------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

1

REPUBLIQUE DE COTE D’IVOIRE

UNION-DISCIPLINE-TRAVAIL

ANNEE ACADEMIQUE : 2014-2015

RNIS, VPN, MPLS

Alphonse BOMOUA

Ingénieur en Informatique

Consultant - Formateur

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

2

SOMMAIRE

INTRODUCTION……………………………………………………………………………………….page 3

I. RNIS ……………………………………………………………………………………….Page

II. LES VPN…………………..………………………………………………………………..Page 4

1. Définition………………………………………………………………………………..Page 4

2. Fonctionnement…………………….………………………………………………Page 5

3. Protocole de tunnelisation……………………………………………………...Page6

III. LES MPLS………………..…………………………………………………………………Page 8

1. Objectif et mission………………………………………………………………..Page 9

2. Routage classique…………………………………………………………………page 9

3. Communication de LABEL……………………………………………………..Page 10

4. Principe

MPLS……………..……………………………………………………………………………Page

13

CONCLUSION……………………………………………………………………………………..……Page 16

INTRODUCTION

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

3

L'infrastructure réseau, véritable épine dorsale des communications internes et

externes, assure la flexibilité et la réactivité à l'entreprise.

Réussir un projet d'infrastructure réseau multi sites requière une bonne connaissance

de la distribution des applications et des utilisateurs entre les sites et l'application de

règles strictes de configuration, optimisation et sécurisation des liens entre les sites.

I. RNIS

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

4

La technologie RNIS permet de transmettre des signaux numériques sur le

câblage téléphonique existant. Cette transmission est rendue possible grâce à

la mise à niveau des commutateurs de la compagnie de téléphone en vue de la

prise en charge des signaux numériques. La technologie RNIS est généralement

perçue comme une solution alternative aux lignes louées, qui peut être utilisée

pour le télétravail et les LAN formés de petits bureaux éloignés.

Les compagnies de téléphone ont mis au point cette technologie en vue

d'uniformiser les services proposés aux abonnés. Cette uniformisation

comprend l'interface UNI, qui correspond à ce qui s'affiche à l'écran lorsqu'un

utilisateur se connecte au réseau, ainsi que des fonctions réseau.

L'uniformisation des services aux abonnés garantit la compatibilité à l'échelle

internationale. Les normes RNIS définissent le matériel et les mécanismes

d'établissement d'appels nécessaires à l'instauration d'une connectivité

numérique de bout en bout. En garantissant une communication aisée entre

les réseaux RNIS, elles contribuent ainsi à la réalisation de l'objectif de

connectivité à l'échelle mondiale. En fait, la numérisation s'opère au niveau du

site de l'utilisateur plutôt que de la compagnie de téléphone.

RNIS offre plusieurs types d’accès possible :

‐ Accès de base : constitué de deux canaux B à 64 kbit/s et d'un canal D à 16 kbit/s.

‐ Accès Numéris Duo : offre 2 interfaces analogiques

supplémentaires tout en reprenant les principes de l’accès de base.

‐ Groupement d'accès de base : consiste en la réunion de plusieurs

accès de base permettant de disposer de 2 à 8 canaux B groupés sous un

même numéro d’appel.

‐ Accès primaire : accès composé de 15, 20, 25 ou 30 canaux B et d'un canal D

conséquent autorisant un débit de 64 kbit/s.

Avantages

• Acheminer une variété de signaux de trafic utilisateur. La technologie

RNIS permet d'avoir accès à des données vidéo numériques, à des

données provenant de réseaux

à commutation de circuits, ainsi qu'à des services du réseau téléphonique

en utilisant le réseau téléphonique ordinaire qui est un réseau à

commutation de circuits.

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

5

• Permet d'établir des appels beaucoup plus rapidement que des

connexions par modem, parce qu'elle fait appel à la signalisation hors

bande (sur un canal Delta ou canal D). Ainsi, sur un réseau RNIS, un appel

peut être établi en moins d'une seconde.

• Offre un débit de transfert plus élevé que celui des modems grâce à

l'utilisation de canaux Bearer (ou canaux B) à 64 Kbits/s. En utilisant

plusieurs canaux B, la technologie RNIS offre aux utilisateurs une bande

passante plus large sur les WAN que certaines lignes louées.

• RNIS peut offrir un chemin de données précis pour la négociation des liaisons PPP.

• Ensemble de service complet sur un même accès proposé par l’opérateur.

Inconvénients

• Problèmes liés à la sécurité puisque les unités du réseau peuvent

maintenant être reliées sur le réseau téléphonique public commuté, il est

essentiel de concevoir et de mettre en place un modèle de sécurité

robuste pour assurer la protection du réseau.

• Contrairement aux services de données en continu, la technologie RNIS

ne constitue pas un lien permanent entre les sites distants.

• Problèmes liés aux coûts et au confinement. Le choix de la technologie

RNIS pour le réseau vise principalement à éviter les coûts associés à

l'utilisation de services de données en continu. Il est donc important

d'évaluer les profils de trafic de données et de surveiller les tendances

d'utilisation du réseau RNIS afin de bien gérer les coûts associés au WAN.

• La tarification se fait également à la durée et en fonction de la distance, en plus d’une redevance mensuelle.

II. LES VPN

1. Définition

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

6

Dans les réseaux informatiques et les télécommunications, le réseau privévirtuel (Virtual Private Network en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel ». On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes. Il existe deux types de telles infrastructures partagées : les « publiques » comme Internet et les infrastructures dédiées que mettent en place les opérateurs pour offrir des services de VPN aux entreprises. C'est sur Internet et les infrastructures IP que se sont développées les techniques de « tunnel ». Historiquement les VPN inter-sites sont apparus avec X.25 sur des infrastructures mises en place par les opérateurs, puis X.25 a été remplacé par le relayage de trames, l'ATM et le MPLS aujourd'hui.

2. Fonctionnement

Le but de la solution VPN (Virtual Private Network) est de pouvoir faire

communiquer à distance les employés distants et les partenaires de l'entreprise

de façon confidentielle, et ceci en utilisant Internet. Il s'agit de créer un canal de

communication protégé traversant un espace public non protégé. Chacun des

membres du réseau VPN peut être un réseau local (LAN) ou un ordinateur

individuel.

Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un

paquet IP ordinaire et en le transportant vers un autre réseau. Quand le paquet

arrive au réseau de destination, il est décapsulé et délivré à la machine

appropriée de ce réseau. En encapsulant les données et en utilisant des

techniques de cryptographie, les données sont protégées de l'écoute et de toute

modification pendant leur transport au travers du réseau public.

Avantages

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

7

• Favorise l'évolutivité et offre de vastes possibilités grâce à Internet. Le

VPN permet l'ouverture du réseau selon les besoins ou les nécessités,

en y ajoutant une grande souplesse et une grande réactivité.

• Plus facile à gérer que les réseaux basés sur des technologies

classiques car c'est l’opérateur de services qui est chargé de

l’exploitation du réseau VPN.

• Réduction des ressources humaines et financières de l’entreprise

affectées à l’utilisation du VPN. D’où une baisse du coût global, en

particulier pour les entreprises possédant un réseau avec une

configuration complexe.

• Solution très avantageuse économiquement parlant. Internet VPN a été

conçu pour relier à un moindre coût les employés distants et les

partenaires de l'entreprise, puisque l'entreprise ne paye que l'accès à

Internet.

• Solution sécurisée puisque le VPN est un réseau privé reposant sur 2 éléments :

l’authentification et l’encryptage.

Inconvénients

• Le VPN doit être établi entre chaque station. En effet une station ne

possédant pas l'application VPN ne pourra pas communiquer avec les

autres, et la sécurisation entre cette station et l'entrée du VPN ne sera pas

activée. Pour les clients nomades, il faut

installer un logiciel sur les PC portables et maintenir le parc à niveau de

façon régulière. Il est à savoir que plus le nombre de sites est important,

plus la stabilité de la solution s'amoindrie et plus VPN est lourd à

déployer.

• Désavantages liés à l’encryptage généré par le VPN : le branchement est

légèrement plus lent, l’ordinateur consomme plus de ressource, et il faut

ajouter une étape pour se brancher au point de destination.

• Nécessité de respecter les réglementations nationales en vigueur sur le

chiffrement, sans compter que la gestion des clés est assez complexe. De

même, la qualité de service est difficilement gérable et la mise en place

de QoS très limitée.

• Coût des passerelles VPN relativement élevés. En effet, le matériel

nécessaire à la mise en place de VPN est relativement cher, même si

par la suite cette solution permet à l'entreprise de nombreuses

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

8

économies tant dans la gestion que dans la

maintenance du réseau VPN.

3. Protocole de tunnélisation

GRE, souvent remplacé par L2TP, tous deux développés par Cisco.

PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Nortel et Shiva. Il est désormais quasi-obsolète.

L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

SSL/TLS offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre l'utilisation d'un navigateur Web comme client VPN.

SSH, initialement connu comme remplacement sécurisé de Telnet, offre la possibilité de tunneliser des connexions de type TCP, permettant d'accéder ainsi de façon sûre à des services offerts sur un réseau protégé, sans créer un réseau privé virtuel au sens plein. Toutefois, depuis sa version 4.3, le logiciel Opens SH permet de créer des tunnels entre deux interfaces réseau virtuelles au niveau 3 (routage du seul trafic IP, interfaces TUN) ou au niveau 2 (tout le trafic Ethernet, interfaces TAP). Toutefois, Opens SH ne gère que la création de ces tunnels, la gestion (routage, adressage, pontage, etc. ...), c'est-à-dire la création du VPN utilisant ces tunnels, restant à la charge de l'utilisateur.

VPN-Q (de Winfrasoft) : La mise en quarantaine des connexions permet d'isoler un utilisateur authentifié et d'inspecter sa configuration pour voir s'il ne présente aucun risque (le cas échéant de le mettre en conformité - correctifs, antivirus, pare-feu...). Ensuite et seulement s'il est conforme, il aura accès au réseau interne de l'entreprise. L'ajout de l'inspection du poste permet de réduire considérablement le risque des attaques contre le VPN.

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

9

Exemple de réseau privé virtuel entre un siège et des agences régionales

III. LES MPLS

MPLS (Multi-Protocol Label Switching) est une technique réseau en cours de normalisation à l'IETF dont le rôle principal est de combiner les concepts du routage IP de niveau 3, et les mécanismes de la commutation de niveau 2 telles que implémentée dans ATM ou Frame Relay. MPLS doit permettre d'améliorer le rapport performance/prix des équipements de routage, d'améliorer l'efficacité du routage (en particulier pour les grands réseaux) et d'enrichir les services de routage (les nouveaux services étant transparents pour les mécanismes de commutation de label, ils peuvent être déployés sans modification sur le cœur du réseau). Les efforts de l'IETF portent aujourd'hui sur Ipv4. Cependant, la technique MPLS peut être étendue à de multiples protocoles (IPv6, IPX, AppleTalk, etc,). MPLS n'est en aucune façon restreint à une couche 2 spécifique et peut fonctionner sur tous les types de support permettant l'acheminement de paquets de niveau 3. MPLS traite la commutation en mode connecté (basé sur les labels); les tables de commutation étant calculées à partir d'informations provenant des protocoles de routage IP ainsi que de protocoles de contrôle. MPLS peut être considéré comme une interface apportant à IP le mode connecté et qui utilise les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH ...). La technique MPLS a été voulue par l'IETF relativement simple mais très modulaire et très efficace. Certains points clé sont maintenant mis en avant par l'IETF et par certains grands constructeurs dominés par Cisco, ainsi que par les fournisseurs de

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

10

services aux premiers desquels se trouvent les opérateurs de réseaux. Un grand effort pour aboutir à une normalisation a été consenti par les différents acteurs, ce qui semble mener à une révolution des réseaux IP.

1. Objectifs et Missions

L'un des objectifs initiaux était d'accroître la vitesse du traitement des datagrammes dans l'ensemble des équipements intermédiaires. Cette volonté, avec l'introduction des giga routeurs, est désormais passée au second plan. Depuis, l'aspect "fonctionnalité" a largement pris le dessus sur l'aspect "performance", avec notamment les motivations suivantes :

Intégration IP/ATM

Création de VPN

Flexibilité : possibilité d'utiliser plusieurs types de media (ATM, FR, Ethernet, PPP, SDH).

Differential Services (DiffServ)

Routage multicast

MPLS pourra assurer une transition facile vers l'Internet optique. MPLS n'étant pas lié à une technique de niveau 2 particulière, il peut être déployé sur des infrastructures hétérogènes (Ethernet, ATM, SDH, etc.). Avec la prise en charge de la gestion de contraintes molles et dures sur la qualité de service (DiffServ, Cisco GuaranteedBandwidth). Avec la possibilité d'utiliser simultanément plusieurs protocoles de contrôle, MPLS peut faciliter l'utilisation de réseaux optiques en fonctionnant directement sur WDM.

Trafic Engineering permettant de définir des chemins de routage explicites dans les réseaux IP (avec RSVP ou CR-LDP). L'ingénierie des flux est la faculté de pouvoir gérer les flux de données transportés au-dessus d'une infrastructure réseau. Aujourd'hui, cette ingénierie des flux est essentiellement faite à l'aide d'ATM, avec comme conséquence une grande complexité de gestion (en effet IP et ATM sont deux techniques réseaux totalement différentes, avec parfois des contraintes non compatibles). Avec l'intégration de cette fonctionnalité, MPLS va permettre une simplification radicale des réseaux.

Les labels peuvent être associés à un chemin, une destination, une source, une application, un critère de qualité de service, etc. ou une combinaison de ces différents éléments. Autrement dit, le routage IP est considérablement enrichi sans pour autant voir ses performances dégradées (à partir du moment ou un datagrame

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

11

est encapsulé, il est acheminé en utilisant les mécanismes de commutation de niveau 2). On peut imaginer qu'un des services les plus importants sera la possibilité de créer des réseaux privés virtuels (VPN) de niveau 3. Ainsi, des services de voix sur IP, de multicast ou d'hébergement de serveurs web pourront coexister sur une même infrastructure. La modularité de MPLS et la granularité des labels permettent tous les niveaux d'abstraction envisageables.

2. Le routage classique

IP est un protocole de niveau réseau fonctionnant dans un mode non connecté, c'est-à-dire que l'ensemble des paquets (ou datagrammes) constituant le message sont indépendants les uns des autres : les paquets d'un même message peuvent donc emprunter des chemins différents utilisant des protocoles IGP (interiorgatewayprotocol), tels que RIP (routing information protocol) de type "Vecteur de distance", et OSPF (open shortestpath first) de type "Etat de liens" , ou bien des protocoles EGP (exteriorgatewayprotocol), tel que BGP (border gatewayprotocol). Chaque routeur maintient une table de routage, dans laquelle chaque ligne contient un réseau de destination, un port de sortie, et le prochain routeur relaie vers ce réseau de destination.

A la réception d'un datagramme, les noeuds intermédiaires (ou routeurs) déterminent le prochain relais (ou next-hop) le plus approprié pour que le paquet rallie sa destination. Ensuite l'adresse mac destination (niveau 2 du model OSI) du datagramme est remplacée par l'adresse mac du routeur relaie (ou next-hop), et

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

12

l'adresse mac source du datagramme est remplacée par l'adresse mac du routeur courant, laissant sans changement les adresses ip (niveau 3 du model OSI) du datagramme afin que le prochain routeur effectue les même opérations sur le paquet pour les sauts suivants. Ce calcul fastidieux est effectué sur tous les datagrammes d'un même flux, et cela autant de fois qu'il y a de routeurs intermédiaires à traverser. Il est donc gourmand en terme de ressource machine. Le mode non connecté du protocole IP, qui était initialement l'un de ses atouts, en particulier pour sa scalabilité, est devenu aujourd'hui un frein à son évolution.

3. La commutation de labels

Lorsqu'un paquet arrive dans un réseau MPLS (1). En fonction de la FEC auxquelles appartient le paquet, l'Ingresonde consulte sa table de commutation (2) et affecte un label au paquet (3), et le transmet au LSR suivant (4).

Lorsque le paquet MPLS arrive sur un LSR [1] interne du nuage MPLS, le protocole de routage fonctionnant sur cet équipement détermine dans la base de données des labels LIB (Label Base Information), le prochain label à appliquer à ce paquet pour qu'il parvienne jusqu'à sa destination [2]. L'équipement procède ensuite à une mise à jour de l'en-tête MPLS (swapping du label et mise à jour du champ TTL, du bit S) [3], avant de l'envoyer au noeud suivant (LSR ou l'egressnode) [4]. Il faut bien noter que sur un LSR interne, le protocole de routage de la couche réseau n'est jamais sollicité.

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

13

Enfin, une fois que le paquet MPLS arrive à l'egressnode [1], l'équipement lui retire toute trace MPLS [2] et le transmet à la couche réseau.

4. Principes MPLS

Basée sur la permutation d'étiquettes, un mécanisme de transfert simple offre des possibilités de nouveaux paradigmes de contrôle et de nouvelles applications. Au niveau d'un LSR (Label Switch Router) du nuage MPLS, la permutation d'étiquette est réalisée en analysant une étiquette entrante, qui est ensuite permutée avec l'étiquette sortante et finalement envoyée au saut suivant. Les étiquettes ne sont imposées sur les paquets qu'une seule fois en périphérie du réseau MPLS au niveau du Ingress E-LSR (Edge Label Switch Router) où un calcul est effectué sur le datagramme afin de lui affecter un label spécifique. Ce qui est important ici, est que

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

14

ce calcul n'est effectué qu'une fois. La première fois que le datagramme d'un flux arrive à un Ingress E-LSR. Ce label est supprimé à l'autre extrémité par le Egress E-LSR. Donc le mécanisme est le suivant: Le Ingress LSR (E-LSR) recoit les paquets IP, réalise une classification des paquets, y assigne un label et transmet les paquets labellisés au nuage MPLS. En se basant uniquement sur les labels, les LSR du nuage MPLS commutent les paquets labellisés jusqu'à l'Egress LSR qui supprime les labels et remet les paquets à leur destination finale. L'affectation des étiquettes aux paquets dépend des groupes ou des classes de flux FEC (forwarding équivalence classes). Les paquets appartenant à une même classe FEC sont traités de la même manière. Le chemin établi par MPLS appelé LSP (Label SwitchedPath) est emprunté par tous les datagrammes de ce flux. L'étiquette est ajoutée entre la couche 2 et l'en-tête de la couche 3 (dans un environnement de paquets) ou dans le champ VPI/VCI (identificateur de chemin virtuel/identificateur de canal virtuel dans les réseaux ATM). Le switch LSR du nuage MPLS lit simplement les étiquettes, applique les services appropriés et redirige les paquets en fonction des étiquettes. Ce schéma de consultation et de transfert MPLS offre la possibilité de contrôler explicitement le routage en fonction des adresses source et destination, facilitant ainsi l'introduction de nouveaux services IP. Un flux MPLS est vu comme un flux de niveau 2.5 appartenant niveau 2 et niveau 3 du modèle de l'OSI.

------------------------------------------------------------------------------------- Copyright© 2014 Alphonse BOMOUA tous droits réservés, support de cours juin 2014

15

IV- VSAT

Pour des connexions fiables à travers de nombreux sites dans le monde, nos réseaux de micro stations terriennes (VSAT) permettent des liaisons unidirectionnelles ou bidirectionnelles sur une vaste étendue géographique.

Nous vous permettons de diffuser des services tels que les transactions aux points de vente, les communications maritimes, l’apprentissage à distance et la télémédecine.

En utilisant l’équipement disponible dans le commerce et la capacité en bande Ku comme en bande C sur notre flotte mondiale de satellites, nous ajustons le réseau à vos besoins en utilisant des architectures de liaisons variées, y compris des liaisons point-à-point pour les stations fixes ou portables ainsi que des configurations en étoile multipoints ou maillées.

Vous pouvez compter sur SES pour offrir :

une couverture mondiale rentable un réseau de contribution numérique une bande passante de contrôle et de surveillance des installations une interconnectivité d’infrastructure et le partage de bande passante une alternative aux réseaux terrestres un accès FAI