UNIVERSITE ABDELMALEK ESSAÂDI ECOLE NATIONALE DES SCIENCES APPLIQUEES

- TANGER

Filière :

Génie des Systèmes de Télécommunications & Réseaux

MISE EN PLACE D’UNE ARCHITECTURE

VPN/MPLS SUR GNS3

Titre du Projet

Réalisé par :

- ABDERRAHMANE EL

MOUTAALIK BILLAH

- JABRANE KARIMA

- JKAOUA TOURIA

- OUIDAD BENHIR

- BOUTAINA AFILAL

Encadré par :

-Mme LAZAAR SAIDA

Année Universitaire : 2015-2016

ha

Table des matières :

1.Généralités sur le VPN : ........................................................................................................................ 3

Introduction : ........................................................................................................................................... 3

1.1.1 Généralités : ........................................................................................................................... 3

1.2.1 Le VPN d’accès : ...................................................................................................................... 4

1.2.2 L’intranet VPN : ...................................................................................................................... 5

1.2.3 L’extranet VPN : ...................................................................................................................... 5

2 Etude comparative de MPLS/VPN : ...................................................................................................... 6

3- Réalisation de la maquette de simulation VPN/MPLS : ...................................................................... 8

3.1 Enable MPLS : .......................................................................................................................... 10

3.2 Creation des VRFs : ...................................................................................................................... 10

3.3 Configuration du MP- BGP sur les routeurs PE : ......................................................................... 11

3.4 Configuration de OSPF PE – CE : ................................................................................................. 13

3.5 Configuration de la redistribution des itinéraires : ..................................................................... 14

3.6 Test Final de nos configurations : ................................................................................................ 14

Conclusion : ........................................................................................................................................... 16

tre 1

1. Généralités sur le VPN :

Introduction : Les entreprises ont des réseaux locaux de plus en plus importants qui comportent des

applications et des données essentielles à l’entreprise. Le problème qui se pose est le suivant:

comment des succursales d’une entreprise peuvent-elles accéder à ces données alors qu’elles

sont réparties sur de grandes distances géographiques. Pour pallier à ce

problème, ces entreprises mettent en place un réseau VPN.

Nous verrons dans ce rapport le principe de fonctionnement du VPN. Nous nous

intéresserons aussi aux différents types d’utilisation du VPN et aux protocoles permettant sa

mise en place.

1.1 Mode de fonctionnement du VPN :

1.1.1 Généralités :

Les réseaux privés virtuels reposent sur des protocoles nommés « protocoles de tunneling »,

(ou encore protocoles de tunnelisation). Ils ont pour but de sécuriser le réseau en cryptant les

données partant des extrémités du VPN à l’aide d’algorithmes de cryptographie. On utilise le

terme « Tunnel » pour représenter le passage sécurisé dans lequel circulent les données

cryptées. Ainsi, toute personne n’étant pas connectée au VPN ne peut pas décrypter ces

données. Lorsqu’un utilisateur veut accéder aux données sur le VPN, on appelle client VPN

(Client d’accès Distant) l’élément qui chiffre et déchiffre les données du côté client et serveur

VPN(Serveur d’Accès Distant) l’élément qui chiffre et déchiffre les données du côté du

serveur (dans notre cas, c’est l’entreprise).Une fois le serveur et le client identifiés, le serveur

crypte les données et les achemine en empruntant le passage sécurisé (le tunnel), les données

sont ensuite décryptées par le client et l’utilisateur a accès aux données souhaitées.

Figure 1:Schéma générique de tunnelisation

1.2 Les types d'utilisation de VPN :

Dans cette partie, nous étudierons les 3 types d’utilisation du VPN qui sont:

-Le VPN d'accès.

-L'intranet VPN.

-L'extranet VPN.

1.2.1 Le VPN d’accès :

Le VPN d'accès est utilisé pour permettre à des utilisateurs d'accéder au réseau privé de

leur entreprise. L'utilisateur se sert de sa connexion Internet pour établir la connexion VPN

On a deux cas :

L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers

le serveur distant : il communique avec le NAS (Network Access Server) du

fournisseur d'accès et c'est le NAS qui établit la connexion cryptée.

L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établit

directement la communication de manière cryptée vers le réseau de l’entreprise.

Figure 2: VPN d'accès

1.2.2 L’intranet VPN :

L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseauest

particulièrement utile au sein d'une entreprise possédant plusieurs sites distants.

Figure 3:L'intranet VPN

1.2.3 L’extranet VPN :

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle

ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que

l’administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun

sur celui-ci.

Figure 4: L’extranet VPN

2 Etude comparative de MPLS/VPN :

2.1 Introduction :

Les VPN/MPLS sont essentiellement implémentés chez les opérateurs afin de

fournir des services à leurs clients. Les opérateurs utilisent leur backbone sur

MPLS pour créer desVPN .

par conséquent le réseau MPLS des opérateurs se trouve partagé ou mutualisé avec d’autre

client. Du point de vue du client, il a l’impression de bénéficier d’un réseau qui lui est

entièrement dédié. C'est-à-dire qu’il a l’impression d’être le seul à utiliser les ressources que

l’opérateur lui met à disposition. Ceci est dû à l’étanchéité des VPN/MPLS qui distingue bien

les VPN de chaque client et tous ces mécanismes demeurent transparents pour les clients.

Finalement, les deux parties sont gagnantes car les clients ont un véritable service IP qui leur

offre des VPN fiables à des prix plus intéressants que s’ils devaient créer eux-mêmes

leur VPN de couche 2. Les opérateurs eux aussi réduisent leurs coûts du fait de la

mutualisation de leurs équipements.

Voici une représentation des VPN/MPLS :

Figure 5: Représentation des VPN/MPLS

Au lancement des VPN/MPLS le modèle Overlay avait été choisi, il consiste à émuler des

lignes dédiées entre chaque entité du client sur le réseau MPLS. Il s’agit en fait d’un LSP

(Label Switched Path) sur le réseau MPLS qui relie chaque site. La création de ces LSP entre

les différents sites de l’entreprise permettra alors de former un VPN IP

Figure 6:Overlay model

Ce modèle a cependant un inconvénient car les points d’accès au réseau MPLS se situent dans

le réseau du client. En effet, l’ajout de nouveaux sites dans ce VPN nécessite la création de

nouveaux LSP. Ce modèle pose ainsi un problème de scalabilité. Si nous avons 5

sites appartenant à un VPN, l’ajout d’un 6ième site requiert la mise en place de 5 nouveaux

LSP. Par conséquent, plus le nombre de sites est élevé plus la tâche s’avère fastidieuse. Un

autre modèle résout ce problème de scalabilité, il s’agit du modèle «Peer to

Peer». Ainsi, l’ajout d’un grand nombre de sites ne pose pas de difficulté.

D’autre part, les points d’accès au réseau MPLS, de ce modèle, se trouvent cette fois ci du

côté de l’opérateur sur les équipements PE (Provider Edge router). Chaque site échange avec

les équipements PE des informations de routage et l’opérateur achemine par la suite les

données vers les sites de destination sur son réseau MPLS

Figure 7:Peer to peer model

Actuellement ce modèle est largement employé chez les opérateurs car il permet l’ajout de

nouveaux sites en changeant la configuration des PE. De plus, du point de vue de

l’utilisateur l’interconnexion avec le VPN ne se fait que sur un seul équipement de

l’opérateur contrairement au modèle Overlay, il s’agit du PE. Enfin, le routage entres

différents sites clients est optimale car le PE connaît sa topologie et peut de ce fait choisir la

route adéquate. De manière générale, la topologie utilisée pour relier les sites dans

un VPN avec ce modèle est la topologie entièrement maillée ou «full mesh». Cela

implique que tous les sites peuvent se voir ou bien qu’il existe une liaison point à point entre

tous les sites du VPN.

3- Réalisation de la maquette de simulation VPN/MPLS :

Nous allons travailler avec l’architecture suivante :

Figure 8: Topologie utilisée

On rappelle que :

P (fournisseur) : sont des routeurs de base FAI qui ne se connectent pas à des routeurs de

clients et habituellement exécuter uniquement MPLS

PE (bordure de fournisseur) : Des routeurs qui peuvent se connecter à des sites clients et de

former le bord d'un VPN

CE (en périphérie client) :des routeurs qui existent au bord du site d'un client; ils n’ ont

pas conscience de VPN une IGP en cours d'exécution entre tous les routeurs P et PE est utilisé

pour soutenir LDP et BGP contiguïtés au sein du réseau du fournisseur MP-BGP est exécuté

seulement parmi les routeurs PE.

une IGP (généralement) est exécuté entre chaque routeur CE et son routeur PE amont.

Dans notre Projet, OSPF est déjà en fonctionnement que l'IGP de réseau du fournisseur.

Processus OSPF ont également été préconfiguré sur les routeurs CE; cependant, ces

topologies OSPF restera séparée du fournisseur OSPF.

Il y a cinq tâches essentielles que nous devons accomplir pour obtenir un VPN MPLS place et

le fonctionnement:

Activer MPLS sur le squelette du fournisseur.

Créer VRFs et attribuer interfaces routés à eux.

Configurez MP-BGP entre les routeurs PE.

Configurez OSPF entre chaque routeur PE et ses routeurs CE attachés.

Activer la redistribution de route entre les sites client et le backbone.

3.1 Enable MPLS : Premièrement, nous devons activer MPLS sur toutes les liaisons PP et P- PE avec la

commande d'interface « ip mpls ».

Nous pouvons vérifier la configuration des interfaces avec la commande « show mpls

interfaces »

3.2 Creation des VRFs :

Notre prochaine étape est de créer VRFs des clients sur nos routeurs PE et affecter les

interfaces avec la clientèle pour eux. Nous avons besoin d'attribuer à chaque VRF un

itinéraire distingueur ( RD ) pour identifier de manière unique préfixes comme appartenant à

ce VRF et une ou plusieurs cibles de route ( RTS ) pour spécifier comment les itinéraires

doivent être importés et exportés à partir de la DRV .

Nous allons utiliser un distingueur d'itinéraire pour chaque VRF sous la forme de < ASN > : <

numéro de client >. Pour plus de simplicité, nous allons réutiliser la même valeur à la fois

comme une importation et l'exportation itinéraire cible dans chaque VRF (bien que nous

sommes libres de choisir un autre ou d'autres cibles de route si l'on préfère). VRF

configuration doit être effectuée sur les deux routeurs PE.

On fait de même pour le PE2

Maintenant, nous devons affecter les interfaces appropriées à chaque VRF et réappliquer leurs

adresses IP. La commande « show ip vrf interfaces » peut être utilisé pour vérifier l’attribution

de l'interface VRF et d'adressage.

3.3 Configuration du MP- BGP sur les routeurs PE :

Afin de diffuser ces routes VRF d'un routeur PE à l'autre , nous devons configurer multiproto-

cole BGP ( MP- BGP ) . MP- BGP est un peu différent de l'héritage BGP en ce qu'elle prend

en charge plusieurs familles d'adresses ( IPv4 et IPv6 par exemple ) sur une contiguïté BGP

commun. Il prend également en charge la publicité de routes VPN , qui sont plus que les

routes normales en raison de l'ajout d' une voie distingueur 64 bits (qui nous avons attribué

sous la configuration VRF ) .

MP- BGP ne fonctionne que sur les routeurs PE : routeurs P compter entièrement sur l'IGP du

fournisseur et de MPLS pour transférer le trafic à travers le réseau de fournisseur , et routeurs

CE ne pas avoir connaissance de routes en dehors de leur propre VRF .

Si l'on regarde la configuration en cours du processus BGP de chaque routeur PE , nous re-

marquons que un peu plus de la configuration que nous avons fourni est apparu :

On Vérifie la contiguïté MP- BGP entre les PE1 et PE2 a été formé avec succès avec la com-

mande « show bgp vpnv4 unicast all summary »

Actuellement, il n'y a pas de routes dans la table BGP.

3.4 Configuration de OSPF PE – CE :

Nous avions seulement configuré MP- BGP entre les deux routeurs PE . Maintenant , nous

allons configurer un IGP entre chaque routeur PE et ses routeurs CE attachés à échanger

des routes avec les sites clients . Nous allons utiliser OSPF pour ce projet, mais nous pour-

rions tout aussi bien utiliser une autre IGP comme EIGRP ou RIP . Zone unique OSPF a

déjà été configuré sur les routeurs CE ; toutes les interfaces CE sont dans la zone 0. On

Rappelle que même si nous utilisons OSPF entre chacun des routeurs CE et son routeur PE

amont , ces processus OSPF sont isolés du fournisseur OSPF topologie .

Après la configuration, Nous devrions voir chaque routeur PE former une contiguïté OSPF

avec ses deux routeurs CE attachés , et les routes de la clientèle devrait apparaître dans les

tableaux VRF sur les routeurs PE :

3.5 Configuration de la redistribution des itinéraires :

Nous avons nos MPLS et MP en place et fonctionne , et nos routeurs CE envoient itinéraires à

nos routeurs PE au sein de leurs VRF . La dernière étape consiste à coller le tout en tournant

sur la redistribution de route du client - côté OSPF traite dans MP - BGP et vice versa sur les

routeurs PE .

Nous allons d'abord configurer la redistribution des routes CE dans chaque VRF dans MP -

BGP . Cela se fait sous la famille d'adresses IPv4 BGP pour chaque VRF .

3.6 Test Final de nos configurations :

Conclusion :

nous avons choisi une topologie réseau permettant de mettre en œuvre

les principales fonctionnalités VPN MPLS. Une topologie qui consiste à interconnecter deux

clients via un réseau opérateur utilisant comme technologie de transport MPLS. Les résultats

escomptés sont commentés et montrent bien le fonctionnement de notre réseau .