Click here to load reader

RNIS VPN MPLS 1

  • View
    35

  • Download
    0

Embed Size (px)

DESCRIPTION

RNIS VPN MPLS 1 a lire.

Text of RNIS VPN MPLS 1

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    1

    REPUBLIQUE DE COTE DIVOIRE

    UNION-DISCIPLINE-TRAVAIL

    ANNEE ACADEMIQUE : 2014-2015

    RNIS, VPN, MPLS

    Alphonse BOMOUA

    Ingnieur en Informatique

    Consultant - Formateur

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    2

    SOMMAIRE

    INTRODUCTION.page 3

    I. RNIS .Page

    II. LES VPN....Page 4

    1. Dfinition..Page 4

    2. Fonctionnement.Page 5

    3. Protocole de tunnelisation...Page6

    III. LES MPLS..Page 8

    1. Objectif et mission..Page 9

    2. Routage classiquepage 9

    3. Communication de LABEL..Page 10

    4. Principe

    MPLS..Page

    13

    CONCLUSION..Page 16

    INTRODUCTION

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    3

    L'infrastructure rseau, vritable pine dorsale des communications internes et

    externes, assure la flexibilit et la ractivit l'entreprise.

    Russir un projet d'infrastructure rseau multi sites require une bonne connaissance

    de la distribution des applications et des utilisateurs entre les sites et l'application de

    rgles strictes de configuration, optimisation et scurisation des liens entre les sites.

    I. RNIS

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    4

    La technologie RNIS permet de transmettre des signaux numriques sur le

    cblage tlphonique existant. Cette transmission est rendue possible grce

    la mise niveau des commutateurs de la compagnie de tlphone en vue de la

    prise en charge des signaux numriques. La technologie RNIS est gnralement

    perue comme une solution alternative aux lignes loues, qui peut tre utilise

    pour le tltravail et les LAN forms de petits bureaux loigns.

    Les compagnies de tlphone ont mis au point cette technologie en vue

    d'uniformiser les services proposs aux abonns. Cette uniformisation

    comprend l'interface UNI, qui correspond ce qui s'affiche l'cran lorsqu'un

    utilisateur se connecte au rseau, ainsi que des fonctions rseau.

    L'uniformisation des services aux abonns garantit la compatibilit l'chelle

    internationale. Les normes RNIS dfinissent le matriel et les mcanismes

    d'tablissement d'appels ncessaires l'instauration d'une connectivit

    numrique de bout en bout. En garantissant une communication aise entre

    les rseaux RNIS, elles contribuent ainsi la ralisation de l'objectif de

    connectivit l'chelle mondiale. En fait, la numrisation s'opre au niveau du

    site de l'utilisateur plutt que de la compagnie de tlphone.

    RNIS offre plusieurs types daccs possible :

    Accs de base : constitu de deux canaux B 64 kbit/s et d'un canal D 16 kbit/s.

    Accs Numris Duo : offre 2 interfaces analogiques

    supplmentaires tout en reprenant les principes de laccs de base.

    Groupement d'accs de base : consiste en la runion de plusieurs

    accs de base permettant de disposer de 2 8 canaux B groups sous un

    mme numro dappel.

    Accs primaire : accs compos de 15, 20, 25 ou 30 canaux B et d'un canal D

    consquent autorisant un dbit de 64 kbit/s.

    Avantages

    Acheminer une varit de signaux de trafic utilisateur. La technologie

    RNIS permet d'avoir accs des donnes vido numriques, des

    donnes provenant de rseaux

    commutation de circuits, ainsi qu' des services du rseau tlphonique

    en utilisant le rseau tlphonique ordinaire qui est un rseau

    commutation de circuits.

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    5

    Permet d'tablir des appels beaucoup plus rapidement que des

    connexions par modem, parce qu'elle fait appel la signalisation hors

    bande (sur un canal Delta ou canal D). Ainsi, sur un rseau RNIS, un appel

    peut tre tabli en moins d'une seconde.

    Offre un dbit de transfert plus lev que celui des modems grce

    l'utilisation de canaux Bearer (ou canaux B) 64 Kbits/s. En utilisant

    plusieurs canaux B, la technologie RNIS offre aux utilisateurs une bande

    passante plus large sur les WAN que certaines lignes loues.

    RNIS peut offrir un chemin de donnes prcis pour la ngociation des liaisons PPP.

    Ensemble de service complet sur un mme accs propos par loprateur.

    Inconvnients

    Problmes lis la scurit puisque les units du rseau peuvent

    maintenant tre relies sur le rseau tlphonique public commut, il est

    essentiel de concevoir et de mettre en place un modle de scurit

    robuste pour assurer la protection du rseau.

    Contrairement aux services de donnes en continu, la technologie RNIS

    ne constitue pas un lien permanent entre les sites distants.

    Problmes lis aux cots et au confinement. Le choix de la technologie

    RNIS pour le rseau vise principalement viter les cots associs

    l'utilisation de services de donnes en continu. Il est donc important

    d'valuer les profils de trafic de donnes et de surveiller les tendances

    d'utilisation du rseau RNIS afin de bien grer les cots associs au WAN.

    La tarification se fait galement la dure et en fonction de la distance, en plus dune redevance mensuelle.

    II. LES VPN

    1. Dfinition

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    6

    Dans les rseaux informatiques et les tlcommunications, le rseau privvirtuel (Virtual Private Network en anglais, abrg en VPN) est vu comme une extension des rseaux locaux et prserve la scurit logique que l'on peut avoir l'intrieur d'un rseau local. Il correspond en fait une interconnexion de rseaux locaux via une technique de tunnel . On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partage avec d'autres organismes. Il existe deux types de telles infrastructures partages : les publiques comme Internet et les infrastructures ddies que mettent en place les oprateurs pour offrir des services de VPN aux entreprises. C'est sur Internet et les infrastructures IP que se sont dveloppes les techniques de tunnel . Historiquement les VPN inter-sites sont apparus avec X.25 sur des infrastructures mises en place par les oprateurs, puis X.25 a t remplac par le relayage de trames, l'ATM et le MPLS aujourd'hui.

    2. Fonctionnement

    Le but de la solution VPN (Virtual Private Network) est de pouvoir faire

    communiquer distance les employs distants et les partenaires de l'entreprise

    de faon confidentielle, et ceci en utilisant Internet. Il s'agit de crer un canal de

    communication protg traversant un espace public non protg. Chacun des

    membres du rseau VPN peut tre un rseau local (LAN) ou un ordinateur

    individuel.

    Un VPN fonctionne en encapsulant les donnes d'un rseau l'intrieur d'un

    paquet IP ordinaire et en le transportant vers un autre rseau. Quand le paquet

    arrive au rseau de destination, il est dcapsul et dlivr la machine

    approprie de ce rseau. En encapsulant les donnes et en utilisant des

    techniques de cryptographie, les donnes sont protges de l'coute et de toute

    modification pendant leur transport au travers du rseau public.

    Avantages

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    7

    Favorise l'volutivit et offre de vastes possibilits grce Internet. Le

    VPN permet l'ouverture du rseau selon les besoins ou les ncessits,

    en y ajoutant une grande souplesse et une grande ractivit.

    Plus facile grer que les rseaux bass sur des technologies

    classiques car c'est loprateur de services qui est charg de

    lexploitation du rseau VPN.

    Rduction des ressources humaines et financires de lentreprise

    affectes lutilisation du VPN. Do une baisse du cot global, en

    particulier pour les entreprises possdant un rseau avec une

    configuration complexe.

    Solution trs avantageuse conomiquement parlant. Internet VPN a t

    conu pour relier un moindre cot les employs distants et les

    partenaires de l'entreprise, puisque l'entreprise ne paye que l'accs

    Internet.

    Solution scurise puisque le VPN est un rseau priv reposant sur 2 lments :

    lauthentification et lencryptage.

    Inconvnients

    Le VPN doit tre tabli entre chaque station. En effet une station ne

    possdant pas l'application VPN ne pourra pas communiquer avec les

    autres, et la scurisation entre cette station et l'entre du VPN ne sera pas

    active. Pour les clients nomades, il faut

    installer un logiciel sur les PC portables et maintenir le parc niveau de

    faon rgulire. Il est savoir que plus le nombre de sites est important,

    plus la stabilit de la solution s'amoindrie et plus VPN est lourd

    dployer.

    Dsavantages lis lencryptage gnr par le VPN : le branchement est

    lgrement plus lent, lordinateur consomme plus de ressource, et il faut

    ajouter une tape pour se brancher au point de destination.

    Ncessit de respecter les rglementations nationales en vigueur sur le

    chiffrement, sans compter que la gestion des cls est assez complexe. De

    mme, la qualit de service est difficilement grable et la mise en place

    de QoS trs limite.

    Cot des passerelles VPN relativement levs. En effet, le matriel

    ncessaire la mise en place de VPN est relativement cher, mme si

    par la suite cette solution permet l'entreprise de nombreuses

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    8

    conomies tant dans la gestion que dans la

    maintenance du rseau VPN.

    3. Protocole de tunnlisation

    GRE, souvent remplac par L2TP, tous deux dvelopps par Cisco.

    PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

    L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco Systems, Nortel et Shiva. Il est dsormais quasi-obsolte.

    L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

    IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP.

    SSL/TLS offre une trs bonne solution de tunnelisation. L'avantage de cette solution est de permettre l'utilisation d'un navigateur Web comme client VPN.

    SSH, initialement connu comme remplacement scuris de Telnet, offre la possibilit de tunneliser des connexions de type TCP, permettant d'accder ainsi de faon sre des services offerts sur un rseau protg, sans crer un rseau priv virtuel au sens plein. Toutefois, depuis sa version 4.3, le logiciel Opens SH permet de crer des tunnels entre deux interfaces rseau virtuelles au niveau 3 (routage du seul trafic IP, interfaces TUN) ou au niveau 2 (tout le trafic Ethernet, interfaces TAP). Toutefois, Opens SH ne gre que la cration de ces tunnels, la gestion (routage, adressage, pontage, etc. ...), c'est--dire la cration du VPN utilisant ces tunnels, restant la charge de l'utilisateur.

    VPN-Q (de Winfrasoft) : La mise en quarantaine des connexions permet d'isoler un utilisateur authentifi et d'inspecter sa configuration pour voir s'il ne prsente aucun risque (le cas chant de le mettre en conformit - correctifs, antivirus, pare-feu...). Ensuite et seulement s'il est conforme, il aura accs au rseau interne de l'entreprise. L'ajout de l'inspection du poste permet de rduire considrablement le risque des attaques contre le VPN.

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    9

    Exemple de rseau priv virtuel entre un sige et des agences rgionales

    III. LES MPLS

    MPLS (Multi-Protocol Label Switching) est une technique rseau en cours de normalisation l'IETF dont le rle principal est de combiner les concepts du routage IP de niveau 3, et les mcanismes de la commutation de niveau 2 telles que implmente dans ATM ou Frame Relay. MPLS doit permettre d'amliorer le rapport performance/prix des quipements de routage, d'amliorer l'efficacit du routage (en particulier pour les grands rseaux) et d'enrichir les services de routage (les nouveaux services tant transparents pour les mcanismes de commutation de label, ils peuvent tre dploys sans modification sur le cur du rseau). Les efforts de l'IETF portent aujourd'hui sur Ipv4. Cependant, la technique MPLS peut tre tendue de multiples protocoles (IPv6, IPX, AppleTalk, etc,). MPLS n'est en aucune faon restreint une couche 2 spcifique et peut fonctionner sur tous les types de support permettant l'acheminement de paquets de niveau 3. MPLS traite la commutation en mode connect (bas sur les labels); les tables de commutation tant calcules partir d'informations provenant des protocoles de routage IP ainsi que de protocoles de contrle. MPLS peut tre considr comme une interface apportant IP le mode connect et qui utilise les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH ...). La technique MPLS a t voulue par l'IETF relativement simple mais trs modulaire et trs efficace. Certains points cl sont maintenant mis en avant par l'IETF et par certains grands constructeurs domins par Cisco, ainsi que par les fournisseurs de

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    10

    services aux premiers desquels se trouvent les oprateurs de rseaux. Un grand effort pour aboutir une normalisation a t consenti par les diffrents acteurs, ce qui semble mener une rvolution des rseaux IP.

    1. Objectifs et Missions

    L'un des objectifs initiaux tait d'accrotre la vitesse du traitement des datagrammes dans l'ensemble des quipements intermdiaires. Cette volont, avec l'introduction des giga routeurs, est dsormais passe au second plan. Depuis, l'aspect "fonctionnalit" a largement pris le dessus sur l'aspect "performance", avec notamment les motivations suivantes :

    Intgration IP/ATM

    Cration de VPN

    Flexibilit : possibilit d'utiliser plusieurs types de media (ATM, FR, Ethernet, PPP, SDH).

    Differential Services (DiffServ)

    Routage multicast

    MPLS pourra assurer une transition facile vers l'Internet optique. MPLS n'tant pas li une technique de niveau 2 particulire, il peut tre dploy sur des infrastructures htrognes (Ethernet, ATM, SDH, etc.). Avec la prise en charge de la gestion de contraintes molles et dures sur la qualit de service (DiffServ, Cisco GuaranteedBandwidth). Avec la possibilit d'utiliser simultanment plusieurs protocoles de contrle, MPLS peut faciliter l'utilisation de rseaux optiques en fonctionnant directement sur WDM.

    Trafic Engineering permettant de dfinir des chemins de routage explicites dans les rseaux IP (avec RSVP ou CR-LDP). L'ingnierie des flux est la facult de pouvoir grer les flux de donnes transports au-dessus d'une infrastructure rseau. Aujourd'hui, cette ingnierie des flux est essentiellement faite l'aide d'ATM, avec comme consquence une grande complexit de gestion (en effet IP et ATM sont deux techniques rseaux totalement diffrentes, avec parfois des contraintes non compatibles). Avec l'intgration de cette fonctionnalit, MPLS va permettre une simplification radicale des rseaux.

    Les labels peuvent tre associs un chemin, une destination, une source, une application, un critre de qualit de service, etc. ou une combinaison de ces diffrents lments. Autrement dit, le routage IP est considrablement enrichi sans pour autant voir ses performances dgrades ( partir du moment ou un datagrame

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    11

    est encapsul, il est achemin en utilisant les mcanismes de commutation de niveau 2). On peut imaginer qu'un des services les plus importants sera la possibilit de crer des rseaux privs virtuels (VPN) de niveau 3. Ainsi, des services de voix sur IP, de multicast ou d'hbergement de serveurs web pourront coexister sur une mme infrastructure. La modularit de MPLS et la granularit des labels permettent tous les niveaux d'abstraction envisageables.

    2. Le routage classique

    IP est un protocole de niveau rseau fonctionnant dans un mode non connect, c'est--dire que l'ensemble des paquets (ou datagrammes) constituant le message sont indpendants les uns des autres : les paquets d'un mme message peuvent donc emprunter des chemins diffrents utilisant des protocoles IGP (interiorgatewayprotocol), tels que RIP (routing information protocol) de type "Vecteur de distance", et OSPF (open shortestpath first) de type "Etat de liens" , ou bien des protocoles EGP (exteriorgatewayprotocol), tel que BGP (border gatewayprotocol). Chaque routeur maintient une table de routage, dans laquelle chaque ligne contient un rseau de destination, un port de sortie, et le prochain routeur relaie vers ce rseau de destination.

    A la rception d'un datagramme, les noeuds intermdiaires (ou routeurs) dterminent le prochain relais (ou next-hop) le plus appropri pour que le paquet rallie sa destination. Ensuite l'adresse mac destination (niveau 2 du model OSI) du datagramme est remplace par l'adresse mac du routeur relaie (ou next-hop), et

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    12

    l'adresse mac source du datagramme est remplace par l'adresse mac du routeur courant, laissant sans changement les adresses ip (niveau 3 du model OSI) du datagramme afin que le prochain routeur effectue les mme oprations sur le paquet pour les sauts suivants. Ce calcul fastidieux est effectu sur tous les datagrammes d'un mme flux, et cela autant de fois qu'il y a de routeurs intermdiaires traverser. Il est donc gourmand en terme de ressource machine. Le mode non connect du protocole IP, qui tait initialement l'un de ses atouts, en particulier pour sa scalabilit, est devenu aujourd'hui un frein son volution.

    3. La commutation de labels

    Lorsqu'un paquet arrive dans un rseau MPLS (1). En fonction de la FEC auxquelles appartient le paquet, l'Ingresonde consulte sa table de commutation (2) et affecte un label au paquet (3), et le transmet au LSR suivant (4).

    Lorsque le paquet MPLS arrive sur un LSR [1] interne du nuage MPLS, le protocole de routage fonctionnant sur cet quipement dtermine dans la base de donnes des labels LIB (Label Base Information), le prochain label appliquer ce paquet pour qu'il parvienne jusqu' sa destination [2]. L'quipement procde ensuite une mise jour de l'en-tte MPLS (swapping du label et mise jour du champ TTL, du bit S) [3], avant de l'envoyer au noeud suivant (LSR ou l'egressnode) [4]. Il faut bien noter que sur un LSR interne, le protocole de routage de la couche rseau n'est jamais sollicit.

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    13

    Enfin, une fois que le paquet MPLS arrive l'egressnode [1], l'quipement lui retire toute trace MPLS [2] et le transmet la couche rseau.

    4. Principes MPLS

    Base sur la permutation d'tiquettes, un mcanisme de transfert simple offre des possibilits de nouveaux paradigmes de contrle et de nouvelles applications. Au niveau d'un LSR (Label Switch Router) du nuage MPLS, la permutation d'tiquette est ralise en analysant une tiquette entrante, qui est ensuite permute avec l'tiquette sortante et finalement envoye au saut suivant. Les tiquettes ne sont imposes sur les paquets qu'une seule fois en priphrie du rseau MPLS au niveau du Ingress E-LSR (Edge Label Switch Router) o un calcul est effectu sur le datagramme afin de lui affecter un label spcifique. Ce qui est important ici, est que

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    14

    ce calcul n'est effectu qu'une fois. La premire fois que le datagramme d'un flux arrive un Ingress E-LSR. Ce label est supprim l'autre extrmit par le Egress E-LSR. Donc le mcanisme est le suivant: Le Ingress LSR (E-LSR) recoit les paquets IP, ralise une classification des paquets, y assigne un label et transmet les paquets labelliss au nuage MPLS. En se basant uniquement sur les labels, les LSR du nuage MPLS commutent les paquets labelliss jusqu' l'Egress LSR qui supprime les labels et remet les paquets leur destination finale. L'affectation des tiquettes aux paquets dpend des groupes ou des classes de flux FEC (forwarding quivalence classes). Les paquets appartenant une mme classe FEC sont traits de la mme manire. Le chemin tabli par MPLS appel LSP (Label SwitchedPath) est emprunt par tous les datagrammes de ce flux. L'tiquette est ajoute entre la couche 2 et l'en-tte de la couche 3 (dans un environnement de paquets) ou dans le champ VPI/VCI (identificateur de chemin virtuel/identificateur de canal virtuel dans les rseaux ATM). Le switch LSR du nuage MPLS lit simplement les tiquettes, applique les services appropris et redirige les paquets en fonction des tiquettes. Ce schma de consultation et de transfert MPLS offre la possibilit de contrler explicitement le routage en fonction des adresses source et destination, facilitant ainsi l'introduction de nouveaux services IP. Un flux MPLS est vu comme un flux de niveau 2.5 appartenant niveau 2 et niveau 3 du modle de l'OSI.

  • ------------------------------------------------------------------------------------- Copyright 2014 Alphonse BOMOUA tous droits rservs, support de cours juin 2014

    15

    IV- VSAT

    Pour des connexions fiables travers de nombreux sites dans le monde, nos rseaux de micro stations terriennes (VSAT) permettent des liaisons unidirectionnelles ou bidirectionnelles sur une vaste tendue gographique.

    Nous vous permettons de diffuser des services tels que les transactions aux points de vente, les communications maritimes, lapprentissage distance et la tlmdecine.

    En utilisant lquipement disponible dans le commerce et la capacit en bande Ku comme en bande C sur notre flotte mondiale de satellites, nous ajustons le rseau vos besoins en utilisant des architectures de liaisons varies, y compris des liaisons point--point pour les stations fixes ou portables ainsi que des configurations en toile multipoints ou mailles.

    Vous pouvez compter sur SES pour offrir :

    une couverture mondiale rentable un rseau de contribution numrique une bande passante de contrle et de surveillance des installations une interconnectivit dinfrastructure et le partage de bande passante une alternative aux rseaux terrestres un accs FAI