Memoire Online - Mise en place d'une architecture VPN MPLS avec gestion du temps de connexion et de la bande passante utilisateur

Adresse MAC : Adresse matérielle d'un périphérique raccordé à un support de réseau partagé.

BGP : Border Gateway Protocol. Protocole de passage d'un réseau autonome à un autre réseau autonome.

BGP/MPLS/VPN : Solution VPN qui utilise les protocoles MPLS et BGP pour relier des sites distants.

Constraint-Based Routing : Protocoles et procédures qui déterminent la route à prendre à travers le backbone selon les ressources nécessaires pour aboutir à la destination.

Ø CoS : CoS est un des services de QoS. Il permet d'apporter des ressources particulières au réseau selon la classe ou le groupe duquel appartient le paquet.

Ø DHCP (Dynamic Host Configuration Protocol) : Protocole qui permet à un périphérique d'un réseau local, le serveur DHCP, d'affecter des adresses IP temporaires à d'autres périphériques réseau, généralement des ordinateurs..

Ø IEEE (The Institute of Electrical and Electronics Engineers): Institut indépendant qui développe des normes de mise en réseau

Ø ISP (fournisseur de services Internet) : Société qui procure un accès à Internet.

Ø Label : C'est un identifiant ajouté par les routeurs du réseau MPLS afin de diriger le paquet à travers le réseau

Ø Label Disposition : C'est le fait de modifier le label inscrit sur l'en-tête du paquet.

Ø Label Edge Router (LER) : C'est le routeur d'extrémité du réseau MPLS. Il attribue et supprime le label du paquet.

Ø Label Switch : C'est le fait de router des données par le biais de la permutation de labels.

Ø Label Switching Router (LSR) : C'est un routeur de couche 3 qui transfert les paquets basés sur la valeur du label.

Ø Label-Switched Path (LSP) : C'est la séquence de sauts pour qu'un paquet parte de la source à la destination à travers les routeurs via le mécanisme de Label Switching. Ce chemin peut être géré dynamiquement ou de manière manuelle.

Ø LAN (réseau local) : Ordinateurs et produits de mise en réseau qui constituent le réseau à votre domicile ou votre bureau.

Ø LDP : Label Distribution Protocol, il est utilisé pour distribuer les labels aux routeurs «LSR».

Ø LIB : Label Information Base. C'est un tableau contenant les labels utilisé par le «LSR» et contenant également les labels des «LSR» voisins.

Ø NAT (traduction d'adresses réseau) : La technologie NAT traduit des adresses IP du réseau local en adresses IP différentes pour Internet

Ø PoE (Power over Ethernet) : Technologie permettant à un câble réseau Ethernet de fournir des données et l'alimentation électrique.

Ø RADIUS (Remote Authentication Dial-In User Service): Protocole qui utilise un serveur d'authentification pour contrôler l'accès au réseau.

Ø TCP/IP (Transmission Control Protocol/Internet Protocol) : Protocole réseau de transmission de données qui exige un accusé de réception du destinataire des données envoyées.

Ø TLS (Transport Layer Security) : Protocole qui garantie la protection des informations confidentielles et l'intégrité des données entre les applications client/serveur qui communiquent sur Internet.

DEDICACE

REMERCIEMENTS

En préambule à ce mémoire, je souhaitais adresser mes remerciements les plus sincères aux personnes qui m'ont apporté leur aide et qui ont contribué à l'élaboration de ce travail ainsi qu'à la réussite de cette formidable année académique.

Je commencerais par remercier M. GASPARD KEPSEU Directeur Général d' INET CONSULTING et tout le personnel de l'entreprise pour leur inconditionnel accueil qui a été capital pour la réalisation de ce projet.

Je tiens à remercier sincèrement Monsieur TSOPBENG DAVID, qui, en tant que Directeur de mémoire et encadreur professionnel, s'est toujours montré à l'écoute et très disponible tout au long de la réalisation de ce travail, ainsi pour l'inspiration, l'aide et le temps qu'il a bien voulu me consacrer et sans qui ce mémoire n'aurait jamais vu le jour.

Mes remerciements s'adressent également à Monsieur ROMUALD LEUGA administrateur réseau d'INET CONSULTING, pour sa générosité et la grande patience dont il a su faire preuve malgré ses charges professionnelles.

Mes remerciements vont également à l'endroit de mes enseignants, leur disponibilité et leurs précieux enseignements mon été d'une grande utilité.

J'exprime ma gratitude à tous les consultants et internautes rencontrés lors des recherches effectuées et qui ont accepté de répondre à mes questions avec gentillesse.

Les mots me manquent pour exprimer ma profonde reconnaissance à ma tendre famille dont l'amour, la patience et le sacrifice s'inscrivent à chaque page de ce document.

Enfin, j'adresse mes plus sincères remerciements à tous mes proches et amis, qui m'ont toujours soutenue et encouragée au cours de la réalisation de ce mémoire.

Et enfin, pour le tracé qu'il donne au chemin de ma vie, JESUS CHRIST, mon maître.

RESUME

Le secteur des technologies de l'information étant en constante mutation, le présent travail fait état des résultats obtenus lors de la mise en place de l'architecture vpn/mpls à INET CONSULTING, il en ressort que la technologie VPN basée sur le protocole de routage MPLS est un des facteurs clés de succès qui évolue et ne doit pas aller en marge des infrastructures réseaux et du système d'information qui progressent de façon exponentielle. Nous avons en effet grâce à cette nouvelle technologie permis aux employés de partager de façon sécurisée leurs données via le protocole IPSEC qui est le principal outils permettant d'implémenter les VPN, ce partage était possible en interne pour les utilisateurs du réseau local de l'entreprise, mais aussi en externe pour les utilisateurs dit « nomade » situés en dehors du réseau. Nous avons dans le même ordre d'idées mis en place un serveur de comptabilité à base de la librairie FREERADIUS qui permet aux abonnés de l'entreprise d'accéder à internet de façon contrôlée, autrement dit une tarification est mise en place et permettra aux clients de payer en fonction de la bande passante qu'ils consommeront.

ABSTRACT

The sector of information technology is constantly changing, this paper reports the results of the implementation of the architecture vpn / mpls at INET CONSULTING, it appears that technology-based VPN protocol MPLS routing is a key success factor that is evolving and must not go outside the network infrastructure and information system to evolve exponentially, we have indeed with this new technology allowed employees to securely share their data via the IPSEC protocol is the principal tools used to implement VPNs, this division was possible for the internal LAN users to the company but also externally for users called "nomadic" outside the network. We are in the same vein set up a server-based accounting library FreeRADIUS which will allow subscribers of the company access to the internet so controlled, that pricing is in place and Customers will pay according to the bandwidth they consume.

INTRODUCTION

Aujourd'hui, Internet est largement utilisé dans le monde et est plus orienté métier. Les organismes offrant la connexion Internet sont intéressés par la tarification où les clients payent pour les ressources qu'ils consomment.

Indéniablement, ce grand réseau est rentré dans nos meurs. A travers, lui tout un monde parallèle s'est développé : des sites marchands ont fleuris, les services pour les particuliers comme les guides d'itinéraire pour nos voyages nous simplifient bien la vie. Enfin on en vient à échanger des données à travers des programmes d'échange de fichiers et à « chater » entre internautes. Nous retiendrons de tout ça qu'Internet est un véritable outil de communication. A la fois High-tech et démodé par sa technique, internet n'a pas su évoluer dans l'utilisation de ses protocoles, la plupart des protocoles utilisés ont plusieurs années d'existence et certains n'ont pas été crée dans une optique où le réseau prendrait une telle envergure. Les mots de passe traversent ainsi les réseaux en clair, et là où transitent des applications de plus en plus critiques sur le réseau, la sécurité, elle, a peu évolué.

Il y a peu de temps, les entreprises pouvaient encore se permettre de construire leurs propres LAN, supportant leurs propres systèmes de nommage, système de messagerie, voir même leur propre protocole réseau. Cependant, comme de plus en plus de données 'étaient stockées sur ordinateurs, les entreprises ressentirent le besoin d'interconnecter leurs différents bureaux. Grâce à l'utilisation de lignes dédiées, une entreprise avait la garantie que la connexion entre ses départements seraient toujours disponible et privée. Cependant, cette solution peut être très couteuse, notamment si l'entreprise a plusieurs bureaux a travers tout un pays. De plus, les réseaux privés manque de souplesse par rapport aux situations que l'on peut rencontrer dans une entreprise. En effet, si un représentant a besoin d'accéder à distance au réseau privé de son entreprise alors qu'il est a des milliers de kilomètres de celle-ci, le coût de l'appel téléphonique sera extrêmement élevé.

Ce document de façon non exhaustive présentera d'abord le concept et l'architecture des VPN, ensuite détaillera les fonctionnalités du protocole de routage MPLS et son utilité dans la mise en place des réseaux VPN et enfin nous expliquerons comment un client VPN distant peut s'authentifier sur une passerelle via le protocole IPSEC et comment on gérera son accès contrôlé au réseau Internet à partir d'un serveur de comptabilité qui, dans notre cas est FREERADIUS.

CHAPITRE I : PRESENTATION DES STRUCTURES

I-LA STRUCTURE D'ORIGINE (I.S.T.D.I)

Créé par arrêté N° 02/0094/MINESUP/DDES du 13 Septembre 2002, l'Institut Supérieur des Technologies et du Design Industriel (ISTDI) est un établissement d'enseignement supérieur qui offre des formations académiques et professionnelles de qualité pour répondre aux besoins changeant du milieu professionnel. Véritable pôle d'excellence en Afrique centrale, l'ISTDI s'appuie sur des partenariats essentiellement canadiens et français pour mener à bien sa tâche d'incubateur d'entreprises, nous pouvons citer entre autres :

Ø ANKHAMON (Association des professionnels africains actifs en Europe et aux Etats-Unis)

Dans la province du littoral, l'ISTDI est situé dans l'arrondissement de Douala V^edu département du Wouri précisément au quartier Logbessou. Ouvert par arrêté N° 02/0102/MINESUP/DDES du 18 septembre 2002, l'ISTDI offre aujourd'hui une myriade de formations à savoir :

I-1 Cycle de brevet de techniciens supérieur (BTS)

I-2 Cycle des Nouvelles Technologies de l'information et de la communication (NTIC)

I-3 Licence en cours du jour

I-4 Licence professionnelle en cours du soir

I-5 Cycle d'ingénieur et master européen : Délocalisé de 3IL (France) au Cameroun

I-6 Académie CISCO

II- LA STRUCTURE D'ACCUEIL (INET CONSULTING)

Société de prestation de services dans le domaine des Nouvelles technologies de l'information et de la communication (NTIC), INET CONSULTING SARL est un intégrateur de Systèmes qui offre des solutions « sur mesure » en matière de téléphonie, d'Informatique, d'Internet et de Domotique. Elle dispose d'une équipe d'ingénieurs hautement qualifiés dont les connaissances de base sont sans cesse mise à niveau par les formations offertes par ses différents partenaires d'une part, et dont la particularité est de pouvoir mener à bien des projets dans des délais impartis de respecter les délais de réalisation et de livraison d'autre part. Le service après vente, la mise à jour des solutions offertes, et la formation du personnel sont les atouts majeurs d'INET CONSULTING, avec des partenaires de renommée internationale, elle dispose d'une technologie de pointe et d'un réseau d'approvisionnement fiable, ce qui permet à ses clients de maximiser leur rentabilité.

II-1 HISTORIQUE

Entreprise camerounaise pionnière dans le domaine des solutions IT INET CONSULTING est créée au début des années 2000 par deux ingénieurs : KEPSEU DJOMO et MOMO TENE, elle offre un spectre complet de solutions et conseils informatiques, surfant ainsi entre le développement, la gestion des logiciels, l'intégration des systèmes, le développement des applications ainsi que leur migration et la maintenance des équipements IT. Le service efficace de consultation IT permet a toute entreprise d'atteindre les buts et objectifs qu'elle s'est fixée.

Quelque soit le niveau d'expertise requis pour un projet, des jeunes ingénieurs talentueux et expérimentés travaillent dans les domaines ci-après :

Les partenaires d'INET CONSULTING sont des multinationales de référence comme : Microsoft, Linux Community, Oracle, Compiére, CISCO, JUNIPER.

Ainsi l'entreprise s'assure que les solutions et prestations qu'elle propose s'arriment aux constantes mutations technologiques, elles-mêmes dépendantes des importantes fluctuations du marché.

INET investi largement dans les nouvelles technologies, à travers son département R&D (Recherche et développement) sans négliger l'amélioration de l'existant, afin de se positionner comme leader dans son domaine d'activité.

II-2 LES DERPARTEMENTS

§ IT Consulting and Engineering (consultation et ingénierie informatique et télécoms)

II-3 ACTIVITES PRINCIPALES

La conception, la réalisation et le déploiement d'un intranet permet aux employés de partager des documents, de participer aux forums bref de communiquer en interne.

II-4 LA VISION

Elle est celle d'un monde porteur de progrès et d'amélioration des performances.

. Créer un environnement interne porteur d'innovations, basé sur la collaboration et la confiance.

II-5 LES VALEURS

Engagement : Tous les produits et services sont basés sur la veille technologique et construis suivants les standards technologiques en vigueur, ils sont maintenus et supportés suivant les « Best practice » dans le domaine.

Satisfaction des clients : Toutes solutions s'accompagnent d'un document appelé « User Acceptance Test » qui permet aux clients de valider toutes les caractéristiques et fonctionnalités du service ou du produit livré. L'entreprise accorde une place de choix à l'écoute client et au respect de ses engagements.

Intégrité : INET Consulting est tenu par un impératif d'honnêteté et d'équité sous tout aspect de son activité. L'entreprise réalise ses engagements en tant que citoyens responsables. De ce fait, traite avec égards, aussi bien ses interlocuteurs que toutes les ressources de l'entreprise.

L'approche : Elle est holistique, sociétale. Car INET répond à tout moment des solutions livrées et les supportent à travers un protocole de garantie qui tient compte de leur cycle de vie et des mutations de l'environnement global.

La clientèle : Avec un important portefeuille clients, aussi bien dans le domaine de la télècommunication, le secteur bancaire, pétrolier et de l'administration.

II-6 ORGANIGRAMME

II-7 ADRESSE ET PLAN DE LOCALISATION

II-7.1 Adresse

II-7.2 Plan de localisation

CHAPITRE II : DEFINITION, CONCEPT, FONCTIONNEMENT ET UTILITES DES VPN

I- DEFINITION

I-1 Réseau privé

Couramment utilisés dans les entreprises, les réseaux privés entreposent souvent des données confidentielles à l'intérieur de l'entreprise. De plus en plus, pour des raisons d'interopérabilité, on y utilise les mêmes protocoles que ceux utilisés dans l'Internet. On appelle alors ces réseaux privés « intranet ». Y sont stockés des serveurs propres à l'entreprise en l'occurrence des portails, serveurs de partage de données, etc. ... Pour garantir cette confidentialité, le réseau privé est coupé logiquement du réseau internet. En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.

I-2 Réseau privé virtuel

L'acronyme VPN correspond à Virtual Private Network, c'est-à-dire un réseau privé virtuel. Dans les faits, cela correspond à une liaison permanente, distante et sécurisée entre deux sites d'une organisation. Cette liaison autorise la transmission de données cryptées par le biais d'un réseau non sécurisé, comme Internet. En d'autres termes, un réseau privé virtuel est l'extension d'un réseau privé qui englobe les liaisons sur des réseaux partagés ou publics, tels qu'Internet. Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public, selon un mode qui émule une liaison privée point à point.

I-3 Concept de VPN

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d' équipements d'interconnexion. Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même des personnels géographiquement éloignés via internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme "tunnellisation^5(*)"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

II- Fonctionnement

Le VPN repose sur un protocole de tunnellisation (tunneling), c'est-à-dire un protocole qui permet le passage de données cryptées^6(*) d'une extrémité du VPN à l'autre grâce à des algorithmes. On emploi le terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux extrémités du VPN).

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'une en-tête qui contient les informations de routage pour leur permettre de traverser le réseau partagé ou public jusqu'à leur destination finale. Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une connexion VPN.

Etant donné que chaque point d'un réseau VPN est relié au réseau central par le biais d'un tunnel, reliant la machine à un gateway^7(*). Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic utilisé par chacun. En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles. Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise par le réseau étendu.

II-1 Méthode de connexion

II-1.1 Le VPN d'accès

Le Vpn d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion Vpn. Il existe deux cas:

o L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : il communique avec le Nas^8(*) du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.

o L'utilisateur possède son propre logiciel client pour le Vpn auquel cas il établit directement la communication de manière cryptée vers le réseau de l'entreprise.

La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un Nas^8(*) compatible avec la solution Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée Ce qui peut poser des problèmes de sécurité.

Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le Vpn d'avoir une authentification forte des utilisateurs.

II-1.2 L'intranet VPN

L'intranet Vpn est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans Ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le Vpn (base de données clients, informations financières...). Des techniques de cryptographie sont mises en oeuvre pour vérifier que les données n'ont pas été altérées. Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi parfaite. Le coût matériel des équipements de cryptage et décryptage ainsi que les limites légales interdisent l'utilisation d'un codage " infaillible ". Généralement pour la confidentialité, le codage en lui-même pourra être moyen à faible, mais sera combiné avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une sécurité raisonnable.

II-1.3 L'extranet VPN

Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du Vpn puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.

II-2 Topologie des V.P.N

Les VPN s'appuient principalement sur Internet comme support de transmission, avec un protocole d'encapsulation et un protocole d'authentification, au niveau des topologies^9(*), on retrouve des réseaux privés virtuels en étoile, maillé ou partiellement maillé.

Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources qui se situent sur l'intranet.

Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées sur chacun des sites autrement dit les employés pourront accéder aux informations présents sur tous les réseaux.

III- INTERET D'UN VPN

La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local.

Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :

· Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades.

· Les connexions VPN permettent d'administrer efficacement et de manière sécurisé un réseau local à partir d'une machine distante.

· Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet.

· Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avec d'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communications sécurisées, pour relier, par exemple des bureaux éloignés géographiquement. Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de réseau étendu (WAN, Wide Area Network) dédiée.

· Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisés entre une machine locale et une machine distante.

IV- PROTOCOLES UTILISES ET SECURITE DES VPN

Il existe plusieurs protocoles dit de tunnelisation qui permettent la création des réseaux VPN:

IV-1 PPP (Point To Point Protocol)

Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standard garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs. Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs, conformes aux normes PPP. Les normes PPP autorisent également des fonctions avancées qui ne sont pas disponibles avec d'anciennes normes, notamment SLIP. Le protocole PPP prend en charge plusieurs méthodes d'authentification ainsi que la compression des données et leur cryptage. La plupart des versions du protocole PPP permettent d'automatiser l'ensemble de la procédure d'ouverture de session. Le protocole PPP prend également en charge plusieurs protocoles de réseau local. Nous pouvons utiliser TCP/IP ou IPX comme protocole réseau. Toutefois, le protocole IPX/SPX^10(*) n'est pas disponible sur Windows XP 64-Bit Edition. PPP est le fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN (Virtual Private Network) sécurisées. PPP est la principale norme de la plupart des logiciels d'accès distant.

IV-2 PPTP (Point To Point Tunneling Protocol)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole PPTP (Point To Point Tunneling Protocol).Le protocole PPTP autorise le transfert sécurisé des données d'un ordinateur distant vers un serveur privé en créant un réseau privé virtuel entre des réseaux de données TCP/IP. Le protocole PPTP prend en charge les réseaux privés virtuels multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Développé en tant qu'extension du protocole PPP (Point To Point Protocol), PPTP lui confère un niveau supplémentaire de sécurité et de communication multi protocoles sur Internet. Ainsi, grâce au nouveau protocole EAP^11(*) (Extensible Authentication Protocol), le transfert des données par l'intermédiaire d'un réseau privé virtuel compatible PPTP est aussi sûr qu'au sein d'un réseau local d'entreprise.

PPTP encapsule (fait passer par un tunnel) les protocoles IP ou IPX dans des datagrammes PPP. Autrement dit, nous pouvons exécuter à distance des programmes tributaires de protocoles réseau déterminés. Le serveur tunnel exécute l'ensemble des contrôles de la sécurité et des validations, et active le cryptage des données, rendant ainsi beaucoup plus sûr l'envoi d'informations sur des réseaux non sécurisés. Nous pouvons aussi recourir au protocole PPTP pour mettre en communication des réseaux locaux privés.

IV-3 L2F (Layer Two Forwarding)

C'est un protocole de niveau 2, développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète.

IV-4 L2TP (Layer Two Tunneling Protocol)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole L2TP (Layer Two Tunneling Protocol). L2TP est un protocole de tunneling standard utilisé sur Internet qui possède pratiquement les mêmes fonctionnalités que le protocole PPTP (Point To Point Tunneling Protocol). La version de L2TP mise en oeuvre dans Windows XP est conçue pour s'exécuter en mode natif sur des réseaux IP. Cette version de L2TP ne prend pas en charge l'encapsulation en mode natif sur des réseaux X.25, Frame Relay^12(*) ou ATM.

Sur la base des spécifications des protocoles L2F (Layer Two Forwarding) et PPTP (Point To Point Tunneling Protocol), Nous pouvons utiliser le protocole L2TP pour configurer des tunnels entre les réseaux concernés. À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol) qui encapsulent ensuite les protocoles IP ou IPX et permettent aux utilisateurs d'exécuter à distance des programmes qui sont tributaires de protocoles réseau déterminés.

IV-5 IPSEC (Internet protocol security)

IV-5.1 Présentation et fonctionnement d'IPsec

IPSec (Internet Protocol Security) est un protocole de la couche 3 du modèle OSI. Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task Force) ont proposé une solution en novembre 1998 afin de répondre aux besoins directs du développement des réseaux en matière de sécurité. En effet, en sécurisant le transport des données lors d'échanges internes et externes, la stratégie IPSec permet à l'administrateur réseau d'assurer une sécurité efficace pour son entreprise contre toute attaque venant de l'extérieur.

IV-5.2 Concept de base d'IPSec

Le protocole IPSec est destiné à fournir différents services de sécurité. Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon adaptée aux besoins de chaque entreprise. La stratégie IPSec permettant d'assurer la confidentialité, l'intégrité et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et de protocoles :

§ Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. Précisons que l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3.

§ Confidentialité des données échangées : Le contenu de chaque paquet IP peut être chiffré afin qu'aucune personne non autorisée ne puisse le lire.

§ Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.

§ Intégrité des données échangées : IPSec permet de vérifier qu'aucune donnée n'a été altérée lors du trajet.

§ Protection contre les écoutes et analyses de trafic : Le mode tunneling (détaillé plus loin) permet de chiffrer les adresses IP réelles et les entêtes des paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.

§ Protection contre le rejeu : IPSec intègre la possibilité d'empêcher un pirate d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes droits que l'envoyeur d'origine.

Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les envoyer vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les lire sans que personne ne puisse altérer ou récupérer ces données.

IV-5.3 Application de l'IPSec au modèle OSI

Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour sécuriser l'IP qui est de même couche. Il a pour avantage d'offrir la protection des protocoles de couches supérieurs TCP/IP^13(*) comme HTTP^14(*) ou FTP. Il s'étend également aux protocoles de couches 2 comme L2TP et PPTP.

IV-5.4 Modes de transit des données : transport et tunnel

Ces deux modes permettent de sécuriser les échanges réseau lors d'une communication. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

Ø Le mode transport offre essentiellement une protection aux protocoles de niveaux supérieurs. En effet, ce mode ne modifie pas l'en-tête initial dans la mesure où il ne fait que s'intercaler entre la couche IP et la couche transport.

Ø Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou plusieurs flux de données entre utilisateurs internes ou connectés via un VPN (Virtual Private Network). Lorsqu'un paquet de données est envoyé sur le réseau, le paquet est lui-même encapsulé dans un autre paquet. On crypte alors le corps de ce nouveau paquet à l'aide d'algorithmes de sécurités adéquats et on ne laisse en clair que l'entête contenant les adresses IP publiques de l'émetteur et du destinataire.

§ PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris en charge pour la première fois par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point Protocol) qui s'appuie sur les mêmes mécanismes d'authentification, de compression et de cryptage que PPP.

§ L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des données. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une compression d'entête si possible, puis encapsule de nouveau dans un paquet de type UDP. IPSec et L2TP sont associés afin d'assurer la sécurité et la tunnelisation des paquets sur n'importe quel réseau IP. Leur association représente également une option garantissant la simplicité, la souplesse d'utilisation, l'interaction et la sécurité.

IV-5.5 Principe d'échange de clés Internet (IKE)

Une des spécificités d'IPSec est l'IKE (Internet Key Exchange) qui gère la négociation des protocoles et des algorithmes basés sur la stratégie de sécurité locale pour produire les clés de chiffrage et l'authentification à employer. Ce protocole est un dérivé de plusieurs protocoles. Cette pile de protocoles permet l'échange automatique des clés.

Le protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le tunnel IKE^15(*)). La deuxième phase consiste à établir d'autres tunnels secondaires pour la transmission de données utilisateur entre les 2 machines.

L'authentification utilise les certificats d'ordinateur pour vérifier que les ordinateurs sources et de destination s'approuvent mutuellement. Si la sécurité du transport IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la compression et les options d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé sur l'identité de l'utilisateur.

IV-5.6 L'agent de stratégie IPSec

L'agent de stratégie IPSec doit être installé sur chaque poste Windows Client et être chargé à chaque démarrage. Il permet de lire la stratégie propre à l'ordinateur local et permet de la déployer en transférant les informations sur l'ordinateur par des services d'intégrité et de chiffrement des données. Ces informations sont réparties entre le registre de l'ordinateur, le pilote IPSec et le service ISAKMP/Oakley^16(*). Dans le cas où aucune stratégie n'est lue, il trouve une stratégie par défaut dans le registre et se charge de la déployer.

IV-5.7 Administration de clé ISAKMP/Oakley

Les 2 protocoles ISAKMP et Oakley ne fonctionnent que si l'agent de stratégie IPSec n'est pas en cours d'exécution. Ce service doit être implanté sur chaque poste Windows Client et permet lors de la communication IPSec de générer des clés et définir les propriétés de sécurité entre 2 hôtes.

§ Internet Security Association and Key Management Protocol : Gère l'administration des associations de sécurité.

§ Oakley : Génère les clés qui permettront de chiffrer et de déchiffrer les données transitant sur le canal sécurisé.

L'association des 2 protocoles permet de créer un canal sécurisé entre les deux hôtes en se servant de l'authentification des ordinateurs, et, de faire l'échange des données qui permettra de créer la clé secrète partagée. Cette clé sera utilisée pour crypter et décrypter les données envoyées via le réseau. ISAKMP/Oakley crée ainsi un contrat de confiance entre les deux ordinateurs puis envoie la clé et ce contrat au pilote IPSec.

IV-5.8 Le pilote IPSec

Nommé IPSEC.sys, le pilote IPSec doit également être présent sur chaque poste Windows Client. Il permet de contrôler les paquets IP et d'effectuer les vérifications avec les stratégies de sécurité locale et les filtres IP mis en place.

IV-5.9 Processus d'établissement d'une connexion

Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude d'un cas d'égal à égal :

L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée vers l'hôte B qui est un serveur de base de données interne à son entreprise. Cette connexion pour des raisons de confidentialité et de sécurité doit être protégée. La sécurité IPSec est alors déployée afin de garantir le cryptage des données et l'authentification des 2 hôtes.La connexion va donc se dérouler en 6 étapes :

§ 1^ère étape : L'hôte A cherche à télécharger des données situées sur le serveur FTP. Pour ce faire, il lance une transaction vers ce dernier. Le pilote IPSec de l'hôte A signale au service ISAKMP/Oakley que la stratégie de sécurité nécessite l'IPSec. On utilise alors les stratégies utilisées par l'agent de stratégie dans la base de registre.

§ 2^ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une association de sécurité (contrat de confiance).

§ 3^ème étape : Les pilotes IPSec des deux hôtes prennent chacun la clé et l'association.

§ 4^ème étape : Les données envoyées par l'hôte A sont cryptées grâce à la clé (processus géré par le pilote IPSec).

§ 5^ème étape : Le serveur hôte B reçoit les données et les décrypte grâce au pilote IPSec qui connaît la clé partagée et l'association de sécurité.

§ 6^ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du modèle OSI).

IV-6 Comparaison des différents protocoles

Chaque protocole présenté permet de réaliser des solutions performantes de Vpn. Nous allons ici aborder les points forts et les points faibles de chacun de ses protocoles.

IV-6.1 Vpn-Ssl

Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux applications réparties de l'entreprise les Vpn-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but d'utiliser des navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le renouveler. Cette opération peut poser problème aux utilisateurs novices. De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins...). Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien une. Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au Vpn est leur spécificité au monde web. En effet par défaut un navigateur n'interceptera que des communications Https^17(*) ou éventuellement Ftps^18(*). Toutes les communications venant d'autre type d'applications (MS Outlook, ou une base de données par exemple) ne sont pas supportées. Ce problème est généralement contourné par l'exécution d'une applet Java dédiée dans le navigateur. Mais ceci implique également la maintenance de cette applet (s'assurer que le client possède la bonne version, qu'il peut la re-télécharger au besoin)
L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès Vpn est donc sérieusement à nuancer.

IV-6.2 Pptp

Pptp présente l'avantage d'être complètement intégré dans les environnements Windows. Ceci signifie en particulier que l'accès au réseau local distant pourra se faire via le système d'authentification de Windows NT : RADIUS et sa gestion de droits et de groupe. Cependant comme pour beaucoup de produit Microsoft la sécurité est le point faible:

- Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de passe au lieu d'être entièrement générées au hasard. (facilite les attaques « force brute »)

- Faiblesses cryptographiques du protocole MsCHAP^19(*) 1 corrigées dans la version 2 mais aucun contrôle sur cette version n'a été effectué par une entité indépendante.

- Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing^20(*) »

IV-6.3 L2tp / Ipsec

Les mécanismes de sécurité mis en place dans Ipsec sont plus robustes et plus reconnus que ceux mis en place par Microsoft dans Pptp. Par défaut le protocole L2tp utilise le protocole Ipsec. Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un autre protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements d'un Vpn L2tp implémente bien le protocole Ipsec.
Ipsec ne permet d'identifier que des machines et non pas des utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants. Il faut donc prévoir un service d'authentification des utilisateurs. Dans le cas de connexion dial-up c'est l'identifiant de connexion qui sera utilisé pour authentifier l'utilisateur. Mais dans le cas de connexion via Internet il faudra prévoir une phase d'authentification supplémentaire à l'établissement du tunnel.D'autre part Ipsec n'offre aucun mécanisme de Qos Ce qui limite ses applications : toutes les applications de voix sur Ip ou de vidéo sur Ip sont impossibles ou seront amenées à être complètement dépendantes des conditions de traffic sur l'internet public.
Enfin Ipsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent indispensable.

IV-6.4 Mpls

Mpls est aujourd'hui la solution apparaissant comme la plus mature du marché. La possibilité d'obtenir une Qos garantie par contrat est un élément qui pèse fortement dans la balance des décideurs. Cependant, seuls des opérateurs spécialisés fournissent Ce service Ce qui peut poser de nouveaux problèmes. Tout d'abord, Ce sont ces opérateurs de services qui fixent les prix. Ce prix inclus forcement une marge pour le fournisseur de service. D'autre part certaines entreprise ne souhaitent pas sous traiter leurs communications à un seul opérateur. En effet l'explosion de la bulle boursière autour des valeurs technologiques a suscité une vague de faillite d'opérateurs réseaux et de nombreuses entreprises ont vu leurs connexions coupées du jour au lendemain. Ce risque est aujourd'hui fortement pris en compte par les décideurs informatiques. Cependant utiliser plusieurs opérateurs pour la gestion du Vpn complique d'autant la gestion et la configuration de celui-ci.

IV-6.5 MPLS/IPSEC

	MPLS	IPSEC
Qualité de service	Inférieur à celui des réseaux Frame Relay et Atm mais supérieur à celui des autres Vpn IP.	Faible grâce au transfert via le domaine Internet public
Sécurité	Comparable à la sécurité offerte par les réseaux Atm et Frame Relay existants.	Sécurité totale grâce à la combinaison de certificats numériques et de Pki pour l'authentification ainsi qu'à une série d'options de cryptage, triple DES et AES notamment
Applications compatibles	Toutes les applications, y compris les logiciels d'entreprise vitaux exigeant une qualité de service élevée et une faible latence et les applications en temps réel (vidéo et voix sur IP)	Accès à distance et nomade sécurisé. Applications sous IP, notamment courrier électronique et Internet. Inadapté au trafic en temps réel ou à priorité élevée
Etendue	Dépend du réseau Mpls du fournisseur de services	Très vaste puisque repose sur l'accès à Internet
Evolutivité	Evolutivité élevée puisque n'exige pas une interconnexion d'égal à égal entre les sites et que les déploiements standard peuvent prendre en charge plusieurs dizaines de milliers de connexions par Vpn	Les déploiements les plus vastes exigent une planification soigneuse pour répondre notamment aux problèmes d'interconnexion site à site et de peering
Frais de gestion	Aucun traitement exigé par le routage	Traitements supplémentaires pour le cryptage et le décryptage

CHAPITRE III: LES RESEAUX MPLS

I- Définition

Actuellement, pour transmettre des paquets IP (Internet Protocol) d'une adresse source vers une adresse de destination sur un réseau, la méthode de routage utilisée est un routage unicast saut par saut basé sur la destination. Cependant, la flexibilité de ce type de routage est affectée par certaines restrictions dues à l'utilisation de cette méthode. C'est pourquoi l'IETF décida de mettre au point un ensemble de protocoles pour former un nouveau type d'architecture réseau appelée MPLS (MultiProtocol Label Switching), destinée à résoudre la majeure partie des problèmes rencontrés dans les infrastructures IP actuelles et à en étendre les fonctionnalités.

I-1 Présentation de MPLS

Dans un document nommé "draft-ietf-mpls-framework", les membres du groupe de travail MPLS de l'IETF ont définis l'architecture et l'objectif principal de cette technologie comme suit :

"L'objectif principal du groupe de travail MPLS est de normaliser une technologie de base qui intègre le paradigme de la transmission par commutation de labels avec le routage de couche réseau. Cette technologie (la commutation de labels) est destinée à améliorer le ratio coût/performance du routage de couche réseau, à accroître l'évolutivité de la couche réseau et à fournir une plus grande souplesse dans la remise des (nouveaux) services de routage, tout en permettant l'ajout de nouveaux services de routage sans modification du paradigme de transmission."

L'architecture MPLS repose sur des mécanismes de commutation de labels associant la couche 2 du modèle OSI (commutation) avec la couche 3 du modèle OSI (routage).De plus, la commutation réalisée au niveau de la couche 2 est indépendante de la technologie utilisée. En effet, le transport des données au sein d'une architecture MPLS peut être par exemple effectué à l'aide de paquets ou de cellules à travers des réseaux Frame Relay ou des réseaux ATM. Cette commutation, indépendante des technologies utilisées est possible grâce à l'insertion dans les unités de données (cellules ou paquets) d'un label. Ce petit label de taille fixe indique à chaque noeud MPLS la manière dont ils doivent traiter et transmettre les données. L'originalité de MPLS par rapport aux technologies WAN déjà existantes est la possibilité pour un paquet de transporter une pile de labels et la manière dont ceux-ci sont attribués. L'implémentation des piles de labels permet une meilleure gestion de l'ingénierie de trafic et des VPN notamment en offrant la possibilité de rediriger rapidement un paquet vers un autre chemin lorsqu'une liaison est défaillante. Les réseaux actuels utilisent l'analyse des en-têtes de couche 3 du modèle OSI pour prendre des décisions sur la transmission des paquets. MPLS quant à lui repose sur deux composants distincts pour prendre ses décisions : le plan de contrôle (control plane) et le plan des données. Le plan des données permet de transmettre des paquets de données en fonction des labels que ceux-ci transportent en se basant sur une base de données de transmission de labels maintenue par un commutateur de labels. Le plan de contrôle quant à lui créé et maintient les informations de transmission des labels destinées à des groupes de commutateurs de labels.

Du point de vue du plan de contrôle, chaque noeud MPLS est un routeur IP qui doit par conséquent utiliser des protocoles de routage IP afin d'échanger ses tables de routage IP avec les routeurs voisins.

I-2 Gestion des labels dans un réseau MPLS

I-2.1 LSP (Label Switch Path)

Nous avons vu précédemment que MPLS ajoute des labels sur les paquets ou cellules qui transitent sur un réseau MPLS afin de permettre à chaque noeud qui le compose de connaître la manière dont ils doivent traiter et transmettre les données.

Ces labels, appelés LSP (Label Switched Path) sont insérés après les en-têtes de la couche 2 et juste avant les en-têtes de la couche 3 du modèle OSI. Les LSP ont une taille fixe de 32 bits et sont structurés comme indiqué ci-dessous :

Dans cette structure, le champ "Label" définit le label sous la forme d'une valeur, et le champ "CoS" (Class Of Service) correspond à une valeur permettant d'influer sur l'ordre de traitement des paquets mis en queue. Le champ "Stack" (pile) quant à lui est une valeur permettant d'établir une hiérarchie dans la pile de labels, et le champ "TTL" (Time To Life) fournit les mêmes fonctionnalités que le TTL^21(*) IP conventionnel. L'utilisation de ces LSP permet d'accélérer grandement la commutation dans un réseau IP à haut débit. Cependant il existe deux méthodes permettant d'implémenter l'utilisation des LSP : le routage "saut par saut" et le routage « explicite». Le routage saut par saut permet à chaque noeud MPLS de choisir le saut suivant indépendamment du FEC^22(*) défini par le LSP du paquet, alors que le routage explicite laisse le premier noeud MPLS périphérique décider de la liste des noeuds que le paquet devra suivre pour arriver à l'adresse de destination. Cependant, l'utilisation du routage explicite n'assure en aucun cas la sélection d'un chemin optimal pour le paquet en question. De plus ce chemin est unidirectionnel, il va donc falloir que le noeud MPLS périphérique de destination choisisse un nouveau LSP pour le chemin de retour.

I-2.2 FEC (Forwarding Equivalency Class)

Une classe d'équivalence de transmission (FEC) représente un groupe de paquets transmis de manière identique sur un réseau MPLS. Ces FEC peuvent par exemple correspondre à des types de services, des types de paquets ou même encore des sous-réseaux. Un label différent est attribué à chacun de ces FEC. Ainsi, dès leur entrée dans un réseau MPLS, chaque paquet appartenant à un même groupe reçoit le même label ce qui lui permet d'être acheminé vers la route qui lui a été réservée.

I-2.3 LIB (Label Information Base)

Chaque noeud MPLS capable de transférer des paquets labellisés sur le réseau MPLS détient une base des informations de labels (LIB). C'est sur cette base d'informations que les décisions concernant la transmission des paquets sont fondées. En effet, les LIB (Label Information Base) contiennent, sous forme de table, la correspondance entre les différents FEC existant et les labels qui ont été attribués à chacun d'entre eux. Les informations contenues dans les LIB sont créés et mises à jour, en fonction du type de matériel, soit grâce au protocole propriétaire Cisco : TDP (Tag Distribution Protocol), soit par le protocole de liaison de labels du standard de l'IETF : LDP (Label Distribution Protocol).

I-3 Comparaison des protocoles de routage

I-3.1 Comment fonctionne le routage ?

IP est un protocole de couche réseau (couche 3) et est dit « non connecté ».C'est-à-dire que les paquets constituant le message peuvent emprunter des itinéraires différents pour arriver au destinataire. Des protocoles de routage interviennent afin de transférer les paquets sur le réseau et entre les routeurs. La communication entre ces routeurs s'effectue par le biais de protocoles décris succinctement ci-dessous.

§ Quels sont les protocoles de routage traditionnel et comment fonctionnent-ils ?

Tous ces protocoles de routage ont pour fonction de diriger les paquets dans le réseau. Chaque routeur possède une table de routage qui contient les chemins de destination, le port de sortie et le prochain saut pour déterminer le routeur suivant. Les paquets sont transportés sur le réseau d'une source à une destination. Ce dernier va passer par des routeurs pour atteindre la destination.

Dès que le routeur reçoit un paquet, il transforme l'adresse MAC de la source en appliquant sa propre adresse MAC, et l'adresse MAC de destination est remplacée par le routeur suivant. L'adresse IP de couche 3 n'est pas modifiée. Chaque routeur va appliquer cette procédure au paquet à transmettre jusqu'à sa destination.

Le principe de routage est satisfaisant dans un petit réseau mais est trop lourd pour effectuer ces procédures de modification d'adresses MAC tout au long du transfère.

I-3.2 Evolution vers le protocole de routage MPLS

Quand un paquet est envoyé sur un réseau MPLS (Multi Protocols Label Switching), le noeud (ou « node » en anglais) d'entrée dit « ingress node » ou « LER » (routeur d'entrée du réseau MPLS) traite le paquet et consulte sa table de commutation pour lui attribuer un label en fonction de la « FEC » (Forwarding Equivalence Class) (la FEC affecte les labels en fonction des classes ou des groupes) du paquet. Une fois le label attribué, le routeur d'entrée va transmettre le paquet et son label (le label se trouve dans l'en-tête du paquet) au noeud suivant dit « LSR » (Label Switch Routeur) (routeur interne du réseau MPLS).C'est à partir de l'adresse ip de l'« egress node » (routeur de sortie du réseau MPLS) que le protocole IP va déterminer :

Dès qu'un paquet est envoyé à un « LSR », le protocole de routage va déterminer dans la table « LIB » (Label Base Information) le prochain saut vers « le LSR » suivant, et le label à appliquer au paquet pour qu'il arrive à destination.

Le label est mis à jour via l'en-tête MPLS (Changement de label et mise à jour de champ TTL et du bit S) avant d'être envoyé au noeud suivant.

Quand le paquet arrive à l' « Egress node^22(*) » ce routeur a pour rôle de supprimer le label MPLS et de le transmettre sur la couche réseau.

Grâce à ses mécanismes de commutation de labels avancés ainsi que par sa simplicité de mise en place sur des réseaux déjà existants, le MPLS est devenu une technologie phare de demain alliant souplesse, évolutivité et performance pour un coût réduit. De plus, puisque cette nouvelle technologie permet d'implémenter facilement des technologies comme le QoS, les VPN et la VoIP, la majorité des fournisseurs d'accès à Internet ont décidés de faire évoluer progressivement l'ensemble de leurs réseaux vers des réseaux MPLS.

I-4 Fonctionnement des équipements réseaux MPLS

I-4.1 Label

La fonction portée du label est limitée à son utilisation entre deux « LSR » voisins.

Il va diriger le flux de trafic entre le « LSR actuel » et le « LSR suivant » selon le « LSP ».

Tout au long du « LSP » le label va chercher des informations de routage de type :

Les labels du MPLS s'intègrent à différents protocoles de communication tels que:

Le champ est composé de 32 bits. Ces 32 bits vont le relier à une classe ou un groupe « FEC »

· 1 bit appelé S qui représente un empilement de label (ce qui permet d'appliquer plusieurs services à un flux)

· TTL est le champ de 8 bits qui évite de faire circuler les trames en boucle infinie

· « Libéral » : tous les labels transmis par les « LSR » voisins pour un « FEC » sont gardés.

I-4.2 La permutation de labels

Le MPLS fonctionne par permutation de labels. Ces labels sont ajoutés une fois, à l'entrée du paquet sur le réseau MPLS, par l' « ingress node^23(*) ».Le label est déterminé à partir d'une référence dans le tableau de commutation du routeur d'entrée sur le réseau. Le paquet est alors transféré avec son label aux routeurs « LSR » qui vont permuter les labels. Le label entrant est analysé puis est remplacé par un label sortant. Le paquet est alors envoyé au noeud suivant. Les « LSR » sont basés uniquement sur la commutation de labels et ainsi commutent les paquets labellisés. Arrivé à l' « Egress node », le label du paquet est supprimé puis ce dernier est remis à son destinataire.

I-4.3 L'affectation des labels

L'affectation des labels dépend de l'appartenance des paquets à des classes ou des groupes de flux « FEC ». Ces « FEC » (Forwarding Equivalency Classes) vont permettre de diviser les traitements de paquets par groupement.

Les paquets appartenant à une même « FEC » sont traités de la même manière.

C'est ainsi que tous les paquets d'un même flux vont emprunter le même chemin MPLS. Ce chemin est appelé « LSP » (Label Switched Path).

I-5 LSP (Label Switched Path)

Le « LSP » est le chemin que va emprunter tous les paquets d'une même classe « FEC »

I-6 LSR et LER

Les « LSR » du réseau MPLS sont présents pour lire les labels, gérer les services appropriés et rediriger les paquets en fonction des labels.

Les « LER » (Label Edge Routers) représentent les routeurs d'extrémités du réseau MPLS (Ingress et Egress nodes)

I-7 La distribution de labels

Les labels sont distribués aux « LSR » via le protocole « LDP » (Label Distribution Protocol).

Il va définir des procédures et des méthodes de communications pour que les « LSR » puissent s'informer des tables de commutation (Correspondance des labels et des flux) de leurs voisins. Les labels sont du type « saut par saut », c'est-à-dire qu'ils n'effectuent le chemin que d'un saut avant d'être mis à jour. Cette méthode est utilisée par le protocole de routage IGP (Interior Gateway Protocol). La découverte des « LSR » voisins (adjacents) se fait à l'aide de la couche 3 du model OSI, via le protocole de routage UDP (par l'envoi de ACKs^24(*)).Dès que deux noeuds se sont découverts, ils établissent une connexion TCP pour le transport fiable (contrairement à UDP) des données. Les messages échangés entre les deux routeurs « LSR » lors d'une session « LDP » sont de types:

II- Trafic Engineering

Le Trafic Engineering permet d'utiliser les ressources réseaux de manière optimisée et également d'éviter les congestions de trafic sur certains liens. Le routage classique via les protocoles traditionnels tel que RIP, permettait de déterminer le plus court chemin pour aller de la source à la destination. Mais le problème réside dans l'état du lien, le plus court chemin ne signifie pas pour autant le plus rapide ! Pour remédier à ce problème d'optimisation du trafic, le MPLS a adopté le mécanisme de « Trafic Engineering » qui permet de définir le chemin de la source à la destination par lequel va emprunter le flux de données. Contrairement à « LDP^25(*) » qui cherche un « LSR » adjacent pour communiquer, le chemin est déterminé sur l' « Ingress node » via l'analyse des labels des paquets. Cette méthode va déterminer le chemin « LSP » en fonction de l'état du réseau, sa topologie, la bande passante, les protocoles utilisés. Il est possible d'appliquer les méthodes suivantes:

· ER-LSP (Explicitly Routed Path) : la source connaît le chemin complet avec les LSR jusqu'à destination. (définit les extensions à « LDP »)

· CR-LDP (Constraint based Routing LDP) et RSVP sont des méthodes similaires à ER-LSP pour la découverte des chemins. (définit les extensions à « LSP »)

REMARQUE : Lors d'une connexion entre deux routeurs « LSR » la procédure reste la même avec des informations sur les ressources nécessaires en plus.

III- Quality of service

Pour pouvoir appliquer de la QoS sur un flux associé à un « LSP », il faut attribuer des ressources à un « LSP ». Cela va être possible avec « CR-LDP » et « RSVP ». Grâce à ces méthodes, les routeurs choisissent la route et en vérifiant avant que les ressources nécessaires à l'établissement du « LSP » soient présentes sur cette route.

Ce service doit maintenir l'état de chaque flux entre l'émetteur et le récepteur, ainsi que chaque « LSR », tout en ayant vérifié que les ressources nécessaires sont présentes pour la QoS. Il regroupe trois classes de services :

Il est utilisé du coté des opérateurs télécoms car les flux sont au « saut par saut » (suffisant pour connecter le routeur de l'opérateur et celui du client).Il permet d'être associé à « IntServ » pour augmenter l'optimisation des flux. Il offre les services suivants :

IntServ et DiffServ sont deux méthodes permettant d'établir de la QoS de manière satisfaisante sur les réseaux MPLS.

IV- Utilisation du Mpls pour les Vpn

Pour satisfaire les besoins des opérateurs de services Vpn, la gestion de Vpn-IP à l'aide des protocoles Mpls a été définie dans une spécification référencée Rfc 2547. Des tunnels sont créés entre des routeurs Mpls de périphérie appartenant à l'opérateur et dédiés à des groupes fermés d'usagers particuliers, qui constituent des Vpn. Dans l'optique Mpls/Vpn, un Vpn est un ensemble de sites placés sous la même autorité administrative, ou groupés suivant un intérêt particulier.

IV-1 Routeurs P, Pe et Ce

Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur rôle) dans un environnement Mpls / Vpn :

v P (Provider) : ces routeurs, composant le coeur du backbone Mpls, n'ont aucune connaissance de la notion de Vpn. Ils se contentent d'acheminer les données grâce à la commutation de labels.

v Pe (Provider Edge) : ces routeurs sont situés à la frontière du backbone Mpls et ont par définition une ou plusieurs interfaces reliées à des routeurs clients.

v Ce (Customer Edge) : ces routeurs appartiennent au client et n'ont aucune connaissance des Vpn ou même de la notion de label. Tout routeur « traditionnel » peut être un routeur Ce, quel que soit son type ou la version d'OS utilisée.

Le schéma ci-dessous montre l'emplacement de ces routeurs dans une architecture Mpls :

IV-2 Routeurs Virtuels : VRF

La notion même de Vpn implique l'isolation du trafic entre sites clients n'appartenant pas aux mêmes Vpn. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs tables de routage grâce à la notion de Vrf^26(*) .Une Vrf est constituée d'une table de routage, d'une Fib (Forwarding Information Base) et d'une table Cef^27(*) spécifiques, indépendantes des autres Vrf et de la table de routage globale. Chaque Vrf est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont affectés localement et n'ont aucune signification vis-à-vis des autres routeurs.

Chaque interface de Pe, reliée à un site client, est rattachée à une Vrf particulière. Lors de la réception de paquets Ip sur une interface client, le routeur Pe procède à un examen de la table de routage de la Vrf à laquelle est rattachée l'interface et donc ne consulte pas sa table de routage globale. Cette possibilité d'utiliser plusieurs tables de routage indépendantes permet de gérer un plan d'adressage par sites, même en cas de recouvrement d'adresses entre Vpn différents.

V- Avantages des réseaux de type MPLS

Le MPLS offre aux opérateurs des services adéquats à leurs attentes, au niveau de la garantie de transfert et la disponibilité de la bande passante. La gestion des flux de trafic, l'optimisation de la détermination de l'acheminement des paquets, la garantie de la bande passante constituent des améliorations conséquentes par rapport aux technologies utilisées pour les trafics traditionnels. Le fonctionnement des labels facilite considérablement la reprise du routage après des défaillances du réseau. Ceci garantit une pérennité des accès aux données. La labellisation des paquets : « le chemin le plus court n'est pas toujours le meilleur », avec le MPLS, une politique peut être établie afin que les paquets suivent un chemin défini. Ainsi, il est possible d'alléger les liaisons, favorisant le confort et évitant la congestion des liens. Les VPN en environnement MPLS permettent de réduire la complexité d'un grand réseau. Il sera possible d'utiliser des adresses privées dans un réseau public ; ajouter de la QoS sur les liaisons en fonction des relations entre les différents sites. Ceci favorisera également la sécurité au sein du réseau via un contrôle de flux. MPLS sert ainsi à la gestion de la qualité de service en définissant 5 classes de services :
Vidéo : La classe de service pour le transport de la vidéo possède un niveau de priorité plus élevé que les classes de service de données.

Voix : La classe de service pour le transport de la voix possède un niveau de priorité équivalent à celui de la vidéo, c'est-à-dire plus élevé que les classes de service de données.

Données très prioritaires (D1) : Il s'agit de la classe de service possédant le plus haut niveau de priorité pour les données. Elle sert notamment aux applications ayant des besoins critiques en termes de performance, de disponibilité et de bande passante.
Données prioritaires (D2) : Cette classe de service correspond à des applications non critiques possédant des exigences particulières en termes de bande passante.

Données non prioritaires (D3): représentant la classe de service la moins prioritaire. L'augmentation des flux d'informations transitant à travers les réseaux, en particulier le réseau Internet, a engendré une nécessité de consommation de bande passante de plus en plus grande depuis ces dernières années, cette demande a favorisé l'évolution de ces différents réseaux ce qui a par la même occasion augmenté la complexité de gestion de l'ensemble de ces réseaux.

Jusqu'à présent, afin de garantir une bande passante, une sécurité ainsi qu'une qualité de service suffisante aux besoins grandissant des utilisateurs, différentes technologies ont été utilisées. Parmi celles-ci figure le protocole ATM (Asynchronous Transfer Mode) permettant de garantir des qualités de services ainsi que l'usage du protocole RSVP (Ressource ReserVation Protocol) qui ont été principalement utilisés pour transporter des paquets IP à l'aide de cellules ATM. Cependant, toutes ces technologies utilisées jusqu'à maintenant n'étaient pas optimales concernant la gestion ainsi que la maintenance des réseaux. C'est pourquoi, afin de palier à ces problèmes, une équipe de l'IETF (Internet Engineering Task Force) se forma en 1997 pour mettre au point ce qui s'appellera par la suite le MPLS. Au niveau des améliorations, le MPLS permet une meilleure gestion du routage, de la commutation ainsi que du transfert de paquets au travers de réseaux de nouvelle génération. Mais ce n'est pas tout puisque le MPLS va de plus permettre de résoudre de nombreux problèmes énoncés précédemment en améliorant quatre principaux aspects :

· possibilité de définir à l'avance le chemin que devront emprunter des données ou types de données transitant sur le réseau (Trafic Engineering).

· facilité de création de tunnels IP et de VPN (Virtual Private Network) au niveau notamment des fournisseurs d'accès à Internet, et résolution des problèmes liés à la multiplication de ceux-ci.

· indépendance des protocoles de couches 2 et 3 du modèle OSI avec le support de l'IPv6, IPv4, IPX et AppleTalk au niveau de la couche 3, et d'Ethernet, Token Ring, FDDI, ATM, Frame Relay et PPP au niveau de la couche 2.

· interaction entre les protocoles de routage existants tels que OSPF (Open Shortest Path First) ou encore BGP (Border Gateway Protocol).

PARTIE II : MISE EN PLACE DE LA SOLUTION VPN/MPLS

CHAPITRE I : CAHIER DE CHARGE FONCTIONNEL DU PROJET

Ce chapitre nous permet de faire une étude de fonds en comble du projet qui a été soumis à notre étude.

Nous ne pouvons bien évidement pas revenir sur les détails de l'étude complète d'un projet, mais nous travaillerons sur les parties fondamentales faisant ressortir les points saillants du travail qui nous a été confié.

L'infrastructure VPN/MPLS est de nos jours très peu répandu pourtant elle apporte une nouvelle approche dans la méthode de transfert des données, elle revêt ainsi un caractère novateur pour les entreprises qui ont opté pour un partage optimal et sécurisé de leur information.

Partant du fait que le nombre de personnes et le budget alloués à ce projet sont très bas, il sera considéré comme un petit projet malgré le fait que sa durée soit relativement élevée.

I- CADRAGE

I-1 Identification du projet

i) Intitulé du projet : mise en place d'une architecture VPN/MPLS avec gestion du temps de connexion à internet d'un abonné à partir du module « ACCOUNTING » du serveur FREERADIUS.

ii) Définition : Il est question ici de proposer un moyen sécurisé et sûr d'échange de données entre deux ou plusieurs hôtes avec la possibilité de gérer le temps de connexion à internet d'un abonné.

Ø Un ordinateur faisant office de serveur accueillera deux services, l'un pour l'authentification et le transfert sécurisé des données et l'autre pour la gestion du temps de connexion à internet.

iv) Motif : L'engouement qu'engendre l'architecture VPN/MPLS se fait de plus en plus présente dans les entreprises de la place et surtout chez celles qui ont ce besoin naturel de fidéliser leur clientèle en leur proposant un service toujours disponible et de meilleures qualités.

Il est nécessaire de noter ici que la solution MPLS ou plus précisément le protocole MPLS sera implémenter aux extrémités de chaque réseau sur le routeur servant de passerelle entre l'intranet et internet.

I-2- Objectifs

Ø Permettre à INET CONSULTING d'échanger de manière fiable et sécurisée les informations entre ses différents réseaux à partir du serveur sur lequel les utilisateurs s'authentifieront.

Ø Permettre aux clients INET ou aux clients VPN d'accéder au réseau internet de façon contrôlée, ce contrôle est fait par le module « ACCOUNTING » du serveur d'authentification, d'autorisation et de comptabilité FREERADIUS.

La réalisation du projet soumis à notre étude s'échelonne sur une période de 24 semaines (6 mois) à compté du 1 mars 2010.

Le coût de réalisation de ce projet est reparti entre le coût des appels téléphoniques, les déplacements et le matériel indispensable.

Quantité	Désignation	Prix unitaire (FCFA)	Prix total (FCFA)
1 1	Routeur CISCO Ordinateur pentium 4(microprocesseur 2 ghz, écran 17 pouces, disque dur 100 Go, barrette mémoire 1 Go)	1.000.000 120.000	1.000.000 120.000
2	Ordinateur pentium 3(microprocesseur 800 mhz, écran 17 pouces, disque dur 40 Go, barrette mémoire 512 Mo)	70.000	140.000
1	Switch de 8 ports	25.000	25.000
1	Seconde Carte réseau pour le serveur	4.000	4.000
Total hors taxe (THT) 1.289.000
TVA (19.25 %) 248133
Total toute taxe comprise (TTC) 1.537.133

Rappelons que ce coût est dérisoire car il ne prend pas en compte le coût de l'élaboration d'un cahier de charge de façon complète et professionnelle ainsi que celui du travail technique effectué, en effet il s'agit ici d'un projet qui s'inscrit dans le cadre de la rédaction d'un mémoire académique de fin d'étude.

I-3 La technique

Pour réaliser ce projet, nous nous sommes appuyés non seulement sur les expériences acquises au cours de notre formation, de quelques personnes ressources, sur internet, mais aussi sur les forums ou la plupart de nos difficultés ont été étayés.

I-4 Le planning

Le projet comprend 4 phases essentielles allant de la recherche d'informations à l'assemblage des sous modules en passant par l'implémentation et les tests.

Phases	Contenus
Phase 1 : Recherche des informations	Collecte des informations Installation de la distribution UBUBNTU Recherche des paquetages
Phase 2 : Implémentations des sous modules	Installation des paquetages Configuration des serveurs Test Rédaction des rapports intermédiaires
Phase 3 : Test des sous modules	Corrections des erreurs éventuelles
Phase 4 : Assemblages des sous modules	Assemblage Correction des erreurs Test final Assemblage et rédaction du mémoire final

I-5 LES MOYENS

- Utilisation des systèmes d'exploitation GNU/LINUX (Distribution UBUNTU) pour l'implémentation de la solution, et Microsoft Windows pour les clients

Nous avons privilégié GNU/LINUX pour mettre en place notre serveur à cause de deux raisons qui nous ont semblé primordial :

a) Gratuit (aucune licence à payer) donc facile pour la maintenance, il est vrai que certaines distributions linux sont payantes mais la plupart d'entre elles sont moins chères.

b) Aucun virus et spyware (fichiers espions) n'affectent les fichiers ou programmes systèmes de manière critique ou dangereuse. Pour toutes les distributions linux, nous n'avons ni besoin d'anti-virus ni d'anti-spyware.

I-6 Management du projet

I-7 Planification

Nous avons utilisé PERT pour notre planification, mais bien avant nous avons nommé les différentes tâches, leurs durées ainsi que leurs précédences. Le tableau ci-après illustre les dites tâches, il est suivi du tableau de niveaux ainsi que de celui de la répartition des ressources.

Tâches	Désignations	Précédences	Durées
A	Préparation du cahier de charge fonctionnel	-	13
B	Collecte des informations	-	10
C	Installation de distribution	A, B	1
D	Recherche et installation des paquetages	C	5
E	Configuration des serveurs	D	20
F	Test fonctionnel des serveurs	E	10
G	Rédaction des rapports intermédiaires	-	170
H	Correction des erreurs	E, F	40
I	Assemblages des sous modules	H	16
J	Test global et correction	I	30
K	Assemblage mémoire et correction	G	15
L	Validation des serveurs et impression mémoire	J, K	10

I-7.1 Tableau des niveaux

I-7.2 Répartition des ressources humaines en fonction des tâches

Tâches	Désignation	Délais		Durée	Précédences
		Début	Fin
A	Cahier de charge fonctionnel	01/03	14/03	13	-

B	Collecte des informations	14/03	25/03	10	-
C	Installation de distribution	25/03	26/03	1	A, B
D	Recherche et installation des paquetages	26/03	01/04	5	C
E	Configuration des serveurs	-	-	-	D
	Serveur vpn/mpls	01/04	10/04	9
	Serveur de gestion de temps	10/04	17/04	6
	Serveur Q.O.S	17/04	22/04	5
F	Test fonctionnel des serveurs	22/04	03/05	10	E
G	Rédaction des rapports intermédiaires	01/03	25/08	170	-
H	Correction des erreurs	03/05	14/06	40	E, F
I	Assemblage des sous modules	14/06	01/07	16	H
J	Test global et correction	01/07	01/08	30	I
K	Assemblage mémoire final et correction	01/08	16/08	15	G
L	Validation serveurs et impression mémoire	16/08	27/08	10	J, K

I-7.3 Planning échelonné sur 6 mois

Ce planning donne une décomposition purement statique, il ne tient pas compte du temps et par conséquent ne s'attache pas à l'ordonnancement des activités. Il permet une présentation analytique, le projet est décomposé jusqu'à obtention des activités bien définies et faciles à gérer.

I-7.4 Diagramme GANNT

Le diagramme de GANNTest un outil utilisé (souvent en complément d'un réseau PERT) en ordonnancement et gestion de projet et permettant de visualiser dans le temps les diverses tâches liées composant un projet (il s'agit d'une représentation d'un graphe connexe). Il permet de représenter graphiquement l'avancement du projet. Cet outil répond à deux objectifs : planifier de façon optimale et communiquer sur le planning établi et les choix qu'il impose. Le diagramme GANNT permet :

Le diagramme de Gantt ne résout pas tous les problèmes, en particulier si l'on doit planifier des fabrications qui viennent en concurrence pour l'utilisation de certaines ressources de l'entreprise. Dans ce cas, il est nécessaire de faire appel à des algorithmes plus complexes issus de la recherche opérationnelle et de la théorie de l'ordonnancement.

I-7.5 Diagramme P.E.R.T

Le graphique PERT^28(*) est une technique de gestion de projet qui permet de visualiser la dépendance des tâches et de procéder à leur ordonnancement ; c'est un outil de planification. Le terme PERT est l'acronyme de program (ou project) evaluation and review technique, ce qui signifie « technique d'évaluation et d'examen de programmes » ou « de projets », ou encore « Technique d'élaboration et de mise à jour de programme » ; c'est également un jeu de mots avec l'adjectif anglais « pert », signifiant « malicieux », « mutin ».Dans le vocabulaire de tous les jours, un projet désigne une action future. Dans l'ingénierie (activité des ingénieurs et techniciens), un projet désigne l'ensemble des actions en cours d'élaboration. On utilise un graphe de dépendances. Pour chaque tâche, on indique une date de début et de fin au plus tôt et au plus tard. Le diagramme permet de déterminer le chemin critique qui conditionne la durée minimale du projet. Le but est de trouver la meilleure organisation possible pour qu'un projet soit terminé dans les meilleurs délais, et d'identifier les tâches critiques, c'est-à-dire les tâches qui ne doivent souffrir d'aucun retard sous peine de retarder l'ensemble du projet.

CHAPITRE II : IMPLEMENTATION

Comme mentionné plus haut, INET CONSULTING est une entreprise qui fait dans plusieurs domaines, son but est d'offrir continuellement des services pour satisfaire son environnement interne en permettant à ses employés de communiquer et de partager les informations mais aussi de satisfaire son environnement externe en proposant des technologies toujours innovatrices pour faciliter le vécu quotidien des citoyens. Notre principal boulot était dans un premier temps de déployer l'architecture vpn/mpls pour permettre aux usagers de l'entreprise d'échanger de façon sécurisée leurs données, mais aussi à travers cette architecture de permettre aux futurs abonnés du réseau internet « INET » d'avoir accès à internet et de manière contrôlée.

Nous devons mentionner ici que cette architecture est nouvellement déployer à INET CONSULTING, toutefois il est primordial pour nous d'étudier l'existant autrement dit la topologie du réseau en place et la disposition des différents équipements présents dans le réseau de l'entreprise pour mieux appréhender et anticiper les difficultés que nous pourront rencontrer lors de la mise en place de la solution.

I- Etude du fonctionnement du réseau existant

I-1 Schéma de la direction technique

Comme nous pouvons le constater sur ce schéma le réseau de la direction technique est subdivisé en trois secteurs :

ü La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou de publier les services sur internet sur le contrôle de Pare-feu externe, dans notre cas on a un serveur de fichier (FTP), un serveur de messagerie (EXCHANGE), un serveur de SMS et un serveur téléphonique en l'occurrence TRIBOX, ils assurent tous l'échange des informations entre les employés de l'entreprise.

ü Le parc informatique qui est constitué des ordinateurs de bureau et des ordinateurs portables.

ü Le réseau téléphonique segmenté en deux, le réseau GMS et le réseau PSTN et qui découle directement du serveur TRIBOX.

Les informations de l'entreprise arrivent par l'antenne radio situé sur le pilonne que nous voyons sur le schéma, elles sont directement envoyées au commutateur qui lui, les envoient à un serveur de la DMZ en fonction bien entendu de la nature de l'information (voix, donnée, SMS,etc...) a son tour le serveur concerné route l'information à l'ordinateur ou au téléphone destinataire.

Les informations provenant du réseau externe (internet) sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout simplement rejetée.

I-2 Schéma de la direction générale

Les informations arrivent à la direction générale par l'antenne radio et elles sont directement émissent au commutateur qui les routent dans le réseau.

I-3 Schéma de la direction commerciale

A la direction commerciale la communication est identique à celle de la direction générale, Les informations arrivent à la direction commerciale par l'antenne radio et elles sont directement émissent au commutateur qui les routent dans le réseau.

I-4 Architecture du réseau global

Comme nous le constatons les différents réseaux sont interconnectés par boucle radio, les antennes radios présents sur chaque site sont reliées en point à point avec les autres antennes et permettent la circulation des informations.

II- Problématique

Lorsque nous appelons, envoyons un courrier traditionnel ou un fax d'un site vers un autre, les communications téléphoniques, les services de colis postaux ou de télécopie ne sont pas sécurisés. Pourquoi ne pas m'être sur pied un système qui rendra plus fiable le transfert de ces informations avec nos correspondants?

Dés notre arrivée à INET CONSULTING, nous avons constaté que le trafic inter-réseau était non sécurisé, toutes les informations du réseau de l'entreprise circulaient en claires sur internet et ont certainement pu être interceptées à un moment ou à un autre par des personnes non connues.

La première solution pour répondre à ce besoin de communication sécurisée consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission à partir d'un protocole d'"encapsulation" (en anglais tunneling, d'où la prononciation impropre parfois du terme "tunnellisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

III- Implémentation de l'architecture VPN/MPLS

Pour mettre en place cette architecture nous allons nous attarder sur trois grandes parties :

La configuration du serveur VPN, ici nous utiliserons le package OPENSWAN qui est une librairie permettant d'implémenter Ipsec, principal protocole pour le déploiement des VPN.

La configuration du serveur FREERADIUS plus particulièrement son module « ACCOUNTING » car c'est celui-ci qui nous permettra de gérer le temps de connexion des abonnés à internet.

L'implémentation du protocole MPLS au niveau du routeur CISCO, ce routeur sera situé à l'extrémité de notre réseau et sera chargé de commuter les paquets labélisés dans le backbone MPLS.

III-1 Schéma de l'architecture à mettre en place

Ce schéma très simplifié nous présente la manière dont les employés, les utilisateurs nomades et les abonnés pourront avoir accès aux ressources dont ils ont besoin.

§ Les employés devront au préalable s'authentifier sur le serveur avant d'avoir accès aux ressources situées derrière celui-ci.

§ Un utilisateur nomade c'est-à-dire situé en dehors du réseau de l'entreprise peut aussi accéder aux ressources en communiquant tout simplement ses informations d'authentification.

§ Les abonnés appartiennent eux aussi au réseau de l'entreprise, toutefois ceux-ci sont affectés à une plage d'adresse IP réservée au niveau du serveur DHCP pour leur empêcher d'accéder aux ressources de l'entreprise.

III-2 Installation et configuration du serveur OPENSWAN

Nous utiliserons ici un serveur basé sur une distribution UBUNTU avec deux interfaces réseaux (eth0 = IPprivée) et (eth1 = IPlan). Le L.A.N est adressé en 10.1.1.0/24.

- On fait une copie du fichier de configuration « /etc/ipsec.d/examples/l2tp-psk.conf »

conn L2TP-PSK-noNAT

# Configuration for one user with any type of IPsec/L2TP client

# including the updated Windows 2000/XP (MS KB Q818043), but

# excluding the non-updated Windows 2000/XP.

# Use a Preshared Key. Disable Perfect Forward Secrecy.

# PreSharedSecret needs to be specified in /etc/ipsec.secrets as

# YourIPAddress %any: "sharedsecret"

authby=secret

pfs=no

auto=add

keyingtries=3

# we cannot rekey for %any, let client rekey

rekey=no

type=transport

left=192.168.1.64

# or you can use: left=YourIPAddress

# For updated Windows 2000/XP clients,

# to support old clients as well, use leftprotoport=17/%any

leftprotoport=17/1701

# The remote user.

right=%any

# Using the magic port of "0" means "any one single port". This is

# a work around required for Apple OSX clients that use a randomly

# high port, but propose "0" instead of their port.

rightprotoport=17/0

# /etc/ipsec.conf - Openswan IPsec configuration file

# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006-10-19 03:49:46 paul Exp $

# This file: /usr/share/doc/openswan/ipsec.conf-sample

# Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration

config setup

# plutodebug / klipsdebug = "all", "none" or a combation from below:

# "raw crypt parsing emitting control klips pfkey natt x509 private"

# eg: plutodebug="control parsing"

# ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!

# NAT-TRAVERSAL support, see README.NAT-Traversal

nat_traversal=yes

# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

# enable this if you see "failed to find any available worker"

nhelpers=0

# Add connections here

# sample VPN connections, see /etc/ipsec.d/examples/

#Disable Opportunistic Encryption

include /etc/ipsec.d/examples/no_oe.conf

include /etc/ipsec.d/l2tp-psk.conf

À ce stade, notre serveur VPN doit être à l'écoute sur le port 500/udp et 4500/udp pour les connexions. Nous pouvons le vérifier en utilisant la commande :

Nous pouvons aussi vérifier si la partie IPSEC des choses fonctionne correctement, mais pour le faire nous seront obligé de configurer à ce stade un client VPN sous Microsoft Windows. Dans le souci de respecter les étapes prévues pour la rédaction de ce mémoire nous le ferons bien après.

Nous devons redémarrer le démon xl2tpd :

III-3 configuration du client Windows

Au niveau du client, il faut créer une nouvelle connexion. Voici le mode opératoire:

- Entrer l'adresse IP du serveur OpenSwan (ici IPpub1) et cliquer sur suivant et terminer.

Après ceci, une nouvelle connexion s'affiche dans le Favori réseau, faire un clic droit, "propriétés».

- Choisir "Autoriser ces protocoles" et les cases suivantes doivent être cochées (Protocole CHAP, Protocole Microsoft CHAP et Protocole Microsoft CHAP V2) puis cliquer sur OK.

- Cliquer ensuite sur "paramètres IPsec" et cocher "utiliser une clé-pré-partagée pour l'authentification". Ici, il faut entrer le "secret partagé" que vous avez entré dans le fichier ipsec.secret du serveur OpenSwan.

- Aller ensuite dans l'onglet "Gestion de réseau" et choisir "type de réseau VPN" : VPN L2TP IPsec.

- Double-cliquons sur l'icône de connexion sur notre bureau et entrons les informations de connexion :

En cliquant sur l'onglet « se connecter » on devrait avoir les résultats suivants:

Il faudra entrer dans les logs d'authentification du serveur VPN pour lire les messages de confirmation d'identification du client sur le serveur. Pour cela, nous devons afficher les dernières lignes du fichier « /var/log/auth.log »

Eu égard à ce qui précède nous voyons bien que le client s'authentifie sur le serveur et une nouvelle connexion PPP0 apparait au niveau de celui-ci, mais aussi au niveau du client.

Nous voyons bien la nouvelle interface PPP0 avec l'adresse IP : 10.1.1.3 qui est issu de la plage d'adresse IP attribué par le serveur DHCP intégré à notre serveur VPN.

Après exécution dans le terminal de windows de la commande « ipconfig », nous avons le résultat suivant :

Nous voyons apparaitre une nouvelle interface PPP avec son adresse IP, le masque de sous réseau, la passerelle par défaut et les DNS primaires et secondaires.

III-4 Installation et configuration du serveur Freeradius pour gérer « l'accounting »

RADIUS^29(*) est un protocole client-serveur permettant de centraliser des données d'authentification, il offre la possibilité de faire de la comptabilité (appelé accounting). En effet on peut enregistrer un certain nombre de données informatives telles que : l'heure de connexion, l'identifiant, le nombre d'octets entrants/sortants, etc.... Cette fonction est souvent assurée par un programme ou même un serveur différent.

NB : Il est nécessaire de rappeler que le serveur FREERADIUS encore appelé serveur AAA (authentification, autorisation et accounting) contient plusieurs modules dont ceux que nous venons de citer, mais ici c'est le module « accounting » qui nous intéresse car celui-ci permettra de gérer la connexion des utilisateurs sur internet, par contre l'authentification de ces utilisateurs est faite à partir du serveur VPN.

- Nous allons commencer par remettre à jour la base de données des paquets UBUNTU, après le temps écoulé.

- On peut dés à présent installer le serveur Freeradius et toutes les autres librairies supplémentaires.

- A présent nous devons configurer le serveur Freeradius en paramétrant le fichier : « /etc/freeradius/radiusd.conf »

prefix = /usr

exec_prefix = /usr

sysconfdir = /etc

localstatedir = /var

sbindir = ${exec_prefix}/sbin

logdir = /var/log/freeradius

raddbdir = /etc/freeradius

radacctdir = ${logdir}/radacct

confdir = ${raddbdir}

run_dir = ${localstatedir}/run/freeradius

db_dir = ${raddbdir}

libdir = /usr/lib/freeradius

pidfile = ${run_dir}/freeradius.pid

max_request_time = 30

cleanup_delay = 5

max_requests = 1024

listen {

type = acct

ipaddr = 10.1.1.1

port = 0

interface = eth0

}

listen {

type = acct

ipaddr = 127.0.0.1

port = 0

interface = lo

}

hostname_lookups = no

allow_core_dumps = no

regular_expressions = yes

extended_expressions = yes

log {

destination = files

file = ${logdir}/radius.log

syslog_facility = daemon

stripped_names = no

auth = no

auth_badpass = no

auth_goodpass = no

}

checkrad = ${sbindir}/checkrad

security {

max_attributes = 200

reject_delay = 1

status_server = yes

}

proxy_requests = no

$INCLUDE clients.conf

thread pool {

start_servers = 5

max_servers = 32

min_spare_servers = 3

max_spare_servers = 10

max_requests_per_server = 0

}

instantiate {

exec

expr

expiration

logintime

}

$INCLUDE policy.conf

$INCLUDE sites-enabled/

Maintenant, nous avons besoin de préciser quels clients utilisera le serveur Freeradius et ceci est fait à partir du fichier: « /etc/freeradius/clients.conf »

Nous devons à présent créer un lien entre nos deux serveurs (VPN et Free radius) pour qu'ils puissent s'échanger les informations nécessaires à l'authentification et à l'accounting telles que : l'adresse IP, le login ou le passeword de chaque utilisateur, pour cela le fichier :

« /etc/ppp/options.xl2tpd » nous intéresse, nous allons lui ajouter des lignes de configurations qui permettront aux serveurs de communiquer.

- Il est nécessaire dés lors de redémarrer le serveur Freeradius avec la commande :

- A présent nous devons accéder à l'interface web de gestion des utilisateurs, pour cela nous devons installer le serveur web apache et les modules PHP nécessaires.

Après configuration du serveur Apache et création de l'interface de gestion utilisateur, nous devrions avoir un tableau ressemblant à ceci :

Identifiant comptable

Nom utilisateur

Koctets entrés

Koctets

sortis

Heure date début

Heure date fin

La configuration du serveur Freeradius est terminée et le module « accounting » pour la gestion des utilisateurs est désormais disponible à travers le présent tableau, les informations qu'il contient caractérisent un utilisateur précis.

III.5 Implémentation du protocole MPLS au niveau du routeur

Nous allons dans cette partie vous présenter une architecture entre deux sites autrement dit les clients des sites 1 et 2 pourront s'échanger des informations qui transiteront par un réseau MPLS, ceci pour l'implémentation d'un VPN basé sur le protocole MPLS. Toutes les configurations décrites dans les sections suivantes sont exécutées à partir du réseau montré dans ce schéma :

Cette topologie met en application un VPN d' Intranet simple entre deux sites appartenant au client A: situe 1 et site 2. Le réseau du client comprend les routeurs CE1-A et CE2-A de la CE.

La configuration de la transmission de MPLS est la première étape à la disposition du backbone VPN MPLS du fournisseur de service. Cette étape assure la promptitude du fournisseur de service pour fournir des services MPLS-connexes aux clients éventuels :

Configurer VRF sur le routeur PE et le VRF CustomerA sur le routeur PE1 et PE2-AS1. Ceci a comme conséquence la création d'une table de routage VRF et d'une table Cisco Express Forwarding (CEF) pour CustomerA. Cet exemple montre CustomerA VRF étant configuré sur le routeur PE1-AS1. Notez que le nom de VRF est sensible à la casse.

Configurer le RD: Le RD crée des tables de routage et de transmission. Le RD est ajouté au début des en-têtes IPv4 du client pour les convertir en préfixes globalement uniques VPNv4.

Configurer l'importation et l'exportation des stratégies, configurer l'importation et l'exportation de stratégies pour les communautés MP-BGP. La stratégie est employée pour filtrer des itinéraires pour ce "target-route" particulière.

% Interface Serial4/0 IP address 172.16.1.1 removed due to disabling VRF CustomerA

CONCLUSION

Cette étude des solutions VPN, met en évidence une forte concurrence entres les différents protocoles pouvant être utilisés. Néanmoins, il est possible de distinguer deux rivaux sortant leurs épingles du jeu, à savoir Ipsec et Mpls. Ce dernier est supérieur sur bien des points, mais il assure, en outre, simultanément, la séparation des flux et leur confidentialité. Le développement rapide du marché pourrait bien cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre généralement dans une politique de réduction des coûts liés à l'infrastructure réseau des entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons louées de type ATM ou Frame Relay. Le coût des Vpn Ip est actuellement assez intéressant pour motiver de nombreuses entreprises à franchir le pas. A performance égales un Vpn Mpls coûte deux fois moins cher qu'une ligne ATM. Mais si les solutions à base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est principalement grâce à l'intégration possible de solution de téléphonie sur Ip. La qualité de service offerte par le Mpls autorise en effet Ce type d'utilisation. Le marché des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de réduire les coûts des infrastructures de communication.

Le protocole MPLS lui avait comme objectif initial d'allier la puissance de commutation du niveau 2 à la couche de niveau 3 en restant homogène vis-à-vis des protocoles L2 et L3. Mais il existe désormais des routeurs contenant des puces ASIC (Application Specific Integrated Circuit) dont certaines fonctions ne sont plus exécutées du coté applicatives mais de manière complètement matérielle. Ces équipements réseau obtiennent ainsi des performances tout à fait acceptables comparées au réseau MPLS. Cependant, le protocole MPLS fournit plusieurs services de niveau 3 offrant de ce fait une véritable valeur ajoutée aux entreprises qui l'utilisent, on peut citer par exemple le Traffic Engineering, cet exemple témoigne parfaitement du bénéfice apporté par ce protocole.

Désormais tous les opérateurs commencent à utiliser les réseaux MPLS, car la tendance des réseaux de communications consiste à faire converger les réseaux de voix, données, multimédia en un réseau unique basé sur les paquets IP. Du fait que le protocole MPLS apporte des services IP ainsi que de la convergence des réseaux, le protocole MPLS a certainement un bel avenir devant lui.

A travers ce mémoire, nous avons vu un aperçu des différentes possibilités afin de déployer un VPN, et particulièrement la solution que représente IPSec. Nous avions en effet pour objectif de vous donner les concepts qui tournent autour de cette solution et de vous montrer un exemple de déploiement. Mais également que le terme de VPN ne se référençait pas qu'a la solution IPSec. Certes cette solution est la plus utilisée et est une référence. Mais le VPN est avant tout un concept et ne précise rien concernant ses moyens.

REFERENCES BIBLIOGRAPHIIQUES

Ø Authentification réseau avec Radius 802.1x - EAP - FreeRadius Auteur : Serge Bordères Édition : Eyrolles Collection : Blanche,03/14/2008,P.33-34.

Ø Mémoire : Amélioration des performances d'un réseau informatique par Patrice N'CHO (ingénieur Télécom et réseau), P.67-79.

Ø Cisco, «The position on WIMAX and related next-generation radio technologies for mobile operators» last update: 26/04/2007

REFERENCES WEBOGRAPHIQUES

Ø Multi Label Protocol Switching, par Mourad Guengou, Arezki Rezzeli et Mohamed Essoufy, consulté le 24 Mars et disponible sur le lien http://www.ietf.org/rfc/rfc3031.txt

Ø http : // www.citelecom.ci/index business .php?parcours=reseau internet, consulté le 15 avril 2010

SUPPORT DE COURS

Ø Claude Kameni : Administration des Réseaux Locaux, notes de cours 2009 ;

Ø Claude Kameni : Administration des Systèmes Serveurs, notes de cours 2009 ;

Ø Valery Fotso : Interconnexion des réseaux distants, notes de cours, 2009 ;

* ¹ Virtual private network ou réseau privé virtuel : Permet le transfert sécurisé des informations entre utilisateurs présent dans des sites différents.

* ² VSAT (Very small aperture terminal): désigne une technique de communication par satellite bidirectionnelle qui utilise des antennes paraboliques.

* ³ Encore appelé PBX-IP, c'est un système téléphonique logiciel qui accomplit certaines tâches et offre une multitude de services.

* ⁴ GSM (Global System for mobile Communications : originaire de groupe spécial mobile) est le standard le plus populaire dans la téléphonie mobile.

* ⁶ Procédé grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de déchiffrement.

* ⁷ Equipement réseau permettant de commuter un paquet d'un site à un autre.

* ⁸ Network attached storage ou serveur de stockage en français, il s'occupe majoritairement de la gestion des données pour les serveurs et les utilisateurs.

* ⁹ Architecture d'un réseau, elle donne une certaine disposition des différents postes informatiques du réseau et une hiérarchie de ces postes.

* ¹¹ EAP (Extensible Authentification Protocol) Méthode d'authentification mutuelle qui utilise les certificats numériques.

* ¹² Le relayage de trames (ou FR, pour l'anglais Frame Relay) est un protocole à commutation de paquets situé au niveau de la couche de liaison (niveau 2) du modèle OSI, utilisé pour les échanges intersites ( WAN).

* ¹³ Transmission Control Protocol/Internet Protocol : Protocole réseau de transmission de données qui exige un accusé de réception du destinataire des données envoyées

* ¹⁷ Encapsulation des protocoles http et SSH pour le transfert sécurisé des pages web.

* ¹⁸ Encapsulation des protocoles FTP et SSH pour le transfert sécurisé des fichiers.

* ¹⁹ MS-CHAP est la version Microsoft du protocole CHAP (Challenge-Handshake Authentication Protocol).

* ²⁰ Technique qui consiste à usurper l'identité d'une autre personne ou organisation, ce qui permet de faire croire que le courriel provient d'une source différente de la source véritable.

* ²⁴ Accusé de réception ; Signal logique indiquant qu'une opération demandée a été prise en compte.

* ²⁵ Label distribution Protocol : Il défini les procédés et les procédures d'échange des tables de routages entre les différents LSR.

* ²⁸ Program evaluation and review technique ou technique d'évaluation et mise à jour de programme.

Mise en place d'une architecture VPN MPLS avec gestion du temps de connexion et de la bande passante utilisateur

Table des matières

LISTE DES FIGURES

LISTE DES TABLEAUX

LISTE DES DEFINITIONS