1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux...

11

SommaireSommaire La problématique VPN : l’accès distant !

La solution : Une architecture VPN IP

Les deux modèles de VPN

Les modèles de VPNs adaptés aux problématiques spécifiques: L’accès distant L’intranet L’extranet

L’encapsulation principe

L2TP: Implémentation protocolaire : principe Exemple: création d’un tunnel

IPsec Mode tunnel, Mode Transport

VPN:Les perspectives

22

Intranet de l’entreprise

Serveur de fichier comptable

Serveur Web des Employés

La problématique: Gestion de l’accès La problématique: Gestion de l’accès à distanceà distance

Lan interneLan interne????

??

??

??

Travailleur mobile (Données, GSM,GPRS, UMTS)+ PC laptop

?

SOHO: Small Office Home OfficeSOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distantepetite agence distante))

??

Serveur Serveur bases de bases de donnéesdonnées

agence distanteagence distanteou unité distanteou unité distante

Partenaire APartenaire A

Extranet sécurisé

Partenaire BPartenaire B Partenaire CPartenaire C

??

Réseaux données GSM,GPRS,UMTS

Réseau partenaire A

Siège socialSiège social

33

La solution : Une architecture VPN IPLa solution : Une architecture VPN IP

ItinérantItinérantNomadesNomades

Point Point

d ’Accès ISP (POP)d ’Accès ISP (POP)

Hôte Hôte

destinationdestination

Connexion auConnexion au

Point de présencePoint de présence

Intranet Partenaire

Intranet Site CentralInternetInternet

44

PasserellePasserelle



PasserellePasserelleà à


ClientClientà à


Les Modèles de VPNLes Modèles de VPN

Internet Internet

Internet Internet

55

Connexion réseau à distanceConnexion réseau à distance


Point d ’AccèsPoint d ’Accès

ISP (POP)ISP (POP)

Hôte Hôte


ConnexionConnexion

auau

Point dePoint de

présenceprésence

Intranet Site CentralInternet Internet

Authentification et ChiffrementAuthentification et Chiffrement

Réseau ISP

Serveur Serveur d’authentification d’authentification AAAAAA

Serveur NASServeur NAS

OUOU

B- B- Le client établit un tunnel crypté Le client établit un tunnel crypté à travers l’ISP vers le réseau de à travers l’ISP vers le réseau de l’entreprise. Avantage : cryptage de l’entreprise. Avantage : cryptage de bout en bout de la communication.bout en bout de la communication.

OUOU

AA

A- A- L’utilisateur communique avec L’utilisateur communique avec le NAS de l’ISP qui lui établit une le NAS de l’ISP qui lui établit une liaison cryptée avec le réseau de liaison cryptée avec le réseau de l’entreprisel’entreprise

BB

66

Connexion Intranet entre sitesConnexion Intranet entre sites

Point Point

d ’Accès ISPd ’Accès ISP

(POP)(POP)

Hôte Hôte


Intranet Site Distant


Authentification et ChiffrementAuthentification et Chiffrement

77

Connexion Extranet entre sitesConnexion Extranet entre sites

Point Point


(POP)(POP)

Hôte Hôte


Intranet Site Partenaire


ChiffrementChiffrement

AuthentificationAuthentification

88

TCP / IPTCP / IP

PPTP, L2F,PPTP, L2F,L2TFL2TFIPSECIPSEC

Protocole Protocole de transportde transport

PRINCIPE DU TUNNELING OU PRINCIPE DU TUNNELING OU D ’ENCAPSULATION D ’ENCAPSULATION

Protocole TransportéProtocole Transporté

Protocole Protocole d ’Encapsulationd ’Encapsulation

TCP / IP, IPX, ...TCP / IP, IPX, ...

PPTP (Point to Point Tunneling Protocol : Microsoft, 3Com, USR, AscendPPTP (Point to Point Tunneling Protocol : Microsoft, 3Com, USR, AscendL2F (Layer 2 Forwarding: CISCO, Shiva (INTEL)L2F (Layer 2 Forwarding: CISCO, Shiva (INTEL)L2TP: (Tunnel de niveau 2) standardL2TP: (Tunnel de niveau 2) standardIPSEC: (Mode Transport ou Tunnel de niveau 3) standardIPSEC: (Mode Transport ou Tunnel de niveau 3) standard

99

Protocol orienté connection

Basé sur PPP, Point-to-Point Protocol

Synthèse de PPTP(Microsoft) et L2F(Cisco)

Ses principes sont décrit dans un DRAFT de IETF: draft-ietf-pppext-l2tp-14.txt

L2TP (Layer 2 Tunneling Protocol)L2TP (Layer 2 Tunneling Protocol) Layer 2 Transport Protocol

Encapsulation L2TP dans IPEncapsulation L2TP dans IP

IPIPHeaderHeader

UDPUDPHeaderHeader PPP donnéePPP donnéeL2TPL2TP

HeaderHeaderPPPPPP

HeaderHeader

Tous ces champs sont les données du paquet IPTous ces champs sont les données du paquet IP

IPIPHeaderHeader IP DatagrammeIP Datagramme

1010

Intranet

NAS194.64.20.101

192.100.20.102

IPCP

192.100.20.101

Adresses Internet Publiques

Adresses Intranet Privées

Données DonnéesDonnées

IP

192.100.20.101

192.100.20.102

IP

192.100.20.101

192.100.20.102

IP

192.100.20.101

192.100.20.102

PPP PPP

L2TP

IP

194.64.20.101

195.222.1.1

L2TPL2TP Envoyer des données au-dessus d’un L2TP

LNS192.222.1.1

1111

Authentification / Integrité

Chiffré

Nouvel Entête IP

EntêteESP

DonnéesEntête IP Original

Mode Tunnel

Authentification** / Intègrité

Nouvel Entête IP

EntêteAH


Entête IP Original

EntêteAH

Données

Authentification*** / Intègrité

Mode Transport

ESP

AH

IPSec: Authentification et Chiffrement IPSec: Authentification et Chiffrement

* AH incompatible avec NAT* AH incompatible avec NAT

** Sauf pour les champs variables du nouvel en-tête

*** Sauf pour les champs variables de l’en-tête

AH +

ESPAuthentification*** / Intègrité

Chiffré

EntêteESP


EntêteAH

Authentification** / Intègrité

Nouvel Entête IP

EntêteESP


EntêteAH

Chiffré

la protection depend du mode et du protocôlela protection depend du mode et du protocôle Mode Tunnel

Sécurise le trafic IP entre deux réseaux Mode Transport

Sécurise le trafic IP entre deux nœuds

Trailer ESP

Données d’authent.

Entête IP Original

EntêteESP

Données

Authentification / Intègrité

Chiffré

Trailer ESP


Trailer ESP


Trailer ESP


1212

Travailleur mobile (Données, GSM,GPRS, UMTS)+ PC laptop

Backbone MPLS ou IPSec



Lan interneLan interneIPSec/IPSec/L2TPL2TP

IPSec/L2TPIPSec/L2TPAccès Accès distant distant sécurisésécurisé

Internet





Extranet sécurisé


IPSec IPSec ou ou MPLSMPLS




IPSec/L2TPIPSec/L2TP

IPSec/L2TPIPSec/L2TPou PPTPou PPTP



VPN 34VPN 34

VPN 97VPN 97


VPN: PerspectivesVPN: Perspectives

Réseau sans fil interne (laptop, palmtop…)

VPN 55VPN 55

1313

Backup SlidesBackup Slides

1414

La problématique: Gestion de l’accès La problématique: Gestion de l’accès à distanceà distance

Travailleur mobile (Données, GSM, GPRS, UMTS)+ PC laptop

Backbone MPLS ou IPSec



Lan interneLan interne

IPSecIPSec

IPSecIPSec

Accès Accès distant distant sécurisésécurisé

Internet public





Extranet sécurisé


IPSec IPSec ou ou MPLSMPLS




IPSec/L2TPIPSec/L2TP




VPN 34VPN 34

VPN 97VPN 97


1515

Connexion réseau à distanceConnexion réseau à distance


Point d ’AccèsPoint d ’Accès

ISP (POP)ISP (POP)

Hôte Hôte


ConnexionConnexion

auau

Point dePoint de

présenceprésence

Intranet Site CentralInternet Internet public public

Réseau ISP

Serveur Serveur d’authentification d’authentification AAAAAA

Serveur NASServeur NAS

OUOU

B- B- Le client établit un tunnel crypté Le client établit un tunnel crypté à travers l’ISP vers le réseau de à travers l’ISP vers le réseau de l’entreprise. Avantage : cryptage de l’entreprise. Avantage : cryptage de bout en bout de la communication.bout en bout de la communication.

OUOU

AA

A- A- L’utilisateur communique avec L’utilisateur communique avec le NAS de l’ISP qui lui établit une le NAS de l’ISP qui lui établit une liaison cryptée avec le réseau de liaison cryptée avec le réseau de l’entreprisel’entreprise

BB

1616

Connexion Intranet entre sitesConnexion Intranet entre sites

Point Point


(POP)(POP)

Hôte Hôte


Intranet Site Distant


1717

Connexion Extranet entre sitesConnexion Extranet entre sites

Point Point


(POP)(POP)

Hôte Hôte


Intranet Site Partenaire


1818

La solution : La solution : Une Une architecture architecture VPN IPVPN IP

1919

Différences entre les protocoles de sécurité Différences entre les protocoles de sécurité réseauxréseaux

1 Support non encore fournit ; toutefois il y a des actions en cours (WIP, Work In Progress) au sein du groupe de travail IPSec de L'IETF.

2 Lorsqu'il est utilisé dans une connexion client VPN, il authentifie l'utilisateur, pas la machine. Lorsqu'il est utilisé dans une connexion routeurs à routeurs, la machine se voit asssigné un ID utilisateur ce qui lui permet d'être authentifié.

2020

Intranet

NAS/HomeGatewayRAC/RAS/LAC

PDN(e.g Internet)

Voluntary Tunnel

Mandatory Tunnel

Voluntary Tunnel: This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec

Mandatory Tunnel: This type of tunnel is created from the ISP up to the Home Gateway of the Intranet

e.g L2F, L2TP

Type of Tunneling ConnectionsType of Tunneling Connections

2121

Une liaision typique de bout en boutUne liaision typique de bout en bout

Internet publicInternet public Intranet Site CentraleIntranet Site Centrale

Intranet PartenaireIntranet Partenaire


Point Point


Hôte Hôte

destinationdestinationFirewall / RouteurFirewall / Routeur

Connexion auConnexion au

Point de présencePoint de présence

2222

Network Security Protocol Network Security Protocol DifferencesDifferences

1 Support is not yet provided; however, there is work in progress (WIP) by the IETF IPSec working group.

2 When used as a client VPN connection, it authenticates the user, not the computer. When used as a gateway-to-gateway connection, the computer is assigned a user ID and is authenticated.

Mode Tunnel Sécurise le trafic IP entre deux réseaux

Mode Transport Sécurise le trafic IP entre deux noeuds

2323

La solution : La solution : Une Une architecture architecture VPN IPVPN IP

INTRANET SITE CENTRALINTRANET SITE CENTRAL

ITINERANTS / NOMADESITINERANTS / NOMADES

INTRANET PARTENAIREINTRANET PARTENAIRE

INTRANET SITE DISTANTINTRANET SITE DISTANT

INTERNETINTERNET

Tunnel VPN

Tunnel VPN

Tunnel VPNTunnel VPN

Tunnel VPNTunnel VPN

2424

IPIP

(Réseau)(Réseau)

L2TP/PPPL2TP/PPPPPTP/PPPPPTP/PPP

(Liaison de Donnée)(Liaison de Donnée)

La pile TCP / IP et les protocoles de La pile TCP / IP et les protocoles de sécurité VPNsécurité VPN

ApplicationsApplications

TCP/UDPTCP/UDP

(Transport)(Transport)

S-MIMES-MIMES-HTTPS-HTTPPGPPGPSETSETIPSEC (ISAKMP)IPSEC (ISAKMP)

SSLSSLSOCKS V5SOCKS V5

IPSEC (AH,ESP)IPSEC (AH,ESP)

CHAP, MS-CHAPCHAP, MS-CHAPPAP, MPPEPAP, MPPE


2525

2. Démarrage de la demande de contrôle de connection: Appel + Challenge CHAP (option)

3. Démarrage de la réponse au démarrage de contrôle de connection: Connection accepté + Réponse CHAP (option) + Demande d’authentification CHAP (option)

4. Démarrage du contrôle de connection connecté : Connection accepté + Réponse CHAP (option)

LAC

LNS

Public Network

Serveur d’authentification

Tunnel L2TP

1. Authentification PPP

Server d’authentification

L2TPL2TP Création du Tunnel

LAC = L2TP access concentratorLAC = L2TP access concentrator

LNS = L2TP network serverLNS = L2TP network server

2626

5.Demande d’appel entrant

6. Réponse à l’appel entrant: appel accepté

7. Appel entrant connecté

LNS

Réseau publicTunnel L2TP

8. Authentification (Radius par exemple)

LAC



L2TPL2TP PPP Connection vers un LNS

LAC = L2TP access concentratorLAC = L2TP access concentrator

LNS = L2TP network serverLNS = L2TP network server

2727

Architecture Actuelle sur Frame Architecture Actuelle sur Frame RelayRelay

2828

IPSec Mode TunnelIPSec Mode Tunnel

Association de Sécurité

InternetSecurité Gateway Securité Gateway

Ordinateur OrdinateurNon encrypté Encrypté

ESPESP

AuthenticationNew IP Header(any options)

TCP

DATA ESP Trailer

Authentifié

Orig IP Header(any options)

AHOrig IP Header(any options)

TCP

DATA

Authentifié

New IP Header(any options)


L2TP avec IPSec Mode Tunnel (sécurisation)L2TP avec IPSec Mode Tunnel (sécurisation)

IPIPHeaderHeader


HeaderHeaderPPPPPP

HeaderHeader



IPSecIPSecHeaderHeader

IPIPHeaderHeader

2929

IPSec Mode TransportIPSec Mode Transport

Association de Securité

InternetGateway Gateway

Ordinateur OrdinateurNon encrypté Encrypté

ESPESP

AuthenticationOrig IP Header(any options)

TCP

DATA ESP Trailer

Authentifié

AHOrig IP Header(any options)

TCP

DATA

Authentifié


L2TP avec IPSec Mode Transport (sécurisation) L2TP avec IPSec Mode Transport (sécurisation)


HeaderHeaderPPPPPP

HeaderHeader



IPSecIPSecHeaderHeader

IPIPHeaderHeader

3030

Intranet


PDN(e.g Internet)

Voluntary Tunnel

Mandatory Tunnel



e.g L2F, L2TP


3131

Choix d ’implémentation IPSec Choix d ’implémentation IPSec Modes et FonctionsModes et Fonctions Mode Tunnel

Sécurise le trafic IP entre deux réseaux

Mode Transport

Sécurise le trafic IP entre deux noeuds

Machine authentification Internet Key Exchange (IKE) ou clés pré-partagées

Authentification et intégrité des Paquets

Authentication Header (AH)

En cryptage, Authentification et Intégrité Optionnelles

Encapsulated Security Protocol (ESP)

Règles NégociéesRègles Négociées


3232

Bibliographie (pour aller plus loin)Bibliographie (pour aller plus loin)

A Comprehensive Guide to Virtual Private Networks, Volume 1 http://redbooks.ibm.com/abstracts/sg245201

IP VPN - (société CISCO)

What is VPN? http://www.cisco.com

PPP/L2TP/Ipsec, VPNs réseaux GPRS/UMTS 2.5G- 3G - (société Nortel Networks)

Radius (Société Funk)

6 solutions de réseau privé virtuel à l ’étude - http://www.01.net.com/rdn?oid=126425

3333

IPSec (IP Security)IPSec (IP Security)

3434

IPSec DétailsIPSec Détails

• Protocôles de sécurité définissent: Intégrité des donnéesAuthentification de l’origine des donnéesProtection contre les “replays” (sequencing) Confidentialité (encryptage)

• Protocoles de sécurité du trafic:AH (Authentication Header)ESP (Encapsulating Security Payload)

• Protocoles et procèdures de gestion de clés cryptographiques:ManuelleIKE - Internet Key Exchange (basée sur “ISAKMP/Oakley”)


3535

Comment ces services sont-ils Comment ces services sont-ils fournisfournis??

• AH (Authentication Header)Fourni l’intégrité des données, l’authentification de l’origine des données, et un service optionel d’”anti-replay” (sequencing)

• ESP (Encapsulating Security Payload)Fourni la confidentialité (encryptage). Il peut aussi fournir l’intégrité des donnés, l’authentification de l’origine des données, et un service d’”anti-replay” (sequencing)


3636

IPSec et les associations de type de IPSec et les associations de type de sécuritésécurité

Une relation entre deux ou plus des éléments qui décrit comment les éléments utiliseront les services de sécurité pour communiquer en mode sécurisé

Uniquement identifier par un:SPI (Security Parameter Index)

IP adresse de destination

Security Protocol Identifier (AH or ESP)

Securité Association

InternetSecurité Gateway Securité Gateway

Ordinateur Ordinateur

3737

PrincipePrincipe

SAD

SPD

Administrateur

Applications

(ftp, http,…)

TCP/UDP

IP / IPsec (AH, ESP)

NAP

IKE

DOI

ISAKMP

Oakley

SKEME


3838

IPSec - 1IPSec - 1

Key Management Internet Key Exchange (IKE = ISAKMP/Oakley)

Allows users to agree on authentication methods, encryption methods, keys to use, and key duration.The Internet Security Association and Key Management Protocol (ISAKMP) serves as a framework for authentication and key exchange using the Oakley key exchange protocol

Cryptographic Security Mechanisms for IP Authentication Header (AH)

Provides integrity and authentication without confidentiality to IP datagrams.Available even in locations where the export, import or use of encryption to provide confidentiality is regulated

Encapsulation Security Payload (ESP)

Provides integrity, authentication, and confidentiality to IP datagrams. * AH incompatible avec NAT* AH incompatible avec NAT

3939

Two IPSec Modes : Transport and Tunnel ModeTwo IPSec Modes : Transport and Tunnel Mode

New IPHeader

IPSecHeader

Data

IP Header Data

Tunnel Mode

Original IPHeader

IPSecHeader

Transport Mode

Original IPHeader

Data

Optional Encryption

Optional Encryption

Outer IP Header

Inner IP Header

4040

GPRS Tunneling : GTP and VPN tunnels

4141

Connectivity oriented protocol

Uses a mandatory tunnel

Principles described in: GSM 09.60

GTPGTP

GPRS Tunneling Protocol

GGSNSGSN

PDP Context Activation

GTP Tunnel (PDP Context)

4242

GTP and VPNGTP and VPN

SGSN

PDP Context Activation

Intranet

Internet

GTP IntranetVPN :

IPSec/L2TPGn interfac

eGi

interface

4343

Intranet


PDN(e.g Internet)

Voluntary Tunnel

Mandatory Tunnel



e.g L2F, L2TP


4444

Network Address Translation (NAT) ConceptsNetwork Address Translation (NAT) Concepts

NAT is defined in RFC 1631. It provides the translation of an IP address used within one network to an IP address known within another network

It is mainly used to reduce the number of public IP addresses needed by a Corporation

Private addresses are used within the corporate network, public addresses are used only for communication to the Internet

NAT is implemented on routers, firewalls or proxy servers via a NAT table in which IP adresses from different domains are mapped together

The mapping can be:Static One to One Dynamic One to OneDynamic Many to One PAT (Port Address Translation)

PAT maps IP addresses to a single IP address but different TCP port numbers

One Public IP address can be used for up to 64 k private addresses (theorically), 1k-10k is a safe value

PAT Internet

10.0.0.2 192.69.1.1

10.0.0.2 192.69.1.1: 500110.0.0.3 192.69.1.1: 5002

4545

Network Address Translation LimitationsNetwork Address Translation Limitations IPSec and NAT interoperability

IPSec tunnels with AH fail when going through NAT because NAT changes the IP header the IPsec checksum is no more valid

IPSec tunnels with ESP encryption work with NAT (integrity only calculated on the payload)

IPSec and PAT interoperabilityAll type of IPSec tunnel would fail through PAT because the ISAKMP protocol used by IPSec to exchange keys uses specifiv TCP port numbers

L2TP and NAT/PAT interoperabilityL2TP works with static NAT only (the LNS has to know the translated LAC IP address)

NAT interoperability with common IP protocolsAll major IP protocols can work with NAT, thanks to NAT Application Gateways

PAT interoperability with common IP protocolsSMTP, DNS and RealMedia do not work with PAT

4646

Network Address Translation Limitations - Network Address Translation Limitations - SummarySummary

Operating mode Tunneling IP Service or Application Static NAT Dynamic NAT N-to-1 NAT

Transparent No encryption DNS OK OK OKSMTP / POP3 OK OK OKHTTP OK OK OKFTP OK OK OKRealaudio - Realvideo OK OK NOK

Internet initiated sessions (including DNS queries, SMTP, HTTP, ICQ, …) OK

sender must be aware of the current NATed IP address NOK

End to end IPSec encryption AH/ESP All NOK NOK NOKEnd to end IPSec encryption AH All NOK NOK NOKEnd to end IPSec encryption ESP All OK OK NOK

Non Transparent L2TP All OK Practically not feasible Practically not feasibleIPSec encryption AH/ESP All NOK NOK NOKIPSec encryption AH All NOK NOK NOKIPSec encryption ESP All OK OK NOK

4747

Basic Internet Service : Transparent modeBasic Internet Service : Transparent mode

GGSN

SGSN

DHCP(Preside)

RouterFirewall

SGSN

DNS (Preside)

Router

SGSN

GPRS PLMNGPRS PLMN

ISPISPnetworknetwork

InternetInternet

AddressAddressPoolsPools

LS

GGSN

WAP Server

Authentication Not applicableIP Address Allocation Private addresses allocated by a local DHCP

Server or the GGSN Internal Address PoolsPAT is implemented at the ISP to Internetborder

PAT

Private Address SpaceOne Class A

Public Address SpaceMax. four Class C

Mobile data+ PC

4848

Remote Intranet Access Service using an IPSec Remote Intranet Access Service using an IPSec ClientClient

GGSN

SGSN

DHCP (Preside)

SGSN

DNS (Preside)

Router

SGSN

GPRS PLMNGPRS PLMN

InternetInternet


IPSec Tunnel Terminator

DNS

DHCP

RADIUS

Mobiles data+ PC (Ipsec Client)

IPsec TunnelIPsec Tunnel

Authentication At the Intranet SideFirst IP Address Allocation Public IP address. GGSN

internal address pool or localDHCP

Second IP Address Allocation(private address)

At the Intranet Side, by DHCP,RADIUS or internal address pools

This is a Transparent modefrom the GPRS network point of view

PAT can not be implemented,It is not compatible with anIPSec tunnel

4949

AAA on the Intranet : Virtual Dial Non AAA on the Intranet : Virtual Dial Non Transparent modeTransparent mode

GGSN

SGSN

SGSN

DNS (Preside)

Router

SGSN

GPRS PLMNGPRS PLMN

InternetInternet


L2TP Network Server

DNS

DHCP

RADIUS

Mobiles data+ PC

L2TP/IPsec L2TP/IPsec TunnelTunnel

Authentication Performed by the L2TP Network ServerIP address Allocation Handled by the L2TP Network Server

which queries a DHCP or RADIUS Serveror uses its internal address pools

The GGSN forwards all Authentication, Authorizationand Accounting relative queries to the L2TPNetwork Server.Allocated IP addresses are from the Intranetaddress space PAT is not required

5050

Dedicated Access : Non Transparent Untunneled Dedicated Access : Non Transparent Untunneled modemode

Authentication Can be requested by the GGSN to alocal or distant RADIUS Server

IP Address Allocation Requested by the GGSN to itsinternal pools or a local DHCP Serveror a local / distant RADIUS Server

GGSN

SGSN

DHCP (Preside)

SGSN

DNS (Preside )

Router

SGSN

GPRS PLMNGPRS PLMN

Mobiles data+ PC

Radius(Preside)

Secured Connection

RouterDNS

Services

IntranetIntranet

GGSN

ISPISP

Services

Radius

Secured connection InternetInternet

Note: IP address allocation via RADIUS is actually part of the authentication procedure

PAT can be implementedat the ISP - Internet border

5151

The E-Plus CaseThe E-Plus Case

Transparent mode or Non Transparent Untunneled mode connection to the E-Plus ISP infrastructure

Authentication done at the ISP network side (RADIUS or other), no GI tunneling

PAT set up at the ISP network side, into the border routers connected to the Internet

For one million « always on » users, a maximum of four public Class C are required (depending on the PAT capacity of the border router)

GGSNRouterFirewall

ISPISPnetworknetwork InternetInternet


Leased Line

RouterFirewall

NAT/PAT

Private Addressing Space Public Addressing Space

5555

IPSEC - Authentification et IPSEC - Authentification et ChiffrementChiffrement

NouvelleNouvelle

Ent IPEnt IP ESPESP Ent IP Originale Ent TCP Données Ent IP Originale Ent TCP Données

Ent IP Ent IP AHAH Ent TCP Données Ent TCP Données


Ent IP Ent IP ESPESP Ent TCP Données Ent TCP Données



AHAH

ESPESP

NouvelleNouvelle

Ent IPEnt IP AHAH Ent IP Originale Ent TCP Données Ent IP Originale Ent TCP Données




Mode TransportMode Transport Mode TunnelMode Tunnel

Ent IP Ent IP AH ESPAH ESP Ent TCP Données Ent TCP Données



AH AH ++

ESPESP

NouvelleNouvelle

Ent IPEnt IP AH AH ESP ESP Ent IP Originale Ent TCP Données Ent IP Originale Ent TCP Données




1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux...

Documents

Transcript of 1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux...