Mise en place d'une architecture VPN MPLS avec gestion du temps de connexion et de la bande passante utilisateur

II- Problématique

Lorsque nous appelons, envoyons un courrier traditionnel ou un fax d'un site vers un autre, les communications téléphoniques, les services de colis postaux ou de télécopie ne sont pas sécurisés. Pourquoi ne pas m'être sur pied un système qui rendra plus fiable le transfert de ces informations avec nos correspondants?

Dés notre arrivée à INET CONSULTING, nous avons constaté que le trafic inter-réseau était non sécurisé, toutes les informations du réseau de l'entreprise circulaient en claires sur internet et ont certainement pu être interceptées à un moment ou à un autre par des personnes non connues.

La première solution pour répondre à ce besoin de communication sécurisée consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission à partir d'un protocole d'"encapsulation" (en anglais tunneling, d'où la prononciation impropre parfois du terme "tunnellisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

III- Implémentation de l'architecture VPN/MPLS

Pour mettre en place cette architecture nous allons nous attarder sur trois grandes parties :

La configuration du serveur VPN, ici nous utiliserons le package OPENSWAN qui est une librairie permettant d'implémenter Ipsec, principal protocole pour le déploiement des VPN.

La configuration du serveur FREERADIUS plus particulièrement son module « ACCOUNTING » car c'est celui-ci qui nous permettra de gérer le temps de connexion des abonnés à internet.

L'implémentation du protocole MPLS au niveau du routeur CISCO, ce routeur sera situé à l'extrémité de notre réseau et sera chargé de commuter les paquets labélisés dans le backbone MPLS.

III-1 Schéma de l'architecture à mettre en place

Figure 29 : Architecture du réseau VPN/MPLS

Ce schéma très simplifié nous présente la manière dont les employés, les utilisateurs nomades et les abonnés pourront avoir accès aux ressources dont ils ont besoin.

§ Les employés devront au préalable s'authentifier sur le serveur avant d'avoir accès aux ressources situées derrière celui-ci.

§ Un utilisateur nomade c'est-à-dire situé en dehors du réseau de l'entreprise peut aussi accéder aux ressources en communiquant tout simplement ses informations d'authentification.

§ Les abonnés appartiennent eux aussi au réseau de l'entreprise, toutefois ceux-ci sont affectés à une plage d'adresse IP réservée au niveau du serveur DHCP pour leur empêcher d'accéder aux ressources de l'entreprise.