUE
Après avoir situé le cadre dans lequel notre travail a été effectué, il est nécessaire que nous
présentions le problème que vient résoudre notre travail. Pour cela, nous allons commencer par
énoncer le problème en se basant sur des cas réels, ensuite présenter l’état de l’art et enfin, nous
allons établir le cahier de charges qui nous guidera jusqu’à la résolution de ce problème.
1.2.1.1- MOTIVATION
administrateurs réseau étant appelles tout d’un coup à effectuer des configurations
complexes et répétitives pour déployer leur architecture.
- Un manque de centralisation dans la gestion quotidienne et l’exploitation des
équipements réseau : En effet une fois déployés configures et mis en service, les
équipements ont besoin d’être maintenus et contrôlés. Cette maintenance est généralement
assurée à travers des logiciels tels que PuTTY qui vont utiliser le protocole SSH pour
accéder aux équipements à distance, dans d’autres cas une décente sur site sera nécessaire.
Néanmoins le manque de visibilité globale sur les équipements réseau sur un point central
lie à cette méthode conduit à une gestion plutôt artisanale qui conduit inévitablement à des
erreurs de configurations ou un temps de maintenance trop long lors de l’apparition d’un
problème réseau ; temps qui aurait pu être attribué à d’autres taches.
- Temps de configuration de maintenance trop long pour des sites réseaux similaires : En
effet, il est à noter que CAMTEL déploie régulièrement des sites semblables répondant à
un même type de profil (services voix, données, wifi) sur son réseau d’entreprise. Ces
déploiements qui sont multiples ont généralement les mêmes types de configurations
d’équipements. Le but est donc pour de sites qui répondent à un cahier de charges similaire
de créer des profils de configuration qui pourront être transmis aux équipements à distance
de façon automatique. Cette pratique va fiabiliser les configurations, diminuer le temps de
déploiement et faciliter la maintenance des équipements du réseau.
- Un manque d’identification des services critiques de l’entreprise et l’absence d’une
politique de disponibilité permanente de ces derniers : En effet des services internes et
externes sont fondamentaux pour le fonctionnement quotidien de l’entreprise. Ces derniers
ne sont à l’heure actuelle pas quantifiable sur le plan statistique et leur optimisation reste
floue. Néanmoins l’entreprise fait face à des baisses de qualité réseau sur certains services
(mail, VOIP, Internet) et l’absence d’une politique de gestion centralisée sur une interface
et appliquée à tous les sites du territoire est un frein à l’amélioration de l’expérience des
utilisateurs du réseau.
du SDN de base, permet une configuration centralisée de l’ensemble du réseau, qui deviens
facilement administrable. Mais le SD-WAN va-t-il complètement remplacer les solutions WAN
MPLS et VPN actuelles ? Probablement pas, cependant, il est capable d’utiliser à la fois Internet
et les Réseau MPLS afin d'offrir la meilleure optimisation WAN possible pour les affaires. Par
conséquent, dans le cas de CAMTEL SD-WAN et MPLS peuvent coexister car y a un trafic
sensible de son réseau d’entreprise qui peut justifier le coût MPLS.
Le but de ce mémoire est d’intégrer la technologie SD-WAN de CISCO et d'analyser son impact
sur le réseau d’entreprise de CAMTEL. Au vu de tout ce qui précède, notre travail se résume à
répondre à la question suivante :
« COMMENT ADMINISTRER LE PLUS EFFICACEMENT POSSIBLE LE RESEAU IP
D’ENTREPRISE
- EN AUTOMATISANT LES DEPLOIEMENTS
- EN CONFIGURANT LES EQUIPEMENTS A DISTANCE
OpenFlow a été créé à l'origine à Stanford à des fins expérimentales, vers 2008, avant la création
de l'ONF en 2011, puis a été normalisé et géré par l'ONF en 2012 après la version 1.1. Il est
connu comme le principal protocole d'API pour communiquer vers les équipements. Il existe
de nombreuses versions des protocoles OpenFlow qui ont été développées pour les contrôleurs
et les commutateurs, le plus connu parmi les commutateurs étant l'Open vSwitch (OVS). Par
commutateurs, dans le contexte SDN, nous nous référons aux dispositifs de transmission
simples qui opèrent dans le plan de données. Il existe deux types de commutateurs OpenFlow :
purs et hybrides. Les commutateurs Pure OpenFlow sont les appareils les plus simples,
également appelés commutateurs à boîte blanche, et ils sont incapables de fonctionner sans
contrôleur. Les commutateurs hybrides, d'autre part, facilitent à la fois les méthodes de transfert
OpenFlow et traditionnelles. L'architecture d'un commutateur OpenFlow est illustrée à la figure
17. Il se compose de plusieurs tableaux de flux, d'une table de groupe et d'un canal. Le canal
représente la couche d'abstraction utilisée pour transmettre en toute sécurité des données entre
le commutateur et le contrôleur. Les tables de flux et de groupe seront discutées plus loin dans
cette section.
- La maintenance et gestion du réseau à partir d’un point central (salle serveur ou DATA-
CENTER).
-
1.3- BILAN
Les technologies WAN ont parcouru un long chemin depuis leur invention. Ils font désormais
partie d'un marché dynamique, avec une forte concurrence entre les différents fournisseurs de
réseaux qui continue d’évoluera. Les technologies VPN sont également une partie importante
de ce marché. L'évolution rapide du monde numérique et en particulier la croissance de la
demande de bande passante transforment l'industrie du WAN. Cette transformation vise une
automatisation accrue, une gestion du réseau centralisée et de la flexibilité. La réalisation de
ces objectifs va être faite à l'aide de réseaux définis par logiciel et spécifiquement pour le WAN
avec l'aide de SD-WAN.
MÉTHODOLOGIE
ans ce chapitre, nous allons d'abord dans une première partie présenter la technologie
2.1. SD-WAN
2.1.1- INTRODUCTION
Il est difficile pour le réseau de répondre aux demandes évolutives actuelles des applications.
Surtout dans le secteur WAN, où le besoin de bande passante à la demande et de faible latence,
déclenché par les applications cloud, ne cesse d'augmenter. Alors que les entreprises dépensent
des milliards pour virtualiser et mettre à niveau leur infrastructure de centre de données, la
nécessité de mettre également à niveau le WAN est imminente. Les revenus dépensés sur les
services cloud sont présentés dans la figure 18. Il existe trois principales formes de services
cloud qui sont Software as à Service (SaaS), Platform as à Service (PaaS) et Infrastructure as à
Service (IaaS). Comme nous pouvons le voir, cette tendance montre une croissance quasi-
exponentielle pour la période examinée.
L’adoption des solutions SD-WAN s’accélère, à l’heure où toujours plus d’entreprises passent
au cloud et visent à simplifier la gestion de leur architecture réseau. Le manque de compétences
à disposition freine néanmoins cette adoption et influence le choix des solutions.
Nous avons sélectionné cinq fournisseurs de SD-WAN qui se sont distingués avec succès des
autres acteurs du marché au cours de ces dernières années, grâce à un portefeuille perfectionné
de solutions SD-WAN. Bien entendu, il n’existe pas de solution prête à l’emploi lorsqu’il s’agit
de trouver le « bon » fournisseur de SD-WAN. Mais ces cinq fournisseurs valent sans aucun
doute la peine d’être pris en compte lorsque l’on est en phase de sélection d’un fournisseur de
SD-WAN.
- Riverbed SteelConnect
- Netscaler de Citrix
- Silver Peak Unity EdgeConnect
- Juniper Networks Contrail
- SD-WAN de Cisco
La solution SD-WAN résout les problèmes critiques des entreprises, tels que:
- Création d’un WAN qui ne dépend pas du transport pour diminuer les coûts
- Respect des SLA pour les applications en temps réel essentielles à l’entreprise
- Segmentation de bout en bout pour la protection des ressources informatiques essentielles
de l’entreprise
- Extension facile sur un cloud public
- Expérience utilisateur optimale pour les applications SaaS
- Options souples de tarification et de licence
spéciale de TLS, conçue pour fonctionner avec UDP. Le protocole de communication utilisé
pour échanger des informations de configuration entre vSmart Controller et vEdge Router est
OMP. C’est le protocole de communication propriétaire de Cisco pour le partage d'informations
entre les plans de contrôle et de données.
B- VBOND
vBond Orchestrateur réside au-dessus des routeurs vEdge et est spécialisé dans le processus
initial de communication entre le routeur et le contrôleur. Il est également chargé d'utiliser la
meilleure communication possible du canal vers le contrôleur, qu'il s'agisse d'Internet, d'un
service MPLS ou d'une connexion mobile.
C- VEDGE (WAN EDGE)
Le routeur vEdge est qui doit être placé dans les différents sites clients. Comme le montre la
figure 21 il peut être utilisé dans toutes les installations, comme les centres de données, les
bureaux du campus, les succursales et les sites éloignés. Les routeurs vEdge sont une version
mise à niveau du routeur IP habituel qui est capable de faciliter les principes définis par le SD-
WAN au côté des procédures de routage traditionnelles. Ils sont capables de fournir toutes les
fonctionnalités de routage essentielles, y compris les protocoles de routage tels que BGP et
OSPF, QoS, politique et contrôle d'accès, et gestion du réseau. La sécurisation de la
communication entre les différents routeurs vEdge s'effectue via des tunnels IPsec.
D- VMANAGE
Le dernier composant de la solution est le contrôleur vManage. Il représente une plate-forme
pour la gestion globale de la configuration et la surveillance de tous les appareils participants
de l'entreprise. Il est basé sur un logiciel et est conçu pour être déployé en tant que machine
virtuelle, à nouveau compatible avec les hyperviseurs VMware.
Si un périphérique est configuré pour TLS et un autre périphérique est configuré pour DTLS,
TLS est choisi pour la connexion de contrôle entre les deux périphériques. TLS est recommandé
car il utilise TCP, qui utilise des accusés de réception pour une plus grande fiabilité.
B- CONTRÔLE DE CONNEXION DES WAN EDGE
Le routeur WAN Edge essaie d'établir des connexions de contrôle sur tous les transports
provisionnés par défaut, initiant d'abord le contact avec l'orchestrateur vBond sur chaque
transport avant d'essayer de se connecter à l'autre contrôleurs. Une seule connexion de contrôle
vBond est établie par transport lorsque plusieurs orchestrateurs vBond existent. Le routeur
WAN Edge établit une connexion permanente au contrôleur vSmart sur chaque transport, et
établit une connexion permanente unique à vManage sur un seul transport, le premier qui établit
une connexion.
Une fois la connexion sécurisée établie, NETCONF est utilisé par le vManage pour
provisionner le périphérique WAN Edge, et l'homologation OMP est établie entre le vSmart et
le WAN Edge. L'homologation OMP est établie entre un périphérique WAN Edge et un
contrôleur vSmart, même s'il existe plusieurs connexions DTLS / TLS. ‘
● Liste blanche des contrôleurs : la liste blanche des contrôleurs est le résultat de
l'addition manuelle des contrôleurs dans l'interface utilisateur de vManage. Cette liste
peut être distribuée du vManage à tous les contrôleurs et, par la suite, du vBond aux
contrôleurs vSmart.
● Liste blanche pour les périphériques WAN Edge: le fichier de liste blanche autorisé
signé numériquement pour les périphériques WAN Edge peut être modifié et récupéré
à partir du portail Plug and Play Connect à l'adresse http://software.cisco.com. La liste
peut être récupérée manuellement ou synchronisée automatiquement à partir de
vManage par un utilisateur avec un compte Cisco valide avec accès au compte
intelligent et au compte virtuel appropriés pour la superposition SD-WAN. Une fois la
liste blanche téléchargée ou synchronisée avec vManage, elle est distribuée par
vManage à tous les contrôleurs.
Avec la liste blanche signée WAN Edge, l'administrateur peut décider et configurer la confiance
d'identité de chaque routeur WAN Edge individuel.
D- IDENTITÉ
L'authentification entre les appareils implique la validation de l'identité de l'appareil via des
certificats. Fonctionnement de la validation du certificat d’appareil :
● Le périphérique client présente au serveur un certificat de périphérique signé par
l'autorité de certification.
● Le serveur valide la signature du certificat par
1. Exécution d'un algorithme de hachage sur les données de certificat pour obtenir
une valeur, et
La figure 26 montre :
1. Le vManage agissant en tant qu'autorité de certification (CA) pour les routeurs cloud
WAN Edge.
2. vManage distribue le certificat racine Cisco au vBond et vSmart afin qu'ils valident
l'identité du cloud WAN Edge.
3. Une fois que les routeurs WAN Edge sont authentifiés via OTP, l'autorité de
certification vManage leur délivre des certificats signés Viptela qui sont ensuite utilisés
pour l'authentification.
Figure 26: vManage racine CA pour les routeurs cloud WAN Edge[23]
E- CERTIFICATS
Les schémas suivants illustrent la façon dont les différents périphériques s'authentifient les uns
les autres à l'aide de certificats Symantec/Digicert ou Cisco. De façon générale :
- Les contrôleurs et les périphériques WAN Edge agissent comme des clients pour établir
des connexions avec le vBond, qui agit comme un serveur
- Les contrôleurs vManage agissent comme des clients pour établir des connexions avec
le vSmart, qui agit comme un serveur
- Les contrôleurs vSmart agissent comme des clients pour établir des connexions avec
d'autres contrôleurs vSmart et celui avec l'adresse IP publique la plus élevée agit
comme un serveur
- Les périphériques WAN Edge agissent comme des clients pour établir des connexions
avec les contrôleurs vManage et vSmart, qui agissent comme des serveurs
Pour plus d'informations sur le déploiement de certificats pour la solution Cisco SD-WAN,
reportez-vous au Guide de déploiement des certificats Cisco SD-WAN
2.1.5.3- PLAN D'ORCHESTRATION
Figure 28: Introduction d'un WAN Edge dans l’overlay network [23]
Touch Provisioning (ZTP) ou Plug-and-Play (PnP), où on peut brancher le routeur WAN Edge
au réseau et le mettre sous tension et il sera automatiquement provisionné. La méthode manuelle
et automatisée sont brièvement décrites ci-dessous.
- MÉTHODE MANUELLE
La méthode manuelle beaucoup plus accessible dans le cadre de notre déploiement peut être
décrite ainsi qu’il suit. L'idée est de configurer la connectivité réseau minimale et les
informations d'identification minimales avec l'adresse IP ou le nom d'hôte de vBond
orchestrateur. Le routeur WAN Edge tente de se connecter à l'orchestrateur vBond et de
découvrir les autres contrôleurs réseau à partir de là. Afin de pouvoir afficher le routeur WAN
Edge avec succès au niveau du vManage, il y a quelques éléments qui doivent être configurés
sur le routeur WAN Edge :
● Configurer une adresse IP et une adresse de passerelle sur une interface connectée au
réseau de transport, ou bien configurer le protocole DHCP afin d'obtenir
dynamiquement une adresse IP et une adresse de passerelle. Le WAN Edge doit
pouvoir atteindre le vBond via le réseau.
● Configurer l'adresse IP du vBond.
● Configurer le nom de l'organisation, l'adresse IP du système et l'ID de site.
Facultativement, configurez le nom d'hôte.
Cette méthode est beaucoup plus détaillée dans l’annexe 2 de ce document.
A- ROUTAGE SD-WAN
- OMP
OMP s'exécute entre les routeurs WAN Edge et les contrôleurs vSmart et également en tant que
maillage complet entre les contrôleurs vSmart. Lorsque les connexions de contrôle DTLS / TLS
sont établies, OMP est automatiquement activé. L'homologation OMP est établie à l'aide des
adresses IP du système et une seule session d'homologation est établie entre un périphérique
WAN Edge et un contrôleur vSmart même s'il existe plusieurs connexions DTLS / TLS. OMP
échange des préfixes de route, des routes de prochain saut, des clés de chiffrement et des
informations de politique de routage et sécurité.
OMP annonce trois types de routes des routeurs WAN aux contrôleurs vSmart :
● Les routes OMP : qui sont des préfixes qui sont appris à partir du site local ou du côté
service d'un routeur WAN Edge. Les préfixes sont originaires comme des routes
statiques ou connectées, ou à partir du protocole OSPF, BGP ou EIGRP, et redistribués
dans OMP afin qu'ils puissent être transportés à travers le réseau de superposition. Un
itinéraire OMP n'est installé dans la table de transfert que si le TLOC vers lequel il
pointe est actif.
● Les routes TLOC : annoncent les TLOC connectés aux transports WAN, ainsi qu'un
ensemble supplémentaire d'attributs tels que les adresses IP privées et publiques TLOC,
l'opérateur, la préférence, l'ID de site, la balise, le poids et les informations de clé de
chiffrement.
● Les routes de service représentent des services (pare-feu, IPS, optimisation
d'application, etc.) qui sont connectés au réseau de site local WAN Edge et sont
disponibles pour d'autres sites pour une utilisation avec l'insertion de service. De plus,
ces routes incluent l'IP du système d'origine, le TLOC et les ID VPN.
Par défaut, OMP annonce uniquement la ou les meilleures routes dans le cas de chemins à coût
égal. Et les routes statiques et OSPF (intra-zone et interzone) sont automatiquement distribués
des VPN côté service vers OMP. Tous les autres types de routes (y compris les routes externes
OSPF) doivent être explicitement configuré.
B- CONFIDENTIALITÉ ET CRYPTAGE DU PLAN DE DONNÉES
Les routeurs WAN Edge sécurisent le trafic de données échangé entre eux à l'aide d'IPsec avec
des clés de chiffrement qui chiffrent et déchiffrent les données. Dans les environnements IPsec
traditionnels, IKE est utilisé pour faciliter l'échange de clés entre pairs. Cela crée des clés par
paire, obligeant chaque périphérique à gérer n^2 échanges de clés et n-1 clés différentes dans
un environnement à maillage complet. Pour une mise à l'échelle plus efficace dans le réseau
Cisco SD-WAN, aucune IKE n'est implémentée car l'identité a déjà été établie entre les routeurs
WAN Edge et les contrôleurs. Le plan de contrôle, déjà authentifié, chiffré et inviolable à l'aide
de DTLS ou TLS, est utilisé pour communiquer des clés symétriques AES-256. Chaque routeur
WAN Edge génère une clé AES par TLOC et transmet ces informations au contrôleur vSmart
dans des paquets de route OMP. La durée de vie de chaque clé est de 24 heures par défaut. Une
nouvelle clé est générée toutes les 12 heures, envoyée aux contrôleurs vSmart puis distribuée
aux autres routeurs WAN Edge, ce qui signifie que deux clés sont présentes à tout moment.
Pour crypter le trafic du plan de données, une version modifiée de ESP est utilisée pour protéger
la charge utile des paquets de données. L'algorithme de chiffrement est AES-256 GCM ou AES-
256 CBC. L'algorithme d'authentification, qui vérifie l'intégrité et l'authenticité des données,
est configurable et est inclus dans les propriétés TLOC qui sont échangées avec les contrôleurs
vSmart. Par défaut, AH-SHA1 HMAC et ESP HMAC-SHA1 sont tous deux configurés.
Lorsque plusieurs types d'authentification sont configurés, la méthode la plus forte entre les
deux points est choisie (AH-SHA1 HMAC).
Dans tout déploiement SD-WAN, les contrôleurs sont d'abord déployés et configurés,
suivis des sites principaux du concentrateur ou du centre de données et enfin des sites
distants. Au fur et à mesure du déploiement de chaque site, le plan de contrôle est établi en
premier, suivi automatiquement par le plan de données. Il est recommandé d'utiliser des
sites concentrateurs pour router entre les sites SD-WAN et non SD-WAN lors de la
migration des sites vers SD-WAN.
Les routeurs WAN Edge sont déployés sur les sites distants, les campus et les centres de
données et sont responsables du routage du trafic de données vers et depuis les sites à travers le
réseau de superposition SD-WAN.
A. ARCHITECTURE GÉNÉRALE DE DÉPLOIEMENT WAN EDGE
Lors du déploiement d'un routeur WAN Edge pour un site, la plate-forme doit être choisie et
dimensionnée correctement pour le débit de trafic et le nombre de tunnels pris en charge, etc. Il
est recommandé d'ajouter un deuxième routeur WAN Edge pour la redondance. Lors du
déploiement, les routeurs WAN Edge sont généralement connectés à tous les transports pour
une redondance appropriée.
La figure 36 illustre un site à routeur unique et à double routeur, chaque routeur WAN Edge se
connectant aux deux transports.
Les tunnels encapsulés IPsec chiffrent le trafic de données vers d'autres emplacements de
routeur vEdge, et des sessions BFD sont également formées sur ces tunnels. Le trafic utilisateur
provenant des VPN de service est dirigé vers les tunnels. Lorsqu'un transport ou une liaison
vers un transport tombe en panne, la session BFD expire et les tunnels sont arrêtés des deux
côtés une fois que les routeurs vEdge détectent la condition. Les liaisons de transport restantes
peuvent être utilisées pour le trafic. Dans le site à double routeur, si l'un des routeurs tombe en
panne, le routeur restant qui a toujours des connexions aux deux transports prend en charge le
routage pour le site.
B. ASPECT TRANSPORT
- RÉSEAU SOUS-JACENT
- CHOIX DE CONNEXION
Figure 38: Connexions MPLS et Internet avec les WAN Edge [24]
● (C) Pour les transports MPLS et Internet, un routeur WAN Edge peut être connecté
directement au commutateur LAN pour la connectivité de transport lorsqu'un CE ou un
pare-feu est requis mais aucune connexion directe n'est disponible pour le CE ou le
pare-feu pour le routeur SD-WAN.
- CHOIX DE TRANSPORT
Il existe de nombreux choix de transport et différentes combinaisons de transports qui peuvent
être utilisés. Les transports sont déployés dans un état actif/actif, et la façon dont on les utilise
est extrêmement flexible. Une combinaison de transport très courante est MPLS et Internet.
MPLS peut être utilisé pour le trafic stratégique, tandis qu'Internet peut être utilisé pour le trafic
en vrac et d'autres données.
Le LTE est fréquemment utilisé comme choix de transport et peut être déployé en mode actif.
Ce qui suit montre un petit échantillon de différentes options de transport.
Les configurations et les politiques sont appliquées aux routeurs WAN Edge et aux contrôleurs
vSmart qui permettent au trafic de circuler entre le centre de données et la succursale ou entre
les succursales. Un administrateur peut activer des configurations et des via l'interface de ligne
de commande (CLI) à l'aide de la console ou de SSH sur le périphérique WAN Edge, ou à
distance via l'interface graphique vManage.
A- MODÈLES DE PÉRIPHÉRIQUES ET DE FONCTIONNALITÉS
Les modèles de périphériques (Device Templates) sont spécifiques à un seul type de modèle
WAN Edge, mais il est possible de créer plusieurs modèles de périphérique du même type
d’équipement en raison de leur emplacement et de leur fonction sur le réseau. Chaque
modèle de périphérique fait référence à une série de modèles de fonctionnalités qui
constituent la configuration complète de l'appareil. Une configuration de modèle de
périphérique ne peut pas être partagée entre les modèles WAN Edge, mais un modèle de
fonctionnalité peut s'étendre sur plusieurs types de modèle et être utilisé par différents
modèles de périphérique.
La figure 40 illustre les composants du modèle de périphérique. Le modèle de périphérique
est composé de modèles de fonctionnalités (Feature Templates ) regroupés en plusieurs
sections
B- UTILITÉ
Pour configurer un périphérique ou un contrôleur WAN Edge sur le réseau à l'aide de l'interface
graphique vManage, un administrateur applique un modèle de périphérique à un routeur WAN
Edge ou à plusieurs routeurs WAN Edge. Ces modèles peuvent être basés sur CLI ou basés sur
des fonctionnalités. Bien que ça soit possible de créer des modèles basés sur CLI, il est
recommandé d’utiliser des modèles basés sur des fonctionnalités car ils sont modulaires, plus
évolutifs et moins sujets aux erreurs.
Lors de la conception de modèles de configuration, il est utile de réfléchir à la façon dont les
opérations peuvent interagir avec les modèles au quotidien. Il peut être utile d'utiliser des
variables pour les noms d'interface afin que les interfaces puissent être déplacées à des fins de
dépannage, sans avoir à créer de nouveaux modèles de fonctionnalités pour l'accomplir (ou
interrompre d'autres appareils en utilisant le même modèle de fonctionnalités).
2.2. GÉNÉRALITÉS SUR LA MÉTHODOLOGIE DE DÉPLOIEMENT
que la configuration minimale du CLI est configurée. Le modèle de périphérique peut être joint
ultérieurement. Pour que le périphérique WAN Edge fonctionne correctement, il doit avoir une
configuration de base minimale.
- Propriétés du système avec les informations System-ip, site-id, organization-name, et adresse
ip du vBond.
- Interface VPN de transport (VPN 0) avec adresse IP, configuration des routes et des tunnels.
- En option, un nom d'hôte et des informations sur le VPN 512 (adresse IP de l'interface de
management et protocole de routage ou route par défaut) peuvent être fournis.
Par la suite les certificats d’entreprise doivent importes du vManage vers les vEdge et les
numéros de séries compatibles associés
Ces étapes peuvent être résumées dans la figure ci-dessous :
Dans ce type de déploiement de contrôleur, les contrôleurs sont déployés sur site dans un centre
de données ou un cloud privé, où l'organisation informatique de l'entreprise est généralement
2.2.1.1 LE VMANAGE
Comme précisé plus haut, les contrôleurs sont déployés sur site CAMTEL, par ailleurs pour
notre simulation nous avons choisi une méthode de déploiement manuelle, en premier lieu le
vManage va suivre une procédure standard de déploiement qui est définie dans la figure 42.
2.2.1.2- LE VSMART
La méthode de déploiement est définie dans la figure 43, Pour que le contrôleur vSmart
fonctionne correctement, il doit avoir une configuration de base minimale,
- Propriétés du système avec les informations System-ip, site-id, organization-name, et adresse
ip du vBond.
- Interface VPN de transport (VPN 0) avec adresse IP, configuration des routes et des tunnels.
- Interface VPN de management (VPN 512) avec adresse IP.
Ensuite les certificats doivent être associes au vManage pour une communication entre
contrôleurs.
2.2.1.3 LE VBOND
La méthode de déploiement est définie dans la figure 44, Pour que le contrôleur vBond
fonctionne correctement, il doit avoir une configuration de base minimale,
- Propriétés du système avec les informations System-ip, site-id, organization-name, et adresse
ip du vBond.
- Interface VPN de transport (VPN 0) avec adresse IP, configuration des routes et des tunnels.
- Interface VPN de management (VPN 512) avec adresse IP.
Ensuite les certificats doivent être associés au vManage pour une communication entre
contrôleurs.
Dans un premier temps les modèles de configuration énoncés en 2.1.4.2 doivent être
implémentés. D’abord on aura les modèles de périphériques qu’on va créer et associer aux
équipements qui distribueront les VPN de service que l’on veut implémenter, ensuite on aura 2
modèles de fonctionnalités à mettre en œuvre, l’un concernant la création des VPN et l’autre
concernant la création des interfaces associés aux différents VPN à interconnecter.
2.2.4.2- MODÈLE DE FONCTIONNALITÉ OSPF
OSPF peut être utilisé pour le routage côté service, afin d'assurer l'accessibilité aux réseaux sur
le site local, et il peut être utilisé pour le routage côté transport, afin de permettre la
communication entre le routeur vEdge et d'autres dispositifs Viptela lorsque le routeur n'est pas
directement connecté au nuage WAN.
La méthodologie de configuration coté VPN service (VPN 1-511) que nous allons utiliser pour
déployer OSPF avec un modèle sera celle de la figure 48, au préalable on supposera que les
vEdges ont été bascules du mode CLI vers le mode vManage, et que les modèles de
configuration nécessaires sont implémentés (VPN, Interfaces, Routes par défaut)
Pour réaliser notre modèle de solution, nous avons utilisé un logiciel de simulation réseau
appelé EVE-NG. Cette plateforme est prête pour les exigences du monde informatique et des
télécommunications d'aujourd'hui et permet aux entreprises, aux fournisseurs/centres de
formation en ligne, aux individus et aux collaborateurs de groupe de créer une preuve virtuelle
de concepts, de solutions et d'environnements de formation.
Dans notre cas ce simulateur va nous permettre de créer une architecture réseau virtualisée
complète qui va intégrer les différents équipements du constructeur Cisco nécessaires à la mise
en œuvre de la solution.
Pour installer le simulateur EVE-NG il faudra au préalable respecter les contraintes matérielles
qui nous allons énoncer plus tard, il s’agit de la configuration minimale au niveau matériel et
logiciel que doit respecter notre ordinateur afin d’installer le simulateur en tout sécurité.
Par la suite il faut se rendre sur le site https://www.eve-ng.net/ et y télécharger le guide pour la
version « EVE-NG Community » . Ce guide contient les étapes d’installation nécessaires à la
mise en place du simulateur et l’importation de diffèrent équipements qui sont listés en 2.5.2 et
seront utilisés pour la simulation. La figure ci-dessous montre la page d’accueil du simulateur.
Prérequis :
- Processeur : INTEL supportant la technologie de virtualisation “Intel® VT-x
/EPT“
- Système d’exploitation : Windows 7,8,10 ou Linux Desktop
- VMware Workstation 12.5 ou plus
- VMware Player 12.5 ou plus
2.5- BILAN
RÉSULTATS ET COMMENTAIRES
- Réseau : LAN
Configuration Logicielle
- Système d’exploitation : Windows 10 PRO 64 bits
- VMware Workstation 15.5.2
- Machine Virtuelle EVE-NG « Community » disponible sur le site EVE ; https://www.eve-
ng.net/index.php/download/
Configuration Matérielle EVE-NG
Cette configuration s’ajuste dans le logiciel VMWare une fois la machine virtuelle EVE
installée.
- Processeur : 4/1 (Nombre de processeurs/Nombre de cœurs par processeurs).
Fonctionnalité Intel VT-x/EPT active
- Mémoire Vive : 9 Gigas
- Espace Disque : 100 Gigas
- Réseau : VMware NAT
Versions Equipements SD-WAN Cisco
- vBond, vManage, vSmart, vEdge: 19.3.0
Versions Equipements Réseau
- Routeur CISCO C3725 version c3560e-universalk9-mz.150-1.SE
- Switch CISCO compatible avec EVE-NG: L2-ADVENTERPRISE-M-15.1-
20140814.bin
- Carte réseau pour le Management “Cloud Management”
- 4 VPCS
Dans notre simulation nous allons créer d’abord un nuage pour le transport et ensuite y greffer
les sites de l’entreprise qui seront en communication, ils seront au nombre de 3, un site qui va
contenir les contrôleurs et 2 sites clients.
3.2.2.2- CHOIX DU TRANSPORT
L’entreprise utilise par défaut de nuage MPLS pour interconnecter ses différents sites, la
technologie MPLS a été présentée en détail en 1.1.14, et sa fiabilité ainsi que sa flexibilité en
font le protocole de transport privilégie pour le réseau d’entreprise. Bien que le VPN internet
soit également très utilisé il ne revêt pas une importance fondamentale dans le déploiement de
l’architecture.
En bref notre architecture de transport va s’appuyer uniquement sur un nuage MPLS que nous
allons définir en 7 routeurs Cisco version C3725, 4 Routeur Provider Edge et 3 routeurs
Providers. Elle va se présenter ainsi qu’il suit :
Il est à noter que le VPN 512 de management est celui nous donne accès à l’interface web du
vManage qui permet de mettre en œuvre les aspects opérationnels du SD-WAN. Pour accéder
à cet équipement nous utilisons notre machine hôte et un mécanisme de carte réseau virtuelle.
En effet le logiciel VMware permet de créer des cartes réseaux virtuelles, ces cartes servent
d’interface entre la machine hôte et la machine virtuelle, permettant ainsi de communiquer
directement avec les équipements de notre simulation. Comme la figure 54 nous le montre il
existe plusieurs cartes réseaux virtuelles utilisables. Dans notre cas nous avons choisi celle
« Management (Cloud0). Une fois choisie on peut configurer son adresse de façon à se
positionner dans le même réseau que les contrôleurs, en l’occurrence le réseau du VPN 512.
Une fois l’architecture de la figure 2.35 implémentée dans notre simulateur, nous devrons à
présent mettre en œuvre l’environnement de travail. Se basant sur l’existant nous allons nous
calquer sur les configurations connues en intégrant les éléments de la documentation Cisco SD-
WAN.
Un compte virtuel est un conteneur logique pour des groupes d'appareils qui seront utilisés lors
du déploiement des sites SD-WAN. Dans notre cas il s’agit des vEdge. L’objectif ici est
d’obtenir le fichier serial de configuration qui va contenir les numéros de série de vEdges
compatibles avec les détails de notre architecture.
Accéder à https://software.cisco.com et sélectionner Manage Smart Account0 Ensuite suite
les différentes étapes de création du compte virtuel avec les paramètres de l’entreprise
Sélectionner 18.3 et newer récent dans la liste déroulante, puis sélectionnez Download.
Enregistrez le fichier dans un emplacement sûr pour l'importer dans le vManage ultérieurement.
- RÉSUMÉ
Nous avons créé un compte virtuel, le profil du contrôleur a ajouté des logiciels vEdge et nous
avons en main l’important fichier serial. Ce qui nous permet de passer à la phase suivante et de
finaliser la mise en œuvre de la simulation.
A- INSTALLATION VMANAGE
Nous démarrons l’équipement vManage de notre simulation après sa mise en place. Une fois
que nous voyons le message System Ready nous allons donc nous identifier à l’équipement
avec vManage login/Password = « admin ». Il faudra ensuite suivre l’invite de commande pour
initialiser la base de données.
viptela 19.3.0
A ce niveau nous devons respecter les étapes présentées lors de l’élaboration de la méthodologie
en 2.2.1.1, les configurations techniques concernant les paramètres system-ip, site-id,
organization-name, vpn 512, vpn 0 ainsi que l’installation des certificats nécessaires sont
détaillées dans l’annexe 2.
Une fois la méthodologie appliquée l’équipement vManage est désormais disponible et prêt
pour le déploiement des service SD-WAN sur les sites de CAMTEL.
D- BILAN
Et c'est tout. Notre simulation Cisco SDWAN respectant l’architecture définie dans la figure 61
est désormais fonctionnelle avec des vEdges et les contrôleurs vSmart, vBond, et vManage.
L’installation finale se présente tel qu’il suit dans l’interface graphique du vManage.
A- ROUTEURS CISCO
Chaque site vEdge a derrière lui deux VPN de service représenté chacun par un routeur Cisco.
Ce routeur aura besoin de configurations minimales pour entrer en relation avec le routeur
vEdge et communiquer avec les sites VPNs distants.
Les configurations sont les suivantes pour le routeur LAN11 du VPN 1 du site 1 :
- Configuration des interfaces
Building configuration...
!!
hostname
router ospfLAN11
1
!!
interface
interface FastEthernet0/1
FastEthernet0/0
ip address 11.1.1.1
ip ospf 1 area 0 255.255.255.0
!!
interface
interface FastEthernet0/0
FastEthernet0/1
ip address 192.168.11.2
ip ospf 1 area 0 255.255.255.0
!!
Ici nous allons mettre en place dans le vManage les modèles de périphériques et les modèles de
fonctionnalités qui vont être appliqués à nos vEdges.
Nous pouvons accéder à la section de modèles de configuration Configuration>Templates
Dans la page qui s’affiche sélectionner le périphérique vEdge Coud qui est celui que nous
utilisons et choisir ensuite la fonctionnalité VPN.
Select Devices>vEdge Cloud>VPN
On peut ensuite configurer le modèle de fonctionnalités VPN avec les paramètres désirés.
Tout d’abord le nom de la fonctionnalité Template Name et sa description.
Ensuite dans l’onglet Basic Configuration nous allons configurer le nom global et le numéro
du VPN , ici il s’agit du VPN 0 qui est le VPN de transport.
On accède ensuite à l’onglet IPv4 route afin de configurer les routes statiques
On clique sur le bouton Add pour ajouter les configurations de route au modèle
Une fois tous les paramètres du modèle mis en œuvre il faut enregistrer à l’aide du bouton Save
tout en base de l’interface.
Le VPN 512 suivra la même méthode de configuration que le VPN 0, le tout sans définir de
route statique avec pour nom global « MANAGEMENT ».
B- LES INTERFACES DE TRANSPORT ET DE MANAGEMENT :
Afin de configurer les modèles de ces interfaces nous revenons dans l’onglet Feature de la
partie Configuration. Nous ajoutons à nouveau une fonctionnalité à l’aide de Add Template.
Une fois cela fait on sélectionne notre périphérique vEdge-Cloud et notre fonctionnalité VPN
Interface Ethernet.
Select Devices>vEdge Cloud>VPN Interface Ethernet
On peut ensuite configurer les paramètres de notre interface. L’interface de transport sera Giga-
ethernet0/0 (Ge0/0) pour chaque vEdge.
Dans l’onglet tunnel nous mettons le mode tunnel sur On et la couleur du transport sera mpls
Ensuite nous activons les différents services de notre interface tunnel (NETCONF, SSH,..)
On peut don enregistrer notre modèle à l’aide du bouton Save comme précédemment.
L’interface Ethernet 0 appartenant au VPN 512 de chaque vEdge subira le même type de
configuration, néanmoins son adressage sera dynamique et on n’aura pas besoin d’une interface
tunnel.
Le VPN 1 aura pour nom « LAN » et le VPN 2 aura pour nom « VOIX ». Une fois les
configurations effectuées pour chaque VPN de service on peut sauvegarder avec le bouton Save
B- INTERFACES DE SERVICES
Il sera ensuite question de configurer les modèles d’interfaces de service qui appartiennent à
chaque VPN pour les vEdges. Dans notre architecture nous avons choisi l’interface Ge0/1 pour
le VPN1 et Ge0/2 pour le VPN2. Comme les interfaces précédentes nous allons choisir le
modèle d’équipements, la fonctionnalité VPN Interface Ethernet configurer les paramètres
(Nom, description, …) de la figure suivante et enregistrer.
La fonctionnalité OSPF que nous allons mettre en place va suivre la méthodologie énoncée en
2.2.5 qui permet d’interconnecter les sites VPN 1 et 2 que nous avons mis en œuvre. Pour
chaque VPN de service il nous faudra une fonctionnalité OSPF. Pour configurer la
fonctionnalité OSPF, on reprend les étapes précédentes de l’ajout d’une nouvelle fonctionnalité
mais on sélectionne la fonctionnalité OSPF.
Par la suite il faut créer le modèle de périphérique dans la fenêtre qui s’affiche. Comme dit en
2.1.4.2 le modèles de périphérique contiennent toujours plusieurs modèles de fonctionnalités.
De ce fait nous allons dans cette étape associer tous les modèles des fonctionnalités crées
précédemment avec notre modèle de périphérique.
Une fois les configurations effectuées on peut sauvegarder avec le bouton Save.
Le modèle crée est désormais présent dans l’onglet Devices, il faut donc lui associer les vEdges
de nos sites qui ont été déployés afin que les configurations prennent forme.
Dans la fenêtre qui s’affiche nous choisissons les vEdges à associer à notre modèle de
configuration.
On configure ensuite les paramètres variables propres à chaque vEdge pour notre déploiement,
Ces paramètres ont été définis lors de la création des différents modèles de fonctionnalités.
On sélectionne le bouton Update pour chaque vEdge et dans la fenêtre suivante on a accès aux
configurations proprement dites. Celles qui seront appliqués aux vEdges à partir de notre
interface web et celles qui sont préexistantes dans les équipements
.
Le bouton Configure Devices permet donc finalement d’appliquer nos configurations.
Le message « success » de la fenêtre suivante nous indique qu’elles ont bien été propagées dans
les équipements
Figure 88: Connectivité dans le VPN 1 Figure 89: Connectivité dans le VPN 2
3.5- BILAN
Dans ce chapitre, nous avons fait un rappel des objectifs, nous avons mis en œuvre les outils
technologiques de notre simulation après avoir ressorti les étapes préliminaires ce qui nous a
permis de ressortir les différents résultats. Au cours de la simulation, nous avons déployé un
service SD-WAN Cisco de façon opérationnelle et interconnecté les sites du réseau d’entreprise
de CAMTEL.
CONCLUSION ET PERSPECTIVES
Il a été question au cours de notre travail, d’étudier et mettre en place la solution Cisco SD-
WAN dans le réseau d’entreprise de CAMTEL par l’intermédiaire d’une simulation, permettant
ainsi à ses équipes de maintenance réseau d’exploiter au mieux les ressources dans le cadre
d’un déploiement en environnement de production.
Cette solution permet à CAMTEL d’offrir un nouveau type de service à ses employés pour son
propre réseau d’entreprise et ses clients raccordés à son nuage MPLS. Contrairement aux
techniques de déploiement dans WAN traditionnels, les techniques développées dans ce travail
permettent aux clients d’avoir une croissance rapide de leur réseau indépendamment du type de
transport, un contrôle centralisé de leur architecture réseau pour les déploiements, les politiques
de routages et la sécurité à un coût qui sera beaucoup plus accessible en réduisant l’intervention
des équipes sur site, le tout en évitant de dépendre d’un seul fournisseur d’interconnexion. La
solution SD-WAN permettra également d’exploiter au mieux les ressources de son nouveau
DATA-CENTER en étant parmi les premiers à offrir ce type de service en Afrique Sub-
saharienne.
La mise en place de cette solution a été effectué par une conception architecturale du système,
précédée d’une compréhension de la technologie et des outils facilitant son exploitation et son
utilisation. L’acquisition des images logicielles de contrôleurs SD-WAN ainsi que le
provisioning du fichier serial avec les paramètres adéquats, le tout avec l’association des
certificats constituent la base de la conception. Il est à noter que l’intégration de la solution en
environnement virtuel a couté 0 FCFA en termes de budget néanmoins les mises en place de
prérequis sur le plan logiciel et procédurale peut rendre les déploiements longs au début mais
une fois fonctionnel le logiciel de Cisco se charge de tout.
En guise de perspectives, nous pouvons dire que certains points pourront être dans le futur
améliorés pour rendre cette migration encore plus performante. On note :
- L’implémentation pour tous les segments du réseau d’entreprise et de production
impliquant les services aux abonnes.
- La réflexion sur une stratégie marketing permettant de créer le besoin du service sur le
marché afin de vendre la solution aux entreprises avant même de la déployer
- L’étude avec l’équipementier Cisco des implications intellectuelles et de redevance liée
à la commercialisation de leur solution (Brevet, Achats des contrôleurs, Formations,
transfert de technologie).
REFERENCES BIBLIOGRAPHIQUES
[1] Marcus Oppitz and Peter Tomsu. Inventing the Cloud Century. Springer, 2018.
[2] Luc De Ghein. MPLS Fundamentals. Cisco Press, 2007.
[3] Dennis Fowler. Virtual Private Networks — Making the Right Connection. Morgan
Kaufmann Publishers, 1999
[4] Mallikarjun Tatipamula Eiji Oki Roberto Rojas-Cessa and Chris- tian Vogt. Advanced
Internet Protocols, Services, and Applications. John Wiley Sons, 2012.
[5] André Perez. Network Security. Wiley, 2014
[6] Randy Zhang and Micah Bartell. BGP Design and Implementation. Cisco Press, 2004.
[7] Luc De Ghein. MPLS Fundamentals. Cisco Press, 2007.
[8] James S. Tiller. A Technical Guide to IPSec Virtual Private Net- works. CRC Press, 2000.
[9] Juniper Networks. VPN Feature Guide for Security Devices. Juniper Networks, 2018.
[10] Colin Bookham. Versatile Routing and Services with BGP: Under- standing and
Implementing BGP in SR-OS. John Wiley Sons, 2014.
[11] Tonye Emmanuel. Réseaux de télécommunications et transmission de données. Chapitre
dans le livre Problématique de l’informatisation des processus électoraux en Afrique, paru
chez L’Harmattan, Paris, France en 2004, sous la direction d’Alain Nkoyock.
[12] Statista. SD-WAN revenues worldwide by geography 2016-2022. 2020. url
: https://www.statista.com/statistics/802591/worldwide-sd-wan-revenue-by-
geography/ (Consulté le 05/06/2020)
[13] Huawei. MPLS Overview. url:
https://support.huawei.com/enterprise/en/doc/EDOC1000178173/953f01ce/overview-of-mpls
(Consulté le 08/06/2020)
[14] Forbes. SD-WAN: Entry Point For Software-Defined Everything. 2017. url:
https://www.forbes.com/sites/jasonbloomberg/2017/03/20/sd-wan-entry-point-for-software-
defined-everything/#60983cd846ee (Consulte le 04/06/2020)
[15] www.bgp.potaroo.net. BGP Routing Table Analysis Reports. 2018. url:
https://bgp.potaroo.net/. (Consulté le 09/06/2020)
[16] Cisco Press. WAN Concepts. 2017. url:
http://www.ciscopress.com/articles/article.asp?p=2832405&seqNum=5 (Consulté le
06/06/2020)