DIPLOME D'INGENIEUR DE CONCEPTION...

105
l MINISTERE DE L 'ENSEIGNEMEITT SUPERIEUR ET DE LA RECHERCHE SOENTIAQUE UNIVERSITE FELIX HOUPHOUET BOIGNY UFR DE MATHEMATIQUE ET INFORMATIQUE FILIERES PROFESSIONNALISEES MIAGE-GI Année ac adémique 2013-2014 Réoubliaue de Côt e d1voire Union Discipline Travail Mémoire de fin de cycle pour l'obtention du DIPLOME D'INGENIEUR DE CONCEPTION Option : Méthodes Informatiques Appliquées à la Gestion des Entreprises THEME: ETUDE ET MISE EN PLACE D'UN SYSTEME DE TELEPHONIE SUR IP SECURISE, DANS UNE CONFIGURATION D'ENTREPRISE MUL TI-SITE : CAS DU MILLENIUM DES ASSURANCES INTERNATIONALES IARD SOUTENU LE 10 NOVEMBRE 2014 PAR : DIAWARA DAOUD BEN AHMED DEVANT LE JURY COMPOSE DE: PRESIDENT: Professeur YODE Armel Fabrice, Maitre de conférences, UFR Math-lnfo, Université Felix Houphouêt Boigny MEMBRES: Docteur BAILLY Salé Michel, Responsable-Adjoint des Filières Professionnalisées MIAGE-GI, UFR Math-lnfo, Université Felix Houphouêt Boigny M. KPON Roger, Chef de service Informatique au Centre Suisse de Recherches Scientifiques en Côte d'Ivoire (CSRS) M.YAPI Jean-Eudes, Coordonnateur des projets de défenses et sécurité à la SNDI Docteur DIALLO Mohamed Bobo, Enseignant vacataire à l'UFR Math-lnfo, Université Felix Houphouêt Boigny M. ASSAN Georges, Responsable Département Informatique à LMAI-IARD

Transcript of DIPLOME D'INGENIEUR DE CONCEPTION...

Page 1: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

l MINISTERE DE L 'ENSEIGNEMEITT SUPERIEUR

ET DE LA RECHERCHE SOENTIAQUE

UNIVERSITE FELIX HOUPHOUET BOIGNY

UFR DE MATHEMATIQUE ET INFORMATIQUE FILIERES PROFESSIONNALISEES MIAGE-GI

Année académique 2013-2014

Réoubliaue de Côte d1voire

Union Discipline Travail

Mémoire de fin de cycle pour l'obtention du

DIPLOME D'INGENIEUR DE CONCEPTION Option : Méthodes Informatiques Appliquées à la Gestion des Entreprises

THEME:

ETUDE ET MISE EN PLACE D'UN SYSTEME DE TELEPHONIE SUR IP SECURISE, DANS UNE

CONFIGURATION D'ENTREPRISE MUL TI-SITE : CAS DU MILLENIUM DES ASSURANCES INTERNATIONALES IARD

SOUTENU LE 10 NOVEMBRE 2014 PAR :

DIAWARA DAOUD BEN AHMED

DEVANT LE JURY COMPOSE DE:

PRESIDENT:

Professeur YODE Armel Fabrice, Maitre de conférences, UFR Math-lnfo, Université Felix Houphouêt Boigny

MEMBRES:

Docteur BAILLY Salé Michel, Responsable-Adjoint des Filières Professionnalisées MIAGE-GI, UFR Math-lnfo, Université Felix Houphouêt Boigny

M. KPON Roger, Chef de service Informatique au Centre Suisse de Recherches Scientifiques en Côte d'Ivoire (CSRS)

M.YAPI Jean-Eudes, Coordonnateur des projets de défenses et sécurité à la SNDI

Docteur DIALLO Mohamed Bobo, Enseignant vacataire à l'UFR Math-lnfo, Université Felix Houphouêt Boigny

M. ASSAN Georges, Responsable Département Informatique à LMAI-IARD

Page 2: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIRQUE

UNIVERSITE FELIX HOUPHOUET BOIGNY

• L.._,_,,,. l"~-:1 • . '\ (' ' --< ~_y ~1 ,~

''tJu#'-.,-, •.. r·- \l_r,~~v

UFR DE MATHEMATIQUE ET INFORMATIQUE FILIERES PROFESSIONNAUSEES MIAGE-GI

Année académique 2013-2014

Réoubliaue de Côte d1voire -- \ ~ l ,. '

~r,J~ .. ,,.,J ~ •,.' ~~l'i

Union Discipline Travail

Mémoire de fin de cycle pour l'obtention du

DIPLOME D'INGENIEUR DE CONCEPTION Option : Méthodes Informatiques Appliquées à la Gestion des Entreprises

THEME:

ETUDE ET MISE EN PLACE D'UN SYSTEME DE TELEPHONIE SUR IP SECURISE, DANS UNE

CONFIGURATION D'ENTREPRISE MULTI-SITE: CAS DU MILLENIUM DES ASSURANCES INTERNATIONALES IARD

~ - --~ SOUTENU LE 10 NOVEMBRE 2014 PAR :

DIAWARA DAOUD BEN AHMED

DEVANT LE JURY COMPOSE DE:

PRESIDENT:

Professeur YODE Armel Fabrice, Maitre de conférences, UFR Math-lnfo, Université Felix Houphouët Boigny

MEMBRES:

Docteur BAILLY Salé Michel, Responsable-Adjoint des Filières Professionnalisées MIAGE-GI, UFR Math-lnfo, Université Felix Houphouët Boigny

M. KPON Roger, Chef de service Informatique au Centre Suisse de Recherches Scientifiques en Côte d'Ivoire (CSRS)

M.YAPI Jean-Eudes, Coordonnateur des projets de défenses et sécurité à la SNDI

Docteur DIALLO Mohamed Bobo, Enseignant vacataire à l'UFR Math-lnfo, Université Felix Houphouët Boigny

M. ASSAN Georges, Responsable Département Informatique à LMAI-IARD

Page 3: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

DEDICACE

« .Jl mes parents,

<En particulier à ma très chère mère :M.ariame rf<Rfl_O<J(<E,

.Jl mes frères,

.Jl tous mes amis,

ïMerci pour tout !»

DIAWARA Daoud Ben Ahm~d I Diplôme d1ngénieur de Conception, Option MIAGE

Page 4: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

REMERCIEMENTS

En préambule à ce mémoire, je souhaite adresser mes remerciements les plus sincères aux personnes qui m'ont apporté leur aide et qui ont contribué à l'élaboration de ce mémoire ainsi qu'à la réussite de ce cursus universitaire.

Je tiens à remercier sincèrement Monsieur Mohamed DIALLO, qui, en tant que professeur encadreur, s'est toujours montré disponible tout au long de la réalisation de ce mémoire.

Mes remerciements s'adressent également à

Monsieur Georges ASSAN : Responsable du Département Informatique de LMAI­ IARD; Monsieur Ibrahima MEITE : Directeur Général Adjoint de LMAI-IARD.

Pour leur générosité et la grande patience dont ils ont su faire preuve malgré toutes ces charges académiques et professionnelles.

J'exprime ma gratitude à tous les collègues qui m'ont beaucoup soutenu lors de cette période.

Je tiens également à exprimer mes remerciements à la Direction de l'UFR de Mathématiques et Informatique, à l'administration des filières professionnalisées Méthodes Informatiques Appliquées à la Gestion des Entreprises et Génie Informatique (MIAGE-GI) ainsi qu'à tous les enseignants qui ont assuré notre formation.

Je n'oublie pas mes parents pour leur contribution, leur soutien et leur patience.

Enfin, j'adresse mes plus sincères remerciements à tous mes proches et amis, qui m'ont toujours soutenu et encouragé au cours de la réalisation de ce mémoire.

Merci à tous et à toutes.

DIAWARA Daoud Ben Ahrned II Diplôme d1ngénieur de Conception, Option MIAGE

Page 5: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

AVANT PROPOS

L'université Felix Houphouët Boigny depuis sa création dans les années 60, a toujours été un pôle de formation d'excellence pour l'élite ivoirienne. Cependant, l'importance du contenu théorique des différentes formations ne suffit pas à l'insertion des jeunes diplômés dans le milieu professionnel.

Pour pallier cette insuffisance, le gouvernement ivoirien décide de professionnaliser, en 1997, les filières universitaires afin de faciliter l'intégration des étudiants dans la vie professionnelle.

C'est suite à cet élan que l'unité de formation et recherche (UFR) de Mathématiques et Informatique a créé les filières professionnalisées :

Génie Informatique(GI) ; Méthodes Informatiques Appliquées à la Gestion des Entreprises(MIAGE).

Celles-ci forment, en collaboration étroite avec les milieux professionnels, des cadres d'entreprises ayant une approche à la fois théorique et pratique des domaines concernés.

Cette formation dure cinq ans et est ·sanctionnée par un diplôme d'ingénieur de conception. Les étudiants ont l'obligation d'effectuer des stages pratiques en entreprise qui leurs permettent de s'imprégner de l'environnement professionnelle.

Pendant ce stage pratique de fin de cycle, l'étudiant a l'obligation de rédiger un mémoire dans lequel, il aura l'occasion de mettre en exergue les aptitudes et qualités acquises pendant son cursus universitaire et à la suite de ses expériences professionnelles. Le stage de fin de cycle est très important dans ces filières, en effet, celui-ci correspond à une unité d'évaluation(UE) pour la cinquième année et est donc comptabilisée pour l'obtention du diplôme d'ingénieur.

C'est dans ce cadre que nous avons effectué notre stage au Millénium des Assurances Internationales IARD (LMAHARD), compagnie d'assurance basée à Abidjan(Plateau).

DIAWARA Daoud Ben Ahmed III Diplôme d'ingénieur de Conception, Option MIAGE

Page 6: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

SOMMAIRE

DEDICACE . REMERCIEMENTS . AVANT PROPOS . SIGLES ET ABREVIATIONS . TABLE DES FIGURES ET DES TABLEAUX . INTRODUCTION , , . PROBLEMATIQUE .

PREMIERE PARTIE : CADRE ET CONTEXTE DU STAGE .

CHAPITRE 1 : PRESENTATION DE LA STRUCTURE D'ACCUEIL. .

1. Historique et statut. .

2. Les activités de LMAI-IARD .

3. Organisation de la structure .

CHAPITRE 2: ANALYSE DE L'EXISTANT. .

1. Etude de l'existant. .

2. Critique de l'existant. .

CHAPITRE 3 : PRESENTATION DU PROJET .

1. Présentation du projet et positionnement du thème .

2. Contraintes et exigences du cahier de charges .

3. Proposition de solution .

DEUXIEME PARTIE : GENERALITES ET CHOIX DES SOLUTIONS .

CHAPITRE 1 : TECHNOLOGIES D1NTERCONNEXION . 1. Approches d'interconnexion . 2. Types de liaison .

CHAPITRE 2 : TELEPHONIE SUR IP .

1. Présentation .

2. Fonctionnement. .

3. Intérêt. .

4. Solutions de VoIP . CHAPITRE 3 : CHOIX DES SOLUTIONS .

1. Solutions d'interconnexion . 2. Téléphonie sur IP : .

I II

III

VI VIII

1 2

3

4 4 5 6

7 7

15 16 16 16 17

18

19 20 22

30 30 30 32

33 38 38 38

DIAWARA Daoud Ben Ahmed IV Diplôme d1ngénieur de Conception, Option MIAGE

Page 7: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

TROISIEME PARTIE : ETUDE DETAILLEE ET CHOIX CONCEPTUELS ...

CHAPITRE 1 : PRESENTATION ET FONCTIONNEMENT DES VPN .

1. Fonctionnement d'un VPN .

2. Les différentes architectures de VPN .

3. Les différentes catégories de VPN .

CHAPITRE 2: PRESENTATION ET FONCTIONNEMENT DE LA VOIP

1. Architecture VoIP .

2. Standards VOIP .

3. Transport RTP et RTCP .

4. Problèmes et QOS .

5. Asterisk .

6. Clients VOIP .

CHAPITRE 3 : CHOIX CONCEPTUELS .

1. Synthèse des différents protocoles de tunnelisation(VPN) .

2. Synthèse des différents protocoles de signalisation(VoIP) .

QUATRIEME PARTIE : MISE EN ŒUVRE .

CHAPITRE 1 : MISE EN PLACE DU VPN .

1. Installation et configuration du serveur VPN .

2. Installation et configuration du client VPN .

CHAPITRE 2 : MISE EN PLACE D'ASTERISK : .

1. Installation et configuration du serveur ASTERISK . 2. Installation et configuration du client SIP .

CHAPITRE 3 : SECURITE . 1. Topologie Réseau . 2. La gestion du Firewall .

3. Systèmes de préventions et de détections contre les intrusions . 4. La surveillance des logs .

CHAPITRE 4 : TEST. .

CHAPITRE 5 : EVALUATION DES COUTS DU PROJET .

CONCLUSION . BIBLIOGRAPHIE . GLOSSAIRE . ANNEXES .

40

41 41 42 43 51 51 53 58 61

63 65 68 68 69

70

71 71 77

79 79 85 86 86 87 88 89 90 93

96 X

XI XII

DIAWARA Daoud Ben Ahmed V Diplôme d'Ingénieur de Conception, Option MIAGE

Page 8: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

SIGLES ET ABREVIATIONS

1

AH ANAT BLR BTS CLI CRL CUCM DECT DNS DSL EAP-TLS ESP FAI FCS FTP FXO FXS GEO GNU GPL GRE GSM HIPS HLDC HTIP JAX ICE IDS IETF IIS IKE IP IPS IPSEC !PX ISAKMP ISDN ITU-T IVR L2F L2TP LAC LAN LCP LEO LMDS

Authentification Header Alternative· Network Address Types Boucle Locale Radio Base Transceiver Station Command Une Interface Certificate Revocation List Cisco Unified Communications Manager Digital Enhanced Cordless Telephone Domain Name Service Digital Subscriber Une Extensible Authentification Protocol Transport Layer Security Encapsulating Security Payload Fournisseur d'Accès Internet Frame Check Sequence Foiled Twisted Pair Foreign exchange office Foreign exchange station's Geostationary Earth Orbital GNU is Not Unix General Public License Generic Routing Encapsulation Global System for Mobile Communications Host intrusion prevention system High-Level Data Link Control HyperText Transfer Protocol Inter-Asterisk eXchange Interactive Connectivity Etablishment Intrusion Detection System Internet Engineering Task Force Internet Information Service Internet Key Exchange Internet Protocol Intrusion Prevention System Internet Protocol Security Internetwork Packet Exchange Internet Security Association and Key Management Protocol Integrated Services Digital Network !TU Telecommunication Standardization Sector Interactive Voice Response Layer 2 Forwarding Layer 2 Tunneling Protocol L2TP Access Concentrator Local Area Network Link Contrai Protocol Low Earth Orbital Local Multipoint Distribution Service

DIAWARA Daoud Ben Ahmed VI Diplôme d1ngénleur de Conception, Option MIAGE

Page 9: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

LNS LOS MCU MEO MGCP MMF MPPE MS-CHAP NAT NCP PABX PC PCM ppp PPTP QOS RAID RFC RNIS RSVP RTC RTCP RTP SA SAD SIP SMF SMS SPD SRTP SSL SSTP STUN TCP TIC TURN TLS UAC UAS UDP URL UTF UTP VLAN VOIP VPN VSAT WAN WIMAX

L2TP Network Server Line Of Sight Multipoint Control Unit Medium Earth Orbital Media Gateway Control Protocol MultiMode Fiber Microsoft Polnt-to-Point Encryption Microsoft Challenge-Handshake Authentication Protocol Network Address Translation Network Control Protocol Private Automatic Branch eXchange Personnal Computer Pulse Code Modulation Point to Point Protocol Point-Ta-Point Tunneling Protocol Quality of service Redundant array of inexpensive disks Requests for comments Réseau numérique à intégration de services Ressource reSerVation Protocol réseau téléphonique commuté Real-Time Transport Control Protocol Real-Tirne Transport Protocol Security Association Security Association Database Session Initiation Protocol Single Mode Fiber Short Message Service Security Policy Database Secure Real-Time Transport Protocol Secure Sockets Layer Secure Socket Tunneling Protocol Simple traversai of UDP through Network Address Translation Transmission Contrai Protocol Technologies de l'information et la communication Translating Using relay NAT Transport Layer Security User Agent Client User Agent Server User Datagram Protocol Uniform Resource Locator Universal Character Set Transformation Format Unshielded Twisted Pair Virtual Local Area Network Voice over Internet Protocol Virtual Private Network Very Small Aperture Terminal Wide Area Network Worldwide Interoperability for Microwave Access

DlAWARA Daoud Ben Ahmed VII Diplôme d1ngénieur de Conception, Option MIAGE

Page 10: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

TABLE DES FIGURES ET DES TABLEAUX

N° DE FIGURE LEGENDE Figure 1 Organigramme LMAl·IARD 6 Figure 2 Topologie en étoile 8 Figure 3 Topologie réseau LMAI-IARD au siège 8 Figure 4 Topologie réseau LMAI-IARD des agences 9 Figure 5 Routerboard RB1100AHx2 12 Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14 Figure 8 Schéma d'interconnexion par BLR 23 Figure 9 Interconnexion de réseaux locaux par satellites 25 Figure 10 Schéma d'une architecture fonctionnant par VSAT. 26 Figure 11 Interconnexion de site distant par fibre optique 28 Figure 12 Transport de la voix 31 Figure 13 Architecture Cisco Unified Communications Manager 33 Figure 14 Architecture Skype 34 Figure 15 Architecture Lync Server 34 Figure 16 Architecture Asterisk 35 Figure 17 Architecture Tribox 36 Figure 18 Architecture Xivo 37 Figure 19 Réseau privé virtuel(VPN) 41 Figure 20 Schéma d'un VPN d'accès 42 Figure 21 Schéma d'un VPN intranet 42 Figure 22 Format d'une trame PPP 44 Figure 23 Format d'une trame PPPT 45 Figure 24 Tunnel L2F 46 Figure 25 Format d'une trame L2TP 46 Figure 26 Etablissement du tunnel L2TP 46 Figure 27 Fonctionnement IPSEC 48 Figure 28 Secure sockets layer 49 Figure 29 Fonctionnement VPN SSL 50 Figure 30 Architecture Vo!P 51 Figure 31 Entête RTP 59 Figure 32 Entête RTCP 60 Figure 33 Architecture interne d'Asterisk 63 Figure 34 Exemple d'ip-phone 66 Figure 35 Softphone x-lite 66 Figure 36 Softphone Ekiga 67 Figure 37 Softphone C SIP Simple 67 Figure 38 Interface d'administration par Winbox 71 Figure 39 Interface d'administration par WebFig 72 Figure 40 Interface d'administration par CLI 72 Figure 41 Interface d'authentification sur Winbox 72 Figure 42 Processus pour acceder à la CL! de Winbox 73 Figure 43 Configuration sstp-server, sur Mikrotik 74 Figure 44 Configuration sstp-client, sur Mikrotik 75 Figure 45 Configuration 12tp-server, sur Mikrotik 76 Figure 46 Compilation réussi des sources d'Asterisk 80 Figure 47 Menu Asterisk 80 Figure 48 Console Asterisk 81 Figure 49 Fichier de configuration des comptes utilisateurs 82

DIAWARA Daoud Ben Ahmed VIII Diplôme d'ingénieur de Conception, Option MIAGE

Page 11: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Figure 50 Liste des comptes utilisateurs 83 Figure 51 Fichier de configuration du dialplan 83 Figure 52 Fichier de configuration du serveur vocal intéractif 85 Figure 53 Configuration 12tp-client, sur Mikrotik 77 Figure 54 Fichier de configuration de iptables 87 Figure 55 Capture d'écran des adresses IP 90 Figure 56 Capture d'écran du ping vers le serveur asterik 90 Figure 57 Log au niveau de la console d'administration asterisk 91 Figure 58 Topologie réseau pour la solution de VoIP 39,86

TABLEAUX Tableau 1 Caractéristiques des postes clients 9 Tableau 2 Répartition des postes clients au niveau des agences 9 Tableau 3 Liste des logiciels utilisés sur les postes clients 10 Tableau 4 Caractéristiques des serveurs 10 Tableau 5 Liste des logiciels utilisés sur les postes serveurs 11 Tableau 6 Matériels d'interconnexion en local 12 Tableau 7 Liste des équipements téléphoniques 12 Tableau 8 Liste des autres équipements 14 Tableau 9 Plan d'adressage réseau 15 Tableau 10 Temps de latence suivant l'orbite suivi 25 Tableau 11 Fréquences VSAT 26 Tableau 12 Synthèse des technologies d'interconnexion xDSL 28 Tableau 13 Synthèse des solutions d'interconnexion 39 Tableau 14 Synthèse des solutions de téléphonie sur IP 38 Tableau 15 Codecs supportés par H323 55 Tableau 16 Classification des délais d'acheminement de la voix. 61 Tableau 17 Codecs supportés par Asterisk 65 Tableau 18 Synthèse des différents protocoles de tunnelisation 68 Tableau 19 Synthèse des protocoles de signalisation 69 Tableau 20 Propriétés de l'interface de connexion Mikrotik 73 Tableau 21 Propriétés pour la création de routes IP, sur Mikrotik 74, 78 Tableau 22 Propriétés pour la création de comptes client L2TP, sur Mikrotik 76 Tableau 23 Propriété pour la création de clés IPSEC, sur Mikrotik 77 Tableau 24 Estimation financière du projet 92 Tableau 25 Propriété pour la création des comptes utlisateurs, sur Mikrotik 82 Tableau 26 Liste des services autorisés sur le serveur Asterisk 87 Tableau 27 Liste des différents services utilisés sur les postes serveurs 11

13

DJAWARA Daoud Ben Ahmed IX Diplôme d1ngénieur de Conception, Option MIAGE

Page 12: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

INTRODUCTION

Les facteurs qui permettent à une entreprise de fonctionner efficacement et d'être compétitive sur un marché concurrentiel sont nombreux. Et naturellement dans un tel contexte, il est opportun, pour un établissement, de se doter de moyens technologiques lui permettant de gérer ses infrastructures de manière performante et efficiente.

Depuis quelques années, la technologie de Voice over Internet Protocol(VOIP) commence à intéresser les entreprises, celle-ci offre de nombreux services permettant le transport de la voix et la vidéo sur un réseau informatique. La migration des entreprises vers ce genre de technologie n'est pas fortuite. Le but est principalement de :

minimiser le coût des communications ; utiliser le même réseau pour offrir des services de données, de voix, et d'images; et simplifier les coûts de configuration et d'assistance.

D'autre part, les grandes entreprises ayant des configurations rnulti-sites ont le besoin constant d'interconnecter leurs réseaux locaux pour faciliter l'échange d'information. Pour permettre leurs interconnexions, elles s'appuient généralement sur des liaisons louées longues distances, sur des liaisons spécialisées, des lignes numériques fibres optiques et sur plusieurs autres moyens.

Il semble ainsi évident que les entreprises ont un besoin constant de pouvoir communiquer non seulement à l'intérieur de leurs entités respectives, mais aussi avec leurs entités géographiquement éloignés. Dans ces conditions, l'Internet fournit des solutions idéales d'interconnexions avec une possibilité de couverture mondiale.

Le Millenium des Assurances Internationales IARD, notre structure d'accueil, possède une vingtaine d'agences réparties sur toute l'étendue du territoire ivoirien. Pour lui permettre d'interconnecter ses agences et de s'appeler gratuitement. Elle a donc initié un projet sur le thème : « Etude et mise en place d'un système de téléphonie sur IP sécurisé, dans une configuration d'entreprise multi-site. »

La solution informatique que nous proposons de mettre en place servira à interconnecter toutes les agences de LMAI-IARD avec le siège et permettra à tout son personnel (sédentaire ou en déplacement) de s'appeler sans aucun frais d'appel. La solution que nous mettrons en œuvre 'est munie de multiples fonctionnalités dédiées aux services de VoIP qui nous permettra un travail collaboratif assez aisé.

DIAWARA Daoud Ben Ahmed 1 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 13: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

PROBLEMATIQUE

Le Millenium Assurances Internationales IARD, est une compagnie d'assurance. Dans l'exécution de ses taches journalières, elle effectue des appels avec son personnel en déplacement et aussi ses agences pour avoir des informations sur certaines polices d'assurance ou certains clients.

Le Millenium Assurances Internationales IARD a observé qu'une grande partie de ses dépenses téléphoniques étaient dues aux appels entre employés. Elle a donc sollicité son Département Informatique pour lui proposer une solution innovante qui lui permettrait de réduire ses coûts d'appel. Avec une vingtaine d'agences réparties sur tout le territoire Ivoirien, il faut une solution qui soit constamment disponible et qui offre une bonne qualité d'écoute.

La mise en place d'un tel système nécessite la recherche de solutions performantes de téléphonie, d'interconnexion et de haute disponibilité au sein de l'entreprise.

Les préoccupations de la Direction de LMAI-IARD nous poussent à nous poser les questions suivantes :

Comment interconnecter toutes les agences avec le siège ? Quelle solution implémenter pour permettre aux différentes agences de s'appeler entre elles gratuitement?

Les réponses à ces questions devraient satisfaire les besoins de la direction de LMAI-IARD.

DIAWARA Daoud Ben Ahmed 2 Diplôme d'ingénieur de Conception, Option MIAGE

Page 14: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 1: PRESENTATION DE LA STRUCTURE D'ACCUEIL. CHAPITRE 2 : ANALYSE DE L'EXISTANT. CHAPITRE 3 : PRESENTATION DU PROJET.

DJAWARA Daoud Ben Ahmed 3 Diplôme d1ngénieur de Conception, Option MIAGE

Page 15: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE l D'ACCUEIL

PRESENTATION DE LA STRUCTURE

--- ----------

1. Historique et statut

Le groupe Les Mutuelles du Mans Assurances (société d'assurance de droit français) s'est établi en Côte d'Ivoire au début des années 1960.

Il a opéré sur le marché ivoirien jusqu'en 1987, par le biais d'une succursale en Côte d'Ivoire. En 1997 cette succursale change de dénomination et devient« Le Mans Assurances Internationales IARD ».

Depuis Février 2002, la filiale a été rachetée par le Groupe SUNU Assurances Holding S.A, fondé par des professionnels de l'assurance, ayant exercé des responsabilités dans des grands groupes internationaux (MG FA-Direction Paris, CI GNA, UAP puis AXA Assurance).

Le Mans Assurances Internationales changera de dénomination sociale le 01 janvier 2005 pour devenir« Le Millenium Assurances Internationales IARD » (LMAI-IARD).

LMAI-IARD est une société anonyme (SA) avec un capital de trois milliards cinq cent millions (3 500 000 000) FCFA. Elle est inscrite sous le registre de commerce n°CI-ABJ-1977- B-24-398. Son siège se situe au plateau à Immeuble Le Mans (Avenue Botreau-Roussel).

LMAI-IARD appartient à un groupe de dix-huit(18) compagnies· présentes dans onze(ll) pays africains :

Côte d'Ivoire (LMAI -IARD, LMAI-VIE, 3A-VIE et UA-VIE); Bénin (UBA-Vie et AVIE); Burkina Faso (Raynal SA et UAB-VIE); Centrafrique (UAC-IARD); Cameroun (UACAM-VIE); Gabon (UAG -VIE); Guinée (UA Guinée); Mali (UAM); Niger (UGAN-IARD et UGAN-VIE); Sénégal (UASEN-VIE); Togo (UAT-VIE et UAT-IARD).

D!AWARA Daoud Ben Ahmed 4 Diplôme d1ngénieur de Conception, Option MIAGE

Page 16: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

2. Les activités de LMAI-IARD

Le Millenium Assurances Internationales IARD est une compagnie d'assurance spécialisée en :

Assurance automobile ; Assurance multirisque habitation ; Assurance multirisque professionnelle ; Assurance des risques de construction ; Assurance maritime et transports ; Assurance LMAI Voyage ; Assurance Santé.

DIAWARA Daoud Ben Ahmed 5 Diplôme d1ngénleur de Conception, Option MIAGE

Page 17: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

3. Organisation de la structure

5eMœ Sllppo~ ,' .­ ,; , .Assistanœet . :-'3 .ir .,Hmalntenanœ , ,

Département Informatique

Département de l'audit interne et du contrôle

de gestion

Direction Juridique et fiscale

Direction Générale

Assistante de Direction

irection Administrative et Financière

,- , Direction Courtage et Agences

Direction Technique

1

l Direction Commerciale

, Assistants

Assistante de Direction

~iœ Ttésorie , ~ ~ >'

, .• , •..... ,_,.~··_.,:·'!t't\'·'t.t,'.·,,,_, ,_:-, '-, · Service Comptabilité:·

'Technique .. , , ·.

Serviœ des Ressourc:es Humaines ,.

• 1 ,. \ '

Division des Moyens · •. ., Généraux " 1 ' \

• '1 ., }

~ · .. :Assistants , ' ~ .• _ : J: f ' •

, •• ,~ +' , f \. r I ., , • t' 1• ··otpartement de la ··,

Souscription' · ·

Département de la production

Bureau Direct Siège

Unités de pJ'Oduction 1 , - ... _.,;,

• 1

Un~ de production ~

Unités de production )

DIAWARA Daoud Ben Ahmed 6 Diplôme d1ngénieur de Conception, Option MIAGE

Page 18: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 2: ANALYSE DEL' EXISTANT

Avant d'introduire notre projet, il est impératif de mieux cerner l'environnement informatique de notre structure d'accueil afin de déterminer la portée de notre étude. Il est essentiel de disposer d'informations précises sur l'infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du réseau. En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans les choix de nos solutions d'interconnexion et de téléphonie sur IP.

1. Etude de l'existant

1.1. Présentation du réseau LMAI-IARD

Le réseau informatique du siège de LMAI-IARD est réparti sur quatre(4) étages:

Rez-de-chaussée, où est situé le Bureau Direct qui se charge de recevoir la clientèle ; I" Etage où se situent la Direction Technique, la Direction du Courtage et des Agences, et le Département des moyens généraux ; r= Etage au niveau duquel se situent la Direction Générale, le Département du contrôle de gestion et Je Département informatique ; 9ème Etage où se situent la Direction Administrative et Financière.

La salle informatique est située au 7ème étage au Département Informatique.

Cependant il existe des commutateurs au niveau du local technique de chaque étage qui s'occupe de l'interconnexion avec le r= étage.

Toutes les machines sont interconnectées au réseau local par des paires torsadée de type FTP catégorie 6. Toutefois il existe une liaison fibre optique multimode entre le r= étage et le 9ème étage.

Dans les agences la configuration n'est pas très différente de celle du siège, la seule différence se situe au niveau du câblage utilisé qui est de la paire torsadée FTP ou UTP catégorie 5.

La connexion Internet du siège est assurée par ALINK TELECOM, qui offre une connexion WIMAX en Point à Point avec un débit de 2Mb/s. Les agences quant à elles utilisent une connexion Internet ADSL 8Mb/s fournie par CI TELECOM.

Les réseaux locaux de LMAI-IARD que ce soit au siège ou sur les sites distants utilisent une topologie en étoile.

DIAWARA Daoud Ben Ahmed 7 Diplôme d'ingénieur de Conception, Option MIAGE

Page 19: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Ordinateur ....__,- ~: Switch

1.2. Architecture du réseau existant

1.2.1.

'fM<l.,._,(~,Xn?) U.W<(o.tiloo Ub.ln!vl

• ti:.""." ,. , •• œ.e c-.. ,, ~

~ • , . ' t • @

DIAWARA Daoud Ben Ahmed 8 Diplôme d1ngénieur de Conception, Option MIAGE

Page 20: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1.2.2. SiLcs distants

172.16.X.Y fl&[W,U~

11----------1 rROXY

1.3. Analyse du parc informatique

1.3.1 Environnement client

LMAI-IARD a mis à la disposition de ses employés une centaine (100) d'ordinateurs répartis sur plusieurs sites dont les caractéristiques générales sont les suivantes :

Intel Dual core 86 DESKTOP HP lGo - 8Go Intel Core i3 lOOGo - lTo

Intel Core i7

40 DESKTOP DELL !Go - 4Go Intel Dual core lOOGo - SOOGo Intel Core i3

8 LAPTOP HP 4Go Intel Core i3 SOOGo

Toutes ces machines sont réparties comme suit :

80 2 4 2 4 4 4 2 4

PLATEAU - Siège ABIDJAN - Abobo

BINGERVILLE ABIDJAN - Marcory

ABIDJAN - Treichville ABIDJAN - Biétry

ABIDJAN - Yopougon 1 ABIDJAN - Yopougon 2 ABIDJAN - II Plateaux

DIAWARA Daoud Ben Ahmed 9 Diplôme d1ngénieur de Conception, Option MIAGE

Page 21: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

4 4 4 4 4 4 4

ABIDJAN - Riviera ABIDJAN - Angré

ABIDJAN - Angré 8ème tranche BOUAKE

YAMOUSSOUKRO SAN-PEDRO GAGNOA

LMAI-IARD dispose des différentes licences pour les systèmes d'exploitation client tels que : Microsolt Windows XP ; Microsolt Windows 7.

Les différents logiciels utilisés sont les suivants :

NOM _ , • DESCRIPTlON , MICROSOFT OFFICE 2010, 2013 FOXIT READER CLIENT AS400 WINRAR REALVNC SPARK SOPHOS

Suite bureautique. Lecteur PDF. Client permettant d'accéder au serveur de l'application métier. Logiciel utilisé pour la compression des fichiers. Logiciel utilisé pour le contrôle à distance des machines. Client utilisé pour la discussion instantanée entreprise. Logiciel antivirus et pare-feu

1.3,2 Environnement serveur

Le réseau de LMAI-IARD est composé d'une quinzaine (15) de serveurs. Il faut préciser que la plupart des serveurs de la structure sont configurés avec la technologie RAID (Redundant Array of Independent Disk) et plus précisément le RAID 5 et le RAID 3.

Cette technologie permet de stocker des données sur de multiples disques durs afin d'améliorer, en fonction du type de RAID choisi, la tolérance aux pannes et/ou les performances de l'ensemble.

Le nombre important de serveurs est due au grand nombre d'applications et des bases de données développées en architecture client-serveur.

Les serveurs sont dimensionnés comme suit :

1 4 2 3

iSeries 400 PROUANT DL XXXX PROUANT ML XXXX

PRO XXXX

IBM HP HP HP

256Mo - 32Go 2Go-8Go

512Mo- 4Go

Intel Xeon Intel Xeon

Intel Dual core

DIAWARA Daoud Ben Ahmed 10 Diplôme d'ingénieur de Conception, Option MIAGE

Page 22: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

LMAI-IARD dispose des différentes licences pour les systèmes d'exploitation serveur tels que :

Microsoft Windows Serveur 2008 ; Microsoft Windows Serveur 2008 R2; Microsoft Windows Serveur 2012 R2 ; Debian 5, 7.

Les différents logiciels utilisés sont les suivants :

WAMP OPENFIRE LAMP SAGE QLIKVIEW ASSURIAD SUNUPAC KANTECH

Serveur Web fonctionnant sur Windows, englobant un SGBD MySQL. Serveur pour messagerie instantanée. Serveur Web fonctionnant sur Linux, englobant un SGBD MySQL. Logiciel de gestion des ressources humaines, comptable, et financière. Logiciel de Business Intelligence. Logiciel métier pour l'assurance. Nouveau logiciel métier pour l'assurance. Logiciel de gestion de sécurité pour les entrées et sorties.

Les différents rôles et service utilisés sont les suivants :

Rôle Active directory

Rôle DNS

Rôle HYPER-V

Rôle IIS

Rôle serveur de fichier

Rôle service d'activation en volume

Rôle Windows Server Backup

Rôle Windows Server Update Service

Ce rôle permet de mettre en place une infrastructure extensible, sécurisée et gérable pour la gestion des utilisateurs et des ressources, et offrir une prise en charge des applications d'annuaire Rôle utiliser pour la résolution des noms en interne. Rôle serveur permettant la virtualisation des environnements systèmes. Ce rôle permet la mise en place d'un serveur Web. Ce rôle est utilisé pour la mise en place de serveur de fichier, celui-ci permet une centralisation tâches de partages. Ce rôle permet l'activation en volume de déployer et de gérer les licences en volume pour un parc d'ordinateurs de taille moyenne ou étendue. Ce rôle permet la sauvegarde des serveurs et aussi leurs restaurations en cas de panne. Ce rôle permet aux administrateurs des technologies de l'information de déployer les dernières mises à jour des produits Microsoft. s de Microsoft Update, sur les ordinateurs de leur réseau

l.3.3. \1at(•nel d'i11terrn1111cxH>11 réseJu loc~d

Les différents équipements d'interconnexion en local sont les suivants :

DIAWARA Daoud Ben Ahmed 11 Diplôme d1ngénieur de Conception, Option MIAGE

Page 23: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1

8 2

Siège, Agences

Siège, Agences Siège

Routeur, pare-feu, proxy, DNS, VPN (service non utilisé) Switch Transceiver Fibre Optique

MIKROTIK

HP, CISCO DLINK

Descriptif du routeur Mikrotik

Mikrotïkls Ltd., connu sous l'appellation internationale MikroTik, est un fabricant de matériel de réseau informatique basé en Lettonie. Il vend des composantes de réseau sans fil et des routeurs. La compagnie fut fondée en 1995, se concentrant à la vente de produits de réseautique sans fil sur les marchés émergents.

Le produit vedette de MikroTik est le routeur MikroTik Routeras, dont le système d'exploitation est bâti sur le kernel Linux. Ce système permet de transformer un ordinateur personnel en routeur, incluant des fonctionnalités telles qu'un Pare-Feu, un serveur et un client VPN, contrôler le trafic en fonction d'une qualité de service (QOS), un accès réseau sans fil. Le système peut également être utilisé afin de créer un portail captif. Ce système d'exploitation possède une licence multi-niveaux, chaque niveau offrant davantage de fonctionnalités. Une interface graphique, nommé Winbox, est également disponible afin de configurer le système. Enfin, une API permet de personnaliser le système et le surveiller.

Celui-ci est installé sur presque tous les équipements commercialisé par la société. L'équipement utilisé lors de ce projet est le routerBoard RB1100AHx2. Cet équipement étant basé sur le noyau linux, il nous permet une certaine flexibilité dans la manipulation et la configuration.

··································~····································· ...........•............................................................

1.3.4. Equipements téléphoniques

Les différents équipements téléphoniques sont les suivants :

Passerelle GSM Autocommutateur PABX

HYPERMEDIA SIEMENS HiPATH 3800

DIAWARA Daoud Ben Ahmed 12 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 24: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Descriptif de l'autocommuteur SIEMENS HiPATH 3800

Siemens HiPath 3800 est un serveur de communication de la famille HiPath 3000 de Siemens, il a une capacité maximale de 500 utilisateurs répondant de manière optimale aux besoins et aux exigences des petites entreprises.

HiPath 3800 gère des applications à valeur ajoutée, telles que le Cordless, le Couplage Téléphonie Informatique, la messagerie vocale ou messagerie unifiée, le Least Cast Routing (de base), les solutions hôtelières, des solutions de Wireless LAN et de voix/ données sur IP, Le Real-Time IP System.

Le serveur de communication HiPath 3800 dispose de base de l'équipement suivant : 2 accès TO/SO pour connexion au réseau RNIS de l'opérateur ; 8 interfaces numériques pour raccordement de terminaux numériques optiPoint ou des bornes DECT ; 4 interfaces analogiques pour raccordement de terminaux analogiques, postes, fax, modem ..... 1 interface série (V24) pour la gestion de la taxation ; 2 à 7 slots d'extension permettent d'augmenter les capacités et de gérer les solutions IP.

Côté réseau : accès RNIS (TO/T2) ; accès IP. Côté abonnés : numériques ; analogiques ; IP pour raccordement de postes IP directement sur le LAN.

DIAWARA Daoud Ben Ahmed 13 Diplôme d1ngénieur de Conception, Option MIAGE

Page 25: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1.3.5. J\utrcs equ,pcmcnts

Les autres équipements présents dans l'environnement informatique de LMAHARD sont les suivants :

E UIPEMENT . . UANTITE Imprimante 30 Scanner 6 Fax 2 Photocopieuse 3

1.4. Outils de ~estion du trafic réseau

Pour l'analyse du trafic, nous nous sommes servis de l'outil logiciel Wireshark. Cet outil nous a permis d'observer le trafic ainsi que l'utilisation de la bande passante.

dt_...-c-,. .... _. tw,.......,1.1,1J~'f"l,._IICIIJ--UCII , •• , •• ~ (;o ,_ ..., •• i,..,..1 .. .-...: 1--""" o • 4 • " C'- X" '• •• • O" "".t "" ~F;j 0. U. ~ 0 W l!) "tl .;, ;I

...•.. :~ o;..n:•'*'"·' lll.lJ :,··u •tl•tJOlf.:,IN.l • 14·11: •••,•w••• 1u 1: •••t U •~M"l.Olt: !U.1, ,...,1, , .. u.., •• , n1.,: 1?'11; •''tHOIU IU 1 • "I,." Il •• , ••• ,a.,, , .. ·11.,: ..• ,.,_,_ . .,,, .. ,. .'Ill c/ , •• ,o,,c.?.< ;11.\1 Hn1 •. ,...,11111t1.1u .• l•MI.' ~,- •.•••• , .'tl,>I ;10• ., ~1,;•~h, IN;• :,w1;.1;w1 ••• 11., 1J1 ,; ,utu ,.r.w·a,.: ,u., ,_i:s:tN•ut,:11 ,: ,~,, ,: \;,;, •.• ,1,:., •• l 1 : ••• ,,,:·,:1:1°,,:·.,_\) 1.w, ,: ,~·.·ic et/ '"'· :0,1: ,n·, ••.••. ,.:11 ,1

--- i~ 101.;., tt.•.:11 IJ •• , Ill·-· u.,.i1: Il

n, IH Il

., .. :,;). ,,/Of:., rf. •. :,1 ~;

1•11•.,1,

.,_ 1, l'i• ,i.tn ••• ~•·• (IUH ,,1,). 1•1• '>,ln,_,.. • ., ~11;u •H•l., ,,...,.,.,., · :~::~t::~.:i~=~~:~r,l:::~!irfri:t~:~:Tu;~;;~L~~~~ 1~1~.:~(t~,::: IM ... ,,....\o•t~'-'"''"".t•"'

1.5. Gestion de la séetffité

La gestion de la sécurité est assurée à trois niveaux. La première protection est celle du réseau, celle-ci est assurée par un pare-feu matériel qui effectue un filtrage sélectif de tous les paquets qui y circule. Il y'a aussi un IDS (Intrusion Detection System) qui effectue l'analyse des paquets pour voir s'ils ont des signatures suspectes et les mettre sur liste noire. Il existe aussi un proxy qui se charge de filtrer les sites Internet qui sont autorisés à être visités ; La seconde protection se situe au niveau des postes clients et des serveurs, ceux-ci utilisent une solution antivirus assez complète appelée « Sophos » qui installe un HIPS (Host Intrusion Prevention System), un antivirus et un pare-feu logiciel ;

DIAWARA Daoud Ben Ahmed 14 Diplôme d'ingénieur de Conception, Option MIAGE

Page 26: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

La troisième protection se situe au niveau des comptes utilisateurs, chaque utilisateur voulant accéder à une machine du réseau doit avoir un compte utilisateur et un mot de passe qui est changé automatiquement tous les 3 mois. Cette authentification se fait par active directory.

1.6. Plan d'adressage

Dans cette partie, par mesure de sécurité toutes les adresses IP qui seront fournies sont fictives.

SITE ELEMENT, ADRESSE IP Plage LAN 10.A.B.C

Siège Plage serveurs 10.A.D.E Plage postes clients 10.A.F.G Plage autres équipements 10.K.L.M

Agences Plage LAN 172.16.X.Y

2. Critique de l'existant

2.1. Points forts

Présence d'une connexion internet au niveau de presque toutes les agences ; Présence d'un pare-feu qui sécurise le réseau ; Présence d'un équipement qui peut faire office de serveur VPN.

2.2. Points faibles

Absence d'interconnexion entre les sites distants ; Absence de VLAN pour la segmentation du réseau ; Absence d'infrastructure de téléphonie sur IP ; Absence de microphone au niveau des PC.

D!AWARA Daoud Ben Ahmed 15 Diplôme d1ngénieur de Conception, Option MIAGE

Page 27: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 3 : PRESENTATION DU PROJET

1. Présentation du projet et positionnement du thème

LMAI-IARD est une compagnie d'assurance basée en Côte d'Ivoire depuis 1997. A l'origine, celle-ci n'avait que l'agence du siège. Face à l'évolution du marché, elle a décidé de s'étendre aux villes de l'intérieur du pays.

Cette évolution lui a permis d'accroitre sa présence sur le plan national et par la même occasion d'accroître son chiffre d'affaire. Mais cette évolution n'a pas été sans conséquences. En effet en délocalisant son personnel un problème majeur s'est créé : la hausse des factures d'appels.

La Direction de LMAI-IARD a constaté suite à un audit qui s'est produit en interne, qu'une très grande partie de ses dépenses téléphoniques étaient dus aux appels internes.

Dans l'optique de réduire ses dépenses et de fournir à son personnel des solutions modernes et innovantes, elle sollicite son Département Informatique pour lui proposer une solution qui pourra lui permettre de satisfaire ses besoins.

Dans le cadre de notre stage chez LMAI-IARD, il nous a été demandé de conduire une étude pour réaliser ce projet, sous le thème : « Etude et mise en place d'un système de téléphonie sur IP sécurisé, dans une configuration d'entreprise multi­ site. »

Ainsi, les solutions choisies devront permettre l'interconnexion des sites distants avec le siège, en réalisant un excellent compromis entre les coûts d'investissement, la disponibilité et la qualité d'écoute. En effet, cette dernière devra être irréprochable.

2. Contraintes et exigences du cahier de charges

Le projet est réalisé sous la direction du Département Informatique. La solution devra permettre les fonctionnalités suivantes :

Appels conférence, cette fonction devra permettre de discuter avec au moins trois interlocuteurs simultanément ; Appels en attente, cette fonction devra permettre aux différents appelants d'être mis en attente au cas où la ligne de la personne qu'ils souhaitent joindre est occupée; Appels par noms Authentification, cette fonction devra permettre aux personnes désirant effectuer des appels de le faire via le nom du correspondant ; Enregistrement d'appel (monitor), cette fonction permettra d'avoir un journal des différents appels qui sont effectués pour d'éventuels statistiques ou audits ; - -

DIAWARA Daoud Ben Ahmed 16 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 28: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

____ ,.::,_ 7Vdr Mémoire de fin d'études

Interception d'appel (pickup), cette fonction devra permettre de récupérer l'appel à destination d'une autre personne ; Listes noires, cette fonction permettra d'ajouter des numéros indésirables ; Ne pas déranger (DnD), cette fonction devra permettre de mettre sa ligne d'appel en mode « ne pas déranger » pour ne pas recevoir d'appels ; Messagerie vocale, cette fonction devra permettre de laisser des messages vocaux à des interlocuteurs ; Visio-conférence, cette fonction permettra de faire des appels vidéos pour des conférences vidéo ou même pour des formations à distance ; Musique d'attente, cette fonction permettra d'avoir une mélodie d'attente qui permettra aux appelants de patienter dans une assez bonne ambiance ; Transferts d'appels, cette fonction devra permettre de transférer un appel d'un interlocuteur à un autre.

Les contraintes qui nous ont été imposées sont :

Opter pour des solutions peu couteuses ; Proposer des solutions fiables et hautement sécurisées.

3. Proposition de solution

Afin de répondre aux attentes des dirigeants de LMAI-IARD, Je Département Informatique a effectué des travaux de recherches et au vue du cahier de charges qui a été fourni, il est important d'opter pour des solutions à la fois performantes et peu couteuses.

L'idéal pour répondre à ces contraintes serait d'utiliser autant que possible des solutions« opensource·», en effet les solutions dites« opensource » ont Jeurs codes sources à la disposition du grand public, et c'est généralement un effort de collaboration où les programmeurs améliorent ensemble Je code source et partagent les changements au sein de la communauté ainsi que d'autres membres peuvent contribuer. Ces solutions sont généralement gratuites d'utilisation.

Dans la réalisation de ce projet nous intégrerons deux(2) solutions différentes qui seront structurées comme suit :

Solution d'interconnexion : l'utilisation de VPN ; Solution de téléphonie sur IP : l'utilisation d'ASTERISK, qui est une solution opensource.

LMAI-IARD à l'avantage d'avoir en sa possession un équipement très puissant pouvant faire office de serveur VPN, ce qui est un atout pour la suite du projet en termes de coût.

Dans la suite, nous présenterons les différentes technologies d'interconnexion, de téléphonie sur IP et nous justifierons le choix des deux(2) solutions citées ci-dessus.

DIAWARA Daoud Ben Ahmed 17 Diplôme d1ngènieur de Conception, Option MIAGE

Page 29: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

DES SOLUTIONS

CHAPITRE 1 : TECHNOLOGIES D'INTERCONNEXION. CHAPITRE 2 : TELEPHONIE SUR IP. CHAPITRE 3 : CHOIX DES SOLUTIONS.

DIAWARA Daoud Ben Ahmed 18 Diplôme d'ingénieur de Conception, Option MIAGE

Page 30: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE l : TECHNOLOGIES D'INTERCONNEXION

Toute entreprise avec urie configuration multi-site a le souci majeur de pouvoir partager ses informations avec ses différents sites géographiquement éloignés.

L'idéal pour pallier à ce problème serait de trouver le moyen de lier ces différents sites entre eux de manière transparente à l'utilisateur. On parlera alors d'interconnexion de sites distants. Cependant un problème se pose vu que la distance entre ces différents sites peut variée d'un km à une centaine de kilomètres, il faudra donc trouver une technologie qui puisse allier performance et coûts.

Pour l'interconnexion de sites, on peut utiliser différentes approches d'interconnexion reposant sur différents types de liaisons.

DIAWARA Daoud Ben Ahmed 19 Diplôme d'ingénieur de Conception, Option MIAGE

Page 31: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1. Approches d'interconnexion 1.1. Interconnexions par réseaux privés virtuels

1.1.1. Présentation l!J

Cette solution est la plus simple et la moins couteuse à mettre en œuvre, elle s'appuie typiquement sur un réseau d'opérateur public. En effet les réseaux privés virtuels(RPV) ou Virtual Private Network(VPN) en Anglais disposent des mêmes fonctionnalités qu'un réseau privé (utilisant des lignes spécialisées), mais utilise Internet pour créer des lignes louées virtuelles qui passent par le réseau public.

Un VPN permet le raccordement de travailleurs mobiles et l'interconnexion de sites distants. Il est constitué de liaisons virtuelles construites au sein d'une infrastructure informatique publique telle qu'Internet, Ces liaisons permettent l'interconnexion entre des sites distants appartenant à une même société ou à un même organisme. Les informations sont transmises à travers un « tunnel » crypté sur internet.

1.1.2. Avantages et Inconvénients

Avantages: une couverture géographique mondiale ; le coût de fonctionnement le plus bas du marché (tarifs calculés sur la plus courte distance au point d'accès opérateur) ; offre des garanties de sécurité (utilisation de tunnels) ; solution pour la gestion des postes nomades (grands nombres de points d'accès).

Inconvénients: la qualité de service ( et les délais d'acheminement) n'est pas garantie ; les performances ne sont pas toujours au rendez-vous ; Compétences requises pour la mise en œuvre.

1.2. Interconnexion par infrastructure dédiée

Celle-ci peut être mise en œuvre par l'usage de la fibre optique ou des liaisons radios. Elle est destinée aux grandes entreprises qui souhaitent elles-mêmes déployer leurs propres réseaux de transport. Exemple : Google, Microsoft ;

Cette solution étant très complexe à mettre en œuvre, elle ne sera pas développer dans la suite.

DIAWARA Daoud Ben Ahmed 20 Diplôme d1ngénieur de Conception, Option MIAGE

Page 32: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1.3. Interconnexion par liaisons spécialisées

Elles sont utilisées par les entreprises pour interconnecter leurs réseaux locaux en ayant recourt aux opérateurs téléphoniques ou aux fournisseurs d'accès internet. Elle peut être mise en place en utilisant les liaisons radios, les liaisons satellites ou les liaisons xDSL.

l .3.1 Présentation 121

Une Ligne Spécialisée (LS), en abrégé LS est une connexion permanente constituée d'un ou de plusieurs tronçons d'un réseau public mis bout à bout et mise à la disposition d'une organisation.

Par le biais d'un canal unique exclusivement réservé à une entité, une liaison spécialisée offre la possibilité d'échanger tous types de données : voix, données, images. Toutes les communications sont sécurisées, en effet une ligne spécialisée présente une sécurité intrinsèque puisque le canal de communication est dédié et la limitation du débit ne pose pas de problème puisque les opérations de gestion des équipements ne consomment que très peu de bande passante et offrent ainsi une fiabilité et une confidentialité totales.

Les lignes spécialisées sont aussi appelées « lignes louées ». C'est une liaison offrant des débits de connexion symétriques, qui permet la transmission de données à moyens et hauts débits {2,4 Kbps à 140 Mbps) en liaison point à point ou multipoints.

Les 3 lignes les plus répandues sont les Tl (1.SMbps), les T2 (6 Mbps), et les T3 ( 45Mbps). Il existe aussi des lignes nettement plus rapides: ce sont les El (2Mbps), E2 (8Mbps), E3 (34Mbps), et E4 (140Mbps) qui sont inaccessibles pour les particuliers.

1.3.2. Avantages et Inconvénients

Avantages: Permet un débit fidèle pour la transmission de données ; Sécurise les données circulant ; Permet une transmission de l'information en temps réel.

Inconvénients : La location de ligne spécialisée est très couteuse ; Le besoin d'un opérateur de télécommunication pour pouvoir être déployé.

OIAWARA Daoud Ben Ahmed 21 Diplôme d'ingénieur de Conception, Option MIAGE

Page 33: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

2. Types de liaison 2.3. Les liaisons Radios Ll. l Prescnlation r3J

Lorsque les ondes radio remplacent le câble, la boucle locale appelée communément « dernier kilomètre » reliant l'abonné au central de gestion, devient la boucle locale radio (BLR). Ce dernier capillaire remplace le raccordement qui est le plus souvent assuré par des fils en cuivre.

Le principe repose sur la distribution d'informations d'un point (BTS) vers n (clients). La couverture de cet émetteur va de deux kilomètres à plus d'une cinquantaine de km selon la fréquence utilisée. Cette cellule, comme dans le cas de la téléphonie cellulaire, peut être juxtaposée à d'autres afin d'assurer une couverture plus importante. En effet, il suffit de relier entre eux par faisceaux hertziens (ou autres) les stations de base radio pour finalement obtenir une macro cellule de plusieurs dizaines de kilomètres. Ainsi la boucle radio désigne les infrastructures de transmission d'un réseau de télécommunication à travers les ondes ouvertes au public ou règlementées reliant directement les clients aux équipements de commutation auxquels ils sont rattachés.

Il existe plusieurs systèmes appliquant le concept de la BLR. La BLR peut être considérée comme des liaisons numériques fixes point à point (P-P) ou comme des liaisons numériques point à multipoint (PMP). Plusieurs bandes de fréquence sont allouées à la BLR en Afrique. En Côte d'ivoire l'organisme en charge de l'attribution des bandes de fréquences est L'ARTCI (L'Autorité de Régulation des Télécommunications{l1C de Côte d'Ivoire).

La BLR utilise deux bandes de fréquences autour de 3.5 et 26 GHz : La BLR à 3.5GHz ou système WIMAX (Worldwide Interoperability for Microwave Access) : c'est une liaison liaison point à point ou multipoints caractérisée par une portée de lOKm en visibilité directe LOS (Line Of Sight) et de 500m/1Km en visibilité indirecte; La BLR à 26GHz ou LMDS(Local Multipoint Distribution Service): c'est une liaison point multipoint d'une station de base vers les abonnés (liaison descendante) avec une portée de 3-5 Km en visibilité directe, et une liaison point à point de l'abonné vers les stations de base (liaison ascendante).

2.3.2. i\va11l<1ges et i11co11vénie11ts

Avantages: Débit constant : chaque internaute dispose de son propre canal de communication ; Facilité, flexibilité et rapidité du déploiement du réseau ;

O!AWARA Oaoud Ben Ahmed 22 Diplôme d1ngénieur de Conception, Option MIAGE

Page 34: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

parfaitement adapté aux régions rurales, à faible densité de population ou la desserte des zones reculées (dans les pays à faible taux de pénétration téléphonique).

Inconvénients : Sensibilité aux conditions météorologiques : chute de débit de 30% ; Les signaux ne peuvent pas traverser les obstacles entre les antennes émettrices et réceptrices ; La sécurisation d'un réseau aérien, toujours plus délicat.

Entrèpnse Station de Base

BLR Patticufier

2.4. Les liaisons satellites 2.4.1. Présentation 141

Un satellite de télécommunication peut être considéré comme une sorte de relais hertzien. En effet, il n'interprète pas les données : ce n'est qu'un simple miroir. Son rôle est de régénérer le signal qu'il a reçu et de le retransmettre amplifié en fréquence à la station réceptrice. Le satellite offre également une capacité de diffusion, c'est-à-dire qu'il peut retransmettre les signaux captés depuis la terre vers plusieurs stations. La démarche inverse peut également être effectuée ; il peut récolter des informations venant de plusieurs stations différentes et les retransmettre vers une station particulière. De plus, il est également possible d'établir des liaisons directes entre satellites. Pour résumer on peut dire qu'un satellite est un élément spatial qui a pour rôle de produire ou relayer des données vers différents récepteurs terrestres.

Par ailleurs les transmissions satellites permettent de mettre en œuvre aisément (à comparer avec les structures câblées) les principes de diffusion. En effet il est possible de diffuser facilement et de façon économique (en bande) depuis un satellite la même information à de nombreuses stations ou à l'inverse relayé depuis un satellite la synthèse de multiples sources terrestres ou spatiales.

DIAWARA Daoud Ben Ahmed 23 Diplôme d1ngénleur de Conception, Option MIAGE

Page 35: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Les satellites utilisent la force gravitationnelle de notre planète afin de se maintenir à une position et à une distance déterminée de la terre. Il est ainsi possible de définir à tout moment quelles sont les caractéristiques du satellite pour établir des transmissions.

Les différents types d'orbites, et donc de satellites, diffèrent selon leur altitude et leur inclinaison par rapport au plan de l'Equateur :

L'orbite terrestre géostationnaire ou GEO (Geostationary Earth Orbital en anglais) est une orbite située à 35 784 km d'altitude au-dessus de l'équateur de la Terre. Elle est sans aucun doute l'orbite la plus répandue aujourd'hui, car le satellite se déplace en même temps que la terre ; il fait donc le tour de la terre en 24h (durée qui correspond au temps de rotation de la terre) et paraît donc immobile dans le ciel ; L'Orbite terrestre moyenne ou MEO (Medium Earth Orbital en anglais) communément appelée orbite circulaire intermédiaire, est une orbite autour de la Terre située entre 2 000 et 35 786 kilomètres d'altitude ; Orbite terrestre basse ou LEO (Low Earth Orbital en anglais), est une zone de l'orbite terrestre allant jusqu'à 2 000 kilomètres d'altitude

Bande de fréquences : Avec l'auqrnentation continue du nombre de systèmes, le problème de l'allocation des

fréquences devient aujourd'hui crucial. Les principales bandes utilisées (fréquence de montée/ fréquence de descente) sont actuellement les suivantes:

La bande L (1,6/1,4 GHz), de 80 MHz de largeur, réservée aux communications mobiles constitue la bande de fréquence la moins sujette aux perturbations atmosphériques. Elle est utilisée par de petites stations terrestres mobiles (bateaux, véhicules terrestres et avions). Étant donné le nombre actuel de projets de téléphonie mobile en cours, elle risque de devenir rapidement insuffisante; La bande C (6/4 GHz), d'une largeur de 500 MHz, très employée par les centaines de satellites actifs aujourd'hui en orbite. De ce fait, elle est actuellement saturée; La bande X (8/7 GHz), réservée aux applications militaires; La bande Ku (14/ 12 GHz), également beaucoup utilisée, principalement par de grandes stations terrestres fixes; La bande Ka (30/20 GHz), qui demeure la seule encore libre. Mais l'utilisation de fréquences élevées implique un coût technologique important. De plus, ces dernières sont très sensibles aux perturbations atmosphériques.

2.4.2. Avantages et Inconvénients

Avantages: Une très grande surface de couverture Le satelüte est particulièrement bien adapté aux villages éloignés des grandes voies de communication électronique ou bien pour connecter des entreprises isolées.

DIAWARA Daoud Ben Ahmed 24 Diplôme d1ngénieur de Conception, Option MIAGE

Page 36: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études ~

Inconvénients : Coût de déploiement élevé ; Les coûts récurrents sont très élevés ; Le temps de latence élevé suivarit l'orbite suivi, ce qui n'est pas du tout approprié pour les applications en temps réel. Ci-dessous un récapitulatif du temps de latence suivant l'orbite parcouru :

GEO · ' · MEO · LEO Altitude Temps de latence

35786 km 260ms

2000 à 35000 km lOOms

200 à 2000 Km <!Oms

Satellite

.., ft

Terminal

Hub

LU. Prcscntc1llon tic Ici tcchnolog1L! VSJ\T

Le sigle VSAT signifie Very Small Aperture Terminal (terminal à très petite ouverture). Celle-ci n'est pas une technologie normalisée mais plutôt un concept. En effet, chaque constructeur a sa propre manière d'implémenter le système. Même si tous les systèmes fonctionnent sur le même principe, la plupart des détails techniques et des définitions de protocoles utilisés sont bien gardés par chaque constructeur.

Le VSAT est un système qui repose sur le principe d'un site principal (le hub) et d'une multitude de points distants (les stations VSAT).

Le hub est le point le plus important du réseau, c'est par lui que transite toutes les données qui circulent sur le réseau. De par son importance, sa structure est conséquente:

DIAWARA Daoud Ben Ahmed 25 Diplôme d'ingénieur de Conception, Option MIAGE

Page 37: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

une antenne entre 5 et 7 mètres de diamètre, plusieurs baies remplies d'appareils. C'est aussi lui qui gère tous les accès à la bande passante.

Les stations VSAT permettent de connecter un ensemble de ressources au réseau. Dans la mesure où tout est géré par le hub, les points distants ne prennent aucune décision sur le réseau ce qui a permis de réaliser des matériels relativement petits et surtout peu coûteux. Dans la plupart des cas, une antenne d'environ 1 mètre permet d'assurer un débit de plusieurs centaines de Mb/s. Une station VSAT n'est donc pas un investissement important et l'implantation d'un nouveau point dans le réseau ne demande quasiment aucune modification du réseau existant. Ainsi une nouvelle station peut être implantée en quelques heures et ne nécessite pas de gros moyens.

Fréquence VSAT Bande Fréquence GHz Encombrement Puissance transmise Effet pluie

Bande C

Bande Ku

Bande Ka

3 à 7

10 à 18

18 à 31

Large Moyen

Petit

Basse Moyenne

Haut

M1mn1um Modéré

Sévère

+ ' ~T- -- ~ .

••• ., ••• ,1""" •••.•.•

up ,-~u(Î ~ 1

o ,-vi ,_,

/

LD t]JJ 1

. :J -1~ ] 1 "/

Q li ~ ' 1 ~ . , ___ , __ '-·-~- 0-- ,_,, ...

Interne! Rëseau pubhc

DJAWARA Daoud Ben Ahmed 26 Diplôme d1ngénieur de Conception, Option MIAGE

Page 38: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

2.5 . La liaison fibre Optique 2.5.1. Présentation

La fibre optique désigne un câble qui contient une couche en silice/germanium ou en plastique capable de conduire la lumière. C'est cette lumière qui va être transportée dans la fibre et interprétée à sa réception.

Il s'agit aujourd'hui de la méthode la plus efficace pour transmettre rapidement des données d'un point à l'autre, la fibre optique a d'abord été utilisée dans les réseaux des opérateurs en télécommunications. Invisible aux yeux des utilisateurs, elle sert pourtant à transmettre les données d'un pays à l'autre, où d'une région à l'autre. Les entreprises se sont aussi mises à utiliser la fibre optique pour leurs réseaux à longue ou moyenne distance.

Il existe deux types de fibres optiques : La fibre multimode dénommée MMF (MultiMode Fiber) : elle est principalement utilisée dans les réseaux locaux (LAN) dont la distance n'excède pas 2 km. La transmission des données se fait, en général, au moyen d'une LED d'une longueur d'onde de 850 nm ou 1300nm ; La fibre monomode dénommée SMF (Single Mode Fiber) : elle est principalement utilisée par les opérateurs pour couvrir de grandes distances (WAN). La transmission des données se fait au moyen d'un laser d'une longueur d'onde de 1300 nm, 1550 nm ou 1625 nm.

2.5.2. Avantages cl Inconvénients

Avantages: La fibre optique possède l'avantage d'être naturellement insensible à des perturbations électriques extérieures ; Le débit de transmission des données est très élevé (des débits pouvant aller à lOGb/s); La transmission par fibre optique se fait sur de longues distances (jusqu'à 40Km) ; Il est impossible « d'écouter » ou d'intercepter les signaux lumineux qui circulent à l'intérieur d'une fibre optique. Le support est sécurisé.

Inconvénients : La pose de fibre optique génère des coûts élevés ; La silice qui est le matériau au centre de la fibre est très fragile, ce qui rend la fibre en elle-même très délicate à manipuler ; La connexion de deux fibres optiques requière un polissage délicat et un parallélisme parfait.

DIAWARA Daoud Ben Ahmed 27 Diplôme d'ingénieur de Conception, Option MIAGE

Page 39: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

ft•r.1 1 •..... ~ •.

t (.,.,,"

... ~ .. ".

~ ,,:;r: ah· t~ 1 •

/ 1

1 l 1 1

(.il'# 1 t

,.nc,;ic o\,r,c G~~ o~~ ~<c f>.P{R

2.6. La liaison XDSL 2.6.1. Présentation [4]

Le terme DSL ou xDSL signifie Digital Subscriber Line (Ligne numérique d'abonné) et regroupe l'ensemble des technologies mises en place pour un transport numérique de l'information sur une simple ligne de raccordement téléphonique.

Les technologies xDSL sont divisées en deux grandes familles, celles utilisant une transmission symétrique (débit identique en flux montant (utilisateur/central) comme en flux descendant (central/utilisateur)), et celle utilisant une transmission asymétrique (débit du flux descendant supérieur à celui du flux montant).

Ci-dessous une synthèse des technologies XDSL :

Mode de Asymétrique Symétrique ou Asymétrique Symétrique Symétrique transmission Asymétrique

1,5444 à 9 13 à 51 0,600 à 7 1.544 Débits (Mb/s) 0,016 à 1,544 à 2,3 0,128 à 1,024 2,048 0,128 à 2

0,640 Mode de Descendant Descendant Descendant Duplex sur 2 paires

fonctionnement Duplex signal Montant Montant Montant Duplex sur 3 pair~s

DlAWARA Daoud Ben Ahmed 28 Diplôme d1ngénieur de Conception, Option MIAGE

Page 40: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

2.6.2. Avantages et Inconvénients

Avantages:

L'utilisation d'un support existant (les câbles téléphoniques); La possibilité d'utiliser simultanément le téléphone et l'accès internet.

Inconvénients :

Le débit décroit avec la distance; Des perturbations peuvent êtres engendrées par la ligne de cuivre ; La connexion à internet introduit un risque potentiel dans Je système d'information de l'entreprise.

DJAWARA Daoud Ben Ahmed 29 Oiplôme d1ngénieur de Conception, Option MIAGE

Page 41: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études ------------ CHAPITRE 2: TELEPHONIE SUR IP

1. Présentation

La voix sur IP (Voice over Internet Protocol) est une technologie de communication vocale en pleine émergence. Elle est l'une des technologies de communication les plus avancées actuellement pouvant s'intégrer parfaitement à la convergence du triple play (voix, données et vidéo). De ce fait de nombreux standards ont été développés pour bénéficier de l'avantage du transport unique IP qui permettra d'introduire de nouveaux services voix et vidéo.

Ce fût en 1996 la naissance de la première solution de voix sur IP nommée H323. Issu de l'organisation de standardisation européenne ITU-T sur la base de la signalisation voix RNIS (Q931). Le H323 a ensuite subi de nombreuses évolutions ce qui a permis de donner naissance à de nouveaux standards d'autant plus évolués et performants les uns des autres.

Le signal numérique obtenu par numérisation de la voix est découpé en paquets qui sont transmis sur un réseau IP vers une application qui se chargera de la transformation inverse (des paquets vers la voix). Au lieu de disposer à la fois d'un réseau informatique et d'un réseau téléphonique commuté (RTC), l'entreprise peux donc, grâce à la VoIP, tout fusionner sur un même réseau. Cela part du fait que la téléphonie devient de la « data ». Les nouvelles capacités des réseaux à haut débit devraient permettre de transférer de manière fiable des données en temps réel. Ainsi, les applications de vidéo ou audioconférence ou de téléphonie vont envahir le monde IP qui, jusqu'alors, ne pouvait raisonnablement pas supporter ce genre d'applications (temps de réponse important, gigue, débit, ... ). Jusque vers le milieu des années 90, les organismes de normalisation ont tenté de transmettre les données de manière toujours plus efficace sur des réseaux conçus pour la téléphonie. A partir de cette date, il y a eu changement. C'est sur les réseaux de données, que l'on s'est évertué à transporter la parole. Il a donc fallu développer des algorithmes de codage audio plus léger en termes de consommation en ressource et introduire des mécanismes de contrôle de la qualité de service dans les réseaux de données. Faire basculer différents types de données sur un même réseau permet en plus, de simplifier la gestion des réseaux.

2. Fonctionnement

Lorsqu'un utilisateur veut entrer en communication avec un autre, une connexion est alors établie entre les deux terminaux. L'utilisateur peut alors émettre un son par le biais d'un micro (signal analogique) qui est ensuite numérisé et compressé par la machine (signal de synthèse).

DIAWARA Daoud Ben Ahmed 30 Diplôme d'ingénieur de Conception, Option MIAGE

Page 42: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Une fois les données encapsulées dans un paquet, elles sont envoyées au destinataire qui procèdera aux opérations inverses assurant ainsi la mise en forme d'un message audible. Schématiquement le transport de la voix se fait ainsi :

Paque: RTI

la

2.1. Numérisation

Les signaux de la voix (analogiques) doivent d'abord être convertis sous forme numérique suivant le format PCM (Pulse Code Modulation) à 64kbits/s. La modulation d'impulsion codée est une technique d'échantillonnage quantifiée sur une série de symbole dans un code numérique (binaire). L'ordinateur ne comprenant que le code binaire, la numérisation est donc primordial.

2.2. Compression

Lors de la numérisation, le codage PCM se contente de mesurer des échantillons indépendamment des uns des autres. Un échantillon du signal n'est pas isolé, mais corrélé avec d'autres (précédent ou suivant). En tenant compte des informations, il est possible de prévoir la valeur du nouvel échantillon et donc de transmettre qu'une partie de l'information. C'est ce qu'on appelle la prédiction. Cela permet de réduire la taille du paquet pour optimiser la bande passante.

2.3. Transport

La voix est transportée dans des datagrammes UDP qui ne garantissent pas la livraison. En effet UDP fonctionne sans négociation, il n'existe pas de procédure de connexion préalable à l'envoi des données. Il n'effectue aucune vérification concernant la perte de paquet et ne transmet aucune information sur les configurations utilisées.

Il a donc fallut définir un nouveau protocole fournissant plusieurs fonctionnalités : Le numéro de séquence pour la remise en ordre des paquets ; Un champ horodatage (timestamp) pour la restauration de la base de temps;

DIAWARA Daoud Ben Ahmed 31 Diplôme d'ingénieur de Conception, Option MIAGE

Page 43: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Détecte la perte de paquets en comparant la somme de contrôle sur l'en-tête de l'émetteur et du récepteur pour informer la source dans des délais compatibles avec le service ; Identifier le contenu des données et permettre leur transmission ; Intègre des solutions pour traverser des passerelles de certains réseaux locaux.

Ce protocole est appelé RTP (Real-Time Transport Protocol) qui se complète par un protocole de contrôle qui transmet des rapports de réception RTCP (Real-Time Transport Contrai Protocol). Par exemple lors d'une conférence regroupant plusieurs participant, RTCP permet d'identifier différentes sources d'émissions contribuant à la session, mais il n'est cependant pas obligatoire.

2.4. Etablissement de la connexion

Avant de pouvoir communiquer directement, les membres de la discussion doivent établir un protocole pour la démarrer. Les principaux protocoles utilisés pour l'établissement de la communication sont :

IAX : c'est un protocole, issu du projet de PABX Asterisk. celui-ci ne sera pas développé dans la suite car il n'est et n'est pas encore assez stable et n'est pas assez bien supporté sur tous les clients VOIP; H323; SIP (Session Initiation Protocol).

Ces deux derniers protocoles cités ci-dessus sont développés dans la troisième partie.

3. Intérêts

La VOIP doit non seulement simplifier la mise en place des services de téléphonie (installation et configuration) mais aussi engendrer des économies. En effet les entreprises dépensent énormément dans le domaine des communications téléphoniques, or le prix des communications de la VOIP est dérisoire en comparaison. En effet on peut passer par des opérateurs téléphoniques(ou des hébergeurs en ligne) pour souscrire à des forfaits VOIP et bénéficier de tous les services sans avoir à déployer des équipements dédiés. Cela offre donc une grande indépendance. L'entreprise peut installer facilement son propre PABX au lieu d'utiliser des offres onéreuses en pure téléphonie (PABX Ericsson, Alcatel, ... ). Ajouté à cela le fait qu'il faille un personnel très spécialisé pour administrer ces PABX, il devient très vite essentiel de faire de la VOIP.

Le transport se faisant aussi par le biais du réseau informatique, il n'est donc pas nécessaire de devoir mettre en place un réseau téléphonique à part.

De plus, en positionnant la voix comme une application supplémentaire sur le réseaux IP, l'entreprise ne va pas uniquement substituer un transport opérateur RTC

DlAWARA Daoud Ben Ahmed 32 Diplôme d'ingénieur de Conception, Option MIAGE

Page 44: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

à un transport IP, mais simplifier la gestion de la voix, des données et vidéo par ce seul transport.

4. Solutions de VolP 4.1. Solutions propriétaires

4 1 l. C1sço Lln1fird Communications Man;irœr 161

Cisco Unified Communications Manager est un logiciel édité par Cisco qui permet de traiter les appels dans une entreprise. Le logiciel était précédemment nommé Cisco CallManager puis Cisco Unified CallManager.

Cisco Unified Communications Manager est un logiciel gérant le traitement d'appel au sein d'une solution Cisco Unified Communications. Elle permet à l'entreprise d'étendre les services de téléphonie aux équipements réseaux comme les téléphones IP, les passerelles VoIP ou encore les applications multimédia. Le CUCM peut aussi gérer les conférences multimédia, les boîtes vocales, les softphones, les logiciels de messagerie instantanée ou encore les services SMS.

MiaRec Cisco Unified Communications

f'.·lanager Express Port Mlrroring Destination por1:

Managed Switch with Port l"tirrot"ing

IP Phones

DIAWARA Daoud Ben Ahmed 33 Diplôme d'ingénieur de Conception, Option MIAGE

Page 45: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

4. 1. 2 furu.' [ 71

Skype est un logiciel gratuit qui permet aux utilisateurs de passer des appels téléphoniques via IP. Les appels d'utilisateur à utilisateur sont gratuits, tandis que ceux vers les lignes téléphoniques fixes et les téléphones mobiles sont payants. Il existe des fonctionnalités additionnelles comme la messagerie instantanée, le transfert de fichiers et la visioconférence.

1 • "1 t Microsoft Lync 181

Microsoft Lync est une plate-forme de communications unifiée destinée aux entreprises. C'est une solution de communications en temps réel destiné aux entreprises, fournissant l'infrastructure nécessaire à l'utilisation de la messagerie instantanée, la présence, la voix et la visioconférence.

PBXNoJP _..,

,.••:..,.,s..• ..•.• '-~•u•JT •. ~~·<:n

••• ~~···~C,.!S -- ,,..... . -- "'"""' ,.

1 1

"""" LyncServer

.. t.ync

DIAWARA Daoud Ben Ahmed 34 Diplôme d'ingénieur de Conception, Option MIAGE

Page 46: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

4.2. Solutions non propriétaires • 4.2.1. Astcrisk f91

Asterisk est un autocommutateur téléphonique privé (PABX) open source et propriétaire (publié sous licence GPL et licence propriétaire) pour systèmes GNU/Linux. Il permet, entre autres, la messagerie vocale, les files d'attente, les agents d'appels, les musiques d'attente et les mises en garde d'appels, la distribution des appels.

Asterisk permet de mettre en œuvre un certain nombre de fonctionnalités dont certaines sont citées ci -dessous :

Fournit un grand nombre de fonctionnalités lié à la gestion des appels comme les transferts, interception, mise en attente des appels, musique d'attente ... ; Permet de réaliser des conférences vocales à plusieurs ; Service d'identification de l'appelant ; Fournit des services vocaux interactifs (IVR) Interconnexion au réseau téléphonique traditionnel (FXS/FXO, ISDN) Cartes Digium ; Gère plusieurs protocoles de Voix sur IP (H.323, IAX, IAX2, MGCP et SIP) ; Compatibilité avec plusieurs modèles de téléphones IP (Cisco, Nortel, Polycom) ; Utilisation de l'Inter-Asterisk eXchange (IAX) pour la communication entre deux serveurs Asterisk ; Ne nécessite pas de plate-forme matérielle spécifique ; Possibilité d'intégrer du développement JAVA.

3 hgnes RNIS TO de France Telecom

Serveui Asterlsk et ses caries PCI

Ligne telephon1Que analogique FT

Interphone IP ITS Telecom Pante!

Commande d'ouverture de ta porte d'entrée

DIAWARA Daoud Ben Ahmed 35 Diplôme d1ngénieur de Conception, Option MIAGE

Page 47: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

4.2.2. Trixbox l101

Trixbox (connu auparavant sous le nom d'Asterisk@Home) est un logiciel libre d'autocommutateur téléphonique privé (PBX) ou IPBX basé sur le logiciel libre Asterisk.

Trixbox a été offert initialement sous le nom d'Asterisk@Home. En octobre 2006, le produit a été renommé trixbox après que Digium, l'éditeur du produit Astérisk, eut demandé que le mot « asterisk » ne soit pas utilisé dans le nom du produit. Le changement de nom était d'autant plus justifié que le produit avait à cette époque beaucoup plus de fonctionnalités qu'Astériskl.

Trixbox CE est 100 % libre et sous licence GPLv2. Les membres fondateurs du projet Trixbox CE sont Kerry Garrison et Andrew Gillis.

Il existe également une version PRO de trixbox, déclinée sous plusieurs versions :

Standard Edition (SE) ; Enterprise Edition (EE) ; Cal! Center Edition (CCE) ; Unified Agent Edition (UAE).

f-o

A.oi.,.iJÇ.

n n~.:::.·r, ...• ;

[ .ILI ,·•·}I

• A t<• 1 < ._c.,1· t g >-1 .,. )1t,f:• P·,.·d~t' /Pt;

•••• J~r/,\drn;n ~,,,\C /niP

DIAWARA Daoud Ben Ahmed 36 Diplôme d1ngénieur de Conception, Option MIAGE

Page 48: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

4.2.3. Xivo llll

Basée sur plusieurs technologies libres dont le célèbre moteur de télécommunications Asterisk et distribuée sous licence GPLv3, XiVO inclut nativement un ensemble de fonctionnalités à valeur ajoutée.

XiVO s'intègre dans les environnements informatiques les plus hétérogènes et convient à tout type d'architecture. Interopérable, elle vous permet d'envisager une migration progressive de votre ancien système de téléphonie vers le nouveau. Sa richesse fonctionnelle couplée à une ouverture totale vous offre l'assurance d'une solution capable de répondre aux enjeux métiers les plus variés.

Communiquez avec iVO

LAN S.tel'cenuaux

DIAWARA Daoud Ben Ahmed 37 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 49: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 3 : CHOIX DES SOLUTIONS

Dans ce chapitre nous ferons une synthèse des différentes solutions d'interconnexion et de téléphonie sur IP précédemment présenté et par la suite nous choisirons celles qui seront le mieux adapté à la réalisation de notre projet.

1. Solutions d'interconnexion

Parmi les approches d'interconnexions citées précédemment, la liaison par réseaux virtuels (VPN) est sans doute celle la plus adapté à la mise en œuvre de notre projet au vue du cahier de charge qui nous été fourni, car elle est la moins couteuse du marché. Cette solution est facile à déployer, sécurisée et elle offre de bons débits pour l'échange des informations.

2. Téléphonie sur IP

Le tableau ci-dessous présente une synthèse des différentes solutions de téléphonie sur IP citées précédemment.

Microsoft Lync Microsoft Propriétaire SIP, XMPP Skype Microsoft Propriétaire P2PS1P, XMPP

Cisco Unified Call Cisco Propriétaire SIP, SCCP, MGCP, Manager H.323 Trixbox Digium GPL v2 SIP Xivo Avencall GPL v3 SIP, IAX

Asterisk Digium GPL SIP, H.323, IAX

2 000 000 Fcf a 0 Fcfa

0 Fcfa 0 Fcfa 0 Fcfa

Asterisk est le système de téléphonie sur IP le plus évolué et stable qui a été développé par Digium, celui-ci étant « opensource » sous licence GPL, il convient le mieux aux besoins de notre projet.

LMAI-IARD ayant opté pour la solution VPN pour l'interconnexion de ses sites distants et sur solution Asterisk pour la téléphonie sur IP, alors nous allons développer un peu plus ces deux technologies dans la suite.

Le schéma ci-dessous présente l'architecture qui sera mise en place pour notre projet.

DIAWARA Daoud Ben Ahmed 38 Diplôme d'lngénieur de Conception, Option MIAGE

Page 50: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Pare-feu

Agences distantes: Abidjan, Bouaké, Yamoussoukro ...

Equipements mobiles

DIAWARA Daoud Ben Ahmed 39 Diplôme d1ngénieur de Conception, Option MIAGE

Page 51: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 1 : Présentation et fonctionnement des VPN. CHAPITRE 2 : Présentation et fonctionnement de la VoIP. CHAPITRE 3 : Choix conceptuels

DIAWARA Daoud Ben Ahmed 40 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 52: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 1 : PRESENTATION ET FONCTIONNEMENT DES VPN

Un Réseau Privé Virtuel en abrégé RPV, signifie en Anglais Virtual Private Network(VPN). Un VPN .est une technologie réseau qui permet de créer une liaison permanente, distante et sécurisée entre plusieurs sites d'une organisation. Cette liaison autorise la transmission de données cryptées par le biais d'un réseau non sécurisé, comme internet.

Un VPN permet d'accéder à des ordinateurs distants comme si l'on était physiquement sur le réseau local. On peut ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple).

Les deux types de VPN utilisés dans le milieu professionnels sont les suivants : VPN site à site : réseau virtuel privé entre des réseaux internes d'une entreprise, parmi ses départements par exemple; VPN d'accès distant : réseau virtuel privé entre une entreprise et des employés distants ou mobiles.

1. Fonctionne1nent d'un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), c'est-à-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de cryptographie.

Client VPN

ID ~ ~ \ .0

Clients VPN Fiqure N° 19: Réseau pr ,v('> virtuel (VPN).

Le terme de "tunnel" est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du VPN les données peuvent êtres chiffrées (cryptées) et donc incompréhensible pour toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un tunnel. Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément

DIAWARA Daoud Ben Ahmed 41 Diplôme d1ngénieur de Conception, Option MIAGE

Page 53: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation.

De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur.

2. Les différentes architectures de VPN

2.1. VPN d'accès distant

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN.

Utilisateur distant Réseau lntorno

2.2. VPN site à site

Le VPN site à site est utilisé pour relier au moins deux réseaux locaux entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants.

sue A Site B

DIAWARA Daoud Ben Ahrned 42 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 54: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

3. Les différentes catégories de VPN

Les VPN de niveau 2, de niveau 3 et de niveau 7 datent de la fin des années 90. Ils sont caractérisés par des tunnels, qui permettent le transit de trames, pour les VPN de niveau 2, de paquets, pour les VPN de niveau 3, ou de messages, pour les VPN de niveau 7.

Les avantages et les inconvénients de ces VPN sont semblables à ceux des architectures des niveaux correspondants. Un VPN peut donc se définir par le niveau d'architecture déterminé par la technologie employée. Par exemple, si le VPN est constitué de réseaux Ethernet, il est de niveau 2. Si le VPN est constitué de réseaux IP, c'est un VPN de niveau 3. Si le VPN est mis en place pour une application comme HTTP, le VPN est de niveau 7 (application).

3.1. Les VPN de niveau 2

Les premiers VPN d'entreprise mis en place étaient de niveau 2. Leurs rôles étaient de transporter des trames d'un port d'entrée à un port de sortie.

Dans ce type de VPN, les accès à l'utilisateur sont interconnectés par des circuits virtuels permanents de niveau trame, qui peuvent provenir d'un relais de trames ou d'un réseau ATM. Les fonctions de filtrage, pour ne laisser entrer que les trames des utilisateurs du VPN, sont assurées par les points d'accès appartenant à l'entreprise.

Les technologies les plus utilisées pour la mise en place des VPN de niveau 2 sont les suivantes :

3. J. l. Rappel sur PPP

Le protocole PPP (Point to Point Protocol) défini dans la RFC 1661 n'est pas un protocole permettant l'établissement d'un VPN mais il est très souvent utilisé pour transférer les informations au travers d'un VPN. PPP fut développé pour transférer des données sur des liens synchrones ou asynchrones entre deux points en utilisant HDLC (High-Level Data Link Control) comme base d'encapsulation et un Frame Check Sequence (FCS) pour la détection des erreurs. Cette liaison permet le full duplex et garantit l'ordre d'arrivée des paquets.

Ce protocole permet le multiplexage simultané de plusieurs protocoles de niveau 3 du modèle OSI. Il encapsule des paquets IP, IPX et NetBEUI, ... dans des trames PPP, puis transmet ces paquets PPP encapsulés à travers la liaison point à point. PPP est donc utilisé entre un client distant et un serveur d'accès distant. La structure d'une trame PPP est la suivante :

DIAWARA Daoud Ben Ahmed 43 Diplôme d'ingénieur de Conception, Option MIAGE

Page 55: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Données

Fanion Adresse Contrôle Protocole Fcs Fanion

Figure N°22: Format d'une trame PPP.

La description des éléments des éléments constituant la trame PPP est la suivante : Fanion : Séparateur de trame égale à la valeur 01111110; Adresse : PPP ne permet pas un adressage individuel des stations ; Contrôle : Le champ contrôle doit être à Ox03 Protocole : Ce champ identifie le protocole encapsulé dans le champ informations de la trame; Données : ce champ contient le datagramme du protocole supérieur indiqué dans le champ protocole ; FCS (Frame Check Sequence) : ce champ contient la valeur du checksum de la trame. PPP vérifie le contenu du FCS lorsqu'il reçoit un paquet.

Pour établir une connexion PPP il faut suivre les étapes suivantes : Phase de connexion : il s'agit de LCP (Link Contrai Protocol). LCP est un protocole utilisé pour établir, configurer, tester, et terminer la connexion PPP. Il permet de manipuler des tailles variables de paquets et effectue un certain nombre de tests sur la configuration. Il permet notamment de détecter un lien bouclé sur lui-même. Phase d'authentification : Cette étape est facultative et doit être spécifiée lors de la phase précédente. Si l'authentification réussie ou qu'elle n'a pas été demandée, la connexion passe en phase de "Protocole réseau". C'est lors de cette étape que les différents protocoles réseaux sont configurés. Cette configuration s'effectue séparément pour chaque protocole réseau. Elle est assurée par le protocole de contrôle de réseau (NCP) approprié. A Ce moment, le transfert des données est possible. Les NCP peuvent à tout moment ouvrir ou fermer une connexion. PPP peut terminer une liaison à tout moment, parce qu'une authentification a échoué, que la qualité de la ligne est mauvaise ou pour toute autre raison. C'est le LCP qui assure la fermeture de la liaison à l'aide de paquets de terminaison. Les NCP sont alors informés par PPP de la fermeture de la liaison.

DIAWARA Daoud Ben Ahmed 44 Diplôme d1ngénieur de Conception, Option MIAGE

Page 56: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

3.1.2.

Mémoire de fin d'études

Protocole PPTP

Le protocole PPTP, Point-Ta-Point Tunneling Protocol est un protocole d'encapsulation cree par Cisco, pour ensuite être exploité par Microsoft dans ses systèmes Windows. Le principe du protocole PPTP est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP. PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE (Generic Routing Encapsulation). Techniquement, le protocole PPTP fonctionne sur deux flux. Il gère d'un côté la connexion entre le client et le serveur VPN et d'autre part, il assure le chiffrement et déchiffrement des données pour ne pas qu'elles puissent circuler en clair sur le réseau.

Le protocole PPTP encapsule d'abord les trames PPP dans des datagrammes IP pour leur transmission sur le réseau. Il utilise une connexion TCP pour la gestion de tunnel et encapsule les trames PPP pour les données à faire circuler dans le tunnel VPN. Les trames PPP encapsulées par le protocole PPTP peuvent être chiffrées, compressées ou même les deux. Pour le système d'exploitation Windows la trame PPP est chiffrée avec MPPE (Microsoft Point-ta-Point Encryption). Au moyen de clés de chiffrement générées à partir du processus d'authentification MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol) v2 ou EAP-TLS (Extensible Authentification Protocol Transport Layer Security). Ainsi dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectées par une connexion point à point, et le paquet transite par le biais d'un datagramme IP. De cette façon, les données transmises sur le réseau sont encapsulées dans un paquet PPP, qui est lui-même encapsulé dans un paquet IP.

IP I TCPfUDP 1 Donnees

GRE I PPP I IP I TCPfUDP Donnees

PPP ...._.... PPP IP GRE I PPP I IP I TCPfUDP Donnees

Fig!Jri:! N°23: Format dune trame PPTP.

3.1.3. Protocole L2F

Une autre solution de tunnel, Développé par Cisco System L2F (Layer 2 Forwarding), définie par la RFC 2341, .reste peu utilisée.

Ce protocole de couche 2 permet à l'utilisateur de s'abstenir de l'installation d'un client VPN. En effet, c'est le fournisseur d'accès qui va créer le tunnel L2F entre lui et l'entreprise, celui-ci se charge de véhiculer le trafic sur PPP.

L'entreprise n'a donc pas la main sur la sécurité des transactions, s'en remettant à son FAI. C'est un protocole qui n'offre aucune forme de confidentialité. Il est désormais obsolète.

DIAWARA Daoud Ben Ahmed 45 Diplôme d1ngénieur de ConceptiOn, Option MIAGE

Page 57: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Réseau Interne

3.1.4. Protocole L2TP L2TP (Layer 2 Tunneling Protocol) défini dans la RFC 2661 est issu de la convergence

des protocoles PPTP et L2F.

L2TP permet le transport en tunneling de trames PPP par-dessus un réseau de transit de manière aussi transparente que possible pour les applications et les utilisateurs, ce transport se fait par UDP.

l TCPftP IP I TCP,UOP f Connus

UOP I PPP I IP

ppp PPP OP UOP I PPP I IP J

Il est actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configuré pour transporter les données sur IP, L2TP peut être utilisé pour faire du tunneling sur Internet. L2TP repose sur deux concepts :

les concentrateurs d'accès L2TP (LAC : L2TP Access Concentrator) ; les serveurs réseau L2TP (LNS : L2TP Network Server).

L2TP n'intègre pas directement de protocole pour le chiffrement des données. C'est pourquoi L'IETF préconise l'utilisation conjointe d'IPSEC et L2TP (L2TP over IPSEC).

DIAWARA Daoud Ben Ahmed 46 Diplôme d1ngénieur de Conception, Option MIAGE

Page 58: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

3.2. Les VPN de niveau 3

Le niveau paquet (couche 3) étant aujourd'hui un niveau IP, les VPN de niveau 3 sont appelés VPN IP. Cette génération de VPN date du début des années 2000. Elle permet de rassembler toutes les propriétés que l'on peut trouver dans les réseaux intranet et extranet, notamment le système d'information d'une entreprise distribuée. La solution IP permet d'intégrer à la fois des terminaux fixes et des terminaux mobiles.

3.2. !. Protocole I PSEÇ

Internet Protocol Security(IPSEC) est un ensemble de protocoles définit dans la RFC 2401 qui vise à sécuriser l'échange de données au niveau de la couche réseau. Le réseau IPv4 étant largement déployé et la migration vers IPv6 étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des techniques de protection des données communes à IPv4 et IPv6. Ces mécanismes sont couramment désignés par le terme IPSEC pour IP Security Protocols.

L'ensemble IPSEC est basé sur trois mécanismes :

IP Authentification Header (AH) vise à assurer l'intégrité et l'authenticité des datagrammes IP. Il ne fournit par contre aucune confidentialité : les données fournies et transmises par ce "protocole" ne sont pas encodées. Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP peut aussi permettre l'authentification des données mais est principalement utilisé pour le cryptage des informations. Bien qu'indépendants AH et ESP sont presque toujours utilisés conjointement. La Gestion des clés (Key management) définissant l'échange des clés et des paramètres de sécurité. Les SA (Security Association) rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sécurité utilisés par les protocoles, les clés utilisées, ... ). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la plupart du temps), qui permet aux deux parties d'établir les SA. IKE permet à des pairs s'authentifiant de générer des clés partagées et de négocier des services de sécurité. IKE repose sur ISAKMP qui définit un cadre pour la gestion des clés sur Internet définissant le protocole (formats de message) pour la négociation des attributs de sécurité. ISAKMP permet le support d'un nombre varié d'algorithmes d'échange de clés. Le mécanisme d'échange de clés d'IKE est basé sur Oakley (lui-même inspiré de Diffie-Hellman). IKE inclut notamment des mécanismes pour authentifier les utilisateurs. Le canal d'échange de clés est établi sur le port UDP (500).

OIAWARA Oaoud Ben Ahmed 47 Diplôme d'ingénieur de Conception, Option MIAGE

Page 59: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Fonctionnement

Le schéma ci-dessous représente tous les éléments présentés ci-dessus (en bleu), leurs positions et Jeurs interactions.

Admuustrateur ~ Alertes

Configure

Négocie, modifie, suppnme

r - ·- J ôaiiiëy"l j DOi !SK~ME ! ; .. ISAKMP 1 ! ·-·-----

IKE

Applicat,on

Protocole appUcat1f (HTIP. FTP. POP.

SMTP ... )

Sockets

Transport (TCP. UDP)

SAD IP / IPsec (AH. ESP) Consulte-----;

Liaison

On distingue deux situations : Trafic sortant : Lorsque la "couche" IPSEC reçoit des données à envoyer, elle commence par consulter la base de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette base lui indique que Je trafic doit se voir appliquer des mécanismes de sécurité, elle récupère les caractéristiques requises pour la SA correspondante et va consulter la base des SA (SAD). Si la SA nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le cas contraire, IPSEC fait appel à IKE pour établir une nouvelle SA avec les caractéristiques requises. Trafic entrant : Lorsque la couche IPSEC reçoit un paquet en provenance du réseau, elle examine l'en-tête pour savoir si ce paquet s'est vu appliquer un ou plusieurs services IPSEC et si oui, quelles sont les références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la vérification et/ou Je déchiffrement du paquet. Une fois Je paquet vérifié et/ou déchiffré, la SPD est consultée pour savoir si l'association de sécurité appliquée au paquet correspondait bien à celle requise par les politiques de sécurité.

Dans le cas où Je paquet reçu est un paquet IP classique, la SPD permet de savoir s'il a néanmoins Je droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont

DIAWARA Daoud Ben Ahmed Diplôme d1ngénieur de Conception, Option MIAGE

Page 60: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

traités par IKE, qui peut envoyer des alertes administratives en cas de tentative de connexion infructueuse.

3.3. Les VPN de niveau 7

Le niveau application (couche 7) peut également être utilisé pour mettre en place des VPN. Dans ce cas, seule l'application concernée est transportée dans le tunnel. Le plus classique de ces VPN est le VPN SSL, qui utilise un tunnel SSL.

SSL (Secure Sockets Layer) a été créé par Netscape pour protéger le transport de pages Web entre un client et un serveur. SSL a été étendu à plusieurs reprises par les versions v2 puis v3. Une déclinaison importante a été apportée ensuite par TLS (Transport Layer Security), qui peut être considéré comme la version v3.1 de SSL.

3.3.1. Le protocole SSTP

Secure Socket Tunneling Protocol (SSTP) est un type de tunnel VPN qui fournit un mécanisme pour transporter PPP ou L2TP à travers un canal SSL 3.0. SSL fournit une sécurité au niveau transport avec une négociation de clés, le cryptage, et le contrôle de l'intégrité des données. L'utilisation de SSL sur le port TCP HTTPS ( 443 par défaut) permet à SSTP de passer facilement à travers les pare-feu et les serveurs Proxy.

Les VPN basés sur le SSL présente l'avantage de ne pas nécessiter du coté client plus qu'un navigateur Internet classique. En effet le protocole SSL utilisé pour la sécurisation des échanges commerciaux sur Internet est implémenté en standard dans les navigateurs modernes.

SSL est un protocole de couche 4 (niveau transport) utilisé par une application pour établir un canal de communication sécurisé avec une autre application.

SSL a deux grandes fonctionnalités : l'authentification du serveur et du client à l'établissement de la connexion et le chiffrement des données durant la connexion.

HITP I LDAP [ SMTP

Secure Socket Layer

TCP/lP

DIAWARA Daoud Ben Ahmed 49 Diplôme d'ingénieur de Conception, Option MIAGE

Page 61: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Fonctionnement

Le protocole SSL Handshake débute une communication SSL. Suite à la requête du client, le serveur envoie son certificat ainsi que la liste des algorithmes qu'il souhaite utiliser. Le client commence par vérifier la validité du certificat du serveur. Cela se fait à l'aide de la clé publique de l'autorité de certification contenue dans le navigateur du client. Le client vérifie aussi la date de validité du certificat et peut également consulter une CRL (Certificate Revocation List). Si toutes les vérifications sont passées, le client génère une clé symétrique et l'envoie au serveur. Le serveur peut alors envoyer un test au client, que le client doit signer avec sa clé privée correspondant à son propre certificat. Ceci est fait de façon à ce que le serveur puisse authentifier le client.

De nombreux paramètres sont échangés durant cette phase : type de clé, valeur de la clé, algorithme de chiffrage ...

La phase suivante consiste en l'échange de données cryptées (protocole SSL Records). Les clés générées avec le protocole Handshake sont utilisées pour garantir l'intégrité et la confidentialité des données échangées. Les différentes phases du protocole sont :

Segmentation des paquets en paquets de taille fixe Compression (mais peu implémenté dans la réalité) Ajout du résultat de la fonction de hachage composé de la clé de cryptage, du numéro de message, de la longueur du message, de données ... Chiffrement des paquets et du résultat du hachage à l'aide de la clé symétrique générée lors du Handshake. Ajout d'un en-tête SSL au paquet

'~--=-...:--=---=---__,-, 1 1 Couche application 1 ... I

1----1 l Couche présentation • l 1 Couche sesslon 1

1 Couche transport 1

1 1

l l

lt111 J1 ••••

luun,,,, hifflec•c.;

1 SSL HandShake I

Gestion SSL 1

1 ~L SSL Record : 1

l - ---1 -------

DIAWARA Daoud Ben Ahmed 50 Diplôme d1ngénieur de Conception, Option MIAGE

Page 62: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 2: PRESENTATION ET FONCTIONNEMENT DE LA VOIP

La voix sur IP ou VoIP (abrégé de l'anglais Voice Over IP) est une technologie qui permet de communiquer par voix via le réseau Internet ou autres réseaux supportant le protocole TCP/IP.

1. Architecture VolP 1.1. Topologie

T erminal :Jl = ===::Y

olP Téléphon

oil' Rl\;L

Réseau lP (! 1 -

Contrôleur de ornrnurucanon

H.323, SIP ou MGCP)

,•

•• 1 Passerelle

1

Réseau réléphoni

P. ..J

Terminal H.324

Tt'rmin:i[ '.70

Nous pouvons observer ci-dessus la topologie générale d'un réseau de téléphonie sur IP. On peut retrouver entre autres les éléments suivant :

Le routeur : Il permet d'aiguiller les données et le routage des paquets entre deux réseaux. La passerelle : il s'agit d'une interface entre le réseau commuté et le réseau IP. L'IPBX : C'est un autocommutateur téléphonique privé utilisant le protocole internet (IP) pour gérer les appels téléphoniques d'une entreprise, en interne sur son réseau local (1.AN). Il permet de faire le lien entre la passerelle ou le routeur et le réseau RTC. Les Terminaux : Des PC ou des téléphones VoIP.

Pour transmettre les paquets, on utilise RTP, standardisé en 1996. Il est un protocole adapté aux applications présentant des propriétés temps réel.

DIAWARA Daoud Ben Ahmed 51 Diplôme d1ngénieur de Conception, Option MIAGE

Page 63: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1.2. Gateway et gatekeeper

Les passerelles ou gateways en téléphonie IP sont des équipements qui fournissent des interfaces qui permettent de relier simultanément des réseaux téléphoniques commutés (RTC) et les réseaux basés sur la commutation de paquets TCP/IP. C'est une partie essentielle de l'architecture du réseau de .téléphonie IP. Le gatekeeper est l'élément qui fournit de l'intelligence à la passerelle. Le gatekeeper est le compagnon logiciel de la gateway.

Une gateway permet aux terminaux d'opérer en environnements hétérogènes. Ces environnements peuvent être très différents, utilisant diverses technologies telles que le Numéris, la téléphonie commutée ou la téléphonie IP. Les gateways doivent aussi être compatibles avec les terminaux téléphoniques analogiques. La gateway fournit la possibilité d'établir une connexion entre un terminal analogique et un terminal multimédia (un PC en général).

Un gatekeeper a deux fonctions principales : la gestion des permissions et la résolution d'adresses. Le gatekeeper est aussi responsable de la sécurité. Quand un client veut émettre un appel, il doit le faire au travers du gatekeeper. C'est alors que celui-ci fournit une résolution d'adresse du client de destination. Dans le cas où il y a plusieurs gateways sur le réseau, il peut rediriger l'appel vers un autre couple gateway/gatekeeper qui essaiera à son tour de router l'appel. Pendant la résolution d'adresse, le gatekeeper peut aussi attribuer une certaine quantité de bande passante pour l'appel. Il peut agir comme un administrateur de la bande passante disponible sur le réseau. Le gatekeeper répond aux aspects suivant de la téléphonie IP :

Le routage des appels : en effet, le gatekeeper est responsable de la fonction de routage. Non seulement, il doit tester si l'appel est permis et faire la résolution d'adresse mais il doit aussi rediriger l'appel vers le bon client ou la bonne passerelle. Administration de la bande passante : le gatekeeper alloue une certaine quantité de bande passante pour un appel et sélectionne les codecs à utiliser. Il agit en tant que régulateur de la bande passante pour prémunir le réseau contre les goulots d'étranglement (bottle-neck). Tolérance aux fautes, sécurité : le gatekeeper est aussi responsable de la sécurité dans un réseau de téléphonie IP. Il doit gérer les redondances des passerelles afin de faire aboutir tout appel. Il connaît à tout moment l'état de chaque passerelle et route les appels vers les passerelles accessibles et qui ont des ports libres. Gestion des différentes gateways : dans un réseau de téléphonie IP, il peut y avoir beaucoup de gateways. Le gatekeeper, de par ses fonctionnalités de routage et de sécurité, doit gérer ces gateways pour faire en sorte que tout appel atteigne sa destination avec la meilleure qualité de service possible.

Ainsi, le gatekeeper peut remplacer le classique PABX. En effet, il est capable de router les appels entrant et de les rediriger vers leur destination ou une autre passerelle.

DIAWARA Daoud Ben Ahmed 52 Diplôme d'ingénieur de Conception, Option MIAGE

Page 64: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Chaque PABX utilise sonpropre protocole pour communiquer avec les postes clients, ce qui entraîne un surcoût. Avec le couple gateway/gatekeeper, ce problème n'existe pas. Il utilise des infrastructures qui existent, le LAN et des protocoles tels qu'IP.

2. Standards VOIP 2.1. Protocole H323

H.323 est un protocole de communication englobant un ensemble de normes utilisées pour l'envoi de données audio et vidéo sur Internet. Il existe depuis 1996 et a été initié par l'ITU (International Communication Union), un groupe international de téléphonie qui développe des standards de communication. Concrètement, il est utilisé dans des programmes tels que Microsoft Netmeeting, ou encore dans des équipements tels que les routeurs Cisco. Il existe un projet OpenH.323 qui développe un client H.323 en logiciel libre afin que les utilisateurs et les petites entreprises puissent avoir accès à ce protocole sans avoir à débourser beaucoup d'argent.

Fonctionnement :

Le protocole H.323 est utilisé pour l'interactivité en temps réel, notamment la visioconférence (signalisation, enregistrement, contrôle d'admission, transport et encodage). C'est le leader du marché pour la téléphonie IP. Il s'inspire du protocole H.320 qui proposait une solution pour la visioconférence sur un réseau numérique à intégration de service (RNIS ou ISDN en anglais), comme par exemple le service numéris proposé par France Telecom. Le protocole H.323 est une adaptation de H.320 pour les réseaux IP. A l'heure actuelle, la visioconférence sur liaison RNIS est toujours la technique la plus déployée. Elle existe depuis 1990. Les réseaux utilisés sont à commutation de circuits. Ils permettent ainsi de garantir une Qualité de Service (QoS) aux utilisateurs (pas de risque de coupure du son ou de l'image). Aujourd'hui, c'est encore un avantage indiscutable. Par contre, comme pour le téléphone, la facturation est fonction du débit utilisé, du temps de communication et de la distance entre les appels.

H.323 définit plusieurs éléments de réseaux : Les terminaux : Dans un contexte de téléphonie sur IP, deux types de terminaux H .323 sont aujourd'hui disponibles. Un poste téléphonique IP raccordés directement au réseau Ethernet de l'entreprise ou un PC multimédia sur lequel est installée une application compatible H.323. Les passerelles (GW: Gateway) : Elles assurent l'interconnexion entre un réseau IP et le réseau téléphonique, ce dernier pouvant être soit le réseau téléphonique public, soit un PABX d'entreprise. Elles assurent la correspondance de la signalisation et des signaux de contrôle et la cohésion entre les médias. Pour ce faire, elles implémentent les fonctions suivantes de transcodage audio (compression, décompression), de modulation, démodulation (pour les fax), de suppression d'échos, de suppression des silences et de contrôle d'appels. Les passerelles sont le plus souvent basées sur des

DIAWARA Daoud Ben Ahmed 53 Diplôme d'ingénieur de Conception, Option MIAGE

Page 65: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

serveurs informatiques standards (Wiridows, Linux) équipés d'interfaces particulières pour la téléphonie (interfaces analogiques, accès de base ou accès primaire RNIS, interface El, etc.) et d'interfaces réseau, par exemple de type Ethernet. La fonctionnalité de passerelle peut toutefois être intégrée directement dans le routeur ainsi que dans les PABX eux-mêmes. Les portiers (GK: Gatekeeper) : Ils sont des éléments optionnels dans une solution H.323. Ils ont pour rôle de réaliser la traduction d'adresse (numéro de téléphone - adresse IP) et la gestion des autorisations. Cette dernière permet de donner ou non la permission d'effectuer un appel, de limiter la bande passante si besoin et de gérer le trafic sur le LAN. Les Gatekeepers permettent également de gérer les téléphones classiques et la signalisation permettant de router les appels afin d'offrir des services supplémentaires. Ils peuvent enfin offrir des services d'annuaires. Les unités de contrôle multipoint (MCU, Multipoint Contrai Unit) : elles font Référence au protocole T.120 qui permet aux clients de se connecter aux sessions de conférence de données. Les unités de contrôle multipoint peuvent communiquer entre elles pour échanger des informations de conférence.

Dans un contexte de téléphonie sur IP, la signalisation a pour objectif de réaliser les fonctions suivantes :

Recherche et traduction d'adresses : Sur la base du numéro de téléphone du destinataire, il s'agit de trouver son adresse IP (appel téléphone. PC) ou l'adresse IP de la passerelle desservant le destinataire. Cette fonction est prise en charge par le Gatekeeper. Elle est effectuée soit localement soit par requête vers un annuaire centralisé. Contrôle d'appel : L'équipement terminal ( « endpoint » = terminal H.323 ou passerelle) situé à l'origine de l'appel établit une connexion avec l'équipement de destination et échange avec lui les informations nécessaires à l'établissement de l'appel. Dans le cas d'une passerelle, cette fonction implique également de supporter la signalisation propre à l'équipement téléphonique à laquelle elle est raccordée (signalisation analogique, Q.931, etc.) et de traduire cette signalisation dans le format défini dans H.323. Le contrôle d'appel est pris en charge soit par les équipements terminaux soit par le Gatekeeper. Dans ce cas, tous les messages de signalisation sont routés via le Gatekeeper, ce dernier jouant alors un rôle similaire à celui d'un PBX. Services supplémentaires : transfert d'appel, conférence, etc.

Trois protocoles de signalisation sont spécifiés dans le cadre de H.323 à savoir : RAS (Registration, Admission and Status) : Ce protocole est utilisé pour communiquer avec un Gatekeeper. Il sert notamment aux équipements terminaux pour découvrir l'existence d'un Gatekeeper et s'enregistrer auprès de ce dernier ainsi que pour les demandes de traduction d'adresses. La signalisation RAS utilise des messages H.225.0 transmis sur un protocole de transport non fiable (UDP, par exemple).

DIAWARA Daoud Ben Ahmed 54 Diplôme d'ingénieur de Conception, Option MIAGE

Page 66: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Q.931 : H.323 utilise une version simplifiée de la signalisation RNIS Q.931 pour l'établissement et le contrôle d'appels téléphoniques sur IP. Cette version simplifiée est également spécifiée dans la norme H.225.0. H.245 : ce protocole est utilisé pour l'échange de capacités entre deux équipements terminaux. Par exemple, il est utilisé par ces derniers pour s'accorder sur le type de codec à activer. Il peut également servir à mesurer le retard aller-retour (Round Trip Delay) d'une communication.

Une communication H.323 se déroule en cinq phases : Établissement d'appel Échange de capacité et réservation éventuelle de la bande passante à travers le protocole RSVP (Ressource reSerVation Protocol) Établissement de la communication audio-visuelle Invocation éventuelle de services en phase d'appel (par exemple, transfert d'appel, changement de bande passante, etc.) Libération de l'appel.

Les codecs supportés par H323 sont :

VIDEO · G.711, G723.1, G.728 H.261 et H.263

2.2. Protocole SIP

Session Initiation Protocol (dont le sigle est SIP) est un protocole normalisé et standardisé par l'IETF (décrit par le RFC 3261 qui rend obsolète le RFC 2543, et complété par le RFC 3265) qui a été conçu pour établir, modifier et terminer des sessions multimédia. Il se charge de l'authentification et de la localisation des multiples participants. Il se charge également de la négociation sur les types de média utilisables par les différents participants en encapsulant des messages SDP (Session Description Protocol). SIP est un protocole de signalisation appartenant à la couche application du modèle OSI. SIP ne transporte pas les données échangées durant la session comme la voix ou la vidéo. SIP étant indépendant de la transmission des données, tout type de données et de protocoles peut être utilisé pour cet échange. Cependant le protocole RTP (Real-time Transport Protocol) assure le plus souvent les sessions audio et vidéo. SIP remplace progressivement H323.

SIP est le standard ouvert de VoIP (Voice Over IP, voix sur IP) interopérable le plus étendu et vise à devenir LE standard des télécommunications multimédia (son, image, etc.). Skype par exemple, qui utilise un format propriétaire, ne permet pas l'interopérabilité avec un autre réseau de voix sur IP et ne fournit que des passerelles payantes vers la téléphonie standard. SIP n'est donc pas seulement destiné à la VoIP mais pour de nombreuses autres applications telles que la visiophonie, la messagerie instantanée, la réalité virtuelle ou même les jeux vidéo.

D!AWARA Daoud Ben Ahmed SS Diplôme d1ngénieur de Conception, Option MIAGE

Page 67: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Fonctionnement : SIP intervient aux différentes phases de l'appel : Localisation du terminal correspondant, Analyse du profil et des ressources du destinataire, Négociation du type de média (voix, vidéo, données ... ) et des paramètres de communication, Disponibilité du correspondant, détermine si le poste appelé souhaite communiquer, et autorise l'appelant à le contacter. Etablissement et suivi de l'appel, avertit les parties appelant et appelé de la demande d'ouverture de session, gestion du transfert et de la fermeture des appels. Gestion de fonctions évoluées : cryptage, retour d'erreurs, ... Avec SIP, les utilisateurs qui ouvrent une session peuvent communiquer en mode

point à point, en mode diffusif ou dans un mode combinant ceux-ci. SIP permet donc l'ouverture de sessions en mode :

Point-à-point : Communication entre 2 machines, on parle d'unicast. Diffusif : Plusieurs utilisateurs en multicast, via une unité de contrôle M.C.U (Multipoint Contrai Unit) Combinatoire : Plusieurs utilisateurs pleinement interconnectés en multicast via un réseau à maillage complet de connexions.

Voici les différents éléments intervenant dans l'ouverture de session : Suivant nature des échanges, choix des protocoles les mieux adaptés (RSVP, RTP, RTCP, SAP, SDP). Détermination du nombre de sessions, comme par exemple, pour véhiculer de la vidéo, 2 sessions doivent être ouvertes (l'une pour l'image et l'autre pour la vidéo). Chaque utilisateur et sa machine est identifié par une adresse que l'on nomme URL SIP et qui se présente comme de la forme : SIP:test@asterisk. Requête Uri permettant de localiser le proxy server auquel est rattachée la machine de l'appelé. Requête SIP, une fois le client (machine appelante) connecté à un serveur SIP distant, il peut lui adresser une ou plusieurs requêtes SIP et recevoir une ou plusieurs réponses de ce serveur. Les réponses contiennent certains champs identiques à ceux des requêtes, tels que : Cali-ID, Cseq, To et From.

Les échanges entre un terminal appelant et un terminal appelé se font par l'intermédiaire de requêtes :

Invite : Cette requête indique que l'application (ou utilisateur) correspondante à l'URL SIP spécifié est invité à participer à une session. Le corps du message décrit cette session (par ex : média supportés par l'appelant). En cas de réponse favorable, l'invité doit spécifier les médias qu'il supporte. Ack : Cette requête permet de confirmer que le terminal appelant a bien reçu une réponse définitive à une requête Invite.

D IAWARA Daoud Ben Ahmed 56 Diplôme d1ngénieur de Conception, Option MIAGE

Page 68: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Options : Un proxy server en mesure de contacter l'UAS (terminal) appelé, doit répondre à une requête Options en précisant ses capacités à contacter le même terminal. Bye : Cette requête est utilisée par le terminal de l'appelé/appelant afin de signaler qu'il souhaite mettre un terme à la session. Cancel : Cette requête est envoyée par un terminal ou un proxy server afin d'annuler une requête non validée par une réponse finale comme, par exemple, si une machine ayant été invitée à participer à une session, et ayant accepté l'invitation ne reçoit pas de requête Ack, alors elle émet une requête Cancel. Register : cette méthode est utilisée par le client pour enregistrer l'adresse listée dans l'URL TO par le serveur auquel il est relié.

Une réponse à une requête est caractérisée, par un code et un motif, appelés code d'état et raison phrase respectivement. Un code d'état est un entier codé sur 3 bits indiquant un résultat à l'issue de la réception d'une requête. Ce résultat est précisé par une phrase, textbased (UTF-8), expliquant le motif du refus ou de l'acceptation de la requête. Le code d'état est donc destiné à l'automate gérant l'établissement des sessions SIP et les motifs aux programmeurs. Il existe 6 classes de réponses et donc de codes d'état, représentées par le premier bit:

lxx = Information : La requête a été reçue et continue à être traitée 2xx = Succès : L'action a été reçue avec succès, comprise et acceptée 3xx = Redirection : Une autre action doit être menée afin de valider la requête 4xx = Erreur du client : La requête contient une syntaxe erronée ou ne peut pas être traitée par ce serveur Sxx = Erreur du serveur : Le serveur n'a pas réussi à traiter une requête apparemment correcte 6xx = Echec général : La requête ne peut être traitée par aucun serveur

Dans un système SIP on trouve deux types de composantes, les Users Agents (UAS, UAC) et un réseau de serveurs :

L'UAS (User Agent Server) : Il représente l'agent de la partie appelée. C'est une application de type serveur qui contacte l'utilisateur lorsqu'une requête SIP est reçue. Et elle renvoie une réponse au nom de l'utilisateur. L'UAC (User Agent Client) : Il représente l'agent de la partie appelante. C'est une application de type client qui initie les requêtes. Le relais mandataire ou PS (Proxy Server), auquel est relié un terminal fixe ou mobile, agit à la fois comme un client et comme un serveur. Un tel serveur peut interpréter et modifier les messages qu'il reçoit avant de les retransmettre :

o Le RS (Redirect Server) : Il réalise simplement une association (mapping) d'adresses vers une ou plusieurs nouvelles adresses. (lorsqu'un client appelle un terminal mobile - redirection vers le PS le plus proche - ou en mode multicast - le message émis est redirigé vers toutes les sorties auxquelles sont reliés les destinataires). Notons qu'un Redirect Server est consulté par l'UAC

DIAWARA Daoud Ben Ahmed 57 Diplôme d'ingénieur de Conception, Option MIAGE

Page 69: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

comme un simple serveur et ne peut émettre de requêtes contrairement au PS.

o Le LS (Location Server) : Il fournit la position courante des utilisateurs dont la communication traverse les RS et PS auxquels il est rattaché. Cette fonction est assurée par le service de localisation.

o Le RG (Registrar) : C'est un serveur qui accepte les requêtes Register et offre également un service de localisation comme le LS. Chaque PS ou RS est généralement relié à un Registrar.

Sécurité et Authentification Les messages SIP peuvent contenir des données confidentielles, en effet le protocole SIP possède 3 mécanismes de cryptage :

Cryptage de bout en bout du Corps du message SIP et de certains champs d'en-tête sensibles aux attaques. Cryptage au saut par saut (hop by hop) à fin d'empêcher des pirates de savoir qui appelle qui. Cryptage au saut par saut du champ d'en-tête Via pour dissimuler la route qu'a empruntée la requête.

De plus, afin d'empêcher à tout intrus de modifier et retransmettre des requêtes ou réponses SIP, des mécanismes d'intégrité et d'authentification des messages sont mis en place. Et pour des messages SIP transmis de bout en bout, des clés publiques et signatures sont utilisées par SIP et stockées dans les champs d'en-tête Autorisation.

3. Transport RTP et RTCP

RTP et RTCP sont des protocoles de niveau application du modèle OS!. Ce sont des protocoles qui ont été développé par l'IETF afin de faciliter le transport temps réel de bout en bout des flots données audio et vidéo sur les réseaux IP.

3.1. RTP (Real-time Transfert Protocol)

Le but de RTP et de fournir un moyen uniforme de transmettre sur IP des données soumises à des contraintes de temps réel (audio, vidéo, ... ). Le rôle principal de RTP consiste à mettre en œuvre des numéros de .séquence de paquets IP pour reconstituer les informations de voix ou vidéo même si le réseau sous-jacent change l'ordre des paquets.

RTP, est un protocole adapté aux applications présentant des propriétés temps réel. Il permet ainsi de :

Reconstituer la base de temps des flux (horodatage des paquets : possibilité de resynchronisation des flux par le récepteur) Mettre en place un séquencement des paquets par une numérotation et ce afin de permettre ainsi la détection des paquets perdus. Ceci est un point primordial dans la reconstitution des données. Mais il faut savoir quand même que la perte d'un paquet n'est pas un gros problème si les paquets ne sont pas perdus en trop grands nombre. Cependant il est très important de savoir quel est le paquet qui a été perdu afin de

DlAWARA Oaoud Ben Ahmed 58 Diplôme d1ngénieur de Conception, Option MIAGE

Page 70: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

pouvoir pallier à cette perte. Et ce par le remplacement par un paquet qui se compose d'une synthèse des paquets précédents et suivants. Identifier le contenu des données pour leur associer un transport sécurisé. L'identification de la source c'est à dire l'identification de l'expéditeur du paquet. Dans un multicast l'identité de la source·doit être connue et déterminée. Transporter les applications audio et vidéo dans des trames (avec des dimensions qui sont dépendantes des codecs qui effectuent la numérisation). Ces trames sont incluses dans des paquets afin d'être transportées et doivent de ce fait être récupérées facilement au moment de la phase de décapsulation afin que l'application soit décodée correctement.

En revanche, ce n'est pas « la solution » qui permettrait d'obtenir des transmissions temps réel sur IP. En effet, il ne procure pas de :

Réservation de ressources sur le réseau (pas d'action sur le réseau, cf. RSVP); Fiabilité des échanges (pas de retransmission automatique, pas de régulation automatique du débit); Garantie dans le délai de livraison (seules les couches de niveau inférieur le peuvent) et dans la continuité du flux temps réel.

L'entête d'un paquet RTP est obligatoirement constitué de 16 octets. Cet entête précède le « payload » qui représente les données utiles. '

Entete RTP - 16 Octets

r V p X cc

M Numéro PT de

séquence

Timestamp SSRC CSRC

Ci-dessous la signification des différents champs de l'en-tête :

Le champ Version V de 2 bits de longueur indique la version du protocole (V=2) Le champ padding P : 1 bit, si P est égal à 1, le paquet contient des octets additionnels de bourrage (padding) pour finir le dernier paquet. Le champ extension X : 1 bit, si X=l l'en-tête est suivie d'un paquet d'extension. Le champ CSRC count CC : 4 bits, contient le nombre de CSRC qui suivent l'entête. Le champ marker M: 1 bit, son interprétation est définie par un profil d'application (profile). Le champ payload type PT : 7 bits, ce champ identifie le type du payload (audio, vidéo, image, texte, html, etc.)

DIAWARA Daoud Ben Ahmed 59 Diplôme d'ingénieur de Conception, Option MIAGE

Page 71: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Le champ sequence number : 16 bits, sa valeur initiale est aléatoire et il s'incrémente de 1 à chaque paquet envoyé, il peut servir à détecter des paquets perdus. Le champ timestamp : 32 bits, reflète l'instant où le premier octet du paquet RTP a été échantillonné. Cet instant doit être dérivé d'une horloge qui augmente de façon monotone et linéaire dans le temps pour permettre la synchronisation et le calcul de la gigue à la destination Le champ SSRC : 32 bits, identifie de manière unique la source, sa valeur est choisie de manière aléatoire par l'application. Le champ SSRC identifie la source de synchronisation (ou dit simplement "la source"). Cet identificateur est choisi de manière aléatoire avec l'intérêt qu'il soit unique parmi toutes les sources d'une même session La liste des CSRC identifie les sources (SSRC) qui ont contribué à l'obtention des données contenues dans le paquet qui contient ces identificateurs. Le nombre d'identificateurs est donné dans le champ CC Le champ CSRC : 32 bits, identifie les sources contribuant.

3.2. RTCP (Real-time Transfert Control Protocole)

Le protocole RTCP (Real-tirne Transport Control Protocol) est basé sur des transmissions périodiques de paquets de contrôle par tous les participants dans la session. C'est un protocole de contrôle des flux RTP, permettant de véhiculer des informations basiques sur les participants d'une session, et sur la qualité de service. Il existe cinq types différents de paquets RTCP pour chaque type d'information :

SR : Sender report, statistiques de transmission et de réception pour les participants qui sont des émetteurs actifs. RR : Receiver report, statistiques de réception pour les participants qui ne sont pas des émetteurs actifs. SDES : Source description. Descripteurs de source ; CNAME, NAME, EMAIL, PHONE BYE : fin d'une participation. APP : Fonctions spécifiques à une application.

L'objectif de RTCP est de fournir différents types d'informations et un retour concernant la qualité de réception. L'entête commun à tous les paquets RTCP est structuré comme suit :

Entete RTCP - 8 Octets

V p RC

PT Longueur SSRC

DIAWARA Daoud Ben Ahmed 60 Diplôme d'ingénieur de Conception, Option MIAGE

Page 72: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études ~,,

Le champ V : Ce champ, codé sur 2 bits, permet d'indiquer la version de RTP, qui est la même que dans les paquets RTCP. Actuellement, V=2. Le champ P : Ce bit indique, s'il est à 1, que les données possèdent une partie de bourrage. Le champ RC : Ce champ, basé sur 5 bits, indique le nombre de blocs de rapport de réception contenus en ce paquet. Une valeur de zéro est valide. Le champ PT : Ce champ, codé sur 1 octet, est fixé à 200 pour identifier ce datagramme RTCP comme SR. Le champ Longueur : Ce champ de 2 octets, représente la longueur de ce paquet RTCP incluant l'entête et le bourrage. Le champ SSRC : Basé sur 4 octets, ce champ, représente l'identification de la source pour le créateur de ce paquet SR.

4. Problèmes et OOS 4.1. Latence

Selon la norme !TU G114, suivant le délai d'acheminement de la voix, la qualité de la communication peut varier. On peut trouver ci-dessous un résumé des délais d'acheminement :

CLASSE DELAI COMMENTAIRES · 1 2 3

4

0 à 150 ms 150 à 300 ms 300 à 700 ms

Au-delà de 700 ms

Acceptable pour la plupart des conversations Acceptables pour les communications faiblement interactives Devient pratiquement une communication half-duplex (mode talkie­ walkie). Communication impossible

Précisons que le temps de latence est une combinaison du délai dû au réseau et du délai lié au traitement de la voix par le codec (algorithmes de compression/décompression de la voix). Dans la pratique, si l'on enlève le temps dû aux algorithmes de compression, il est impératif que le réseau achemine la voix dans un délai de 100 à 200 ms. Or, la durée de traversée d'un réseau IP est dépendante du nombre de routeurs traversés.

4.2. Perte de paquets

Lorsque les buffers des différents éléments réseaux IP sont congestionnés, ils « libèrent » automatiquement une certaine quantité de bande passante en se débarrassant d'une certaine proportion des paquets entrant, en fonction de seuils prédéfinis. Cela permet également d'envoyer un signal implicite aux terminaux TCP qui diminuent d'autant leur débit au vu des acquittements négatifs émis par le destinataire qui ne reçoit plus les paquets. Malheureusement, pour les paquets de voix, qui sont véhiculés au-dessus d'UDP, aucun mécanisme de contrôle de flux ou de retransmission des paquets perdus n'est offert au niveau du transport. D'où l'importance des protocoles RTP et RTCP qui permettent de déterminer le taux de perte de paquet, et d'agir en conséquence au niveau applicatif.

DIAWARA Daoud Ben Ahmed 61 Diplôme d'ingénieur de Conception, Option MIAGE

Page 73: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Si aucun mécanisme performant de récupération des paquets perdus n'est mis en place (cas le plus fréquent dans les équipements actuels), alors la perte de paquet IP se traduit par des ruptures au niveau de la conversation et une impression de hachure de la parole. Cette dégradation est bien sûr accentuée si chaque paquet contient un long temps de parole (plusieurs trames de voix de paquet). Par ailleurs, les codeurs à très faible débit sont généralement plus sensibles à la perte d'information, et mettent plus de temps à « reconstruire » un codage fidèle.

Connaître le pourcentage de perte de paquets sur une liaison n'est pas suffisant pour déterminer la qualité de la voix que l'on peut espérer, mais cela donne une bonne approximation.

Le moyen le plus efficace de lutter contre la perte d'informations consiste à transmettre des informations redondantes (code correcteur d'erreurs), qui vont permettre de reconstituer l'information perdue. Des codes correcteurs d'erreurs, comme le Reed Salomon, permettent de fonctionner sur des lignes présentant un taux d'erreur de l'ordre de 15 ou 20 %.

4.3. Gigue

La gigue est la variance statistique du délai de transmission. En d'autres termes, elle mesure la variation temporelle entre le moment où deux paquets auraient dû arriver et le moment de leur arrivée effective. Cette irrégularité d'arrivée des paquets est due à de multiples raisons dont: l'encapsulation des paquets IP dans les protocoles supportés, la charge du réseau à un instant donné, la variation des chemins empruntés dans le réseau, etc. ..

Pour compenser la gigue, on utilise généralement des mémoires tampon (buffer de gigue) qui permettent de lisser l'irrégularité des paquets. Malheureusement, ces paquets présentent l'inconvénient d'accroître le temps de traversée global du système. Leur taille doit donc être soigneusement définie, et si possible adaptée de manière dynamique aux conditions du réseau.

La dégradation de la qualité de service due à la présence de gigue, se traduit en fait, par une combinaison des deux facteurs cités précédemment: le délai et la perte de paquets; puisque d'une part on introduit un délai supplémentaire de traitement (buffer de gigue) lorsque l'on décide d'attendre les paquets qui arrivent en retard, et que d'autre part on finit tout de même par perdre certains paquets lorsque ceux-ci ont un retard qui dépasse le délai maximum autorisé par le buffer.

DIAWARA Daoud Ben Ahmed 62 Diplôme d'ingénieur de Conception, Option MIAGE

Page 74: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

5. Asterisk

Asterisk permet de transformer un ordinateur en commutateur téléphonique performant. Il se présente sous la forme d'un logiciel libre édité par la société américaine Digium. La configuration d'un serveur Asterisk n'est pas relativement aisée, surtout pour les néophytes, c'est pour cette raison que certaines sociétés dont Digium éditent maintenant des distributions entièrement consacrée à Asterisk.

5.1. Vue d'ensemble

Asterisk est soigneusement conçu pour une flexibilité maximale. Les APis spécifiques sont définies autour d'un système PBX central. Ce noyau avancé manipule l'interconnexion interne du PBX proprement soustrait des protocoles spécifiques, des codecs et des interfaces matérielles des applications de téléphonie. Cela permet à Asterisk d'utiliser n'importe quel matériel approprié et technologie disponible (maintenant ou à l'avenir) pour exécuter ses fonctions essentielles, en connectant le matériel et les applications.

A'SterlSk C:ttcw..t) lntci1ta~ .AGI A\ICll'<f.k ~~_1:-,rn,,nt lntOrf,lCO A\11:

P.1~nft Oè.lllt\a;t OJ,w-aory VOiOfm.;ut CO!ltn.z ~,d Contcrcrwnc CWom A.ppllu1l0ns

Asterisk Application API

Codec Translator

API

Mu·Law Unea, C.729 A-L~

GSM

COR Core

Astcrisk File

Format API

IAA S(P H J23 MGCP Custom H.1t°"~'• ISO~ Cbco SklnllY~ Un,STM f1

5.2. Architecture en détail

Asterisk manipule ces éléments dans son noyau :

• La commutation PBX {PBX Switching Core} L'essence d'Asterisk est, naturellement, un système de commutation PBX, reliant les appels entre divers utilisateurs et des tâches automatisées. Le noyau de commutation relie d'une manière transparente des appels arrivant sur les diverses interfaces matérielles et logicielles.

Lanceur d'applications (Application Launcher}

DlAWARA Daoud Ben Ahmed 63 Diplôme d1ngénieur de Conception, Option MIAGE

Page 75: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

mi Mémoire de fin d'études

Lance les applications qui assurent des services pour des usages tels que la messagerie vocale, la lecture de messages et le listage de répertoires.

Transcodeur (Codec Translator) Utilise des modules de codec pour le codage et le décodage des différents formats de compression audio utilisés dans l'industrie téléphonique. Un certain nombre de codecs est disponible pour pallier aux divers besoins et pour arriver au meilleur équilibre entre la qualité audio et l'utilisation de la bande passante.

Planificateur et Manager d'entrées/sorties (Scheduler & I/0 Manager) Ils traitent la planification des tâches de bas niveau et la gestion du système pour une performance optimale dans toutes les conditions de charge.

Quatre APis (Application Programming Interface) sont définies pour les modules chargeables (dynamiquement), facilitant l'abstraction du matériel et du protocole. En utilisant ce système de modules chargeables, le noyau d'Asterisk s'affranchit des détails de connexion d'un appelant, des codecs utilisés, etc ...

L'API Canal (Asterisk Channel API) Cette API gère le type de raccordement sur lequel arrive un appelant, que ce soit une connexion VoIP, RNIS, PRI, RBS, ou toute autre technologie. Des modules dynamiques sont chargés pour gérer les détails de la couche basse de ces connexions.

• L'API Application {Asterisk Application API} Elle permet à différentes tâches d'être lancées pour exécuter diverses fonctions. Communication, audioconférence, pagination, liste d'annuaire, messagerie vocale, transmission de données intégrée, et n'importe quelle autre tâche dont un système PBX standard est actuellement capable ou pourrait l'être dans l'avenir, sont mises en œuvre par ces modules distincts.

L'API Transcodeur (Codec Translator API) Charge les modules de codec pour supporter divers formats de codage et de décodage audio tels que le GSM, le Mu-Law, le a-Law, et même le MP3.

L'API de format de fichier ( Asterisk File Format API) Elle permet la lecture et l'écriture de divers formats de fichiers pour le stockage de données dans Je système de fichiers.

En utilisant ces APis, Asterisk réalise une abstraction complète entre ses fonctions noyau de serveur PBX et les diverses technologies existantes( ou en développement) dans domaine de la téléphonie. Sa particularité modulaire permet à Asterisk d'intégrer de continue le matériel de commutation téléphonique

DIAWARA Daoud Ben Ahmed 64

Page 76: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

technologies de Voix par paquets en constante émergence aujourd'hui. La capacité de charger des modules de codec permet à Asterisk d'être compatible avec les codecs extrêmement compacts nécessaires à la Voix par paquets sur des connexions lentes comme un modem téléphonique tout en maintenant une haute qualité audio sur des types de connexions moins étroites.

L'API Application assure une utilisation flexible des modules d'application pour exécuter n'importe quelle fonction avec souplesse et à la demande, et reste ouverte au développement de nouvelles applications pour répondre à des besoins et situations spécifiques.

De plus, charger toutes les applications sous forme de modules permet d'avoir un système flexible, donnant aux administrateurs la possibilité de concevoir pour les appelants le chemin le plus approprié sur le système PBX et de modifier des chemins d'appel pour répondre aux besoins évolutifs en communication de l'entreprise.

5.3. Codecs

Le tableau ci-dessous présente les caractéristiques des principaux codecs et standards implémentés dans la solution Asterisk. Les codecs les plus souvent mis en œuvre dans les solutions VoIP sont G.711, G.729 et G.723.1 mais ces deux derniers sont soumis à des licences par SiproLab Telecom.

CODECS VOIP . DEBIT kb/s G711 64 G726 32 G723 '6,4(très bonne qualité) G729 B(très bonne qualité) GSM 13 ILBC 15 LPClO 2,4(Voix métallique) SPEEX 2 à 44 (peu utilisé)

La qualité de la voix obtenue par les codecs G.729 et G.723.1 est la meilleure. Elle est très proche de celle du service téléphonique actuel. Ces deux codecs présentent une meilleure qualité que celle des réseaux téléphoniques cellulaires qui reste de bonne qualité (codec : gsm).

6. Clients VOIP

6.1. Les ip-phone

L'IP-Phone est un terminal téléphonique fonctionnant sur le réseau LAN IP à 10/lOOMb/s avec une norme soit propriétaire, soit SIP, soit H.323. Il peut y avoir plusieurs

DIAWARA Daoud Ben Ahmed 65 Diplôme d'ingénieur de Conception, Option MIAGE

Page 77: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

codecs pour l'audio, et il peut disposer d'un écran monochrome ou couleur, et d'une ou plusieurs touches soit programmables, soit préprogrammées. Il est en général doté d'un hub passif à un seul port pour pouvoir alimenter le PC de l'utilisateur (l'IP-Phone se raccorde sur la seule prise Ethernet mural et le PC se raccorde derrière l'IP-Phone)

6.2. Les soft-phones

Un softphone est un type de logiciel utilisé pour faire de la téléphonie par Internet depuis un ordinateur plutôt qu'un téléphone. Les communications peuvent se faire au moyen d'un microphone et d'un casque ou de haut-parleurs reliés à la carte son.

Les interfaces des softphones sont souvent intuitives et de la forme d'un téléphone. Les fonctionnalités des softphones sont les mêmes que celles des téléphones classiques. En plus des fonctionnalités de téléphonie classique, les softphones incorporent souvent des services supplémentaires comme la vidéo sur IP, la présence, permettant de connaitre la disponibilité de ses contacts et de nombreux autres services.

Windows et MacOs : x-lite

Vhleo •·I IJ0.1»ct1 111 ····-····~· 11 f C.1lls t. Co10,><1s SJOel-

·- .,.. Contact$ • t

" llamc• A !

rnends

~~~. M " •·~ "îl 0 S... - [ _,.,. ____ ~ •... ~

~illfr1 .,. ~ •• t""I /if

~- a, .r_ :,ce~u 1 l" :i..·,.:;

.•. ~·.~ Srv,• 1\ ••.• iiiilii ~· 0

DIAWARA Daoud Ben Ahmed 66 Diplôme d1ngénieur de Conception, Option MIAGE

Page 78: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Linux : ekiga

Chat .Edit Yiew rools J:!elp

(sp': [email protected] ---,

1 Contacts DOaJpad I Cali ~~ory

Network neighbours

1 f v Oevel 1

Local raster (2/26)

PSTN pnone nurnber

Cell phone nurnber

Connected with 500 Cali Duration: 00:01:09

00

@online

cd1I A 7 91S.O V 14 5/1<! 9 FPS·29129

Mobile (android, ios) : CSip Simple

n

DIAWARA Daoud Ben Ahmed 67 Diplôme d1ngénieur de Conception, Option MIAGE

Page 79: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 3: CHOIX CONCEPTUELS

Dans ce chapitre nous ferons la synthèse des différents protocoles de tunnelisation pour le VPN, et de signalisation pour la téléphonie sur IP. Nous aurons ensuite à faire un choix entre ces différents éléments pour la réalisation de notre projet.

1. Synthèse des différents protocoles de tunnelisation(VPN)

' LlTP - IPSK Compatibilité des Windows, Toutes les Toutes les Windows ( à partir de systèmes Mac OS, Linux, applications applications. vista), Linux, BSD. Il d'exploitation iOS, Android, ne fonctionne pas

routeurs DD-WRT avec les mobiles Cryptage 128-bit 256 bits 256 bits 256 bits

Sécurité Encryptage de Aucune sécurité Utilise le plus Utilise le plus fort base fort encryptage. Authentification encryptage.

Stabilité du tunnel Très stable, Stable si Stable Stable compatible avec l'équipement la plupart des supporte NAT. hotspots Wi-Fi.

Installation Facile à Demande une Demande Demande une configurer, configuration une configuration spéciale intégré à la spéciale configuration plupart des spéciale systèmes d'exploitation

Vitesse Rapide grâce à un Similaire au Similaire au La vitesse du SSTP cryptage à PPTP PPTP est similaire au PPTP. fonctionnement Le seul problème est allégé que cela prend plus

de temps pour établir une connexion avec le SSTP.

Ports 1723(TCP) SOO(UDP) SOO(UDP) 443(TCP) 47(TCP) 1701(UDP) 50, Sl(TCP)

4SOO(UDP)

Au niveau des agences, l'interconnexion réalisée utilise le protocole SSTP pour le VPN site-à-site. SSTP est un protocole assez intéressant dans la mesure où il est fourni dans la plupart des systèmes d'exploitation Windows par défaut et il nous procure un niveau assez élevé suivant le certificat utilisé.

Concernant le VPN d'accès distant nous avons optés pour la combinaison des protocoles L2TP/IPSEC pour son niveau de sécurité élevé et sa disponibilité dans la plupart des systèmes d'exploitation.

DIAWARA Daoud Ben Ahmed 68 Diplôme d1ngénieur de Conception, Option MIAGE

Page 80: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Comme spécifié plus haut notre structure d'accueil possède un équipement d'interconnexion pouvant faire office de serveur VPN. Donc dans la suite c'est sur cet équipement que s'effectueront toutes les conûqurations pour le VPN.

2- Synthèse des différents protocoles de signalisation(VolP)

H323 SIP Philosophie Organisme Origine

ITU-T Monde Télécorn, basé sur la signalisation RNIS

Fonctionnalités Transfert aveugle Transfert assisté par opérateur Appel en attente Multicast Conférences Multi-unicast Conférences Transfert d'appel Parcage d'appel Récupération automatique d'appel Spécificités Sécurité

Codecs

Transport des médias Transport Evolutivité

Maintenance du code

Nombre d'échanges pour établir la connexion

Oui Non Pas encore Oui Oui Oui Non Non

Oui, via le H.235.

H.323 prend en charge n'importe quels codecs, normalisés ou propriétaires. RTP / RTCP, SRTP UDP, TCP, TLS Ajout d'extensions propriétaires sans concertation entre vendeurs Complexe et nécessitant un compilateur 6 à 7 aller-retours

IETF Monde informatique, standardisation des protocoles Web basé sur la syntaxe HTTP.

Oui Oui Oui via SDP Oui Oui Oui Oui Oui

Oui, via le protocole HTTP ( Digest et Basic), SSL, PGP, 5 / MIME, ou divers autres moyens. SIP prend en charge n'importe quel codec IANA enregistré ou autre. RTP / RTCP, SRTP UDP, TCP, TLS Protocole ouvert à de nouvelles fonctions

Simple par sa nature textuelle à l'exemple de HTTP 1,5 aller-retour

Nous avons vu chacun des deux protocoles phares des technologies de VOIP actuelles. Il y a du pour et du contre. De plus, suivant le besoin, l'une ou l'autre solution peut être plus intéressante. H.323 a notamment l'avantage d'être mature et très présent dans les architectures VOIP déjà en place. SIP est néanmoins plus flexible et plus simple au niveau implémentation. Il gère simplement les communications inter-domaines et offre des avantages dans la traversée de NAT.

Dans la suite nous utiliserons le SIP comme protocole de signalisation pour notre serveur de VOIP. ·

DIAWARA Daoud Ben Ahmed 69 Diplôme d1ngénieur de Conception, Option MIAGE

Page 81: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 1 : MISE EN PLACE DU VPN CHAPITRE 2 : MISE EN PLACE D'ASTERISK CHAPITRE 3 : SECURITE CHAPITRE 4 : TEST CHAPITRE 5: EVALUATION FINANCIERE DU PROJET

DIAWARA Daoud Ben Ahmed 70 Diplôme d1ngénieur de Conception, Option MIAGE

Page 82: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 1 MISE EN PLACE DU VPN

Dans ce chapitre nous décrirons les étapes nécessaires à l'installation et à la configuration de notre VPN.

1. Installation et configuration du serveur VPN

Pour la configuration de notre serveur VPN, nous utiliserons un routeur Mikrotik Routerboard RB1100AHx2, et dans celle des clients VPN un Mikrotik RouterBOARD 951-2n, ceux-ci nous offrent deux modes d'administrations :

L'interface graphique : celle-ci possède un client lourd(WinBox) et un client léger(WebFig) via le navigateur web ;

manoger<alD4:CA:6D:2A:D5:Cl ~RD-RT-002) • Win8ox vS.26 on R81100AHx2 (powerpc)

Budge

ppp

Swttch Mesh

IP

MPLS

Rowng

Syotcm

Queue,

f;Jeo

Log

Radius

Tools New Îetm!MI

Me,aROUTER

Mol<e Supout rd Manu&I

+- Norno

V Scar-vt6' FreQ Usage A1tQ(W'll6f"A 1.\'~au S,"'dff~ 'N,relôSs Si'°oper

ÎYPc U: MTU Î). Rx T" Pac Al,- Poe T,c; Drops Rx i)(Opf

DIAWARA Daoud Ben Ahmed 71 Diplôme d1ngénieur de Conception, Option MIAGE

Page 83: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

+- 10.0.99.50 lu; 'M\\,',, ,_·'lf""Jo

Mcsn

,. R.0 •.• ::t11.o

Type LlHTU 1• .. TJt R:x Pa<"-•'- P.­ (p/•) (p,

Log ! ~····· --J New Te,.m1nal Tccls • McteG.OUTEA

t-1•"-• ~upout nf

~3 >Ho,Manu j .,..,de ;i,•n....,crd• . Sefe Mode

--°~-·--······---, Manuel

Logout

p,•r ,t1i:U· .. J

L'interface en ligne de commandes (CLI : Command Line Interface)

n,rv vvvv vvv ~! ~ ~

:Ç:(K nr:rnnr: ?:"!.:,{ TTTTTTTTHT

III ~-:<K ;Ç:C-( P.R.1,RRR ccococ TH n: III v-.:y:sN RRR RRR c·· ::-: r r r u: III vw ;rzy RRRRRR :lOO ~~-0 TT! I III i<:-Œ ~ RRR RRR OC-OX'O TH II!

K',G,'. KKK KY.l< i(Y.R KK!ŒY. V"~ ~.r.zy l'Y.'°t. :'.Y.K

Xikro!ik Router:s 5.26 (Cl 199,-2013

!Ptcria

ht:tp: / /v,:w .mil::otik. CCm/

'j'.1rl111111 ;trJt

Pour la configuration de notre serveur VPN, nous le ferons à l'aide du second mode le mode CLI via le client lourd : le WinBox.

Etape 1 : Avant de pouvoir accéder à l'interface de la ligne de commande il faut d'abord s'y connecter.

~I

1 ,,.,..rt...,.,,_...,..,, __J 11

r. ~ • J.\!!C

__ ,

DIAWARA Daoud Ben Ahmed 72 Diplôme d1ngénieur de Conception, Option MIAGE

Page 84: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

ConnectTo Login Password

Adresse MAC, Adresse IP Nom d'utilisateur Mot de passe de connexion

Ensuite cliquer sur le bouton « Connect »

Etape 2: Cliquer sur New Terminal manager®D4.<A:6D:2A:05:Cl (lMAIIAI\D-RT-002) • Win~n RBUOOAHx2 c;;;;;;l

<) <" Safe Moôe

~

:~

Bndg• P?P

MPLS P.out,ng 1

Sy,tem I·

Ouou •• Files

Log Radlu,

Toolt ffe"w T ennin:t" •... .,,,, MaaROUTER lal<,ke S.-,,.ril

Monu>I

E,Jt

~ ~ ~ III t':..,~-: Y.:-<:-: ~ ~ ~ !!J u,rt! ~ ~ [! I i':-C,< K"C.-':

RRF.RAA RR1'. RRR RRF.AAR RRR AAR

?<'.:1k":or:.k Rout:e:cs s .. a (c> 1·n9-2.0l3

rrnrrrrrrr TTTITT:-!HT

C~"'C.O~ r rr !II :)"J::l ::ic TT: Cil ~·v•_ 000 n; :11 oocccc TT! :!I

!C<Y. !"'Z:<: Kr:-< ,x,: 11".:(",C,:':( :î::>(".,( ;c:..;-:>{ 7.:C< 7.:-0'.

nt t~:. _,w..- .•. · .:r-1lr.:ot!k .c::;:r.

t 2é me~.noe: :iot ,~o\.'.'.l) auq/2,?'201.1 1-:02:59 :,~•.,t.e::i,e:-:eo:-,-::itical :09!:".I !allll!'~ !or use r :r.a:1.eçe: !:,:::r, 10. 1),99,5() vt e veb .3er101/2014 Jï:2::4::, ~1·.ste:r.,e::~:-,c:-1.t1.cll :o:o!n !a1:u:e !o: uee r :r.a=iaqe: !::::ri 10, (1,99,50 VU, ~·e:h .!ep/Ol/201ol. IJ:,.: 37: 13 sveees, e r rc r , c:i.t!.ca.:. :;01.n !'àllu:re !'c:- use r rr.a:ia.;c: !:::ri 10. (l.~~.50 V!.4 \.'t:b ,ep/Ol/20H 07: J7: ~! !:J3te.~, e r re r , c:-1 tica~ l~oi:i !'a ilu:: !c:: U.5e: :r.A:Ja,;e: : :c~ 1..,.

.up/OL'2(•H o-: 3~: 03 -')'.,te!!',, e r rc r, cnt:..ca: l::91n !'allure !'o: uae r ir.a:i6;e, !:o:r 10 . 0,99. s-:i vae \ol"'eb

.!cp/0~/2014 lL:06:4~ -'Y-'tcm,err:):r,crit1ca.l l'JQ'in !cllure !o: l.!.!e: ~:b..!.n !:-.o-r1 tc.». ?S. SC Vic veb .,cp/Cr~/20li l2:Ct6:49 "\'-'tt.m,c!'::o,r,cr1t1ca.l loq1::, !u.lure !0: use r u:-~c.Qc: !:o:-. llJ . 0.99,50 ViA vec .!ep/C•9/20H l~:OE:53 .,,·:1te:c,e:r~:-1,;ntica! l~Ql!"l !ulu:e !o: uee r :r.a::.a;e:- !::o:t 10 . 0.99.51) ;,!4 web (, ,c,a_v __ ;;._c_., .. - ..• J >

~, "'.]

Dans la ligne de commande il faut exécuter les commandes suivantes pour activer le serveur VPN :

DIAWARA Daoud Ben Ahmed 73 Diplôme d1ngénieur de Conception, Option MIAGE

Page 85: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1.1. VPN Lan-To-Lan par SSTP

Activation du serveur: /interface sstp-server server set enabled=yes

Pour afficher les informations sur le serveur SSTP : /interface sstp-server print

~ ~ ~~ ~~ ~ ~ ~ !II Y.'?'J. !"3':-t. RRP.R..~~ !-2-~ ~ ~ : II K"r.'l."":fl. R.~O. RRR ~ ~ : ! I ~..( ;f't"'./. R.RRRRR ~~ ~ !II :(Y.i( l<ê.l. RRR AAR

~ik:cîii: Rcute=-CS 5. 25 (c) 19?3-2Ctl.3

rrrrrrrrrrr r rrr rrrrrrr

coccoc rn I I '~o TTT I

\,o •••••••• YYV TTT I I ~·X.CC TTT I

:("!'fi. ;c.,:,,: -:r.rr.r.1 -.r-.r,1 Z"P

ZXY. ~

:::-.'!~~-;:it:@:!"-~!:;._p.:-R!-:-J.2] > :.7;c!::~ :r..!:kJ~-@:J~::;...P:-RT-::~J ... --:~!!,•.Fe> ~3-~-~~:-·e~ '.!!' . .!.:'.~Jo;_:.@:.!·~::;._~..:-f:.7"-::~J _:.:e:.:e..'! .:.L.~-!'!_ ·e~> ;a.:-··;;.· .ed:i ;;.zr .. ,._e.;;:. j,150b:e ~d1-: e:-.atle ~>q:cr= ::.:i1 :r..:.:-i:t.:: ~:1:n. r ezcve "~~ é:"'.· :1~.;.@~·_......::;J.::-~:-_ ... } _ :~-- ~ t' ;, .>

..•. ,__~,, @:..·:.~·:;;.F:-~- :·:1 ---.. ,c. •• > se ; e'."':1· 6.

:.: .! -!._@_- ;._~_:-:-:·----! .. ~--.:..-! .!'.!:;::-.!~- ~-> ç::::: e::ab!e:l: ye s

pcr t : 44,; -nax ... :?",t;u: 15:-c :r.E.X-~U; l 5-:(

ir.=:u: :ii!abld .:.Ceepal1ve-~1.r.ecut: EO

de~aulc-p~c~1le: 1e~ault authen.1cat1on: pap,chap.m5chapl,r...,chap2

ce:~1!1cate: ~one ve=i~y-cl.:ent:-ce~ti~1ca.te: ne

:~···'".t.1·· •. f!IY;,.::AF:-r.:- .::1 ::-r:;e"~r..·~ ~::.r:-:'=":-· . .;.:: :.fo:·"!'.:.>

4 1· "onfiq

Configuration des routes: /ip route add dst-address=172.16.15.0/26 gateway= 192.168.5.109

Dst-address Gateway

Plage d'adresse du LAN du site distant à autoriser Adresse IP du tunnel pour le site distant

NB : Une négociation est effectuée entre le client et le serveur pour l'authentification, en fonction du protocole activé sur le poste client, le serveur peut choisir l'authentification PAP, CHAP, MSCHAP vl, ou MSXHAP v2.

Création du compte utilisateur : /interface sstp-client add user=sstp-test password=123 connect-to=41.X.Y.Z disabled=no

Pour afficher les informations sur les comptes utilisateurs : /interface sstp-client print

DIAWARA Daoud Ben Ahmed 74 Diplôme d'Ingénieur de Conception, Option MIAGE

Page 86: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

~! ~ ~ !II iŒi". ;GC,{ ~~~III ~E.f."I.'

~III?'?.'/.~.« ~ III :'D. ~

lllTTTTTTIT TTîîîTT!!TT - = rrr Ill

RRR RRR x-0 ex, rrr III P.RAARR :,00 000 I!! III RRR RRR ccocco III Ill

~ik=oîilc RouterCS 5.2é (c) l'B9-2013 b'ttp:: /,.-,,.-w.o.ilc:otik. con/

:~::1:e;ie:-@:..v;..::A.?.:-fl.T<::1 > ::i.-e:::'e.:e :r.:e:.~-,e:::@:..v.;..::;..-::-F.:-::;:J ::i:e:::'ao:e> !l.!:,-:::.e:-.t :t!laC<a~e::-@:...v.;.:::._::,:-1-.:--:1:J ::.,,-:.~=!dl:.'! 5!!"::,--:.:e".".t.) ajj 11:J-J'e!'a_.--:-::.~e nt.tp-;.,:-::x;· ;.:-::'; • .., 1:.. :!':'!::'l::. :e: :::.:-. .:eeç.L:. ··e-:i::,e:·.;: ··~: ~ !; -!'e:·· e: -.:::!'l:-e !' .!- ::': .: - :e:: :.::': :t: e e:-::::. :~:e :-.e.x-:-..r.;. ··e::. ::'~·-!e:··e:::-,:e:-:: ::';. :t. ·e -~-=~- r.ai. -· _, ccnnec.r ::::·-::':. ·:- r.::·.;. ase r ::!:-:."'..-lt~.!.:-.:: :;..!!:....e:i ~".!.!.!',1::::1 .•. ,--:4:; .• -@:_v.;.::..:...;:-=:- ·:1 :-.- .• :-·~~ .• !!'";.·' .e-:·> a:.1d uee r s.stp-t.e.!t i:;a!!!,.'~:-j-123 c '1-'l~ct-:o U.2:..3.X.'f .:!11a . .::!!'J ::-:

.n•.-al11 ve Iue !c: a::;u:ne:it e.dd:e.,., :::- . .!l:'la~e::@:__~:r.:;1.:--RI-.:.21 .:.:::e:~a:~ =,s:p-c:.:.e:-:.t> ~11 uee r .,np-te.:it ;::u?~,,.:::1 123 c mnect-to"'U. 223.1. l dl.!.!i:le:1=::~ :reM;e:@:__".A:!.\?:-?T-CC'ZJ .:.~.':e:!4::':! !:,:p-,::_:.ent> p::!.:'lt ~ldg.,: X - di.nbled, R - run..'ling 0 :,ae~•".:i.:itp-outl .. :'.:!X-t:'tUmlSO(I .:r:u:-=:urlSOIJ r.:::..i1=d1.nb1ed

ccneec c- :;::, •• ,a, 223, 1, 1: 443 f;t:;-p::l!.yacO. O, O. O: 443 :e :-: : ~: car evncne ·,·e::-1 !'y- eervec-cer c ~!:.:."-te•no .. e:: t!'l"-,e=--·e:-td-i.~e.!!! - ! ::==:- ::e: ::. : .:!. -tt•yes ·J,e::• •. ,.,q:-t:est" ; ~.!l.,....:::,,•"'123" ç ::;;: :. :e•de!11ul t .-ee~e.!:. ··e-~ ::,.e:: ..1::•60

eutnet.c ; :e ::.:::i-p4~, chep, :r:.,che.pl, n:.scha~:.. ::-.:·li~~~@:..!'..: .. :;.;;~-?> .. J .-·'!c::Le .=~-~- .~e·;·>

1.2. VPN Remote Access par L2TP /IPSEC

K:'V~ ..,,.,.,..,, :r!."1. ;,:-a ?.'"I.K'CI. ?'.'.,("I. :,("!Y. iO'.r: :GŒ

1.2.1.

Activation du serveur: /interface 12tp-server server set enabled=yes

Pour afficher les informations sur le serveur L2TP : /interface 12tp-server print

DIAWARA Daoud Ben Ahmed 75 Diplôme d1ngénieur de Conception, Option MIAGE

Page 87: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

~ ~~ ~! I1! ~ ~ ~ II!

~: !I .. m'. II

K!{J,( TTTTTTTTTTT K"F.~ TTITTTTTTT ~-{Y. ~!. RRRRRR ooocco TTT III :':~<~ RRR R.1<.R C{)C X·-C rn !II :r~rJ v-rJ RR.'U'~ :x:: ::c:: TTT !II ~{'t, ~I.::~ R.'l..Cl. R.'lR :·x·:-:J TTT III

!.("'pr.t1q :<"I."!. ~-{

~ik:cT.1k R:;ur;e::s 5. 2E <c) 1?3?-2(1lJ

::·.:r..a-,~:@IY..ri:~~-R:-:o.:J > :~-:o_:::~:I? ::ue::a.·;n::@l..!·!.!..:r;...o..:-R~ - J(2] _:.:e:-: s,ce> ,::1:i::-~; e•::i:, r-~ .i.i"t:;:-.:i:!~:':- _°;~ ::•.,::.-::.:~:'.:. ;r:r.-:::~:):; ;,;·.::P-,"'.: ,n,· •• -

::j;-:: et:'..-:::::1-!t :;::.; !:q:--3o;:::··e: -:.e!:O :~i::-.-:-~:-·e: ;:i::=· ~~=·:-::: ::.;a:-.a::'!:.@~~-=:~o..:-P.:'-':'~2'} , ::".:e::!.:-~> 1 .. -:i:-.,e:v~:: :œ:-.:.;1=:@:_v~::~.:-?:-:i:·.:} :.:- ... ~::a-~ie -i~r.-!:e:··'!:> se

•••••.••• ,. •.• - ~..,1 •••. ,~ ••• :'-t·:---~ .•• --

~--~-.,_ ... ,. @:_-_._:;;...;.:·-F;-.,~:J ~-.-•-"'=..- .... .,;::.:""-.!t<:- ~ •. > ·~:,.···e:: ~a:-i -::.:..@:_~:,.::~·.:.-?:-:.:.:.J ---=:~!.- ..•.• ~ .. ·~-.'.!~: ... ~ ::!:.. -~-> 3e-: e~.t...::-:~:1- -~~

@ __ ;::;....?_ :-.: ---J --,,.. ... :~ !' .•. :·ç !. ••.•••. ~ •• - > !=:'l:lt. eneb I ed : ye s :r:ax-rotu: 14 61j

ir.ax-rr.ru: 1-IEO r:-.:::u: :11.,able:I

euthenc i ce c t cn : p-ai:, cnep , i,.3chapl, !!.3Chap2 keepal1ve-t1meout: 30

de!ault-profile: default-encryp~ion ::r.a:iage=@L!!A.: __ .AR.:.:-RT- __ .z J _ ::-~:-: ~ =~ .... t~-~e=· .• ·~= ~!::'l·e =>

NB : Une négociation est effectuée entre le client et le serveur pour l'authentification, en fonction du protocole activé sur le poste client, le serveur peut choisir l'authentification PAP, CHAP, MSCHAP vl, ou MSXHAP v2.

Création du compte utilisateur: /interface 12tp-client add name=12tp-test user=lmai password=123 connect-to=41.X.Y.Z disabled=no

Name User Password Connect-to Disabled

Nom descriptif de l'interface Nom d'utilisateur du compte Mot de passe du compte Adresse IP du site distant Etat du tunnel

Pour afficher les informations sur les comptes utilisateurs : /interface 12tp-client print

1..

DlAWARA Daoud Ben Ahmed 76 Diplôme d'ingénieur de Conception, Option MIAGE

Page 88: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

VYY VVVV y,.r,.,; ~ ~ ~ ~ ~ ~ Y.!,,Y.

Y.!-Y. ITTIITTIHT l<i(':{ :-Cl{':{ TITITTTIIIT :(K':{

III i'::C-< K!Œ R.AARRR C-000:>0 III III ~ l'""..:<:~ III KP".F..I.Y. RRR RRR coo v,.,v III III K"œ.~ III ~J"J -:.:-. .• 't! RRRRRR ccc ::~ III III :rr.t ;.("-{'-{ III 7.t.:-< ~~ RRR RRR C·"-""',...., ..... " III III ?C-C-". !{":(-{

~1k:cTik Rcute::s 5.26 (cl 193?-2013 ht: t p : / /;.-.,,,, Jr.:k:Ot.ll:. CCJr./

[-.~~!.te.@:.:·~-::;_::.:-~.:-::2] > :.:::'=~.:!:~ [~,o:iége :@:...:J_;_: :;..,.~.:-?:-:•:-] :::re: :a:e> ..•. ;r -.:: :~~- [i.- a:i.a;,e :@:..v_;_: :..R:-RT-:: 21 ::,::::a·:::: 1::p-:::e:i:> ë::ld :lé..":.= 12tp-te3t use r=Lne I pe s [r:,,;;.:1a1e=@.: . .Y.;.::;..?..:·-Pï-:02] :::r.e.::a:i::- J.::p-:::e:-..::> p r i n flags: X - d1sabled, R - ru:ining O :.a::.i!:="!2tp-'te3t" ;:-.a:,-;;;t.i=lHO I:'.=.>:-=.:·.i=1460 =-=:·;~disableo c:::-.:.e::-t:=-U. 223 .1

a~ 1 :;·=pap, chap, ll\3Chapl, m.:,chap2 _-ë :~ @:..v_:::.:J:.:-,:: :::J ---""--"'-"--:;.-:.:a:.:>

1.2.2.

Pour la configuration de l'IPSEC, il faut exécuter la commande suivante :

/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key exchange-mode=main-12tp secret=123456789 hash-algorithm=shal enc-algorithm=3des generate­ policy=yes

address Auth-method Exchange-mode Secret Hash-algorithm Enc-algorithm Generate-policy

Plage d'adresse autorisée à se connecter Mode d'authentification Mode d'exchange des données Clé de cryptage Algorithme de Hachage utilisé Algorithme de cryptage utilisé Pour générer les policies IPSEC

2. Installation et configuration du client VPN

2.1. VPN Lan-To-Lan par SSTP

Client:

Configuration des routes: /ip route add dst-address=l0.0.0.0/16 gateway=192.168.4.0

DIAWARA Daoud Ben Ahmed 77 Diplôme d1ngénieur de Conception, Option MIAGE

Page 89: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

PROPRIETE , , , , ·. '•DESCRIPTION Dst-address Gateway

Plage d'adresse du LAN du site distant à autoriser Adresse IP du tunnel pour le site distant

' pC:.H

2.2, VPN Remote Access par L2TP /IPSEC

Pour la configuration du VPN au niveau des postes clients, on pourra utiliser le client VPN fourni par Microsoft sur Windows (XP, 7, 8).

DIAWARA Oaoud Ben Ahmed 78 Diplôme d1ngènieur de Conception, Option MIAGE

Page 90: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 2 : MISE EN PLACE D 'ASTERISK

1. Installation et configuration du serveur ASTERISK

1.1. Installation du serveur ASTERISK

Pour les besoins de notre projet nous allons implémenter notre solution sur une distribution linux orienté administration de serveur tel que Debian. Nous utiliserons la version Debian 7, aussi appelée« Wheezy ».

Debian est une distribution non commerciale régie par le contrat social Debian. Elle se distingue par le très grand nombre d'architectures supportées, son importante logithèque et par son cycle de développement relativement long, gage d'une certaine stabilité. Sa qualité et son sérieux sont unanimement reconnus, de sorte qu'elle est particulièrement appréciée par les experts et très utilisée sur les serveurs.

Durant tout le processus d'installation et de configuration, nous exécuterons toutes nos commandes en mode super administrateur, qui correspond au compte « root » dans linux. Ce mode nous permettra d'avoir tous les droits nécessaires sur le serveur.

Etape 1 : Pour pouvoir passer en mode root, il faut exécuter la commande suivante : su root Après cela il faudra renseigner le mot de passe.

Etape 2 : On commence par mettre à jour notre distribution et installer les dépendances nécessaires à la compilation d'Asterisk avec les commandes suivantes : apt-get update && apt-get upgrade apt-get install build-essential libxml2-dev libncursesS-dev linux-headers- · uname -r' libsqlite3-dev libssl-dev

Etape 3 : On crée un dossier où sera contenu les sources d'Asterisk dans /usr/src et on se positionne ensuite dans celui-ci : mkdir /usr/src/asterisk cd /usr/src/asterisk

Etape 4 : On télécharge la version dernière version stable d'Asterisk (la version 12.5.0) à l'aide de la commande suivante : Wget http://downloads.asterisk.org/ pub/telephony / asterisk/ releases/ asterisk- 12.5.0. tar.gz

Etape 5 : On décompresse le fichier avec la commande suivante : tar xvzf asterisk-12.5.0.tar.gz On se positionne dans le dans le dossier décompressé : cd asterisk-12.5.0

DIAWARA Daoud Ben Ahmed 79 Diplôme d'ingénieur de Conception, Option M !AGE

Page 91: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

On passe maintenant à la compilation des sources à l'aide de la commande suivante : ./ configure

NB: Si l'erreur suivante se produit « configure: error: *** uuid support not found (this typically means the uuid development package is missing) » Il faut juste exécuter la commande pour lancer le script d'installation des pré-requis : contrib/scripts/install_prereq install

Etape 6 : la commande make menuselect va faire apparaître un écran qui va nous permettre de personnaliser notre installation d'Asterisk.

'Z!IT!!'-=.+ 11 , :'.~::.~:,eu,.. ~": ~;::!,;°''I"" ~.,,·,.,..iun• fe,-t IUUFUUU la•lPl•nNHIIM• •••• -i •• luc11,a-•-h• hu-~I•• t.o,gUor th;t .. .,.~-•1 •...• a0pu""" OUhuu .l.lt$~ •.•

-·'""'= C.t• ''"""' ••~U;u lt:lne CM uu ruo u~u;,u ..., ....•...... , ...• _.

,, ... 11-_oc1>», 1 1 t;, ••• <_o,p, tt,u_-nq_-.i,o<:11

·-<k$'nJr.oud -· 11 •~.-.1 ••• 1 llaw_u\-<JI l I ff.1_11·,·~

Etape 7 : Nous allons ensuite installer les sons français pour Asterisk au format p-law,

DIAWARA Daoud Ben Ahmed 80 Diplôme d1ngénieur de Conception, Option MIAGE

Page 92: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Dans le menu de Core Sound Packages, on coche MOH-OPSOUND-ULAW (on Décoche celui en WAV).

Dans le menu Extras Sound Packages, on coche EXTRA-SOUNDS-FR-ULAW.

Enfin on enregistre tout en appuyant sur Save & Exit tout en bas

Etape 8 : Pour terminer l'installation, on exécute les commandes suivantes :

Make Make install Make samples Make config

NB: ces commandes doivent être exécutées sur un serveur possédant une connexion internet active.

Etape 9: Enfin, on lance Asterisk avec la commande suivante : /etc/init.d/asterisk start

Pour vérifier le bon fonctionnement de notre serveur Asterisk, nous utilisons la commande suivante qui sert à afficher la console d'Asterisk : asterisk -cvvvvvvvvvvr

root@LMAIIARO-SV-007: /usr/ !!IC/ a::iteri!!k/aster 1sk-12. 5. o; ascerislr: -cvvvvvvvvvvr teri!!lt 12 .s.o, Copyrioht (C) 1999 - 2013 01.91.um, Inc. and ct.ne r s •

Created by Mark Spencer <tr..arll::n:er@digium, corn> terislc corcea wlth ABSOLUTELY NO WARRANTY; ty-çe 'core encv ve r rencv ' tor [email protected]!!. 1!! 1!! trcc .:iottwarc, with ccrœcnenc e liccn.:scd undcr the GUU Gcneral Pi..blic

t.acenae ve r ea cn 2 and other 11.cen:,es; you are ve ï.ccae to cecn ac r rbu c e .lt under certain conda t.a one , Type 1core show r acenee ' for ce ce i ï e •

Connectcd ta Mterl.!!h: 12.5.0 cun:ently runnl.n<~ on LHAIIARD-SV-00? {pl.d - 2293':I) LMAIIARD-SV-OO?•CLI> 1

1.2. Confi~uration d' Asterisk

Pour configurer notre serveur Asterisk, nous modifierons les trois fichiers suivants : /etc/asterisk/sip.conf: pour la configuration général d'Asterisk. / etc/ asterisk/ users.conf : pour la configuration des utilisateurs. /etc/asterisk/extensions.conf: pour la configuration du Diaplan.

1.2. 1 rnnfqp1rat1011 !;l'neral Aslerisk

Nous allons mettre les sons par défauts en français pour ce faire nous allons éditer le fichier sip.conf.

Nous recherchons la ligne« ;language=en » et la modifions en « language=fr ».

NB : A chaque modification d'un fichier de configuration dans Asterisk il faut après le recharger par la commande reload dans la console Asterisk.

DIAWARA Daoud Ben Ahmed 81 Diplôme d'ingénieur de Concept,on, Option MIAGE

Page 93: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

l.2.2. Crcation des utilisatc11rs

La création des utilisateurs se fait dans Je fichier users.conf.

Ci-dessous un exemple de fichiers users.conf avec deux utilisateurs Ben DIAWARA et Georges ASSAN avec comme numéro d'appel respectifs 2001 et 2002.

(generall ha:,votcema.11 = yl!:1 naaaap = yes ha:siax • ye.s !allwai t;ing - ye.s threewaycalling = yeg callwa1 t1ngcallerid = yes tran:1ter • ye:, canpark • ye.s cancellforward • ye:, callreturn "' vee callgroup "" 1 pickupgroup = 1 nat = yes

(template) ( 1) type•friend ho:st-dynMlic dcrnfmode:arfc2833 disallow=all allow=ulaw context. - work

(2001) ('tezr.plate) fullname • Ben DIAWARA usernwne = ben.diawara secret;=azerty

D20021 (cemplace) fullname = George9 ASSAll u:,erna.me "" çieorge:,. as.san eec ren=e ae r t y

PROPRIETE ' · DESCRIPTION · , , · [2002] type;friend hostedvnarmc dtmfmode;rfc2833 disallow=all alloweulaw fullname ; Ben DIAWARA

username ; ben .diawara secret-eazertv context ; work

Numéro SIP type d'objet SIP, friend ; utilisateur Type d'adressage, dynamique ou fixe type de rfc utilisé Désactivation de tous les codecs Activation du codec µlaw Prénom et NOM de l'utilisateur ( ce qui sera affiché sur le téléphone lors d'un appel) Nom d'utilisateur Mot de passe du compte SIP Contexte

Une fois le fichier users.conf enregistré allez dans la console Asterisk, tapez reload en enfin tapez la commande sip show users.

OIAWARA Daoud Ben Ahmed 82 Diplôme d1ngénieur de Conception, Option MIAGE

Page 94: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Les deux comptes utilisateurs que nous venons de créer devrait y apparaitre. LMAIIARD-SV-007•CLI> :iip :Jbow u:ier:i Osername Secret Account:code Def .Context. ACL forcerport 2002 azerty work no No 2001 azerty work No No LMA1IARD-SV-007•CLI>

1.2.3. Confil{uration du plan de numérotation

La configuration du plan de numérotation se fait dans le fichier extensions.conf.

Le plan d'appel est le fichier de configuration d'Asterisk qui permet de configurer :

« Que se passe-t'il si j'appelle tel numéro?»

Nous allons donc configurer Asterisk de telle sorte que l'utilisateur 2001 puisse appeler le numéro 2002.

Pour ce faire nous allons ajouter à la fin de notre fichier de configuration les trois lignes suivantes :

[work] exten => _2XXX,1,Dial(S1P/${EXTEN},20) exten => _2XXX, 2, Hangup()

(general) tatic•yes 1riteprotect=no clearglobalvan=no (globals) ONSOLE•Console/dsp AXINFO=eues t RUNK=llAHDI/62 RUNK/150=1 [work) exeen -> _2X:XX, 1, D1al (5IP/$(EXTEN}, 20) ex.ten => 2XXX, 2, Hanqup ()

Console interface for de110 IAXtel usernarae/passttord Trunk interface MSD digits to strip (usually 1 or 0)

Dans ces trois dernières lignes nous allons voir deux choses, les contexte_s et les extensions. [work] est le contexte c'est une sorte de conteneur dans lequel les utilisateurs faisant partie de ce contexte pourrons communiquer entre eux. Lors de la création de nos deux utilisateurs nous avons spécifié le contexte work.

exten => : déclare l'extension (on peut aussi simplement dire numéros) _2XXX: Prend les extensions (ou numéros) de 2000 à 2999 le«_» permet d'utiliser des regex 1 : Ordre de l'extension Dial : application qui va être utilisé SIP: Protocol qui va être utilisé ${EXTEN} : variable de l'extension composé, si on appelle le 2001 la variable ${EXTEN} prendra comme valeur 2001

OIAWARA Daoud Ben Ahmed 83 Diplôme d1ngénieur de Conception, Option MIAGE

Page 95: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

20: temps d'attente avant de passer à l'étape suivante.

Donc la ligne exten => _2XXX, 1,Dial(SIP/${EXTEN},20) se traduit par: Quand on compose le numéro (par exemple) 2001, on appelle le numéro 2001 et si au bout de 20 secondes il n'y a pas de réponses on passe à la ligne du dessous.

Dans le cas du numéros 2001 la ligne devient comme ceci: exten => 2001, 1,Dial(SIP/2001,20), mais l'avantage de la ligne précédente est qu'elle permet d'appeler les numéros de 2000 à 2999.

La seconde ligne : exten => _2XXX, 2,Hangup() permet de raccrocher si il n'y a pas de réponses au bout des 20 secondes.

Maintenant, on peut enregistrer le fichier extensions.conf et faire un reload dans la console d'Asterisk.

l.2.4. Installation et confifruration de notre IVR

Un IVR (Interactive Voice Response) permet de guider les utilisateurs vers le service qu'ils souhaitent joindre.

1.2.4.1. Installation de l'IVR

Pour que notre serveur Asterisk s'exprime, il nous faut installer un, moteur de synthèse vocale comme Google Text To Speech

Pour installer Google TIS il nous faut exécuter la commande suivante : apt-get install perl libwww-perl sox mpgl23

Nous allons ensuite aller dans le dossier /var/lib/asterisk/agi-bin/ et y mettre le fichier googletts.agi qui est le script pour mettre en place la synthèse vocale cd /var/lib/asterisk/agi-bin wget https:/ /raw.github.com/zaf /asterisk-googletts/master/googletts.agi chmod +x googletts.agi

1.2.4.2. Configuration de 11VR

La configuration de notre IVR se fait dans le fichier extensions.conf, ci-dessous une capture du notre fichier de configuration

DlAWARA Daoud Ben Ahmed 84 Diplôme d'Ingénleur de Conception, Option MIAGE

Page 96: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

: IVR pour e.ccueil

;~terl!lk prend le.ppel exten •> 2000, 1, An:,ver Il

;on met. un tlrneot de S eeccneee pour ree ditterent.:, cno xx cxten •> 2000, ~. Set (TIHEOUT(rcpon!le) •S)

;on annonce rea d1tterent!I choix cxten •> 2000,3,e.g1(googlett:i.ag1,"BonJour Bienvenue au 1011len1wn de:, eee cr eacee lntcrnatlonne.le., IARD 1",fr,any) exten •> 2000, 'I, e.g1 (googletts.e.g1, "Qui eoune i t.e a voua Jo1ndrl!! ?", tr, e.ny) exten •> 2000,S,e.g1{googlett!l.e.g1,"Pour Joindre Iliavace. Ben tape: 1",tr,any) exten •> 2000,6,eg1(googletts.ag1,"Pour Joindre A:,.:,e.n cecr çee t epe z 2",tr, nnyJ exten •> 2000,7,ci.gi(googlett!l.e.g,1,"Appuyer: :,ur drè ee !11 vc ue aoune rt.e e réecouter ce rne:,.:,age",fr, cmy)

:on attend que l'ut.111:iatcur appui:, :,u[ une touche exten •> 2000,B,UaitExten(J

;:,1 .l'utlUateur appu1:, :,ur l on [ed1r1ge vece .::001 exten •> 1,1,Goto(2001,l)

;:,1 l'utlll!lateur appul:!1 :,t1[ 2 on red1r1gc ve r e 200.:! exten •> 2,1,Goto(2002,1J

;:,1 l'utlll:,ateur tape un nuroecc cotnp[1:, ent.r e 3 et 9 et # 11 r e t our ne a letape 3 exten •> _[J-91,IJ, 1,Goto (2000, 3)

; :,i l'ut 111:,ateur ne t&1:, r 1en i. l retourne "' l' etape 3 au bout de 10:!! exten •> t,1,Goto(Z000,3) 1

2. Installation et configuration du client SIP

Pour la configuration d'Asterisk au niveau des postes clients, on pourra utiliser :

Sur Windows : X-LITE Sur Linux : Ekiga

D!AWARA Daoud Ben Ahmed 85 Diplôme d'ingénieur de Conception, Option MIAGE

Page 97: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 3 SECURITE

Dans ce chapitre nous exposerons les différents outils et méthodes utilisées pour la sécurisation de solution de VoIP.

1. Topologie Réseau

Pare-feu

Rouleur

Agonccs distantes : Abidjan, Bouaké, Yamoussoukro ...

Siège LMAI-IARO Plateau

Equipements mobiles

2. La gestion du Firewall

Un pare-feu (appelé aussi coupe-feu, çerde-berrtére ou firewall en anglais) est un outil (matériel ou logiciel) permettant de protéger un équipement ou un réseau informatique des menaces provenant d'un réseau privé ou d'un réseau public tel qu'internet. Celui-ci fonctionne sur le principe du filtrage simple de paquets. Il analyse l'entête de chaque paquet de données le traversant. Les éléments analysés sont :

adresse IP de la machine émettrice ; adresse IP de la machine réceptrice ; type de paquet (TCP, UDP, etc.) ; numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).

DIAWARA Daoud Ben Ahmed 86 Diplôme d1ngénieur de Conception, Option MIAGE

Page 98: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

Un pare-feu contient généralement un certain nombre de règles prédéfinies auxquelles il obéit lors des filtrages :

Allow : autorise la connexion ; Deny : bloque la connexion ; Drop : Rejette la demande de connexion sans avertir l'émetteur. Pour la configuration de notre pare-feu sur notre serveur Asterisk nous utiliserons

iptables qui est une interface en ligne de commande permettant de configurer Netfilter. Netfilter est un module du noyau Linux qui offre la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit ainsi les fonctions de pare-feu, de partage de connexions internet et d'autorisation du trafic réseau.

Dans la configuration de notre pare-feu nous bloquerons tout le trafic entrant par défaut, et nous autoriserons les services suivant :

HTIP SIP SSH ONS

80 5060 20 53

TCP UDP TCP TCP et UDP

Ci-dessous le fichier de configuration de notre pare-feu : c:ibêll#ffl #On re111it1alise lea règles sudo 1ptable.!l -t :l:ilter -f .!lUdo 1ptable.!l -t t1lter -X

#ûn bloque tout le trat1c sudo 1ptable.5 -t t1lter -P I!JPUT [)P.OP sudo 1ptable.!l -t t1lter -P fOR~T.,RD [)POP sudo 1ptal:>les -t f1lter -P OUTPUT l>POP

#On nut o r r se Ie s connex i ons de j è e t xn l i e e et j oc c t no au .!Judo 1ptable:, -A INPUT -no :st«te --:,tate RELATED,ESTABLISHEl> -.) ACCEPT :,ucto 1pteible.s -A OUTPUT -no .state --:state RELATED,ESTABLISHED -J ACCEPT sudo 1ptable:, -t filter -A INPUT -1 lo -j ACCEPT :,udo iptable:, -t filter -A OUTPUT -o lo -J ACCEPT

#On eur or i se le ICUP :,udo 1ptable.s -t t1lter -A INPUT -p icmp -J ACCEPT sudo iptable.!l -t t1lter -A OUTPUT -p icnop -.l ACCEPT

IIOn outor1::te SSH sudo 1ptables -t filter -A I!JPUT -p tep --dport 22 -j ACCEPT sudo 1ptable.s -t t1lter -A INPUT -p tep --ctport 22 -j ACCEPT

#On nutor1.9e DNS .!lUdO 1ptable.!l -t filter -A OUTPUT -p tep --ctport 53 -j ACCEPT sucto ipt<lbles -t t1lter -A OUTPUT -p udp --dport 53 -j ACCEPT .!lUdO 1ptable.!l -t f1lter -A INPUT -p tep --dport 53 -j ACCEPT sucto iptables -t tilter -A INPUT -p udp --dport 53 -j ACCEPT

#Cm aut o r 1.,e l!TTP 3Ud0 1ptcible:, -t tilter -A OUTPUT -p tep --dport 60 -j ACCEPT s udo ipt&bles -t filter -A INPUT -p tep --ctport 60 -j ACCEPT

GJ1Jn aut o r i s e SIF' :,udo iptcwle:, -t tilter -A OUTPUT -p udp --dport 5060 -j ACCEPT sudo iptables -t tilter -A INPUT -p udp --ctport 5060 -J ACCEPT

DIAWARA Daoud Ben Ahmed 87 Diplôme d1ngénieur de Conception, Option MIAGE

Page 99: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études ______ -_C}t.,,

3. Systèmes de préventions et de détections contre les intrusions

Dans notre configuration actuelle notre serveur rejettera tous les paquets à destination des ports fermés, mais concernant les ports ouverts il faut contrôler le trafic y circulant. Le pare-feu n'est pas suffisant pour contrôler cela, il faut recourir à des outils appelés IDS (Intrusion Detection System) et IPS (Intrusion Prevention System). Ces deux catégories d'outils nous permettrons de détecter et de prévenir toutes sortes d'intrusion sur notre serveur.

1.4. Portsentry

Le scan de port est une technique qui consiste à tester tous les ports d'une machine afin de déterminer ceux qui sont ouverts(les portes d'entrées en gros). Celle-ci est couramment utilisée par les pirates informatiques pour détecter les ports ouverts sur les serveurs. Portsentry est un utilitaire qui permet de bloquer en temps réel la plupart des scans de port connus (même très discrets et échappant aux règles de filtrage du firewall basiques).

Pour installer portsentry, il faut exécuter la commande suivante en mode administrateur : sudo apt-get install portsentry

1.5. Fai!Zban

La tentative de connexion par brute-force ou par dictionnaire (par exemple, tester toutes les combinaisons de mots de passe pour se logguer en ssh), le déni de services (surcharger le serveur de requêtes) sont des techniques qui peuvent utilisées par les pirates informatiques pour infecter notre serveur. Fail2ban est un petit utilitaire qui se base sur les logs de la machine pour chercher des actions suspectes répétées (par exemple, des erreurs de mots de passe) dans un laps de temps donné. S'il en trouve, il bannira l'IP de l'attaquant via iptables

Pour installer Fail2ban, il faut exécuter la commande suivante en mode administrateur : sudo apt-get install fail2ban

1.6. Snort

C'est un outii de détection d'intrusion qui détectera toutes les tentatives suspectes. Il analyse en temps réel les flux de données circulants.

Pour installer Snort, il faut exécuter la commande suivante en mode administrateur : sudo apt-get install snort

DIAWARA Daoud Ben Ahmed 88 Diplê\91e d1ngènieur de Conception, Option MIAGE

Page 100: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

1.7. Rkhunter

C'est un utilitaire qui est chargé de détecter d'éventuels rootkits(méthode qui permet de prendre les droits d'administration sur une machine par l'intermédiaire de portes dérobées) sur votre serveur. Il est relativement léger (s'exécute une fois par jour par défaut) donc on aurait tort de se priver.

Pour installer rkhunter, il faut exécuter la commande suivante en mode administrateur : sudo apt-get install rkhunter

2. La surveillance des logs

La surveillance des logs est un élément indispensable dans toute administration de serveur. Les legs enregistrent toutes les opérations qui y sont effectuées sur un serveur. Tous les logiciels cités ci-dessus génèrent des legs. Les logs les plus intéressants sont les suivants :

/var/log/auth.log contient toutes les tentatives d'accès au serveur; /var/log/message et /var/log/syslog contient un peu de tout (erreurs, bugs, informations, etc); /var/log/fail2ban est le log d'alerte de fail2ban; /var/log/snort/alert indique les logs d'alertes de Snort; /var/log/rkhunter génère le rapport quotidien de Rkhunter.

Logwatch Pour simplifier l'analyse de ces legs, nous avons eu recours à un outil appelé Logwatch qui permet de résumer plusieurs legs et de retourner les anomalies retrouvées.

Pour installer logwatch, il faut exécuter la commande suivante en mode administrateur : sudo apt-get install logwatch

DIAWARA Daoud Ben Ahmed 89 Diplôme d'ingénieur de Conception, Option MIAGE

Page 101: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 4 TEST

L'objectif de ce test est de montrer que nos solutions d'interconnexion et de voix sur IP sont fonctionnelles. Pour pouvoir le réaliser nous le ferons à partir d'un poste client sous Windows 7.

Etape 1 : on se connecte au VPN à partir de l'ordinateur client

Etape 2 : On ouvre l'invite de commande sur le poste client et on tape la commande suivante ipconfig/all

= @~

Ca1•te PPP vpn oiège 12tp :

Suffixe DHS propre à la connexion. Daocription. • • : upn ciège 12tp ~~cf:;.:~tÏ:f~i~u~ . . . . . : Hon Adrec'ëe 1Pu4 •.•.. : •••••••• : 192.168.0.US(pl-.éfth·é>

::quo u couo ro:.oau. • • . • • . . • • SS'725S':"'2S'S:'"2S, ::~~::;:!1DJ~r.d~ra~t: : : : : : : : : ; :1t~6t0.100 41.223.209.60

NetBJOS sur- lcpip •.••••••••. : nctiué

Ca1•te eéceeu cano fil Connexion eécceu cene fil :

SuH ixo DHS propre à la connexion. • • : De::cription ••• _ •...•••••. : Bl•oadcoA 4313 802.Ub/g/n :~~s!~tÎ~~~i~u~ : : : : : : : : : : : ; ~~Ïet-12-2P-42-D9 Configu1•ation autonlltique activée ••• : Oui Adre:;.:;o 1Pv6 de liafoon locale •• , , ,: FeB0::?dfa:8480:4DM:J62a%11(préféré

Adt-ecce 1Pu4 •.•••••••••••• : 192.168.1.2(p1•éUrO eaf1~;~«:":•ê:e1: : : : : : : : : : ; dininch; ~optonbro 2014 09:16:09 Bail exrirant •••.•••.••••• : dimrnche 14 septeribro 2014 t?:16:12 r:;~:~: l~cri~ ~é~a~t: : : : : : : : : ; 1;~JttLl IAID DHCPu6 .•.••••••.• : 313295122 DUID de client DHCPu6. : 00-01-00-01-1A-CO-?A-AD-68-BS-<J9-E1-A<J

19 Serveuru DHS. • • • ••••••••• : 192.168.1.1 NotBIOS sur Jcpip ••••••••••• : Actiu6

ll'Hlltitltt:tttit'.'1'171 Nédb, déconnecttS

L'adresse IP du tunnel VPN attribué à la machine cliente : 192.168.0.115 L'adresse IP de la machine client dans son LAN est: 192.168.1.2

Etape 3: On lance un ping sur l'adresse du serveur Asterisk 10.0.100.77

c:,Uueru,Diauara)piny 10.0.100. ??

t:~!o:·d:e 10~1~Ï~~-;~1~9:ct!:s~3~0:;~~!:!J4c n!21Ti.!6r' de donnée:. Rt'ipomrn do 10.0.100.?? : octetc•32 tm11ps•31 n:. TTL•63 Réponoe de 10.0.100.77 : octeto--32 tunpo •. 30 no TTL·63 Réponoo do 10.0.100.77 : octotc•32 tonps.aJ6 nu TTL•63

Statistiques Ping poul" 10.0.100. ??: Du1-é!a:~:~><~R:~1::éde; :~u~i~~c e~ ~h.n~:;~;e: ~perte e%),

NiniAucr1 • 30As. naxinun • 36ns, Hoyenne • 321')s

c:,U:.or:i,Diauara>_

DIAWARA Daoud Ben Ahmed 90 Diplôme d1ngénieur de Conception, Option MIAGE

Page 102: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

On remarque que le client depuis le site distant arrive à joindre le serveur situé au siège. Le 1

temps de réponse de 32ms est acceptable pour effectuer une communication VoIP.

Etape 4 : On lance un appel vers le Serveur Vocal Interactif créé précédemment, on peut remarquer que l'appel s'effectue correctement et sans interruption, nous observons en temps réel toutes les bibliothèques qui sont chargées.

-- Launched AGI Script ./var/lib/asterisk/agi-bin/googletts.agi -- Playing '/tmp/9Sa76a7Sea61à.1099b9c167ae0ela281' (escape digits=012345678

9#") (sample_offset 0) - -- <SIP/2001-00000039>AGI Script googletts.agi completed, returning 0 -- Executing [2000@1iJork: 8] VaitExten ( "~ilP/2U01-fHl000039 ", "") in neu stack -- Timeout on SIP/2001-00000039, going to 't' -- Exec:uting [t01i1ork: 1] Goto ( "SIP/2001-oonoooJ~J", "2000, 3 ") in neu stack -- Goto (work,2000,3) -- Executing [2000@1i1ork: 3] AGI ( "SIP/2001--UOOOOOJ'J", "googlct,t::J. hui,, "Ilonjnur

Bienvenue nu nn.Ll.e na.uro dc:::i a[isurunce:J Lnt.e r nut: iu1müleé, IAIU) '"',fr:, uny") in nen stack

-- Launched AGI Script /var/lib/asterisk/agi-bin/googletts.agi -- P laying ' / tmp/ a3 c09a99cc:2 S3b2 8a48 6d53 eOefSafOO' (escape_ digi ts=;aO 12 3,45 678

9#") (sample_offset 0) -- <SIP/2001-00000039>AGI Script googletts.agi completed, returning 0 -- Executing [2000@1iJork: 4] AGI ( "SIP/2üül-DDOOOOJC)", "goocJlett.3. agi, "Qui sou

uuitez voU!J joindre ?",fc,uny") in netJ stack -- Launched AGI Script /var/lib/asterisk/agi-bin/googletts.agi -- Playing '/tmp/6521a81d80bce8affd753c:blee1237d7' (escape_digits=012345678

9#") (sample_offset 0) . -- <SIP/2001-00000039>AGI Script googletts.agi completed, returning 0 -- Executing (2000@work: S] AGI ( "S1P/2ll01-·000000;1'J ", "(Jooqlett!J. u.1Ji, "Pour: ju

indre Diavar:u Ben tapez 1", f r , uny") in nec stack -- Launched AGI Script /var/lib/asterisk/agi-bin/googletts.agi -- Playing '/tmp/3abbecc39fbbeebd85alee79ca2e235d' (escape_d1g1ts=012345678

9#") (sample_offset 0) -- <SIP/2001-00000039>AGI Script googletts.agi completed, returning 0 -- Exec:uting [200001iJork: 6] AGI ("5IP/2UD1--D00lHJO:l9", "qooqlet;t:~.1.uyi, ;,Pour: jo

i.mfr-e As~1an Geor::geg tapez 2 ", 1-r., uny") in ne'liJ at ack · -- Launched AGI Script /var/lib/asterisk/agi-bin/googletts.agi -- P laying '/ tmp/ 77a77e9eeb558c9cf2 f 6f92 61ac429d7' (escape_ digi ts=012 3 45678

9#") (sarople_offset 0) . -- <SIP/2001-00000039>AGI Script googletts.agi completed, returning 0 -- Executing [20000work: 7] AGI ( "SIP/2001--DOOUUO]SJ ", "qooglett!J. uqi, ".llripuyer

sur dièse ~ii vriuss tiouhnit1·z: réecout.Pr: cic• mes~1aqe"', f r, anv") in ne'liJ stack -- Launched AGI Script /var/lib/asterisk/agi-bin/googletts.agi -- P laying '/tmp/95a76a75ea61a1099b9c167ae0ela281' (escape_digits=0123'45678

9#") (sample_offset 0) -- <SIP/2001-00000039>AGI Script googletts.agi completed, returning 0 -- Executing [20000work:8] VaitExten("~ilP/?.OOl-·llOlJOUlJ:l9", "") in nen stack

LHAIIARD-SV-007*CLI> .

DIAWARA Daoud Ben Ahmed 91 Diplôme d1ngénieur de Conception, Option MIAGE

Page 103: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CHAPITRE 5 PROJET

EVALUATION DES COUTS DU

" ' 1

Les coûts prévisionnels de mise en place de notre solution sont résumés dans le tableau suivant :

i1ELEM.~NTS i'i,·:_,_ ,' ... ,. /'-;, _,, ·_.~ -~:1> __ :Qu~NnT~-. P~>{ UNITAIRE , - , TOTAL

-- - COUTS REELS ~

- - - ~- ~ ---- ---~ - .____ - , ',

Anal~se

./ Etude et ingénierie 60 j/h - - - ,/ Documentation 5 10 000 50 000 50 000

Imglémentation et mise en glace

1 ,/ Un ingénieur 50 j/h 50 000 2 500 000 2 500 000

• ./ Serveur HP PROUANT 1 2 500 000 2 500 000 2 500 000 D380

,/ Mikrotik Routerboard 1 1 000 000 1 000 000 Disponible 1

./ Commutateur 1 900 000 900 000 Disponible ,/ Logiciels (Asterisk, X-Lite) 2 licences 0 0 Disponible :t ,/ Une connexion internet - 150 000 - Disponible

1 BLR Point à Point 1

1 256kb/s 1 ,/ Casque 100 20 000 2 000 000 2 000 000

Formation

:,.. Ingénieur 7 j/h 75 000 525 000 525 000 ,,. Utilisateurs 3 j/h 10 000 30 000 30 000

TOTAUX 9 505 000 7 605 000

NB: j/h : jours par homme Les montants sont exprimés en Fcfa

DIAWARA Daoud Ben Ahmed 92 Diplôme d1ngénieur de Conception, Option MIAGE

Page 104: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

Mémoire de fin d'études

CONCLUSION

Tout au long de ce projet nous avons eu l'opportunité d'analyser diverses solutions d'interconnexion et de VoIP avec des performances variées. Celui-ci nous a permis de voir les limites de chacune de ces solutions et de trouver celles qui sont le plus adaptées pour l'interconnexion de nos sites distants et l'implémentation de notre solution de VoIP.

En effet, cette étude de solutions nous a permis d'aborder les différentes architectures et solutions utilisées dans le milieu professionnel pour les interconnexions et pour la téléphonie sur IP.

A l'issu de cette étude, notre choix s'est porté sur le VPN, pour l'interconnexion des sites distants et sur la solution Asterisk, pour la téléphonie sur IP. L'une des contraintes du cahier de charge fournie par les dirigeants de notre structure d'accueil était d'opter pour une solution peu couteuse. Asterisk répond à cette préoccupation car c'est une solution « opensource ». En effet, la contribution de l'open source permet de déployer à moindre coût une telle infrastructure sans oublier les avantages en termes de facilité, de mobilité, d'évolution et de sécurité.

Pendant cette période d'étude nous avons pu avoir de bonnes notions dans le domaine de l'informatique et de la télécommunication notamment dans l'apprentissage des notions d'interconnexion de sites distants et de téléphonie sur IP.

En outre, le stage effectué à LMAI-IARD nous a permis de nous imprégner du milieu professionnel et de développer une certaine méthodologie de travail.

Pour conclure, nous avons beaucoup apprécié travailler sur ce projet de mise en place d'un système de téléphonie sur IP en environnement multi-site. LMAI-IARD compte déployer cette solution dans toutes ses agences mais ceci se fera progressivement. Le Département Informatique est pleinement satisfait de ce projet vu que nous avons proposé une solution pleinement fonctionnelle, respecter le cahier de charge, et aussi respecter le délai pour la livraison du projet.

En termes de perspectives, notre solution n'étant pas parfaite nous comptons améliorer l'architecture du système existant en mettant le serveur de VOIP sur un cluster de haute disponibilité pour l'aspect sécuritaire et aussi à long terme la migration complète du système RTC existant vers cette solution de VOIP plutôt innovante. Elle compte aussi acquérir des solutions de monitoring VoIP pour une meilleure QOS.

DIAWARA Daoud Ben Ahmed 93 Diplôme d1ngénieur de Conception, Option MIAGE

Page 105: DIPLOME D'INGENIEUR DE CONCEPTION àarchives.uvci.edu.ci:52003/data/LOT2/MEMOIRES_MATH-INFO/...Figure 6 Autocommutateur Siemens HiPath 3800 13 Figure 7 Capture du trafic Réseau 14

__ ;:._ adr Mémoire de fin d'études

BIBLIOGRAPHIE

> Sites Web

1. https://www.symantec.com/region/fr/resources/definition vpn.html (visité le 09/01/2014)

2. http://commentcamarche.chez.com/info/internet/tx.htm (visité le 01/02/2014) 3. http://adamasngo.wordpress.com/2013/05/09/les-technologies-blr-boucle-locale­

radio/ (visité le 23/12/2013) 4. http://www-igm.univ-mlv.fr/~dr/XPOSE2009/Les Reseaux Satellites/principes.html

(visité le 11/02/2014) 5. http://www.commentcamarche.net/contents/1110-adsl (visité le 01/02/2014) 6. http://fr.wikipedia.org/wiki/Cisco Unified Communications Manager (visité le

07/01/2014) 7. http://fr.wikipedia.org/wiki/Skype (visité le 10/02/2014) 8. http: //www.sysdis-it.fr/imageProvider.aspx1resource= 1957&fn =fiche Lync.pdf

(visité le 10/02/2014) 9. http://fr.wikipedia.org/wiki/Asterisk (logiciel) (visité le 21/02/2014) 10.http://fr.wikipedia.org/wiki/Trixbox (visité le 07/07/2014) 11. http://www.avencall.com/solutions-et-services/decouvrez-xivo/ (visité le 07/01/2014) 12.http://wiki.mikrotik.com (visité le 01/01/2014) 13. https://wiki.asterisk.com (visité le 21/02/2014) 14.http://www.frameip.com/vpn (visité le 01/01/2014) 15. http://www.frameip.com/voip (visité le 15/12/2013)

> Ouvrages

16.Comment réussir un mémoire, Jean-Pierre FRAGNIERE, Paris 1986, Page 52, Editions DUNOD, ISBN 204016474X.

17. Les réseaux d'entreprise par la pratique, Jean Luc MONTAGNIER, Page 213, Editions EYROLLES.

18. Les VPN : Principes, conception et déploiement de réseaux privés virtuels, Rafael CORVALAN, Ernesto CORVALAN, Yoann LE CORVIC, 2005, 2• édition, collection InfoPro.

19. Les Réseaux, Guy PUJOLLE, Page 854-856, Editions EYROLLES.

DIAWARA Daoud Ben Ahmed X Diplôme d1ngénieur de Conception, Option MIAGE