ip vpn cnam final bdecaron.nicolas.free.fr/cnam/client serveur/vpn.pdf · 2005. 7. 23. · benjamin...

1

CNAM - UV Client-Serveur - Les VPNs - Janvier 2004

LES LES VPNsVPNs

Benjamin DESCAMPS

François-Xavier SALENGRO

Nicolas FRANCOIS

Sébastien BRUNIN


PlanPlan

Ø Introductionq Quelques définitions q Qu’est-ce qu’un VPN ? Pourquoi un VPN ? Qui utilise un VPN ?q Les besoins et le marché

ØI. Les différents types de VPNq CPE – CLE – Web – Network : Based

ØII. Zoom sur le fonctionnementq Le VPN via Internet – Le VPN MPLS

ØIII. Comparaison réseau LS – FR – MPLS

ØIV. La qualité de service

ØV. La voix sur IP

ØQuestions


IntroductionIntroduction

Définitions

Qu’est-ce qu’un VPN ?

Pourquoi un VPN ?

Qui utilise un VPN ?

Les besoins et le marché


Quelques dQuelques dééfinitionsfinitionsintraintra--extraextra--etherether Net ?Net ?

Ø Intranet : C’est un ensemble de services interne à un réseau local étendu, c’est-à-dire accessible uniquement àpartir des postes d’un réseau local étendu et invisible de l’extérieur.(les flux dans un intranet ne passent pas par Internet.)

Ø Extranet : C’est un Intranet ouvert à une partie de la population extérieure ; les accès étant réglementés (login, mots de passe, droits d’accès…) pour assurer une confidentialité des informations mises à disposition.

Ø Ethernet : protocole de transport utilisé dans un réseau local (par opposition au Token Ring).


Quelques dQuelques dééfinitionsfinitionsV.P.N. ??V.P.N. ??

ØØNetworkNetwork : Réseaux permettant d’interconnecter des entités distantes.

ØØPrivatePrivate : Tout élément externe aux échanges établis doit ignorer les rapports entretenus entre les différentes entités impliquées dans ces échanges.

ØØVirtualVirtual ::Ils s’appuient sur des architectures de réseaux partagées mais pas sur des connexions physiques dédiées.


Quelques dQuelques dééfinitionsfinitionsConnexions Connexions

Ø Dial-in : c’est lorsque quelqu’un appelle le réseau en RTC ou RNIS sur un numéro gratuit ou pas, ce qui lui permet d’accéder aux infos de sa société. ex : Nomade

Ø Dial-out : fonction qui permet à un site central d’appeler une de ses agences. ex : pour recueillir des infos, mettre àjour…

Ø Accès distant : service permettant aux utilisateurs nomades et télé-travailleurs isolés d ’accéder aux ressources de l ’entreprise et de communiquer avec le reste de l ’entreprise.

PDF created with pdfFactory trial version www.pdffactory.com

http://www.pdffactory.com

2


Quelques dQuelques dééfinitionsfinitionsAbrAbrééviationsviations

Ø ATM : Asynchronous Transfer Mode, technique de transfert de petits paquets de taille fixe (53 octets), appelés cellules. L’ATM est donc une technologie de transfert.

ØMPLS : Multi Protocol Label Switching, il sert à acheminer les paquets à travers le backbone opérateur, avec un double libellé, permettant de distinguer la partie routage des données.

Ø Qos : Quality of Service, possibilité pour un utilisateur de demander au réseau le transport de ses paquets avec une garantie de qualité déterminée par rapport au type de flux transporté.


Ø LAN : Local Area Network

Ø WAN : Wide Area Network

Ø CPE : Customer Premise Equipment

Ø CIR : Constant Input Rate - Débit garanti

Ø BURST : Débit crète

Ø LS : Liaison spécialisée (idem liaison louées)

Ø FR : Frame Relay

Quelques dQuelques dééfinitionsfinitionsAbrAbrééviationsviations


QuQu’’estest--ce quce qu’’un VPN ?un VPN ?

Ø Un VPN (Virtual Private Network) est un réseau privéréalisé à partir d’un réseau partagé

Ø Il emprunte donc une infrastructure publique (càd de un ou plusieurs opérateurs publiques) dédiée ou partagée, avec des mécanismes de privatisation logique.

Ø Il permet de relier entre-eux plusieurs sites de façon sécurisée, c’est une extension du réseau privé de l’entreprise.

Ø Un VPN s’appuie sur différents types de technologies ou protocoles: Frame Relay (FR), Internet Protocol (IP), Liaisons Spécialisées (LS), Web, etc, …


Pourquoi un VPN ?Pourquoi un VPN ?

Ø Pour améliorer la communication, augmenter la productivité des entreprises.

ØPour cela, la majorité des entreprises souhaitent que leurs sites distants et nomades bénéficient d’un accès complet au réseau principal, et donc aux applicatifs qui y résident et que leurs « satellites » puissent accéder àcertaines informations.

Ø A noter que ces applicatifs sont de plus en plus « Métier », c’est-à-dire qu’elles en ont besoin pour travailler et exigent donc du VPN : fiabilité, disponibilité et sécurité.


Pourquoi un VPN ?Pourquoi un VPN ?

La solution VPN doit garantir la confidentialité et l'intégritédes données lorsque celles-ci transitent sur Internet (ou sur le réseau d'entreprise) à l’aide de :

Ø Authentification d'utilisateur (via Internet)Ø Gestion d'adressesØ Cryptage des données (via Internet)Ø Gestion de clés (via Internet)Ø Intégrité de l’information Ø Prise en charge multiprotocoleØ Gestion de la qualité de service et des délais Ø Gestion des pannes (Backup)


Pourquoi un VPN ?Pourquoi un VPN ?ExemplesExemples

Ø Accéder au système d’information de la société

Ø Échanger de la messagerie

Ø Échanger des fichiersØ Mettre à disposition un serveur Web

pour l’Intranet ou l’Internet

Ø Partager des bases de connaissances au sein de l’entreprise (forum, bases clients/prospects, bases projets, etc, …)

Ø Et surtout mettre à disposition les applicatifs métier et de production



3


Ø Host to LANHost to LAN :Salariés itinérants et télé-travailleurs.

ØØ LAN to LANLAN to LAN : Utilisation de lignes spécialisées.

ØØ Host to HostHost to Host :: Connexion entre 2 ordinateurs en Intranetn Intranet

Pourquoi un VPN ?Pourquoi un VPN ?ExemplesExemples


Qui utilise le VPN ?Qui utilise le VPN ?

Ø Utilisateurs des sites

Ø Sites éloignés

Ø Les Nomades (commerciaux, direction générale, astreintes, …)

Ø Experts et techniciens en mission chez les clients

Ø Travailleurs à domicile

Ø Clients

Ø Fournisseurs

Ø Distributeurs

Ø Partenaires


Les attentes des entreprises aujourdLes attentes des entreprises aujourd ’’huihui

Classes de servicesü Priorisation des flux applicatifs

Réseau d’entreprise

ü Interconnexion de sites ü Accès à Internet

Nomades et télétravailleurs

ü Accès aux applications de l’entrepriseü Accès à Internet

ü Protection vis à vis d’Internet

ü Suivi des performancesü Gestion déléguée des services

Une solutionprofessionnelle et sécurisée :

un avantage concurrentielpour l’entreprise

Outils en ligne

Sécurité


LL’é’évolution dans le temps du besoin client: cotvolution dans le temps du besoin client: cotéé LANLAN

1970 1980 1990 2000

1 kbps

1 Mbps

10 Mpbs

Écran passif Poste intelligent

Station de travail

Station multimédia100 Mpbs

1 Gbps


LL’é’évolution dans le temps du besoin client : cotvolution dans le temps du besoin client : cotéé WANWAN

1970 1980 1990 2000

1 kbps

1 Mbps

10 Mpbs

Écran passif Poste intelligent

Station de travail

Station multimédia100 Mpbs

1 Gbps

Réseau Commuté

(ou liaison a

nalogique bas débit)

Liaisons s

pécial isé

s

Réseau Frame Relay

Réseau basé su

r Interne

t

Réseau M

PLS

Attention: il ne s’agit que d’une tendance.On trouve encore beaucoup de réseau

en RNIS par exemple


Forte croissance de la dataForte croissance de la data

Évolution du marché des Télécoms



4


Forte croissance du marchForte croissance du marchéé datadata


Forte croissance du marchForte croissance du marchéé IP/VPNIP/VPN


Mutation technologiquesMutation technologiques


I. Les diffI. Les difféérents types de VPNrents types de VPN

CPE Based

CLE Based

Web Based

Network : Based


Topologie des VPNTopologie des VPN

Il existe 4 grandes familles de VPN:

Ø CPE Based : basé sur un réseau de LS

Ø CLE Based : basé sur un réseau opérateur (notamment Frame Relay)

Ø Web Based : basé sur l’architecture Internet

Ø Network Based : basé sur un réseau IP d’opérateur


Les rLes rééseaux Liaisons Spseaux Liaisons Spéécialiscialisééeses

CPE CPE BasedBased




5


CPECPE--basedbased VPNVPN

Siège

Client / Partenaire

Filiale

•Une liaison est établie avec chaque site•L’équipement responsable de l’établissement, du maintien et de l’administration du VPN se trouve dans les locaux de l’entreprise.•L ’opérateur fournit la connectivité de base. Les dépenses de capital et les frais d’exploitation du VPN sont à la charge de l’entreprise cliente, et non de l ’opérateur


CPECPE--basedbased VPN: rajout d'un siteVPN: rajout d'un site

Il faut établir 3nouvelles liaisons

Nouveau site

Siège

Client / Partenaire

Filiale


Zoom sur les rZoom sur les rééseaux LSseaux LS

Ø Modes de raccordement possibles

Ø Liaison spécialisée

Ø Acteurs du marché

Ø France Telecom pour la partie réseau

Ø Cisco, 3Com, Lucent, HP, … pour la partie CPE

Ø Problématiques rencontrées

Ø coût élevé

Ø peu de souplesse


Les rLes rééseaux seaux FrameFrame RelayRelay

CLE CLE BasedBased



CLECLE--basedbased VPNVPN

Siège

Client / Partenaire

Filiale

•Une LS est établie avec chaque site•L’équipement réseau demeure dans les locaux de l’entreprise.•L’opérateur est propriétaire de l’équipement, de sa gestion et de son entretien.•Dépenses de capital et frais d’exploitation à la charge de l’opérateur.•Le client verse un montant forfaitaire mensuel en contrepartie du service Intranet.

Frame Relay

Représentation logiqueCNAM - UV Client-Serveur - Les VPNs - Janvier 2004

ReprRepréésentation physiquesentation physique

= PoP

= liens d’accès =port d’accès = PVC

Tarif d’accès site central

Charge de CIR

Tarif d’accès site distant

• Mise en place des liens d’accès

• Provisionning des PVC



6


CLECLE--basedbased VPN: rajout d'un siteVPN: rajout d'un site

Il faut établir plusieursnouvelles liaisons(Une physique, 3 PVC)

Nouveau site

Siège

Client / Partenaire

Filiale

Frame Relay


Zoom sur les rZoom sur les rééseaux FRseaux FR



Ø RNIS


Ø France Telecom, Cegetel, 9Telecom, … pour la partie réseau


Ø Problématiques rencontrées

Ø coût élevé en cas de besoin type any to any

Ø les accès permanent doivent toujours passer par de la LS dont le coût est élevé


Les rLes rééseaux basseaux baséés sur Internets sur Internet

Web Web BasedBased



WebWeb--basedbased VPNVPN

Siège

Client / Partenaire

Filiale

@Internet

FAI FAI

FAI•Chaque site souscrit un accès Internet auprès d'un FAI.•L’équipement réseau demeure dans les locaux de l’entreprise. Il appartient à l'opérateur ou au client.•Solution économique et rapide àmettre en œuvre (pour un petit nombre de sites)•Pas de garantie sur la sécurité (sauf si chiffrement), l'intégrité des données ni sur les délais d'acheminement


WebWeb--basedbased VPN : rajout d'un siteVPN : rajout d'un site

Siège

Client / Partenaire

Filiale

@Internet

FAI FAI

FAI

Nouveau site

Le nouveau site doit souscrire à un accès àInternetEn cas de chiffrement, il faut ajouter tous les tunnels IPSec nécessaires

FAI


Zoom sur les rZoom sur les rééseaux Web seaux Web basedbased



Ø Technologie DSL

Ø RNIS


Ø Mahia, MyStream, Axians, Oléane, Arche, … pour la partie intégrateur


ØProblématiques rencontrées

Ø plus il y a de sites, plus la gestion est complexe et gourmande en ressource CPE



7


IP VPNIP VPN

Les rLes rééseaux Network seaux Network BasedBased



NetworkNetwork--basedbased VPN: IP VPNVPN: IP VPN

Siège

Client / Partenaire

Filiale

Opérateur

•Equipement réseau chez l ’opérateur•Simple routeur d ’accès chez le client.•L’opérateur est propriétaire de l’équipement, de sa gestion et de son entretien.•Dépenses de capital et frais d’exploitation à la charge de l’opérateur.•Le client verse un montant forfaitaire mensuel en contrepartie du service Intranet.


NetworkNetwork--basedbased VPN : rajout d'un siteVPN : rajout d'un site

Une seule nouvelle liaisonavec un PoP de l'opérateur

Nouveau site

Siège

Client / Partenaire

Filiale

Opérateur


Zoom sur les rZoom sur les rééseaux Network seaux Network BasedBased



Ø Technologie DSL

Ø RNIS


Ø France Telecom, Cegetel, 9Telecom, … pour la partie réseau


ØProblématiques rencontrées

Ø Technologie relativement nouvelle en 2001


Comparatif des solutionsComparatif des solutions


II. ZOOM SUR LE FONCTIONNEMENTII. ZOOM SUR LE FONCTIONNEMENT

Les VPN transitant via InternetLes VPN transitant via Internet



8


Les Les VPNsVPNs transitant via Internettransitant via Internet

ØØ LE TUNNELINGLE TUNNELINGMéthode d'utilisation d'une infrastructure de réseau permettant de transférer des données (charge utile) d'un réseau via un autre. Intégralité du processus: encapsulation → transmission →désencapsulation de paquets.

ØØ TUNNELTUNNELChemin logique que les paquets encapsulés empruntent par l'intermédiaire

du réseau-- Tunnel volontaire: Tunnel volontaire: Tunnels directs entre les clients et le serveur-- Tunnel dTunnel d’’office:office: Tunnel entre l’ISP et le serveur



Le client et le serveur de tunnel doivent utiliser le même protocole de tunneling, qui peut être de couche 2 (PPTP, L2TP et L2F) ou de couche 3 (IPsec) selon le modèle OSI).

FonctionnalitFonctionnalitéés de base: s de base:

Ø Authentification d'utilisateurØ Prise en charge des cartes à « jeton » (Token)Ø Affectation d'adresse dynamiqueØ Compression de donnéesØ Prise en charge multi protocole



IPSEC:Ø Ensemble des services de sécurité intégrés au protocole IP. Toutes les implémentations d'une pile de protocoles TCP/IP conformes à IPv6 doivent intégrer Ipsec, mais pour IPv4, c’est optionnel. Norme développée à l'IETF(Internet Engineering Task Force )depuis 1992.

Ø Où intervient IPsec ? Dans la pile de protocoles TCP/IP, au niveau d'IP, présente l'avantage

de le rendre exploitable par les niveaux supérieurs (TCP, UDP, ICMP, etc.), et d'offrir un moyen de protection unique pour toutes les applications. Cependant, on retrouve des problèmes de performances et la difficulté de pouvoir distinguer les différents flux avec précision.Ø Services de sécurité fournis

- Confidentialité des données et protection partielle contre l'analyse du trafic

- Authenticité des données et contrôle d'accès continu - Protection contre le rejeu



Architecture IPSEC

Site A

SiègeSite B

Routeur A Routeur B

Réseau Internet

Serveur IPSEC

IP publique fixe sans NAT

Client IPSEC

Authentification

Affection d’une deuxième adresse

IP



Ø 2 extensions du protocole IP appelées AH (Authentication Header) et ESP (Encapsulating Security Payload) :

ØAuthentication HeaderAH est conçu pour assurer l'authenticité des datagrammes IP sans chiffrement des données.Le principe d'AH est d'adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l'authenticité des données incluses dans le datagramme. Un numéro de séquence permet de détecter les tentatives de rejeu.

ØEncapsulating Security PayloadESP a pour rôle premier d'assurer la confidentialité mais peut aussi assurer l'authenticité des données. Le principe d'ESP est de générer, à partir d'un datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l'en-tête original, sont chiffrés. ESP peut également assurer l'authenticité des données par ajout d'un bloc d'authentification et la protection contre le rejeu par le biais d'un numéro de séquence.



ØAH et ESP sont basés sur l'utilisation d'algorithmes cryptographiques et ne sont pas restreints à un algorithme particulier. Chaque produit comportant IPsecest donc livré avec un ensemble d'algorithmes, parmi lesquels l'utilisateur pourra choisir.

Ø Cette façon de procéder permet notamment, pour se conformer à des contraintes législatives par exemple, de limiter les algorithmes de chiffrement fournis à une longueur de clef donnée voire de fournir uniquement des algorithmes d'authentification, sans possibilité de chiffrement.



9



Ø IPsec comporte une liste d'algorithmes dont l'utilisation est négociable en ligne par le biais d'un protocole appeléIKE.

ØOn distingue les algorithmes de chiffrement NULL (pas de chiffrement), CAST-128 (clef de 40 à 128 bits), Blowfish (40-448 bits), RC5 (40-2040 bits), DES (56 bits) et DES triple (clef de 168 bits) .

ØPour garantir l'interopérabilité entre les équipements, la norme IPsec rend certains de ces algorithmes obligatoires. Actuellement, DES-CBC et 3DES-CBC sont obligatoires pour le chiffrement ; pour l'authentification, HMAC-MD5 et HMAC-SHA-1 doivent être présents dans toute implémentation conforme d'IPsec.



ØLe mode transport protège uniquement le contenu du paquet IP sans toucher à l'en-tête ; ce mode n'est utilisable que sur les équipements terminaux (postes clients, serveurs).

AH en mode transport

ESP en mode transport



ØLe mode tunnel permet la création de tunnels par "encapsulation" de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs des paquets IP arrivant à l'entrée d'un tunnel, y compris sur les champs des en-têtes (adresses source et destination par exemple). Ce mode est celui utilisé par les équipements réseau (routeurs,vpnconcentrator...).

AH en mode tunnel

ESP en mode tunnel



CONCLUSION ØLes protocoles de tunneling de la couche liaison tels que PPTP, L2F ou L2TP ne fonctionnent qu'en mode point à point.

ØIls se contentent d'encapsuler des protocoles de niveau 3 et plus sur différents types de réseaux de liaison et permettent d’acheminer des protocoles tels que IPX,Netbeui et Appeltalk

Ø Ils sont souvent utilisés( du fait de leur faible niveau de sécurité) dans le cadre de réseaux IP privés et non en environnement ouvert de type Internet.

ØIPsec est à l'heure actuelle la meilleure technologie de tunnelingInternet, du fait de ses mécanismes de sécurisation, de sa standardisation et de son intégration par tous les principaux acteurs du marché (IPsec est disponible sous Windows 2000 ou Linux).


II. ZOOM SUR LE FONCTIONNEMENTII. ZOOM SUR LE FONCTIONNEMENT

Les VPN MPLSLes VPN MPLS


Le VPN/MPLSLe VPN/MPLS

L'objectif initial de MPLS était d'apporter la vitesse de commutation de la couche 2 à la couche 3.L'utilisation de " label " (appelé aussi tag dans la littérature) permet de prendre des décisions de routage seulement basées sur la valeur du " label " et de ne pas effectuer des calculs complexes de routage portant sur l'adresse IP au niveau de la couche 3 du réseau.



10



Layer 2 Header MPLS Header Layer 3 Header+ +

S = Bottom of stack

TTL = Time to live

EXP=Experimental Bits (CoS)

LABEL EXP S TTL

20 bits 3 1 8

Direct COS support in MPLS

Layer 2 Header MPLS Header Layer 3 Header+ +

S = Bottom of stack

TTL = Time to live

EXP=Experimental Bits (CoS)

LABEL EXP S TTL

20 bits 3 1 8

Direct COS support in MPLS

Le label MPLSLe label MPLS



MPLS est un nouveau protocole réseau reposant sur 3 types de routeurs:

• Routeurs C: chez le client• Routeurs PE: à l ’entrée sur le réseau opérateur• Routeurs P: à l ’intérieur du Backbone opérateur

Cette solution permet une architecture véritablement répartie et parfaitement étanche!

Architecture: la terminologieArchitecture: la terminologie



P

DSL Turbo 1000

LS 6

4

LS 5

12

DSL Turbo 1000

LS 64

LS 2Mb

L S 6

4

DSL Turbo 2000

DSL Turb o 10 00

D SL T urb o 60 00

Réseau IP Privé

MPLS/ATMDiffserv

PE

Itinérants

It inérants

RNIS/RTCopérateur public

swi tch voix 9 Telecom

0860 90 MCDU

Site RNIS

PE

PE

PE

PE

PEPE

PE

PE

PE

P

P

PP

PP

P

P

P

P

P

P

C

C

C

C

C

C

C C

C

C

Exemple


MPLS (Multiprotocol Label Switching)

Principe de commutation de label

Fonctionnement MPLS

Création du label réseau en fonction du préfixe adresse Distribution du label réseau par LDP (Label Distribution Protocol)Création de la table de forwarding de labels dans les routeurs


Principes dPrincipes d’’un run rééseau MPLS seau MPLS


Routeurs P, PE et CE

CE (Customer Edge) : Routeur client qui n’a aucune connaissance des VPN ou même de la notion du label réseau et du label VPN

PE (Provider Edge) :Routeur à la frontière du backbone MPLS relié à des routeurs clientsLe PE affecte un label VPN chaque route de sa table de routage

P (Provider) :Routeur de cœur du backbone MPLS, ils se contentent d’acheminer les données grâce à la commutation de label réseau

Le VPN/MPLSLe VPN/MPLSPrincipes dPrincipes d’’un run rééseau MPLS seau MPLS


Routeurs Virtuels (VRF)Table de routage spécifique par VPN défini dans les PEAffectation d’une VRF à chaque interface CE-PE

Route Distinguisher (RD)RD est un nombre (64bits) pour garantir l’unicité de l’adresse IP client dans le réseau MPLSUne VRF est définie avec un RD

Multiprotocol BGP (MP-BGP)Extension du protocole BGP 4Echanger les routes VPNv4 (route client + RD)Echanger les labels VPN


Principes dPrincipes d’’un run rééseau MPLSseau MPLS



11



Lorsqu'un paquet arrive non étiqueté• on détermine sa FEC (Forwarding Equivalent Class) (en

fonction du préfixe de routage qui lui correspond)• on lui associe un label

Lorsqu'un paquet arrive étiqueté• Une entrée dans la table de commutation indique

– vers quelle destination– avec quel labelle paquet doit être transmis



Objectifs : autoriser l’utilisation de plages d’adresses IP identiques (RFC 1918 par exemple) par plusieurs VPN sur une même infrastructure

Solution mise en œuvre: l’unicité des adresses IP dans le backbone est obtenue en associant à l’IPv4 un RD (Route Distinguisher). Le RD est unique par VPN et est configuré au niveau de chaque PE

Route Distinguisher IPv4 Address

VPN IPv4 Address

64 bits 32 bits

Plans dPlans d’’adressage adressage …… la solutionla solution


Le VPN /MPLSLe VPN /MPLS

Routage IP

Sécurité (VPN)

Label Données

VPN CChaque PE maintient une VRF dissociée

pour chaque VPN connecté.

Le routage entre deux VPNs est indépendant

VPN B

VPN ARéseau IP MPLS

Routeurs Virtuels (VRF)


Les règles d’import / export sont opérées sur chaque PE afin de gérer la distribution des routes dans chaque VPN

§ Le routage entre deux VPNs est indépendant§ Séparation du routage Backbone et VPNs

VPN A

VPN B

VPN C

MP-iBGP

Réseau MPLSopérateur

VPN A

VPN B

VPN C

SSééparation des tables de routage paration des tables de routage …… la solutionla solution


Réseau IP VPN-MPLS

P

PE 2 PE 3

PE 1

PP

192.168.2.0192.168.1.0

192.168.3.0

VRF

VRF: VPN A

RD n° :123456

IP routes:

192.168.1.0/24 via PE 2

192.168.2.0/24 via PE 3

192.168.3.0/24 via PE 1

VRF


192.168.1.0

192.168.4.0

VRF: VPN B

RD n° :123123

IP routes:

192.168.4.0/24 via PE 3

192.168.1.0/24 via PE 1

Aux niveau des routes


Réseau IP VPN-MPLS

P

PE 1

PE 2

P

P

CE1

CE2

VRF

VRF

1. CE1 envoie unpaquet IP sans labelvers CE2

2. PE1 rajoute le label réseau et le label VPN au paquet

3. Le paquet est commuté entre les P avec le label réseau

192.0.0.0

172.0.0.0

5. PE2 trouve l’interface de sortie à l ’aide du label VPN et transfert le paquet IP vers le CE2 sans le label VPN

4. Le dernier P enlève le label réseau du paquet et l ’envoie au PE2


Au niveau des labels (dans le meme VRF)



12


PrefAdd

110.0

IntfOUT

PrefAdd

110.0

IntfOUT

PrefAdd

110.0

IntfOUT

Table de routageTable de routage Table de routage

PrefAdd

110.0

IntfOUT

IntfIN

0

LabelOUT

Label IN

Table de forwarding de labels

PrefAdd

110.0

IntfOUT

IntfIN

0

LabelOUT

Label IN


PrefAdd

110.0

IntfOUT

IntfIN

LabelOUT

Label IN


10.0Intf 1Intf 1Intf 1 Intf 0Intf 0

52 52

Label 5 pour 10.0Label 2 pour 10.0


Au niveau des labels (dans le meme VRF)



Tout VPN doit pouvoir utiliser les mêmes plages d’adresses que tout autre VPN

Les plans d’adressage d’un VPN et du backbone doivent être indépendants

Le routage entre 2 VPNs doit être indépendant

Le routage entre des VPNs et le Backbone doit être indépendant.

Conclusion


III. RIII. Rééseau LS vs FR seau LS vs FR vsvs MPLSMPLS


IllustrationIllustration

Une entreprise doit relier ses propres sitesMais également intégrer ceux de certains de ses distributeurs pour leur donner accès à ses applicatifs.

Ces derniers ne doivent pas pouvoir communiquer entre eux.

De plus, les applications principales sont situées sur le siège, mais un des sites distants a déployé une application qui doit être généralisée partout…..


Illustration avec liaisons spIllustration avec liaisons spéécialiscialisééesesIt inérants

It inérants

It inérants

Le site central supporte toutes les communications, même celles qui ne lui sont pas destinées. Les goulots d ’étranglement sont multiples.Les nomades sont obligés d ’accéder à un site équipé de modems.Il n ’y a pas de flux prioritaires.


Illustration avec Illustration avec FrameFrame RelayRelay

P

DS L T u rb o 1 0 0 0

L S 64

L S 5 1 2

D S L T ur bo 1 00 0

LS 6

4

LS 2Mb

LS 64

DSL Turbo 2000

D S L T u r b o 1 0 0 0

DSL Turbo 6000

Site RNIS

C

C

C

C

C

C

C C

C

C

Réseau FrameRelay

Itinérants

Itinérants


swi tch voi x 9 Telecom

0860 90 MCDU

Le site central supporte toujours l ’essentiel des flux. Les liaisons transversales sont parfaitement possibles mais ont un coût.Les itinérants sont automatiquement routés sur le site central.Il n ’y a pas de flux prioritaires.



13


P

DSL Turbo 1000

LS 6

4

LS 5

12

DSL Turbo 1000

LS 64

LS 2Mb

L S 6

4

DSL Turbo 2000

DSL Turb o 10 00

D SL T urb o 60 00

Réseau IP Privé

MPLS/ATMDiffserv

PE

Itinérants

It inérants



0860 90 MCDU

Site RNIS

PE

PE

PE

PE

PEPE

PE

PE

PE

P

P

PP

PP

P

P

P

P

P

P

C

C

C

C

C

C

C C

C

C

Avec MPLSAvec MPLS

Siège

Filiale

Filiale

Filiale

Filiale Filiale

Franchisé

Franchisé

Franchisé

Franchisé

Tous les sites internes communiquent directement entre eux


Avec MPLSAvec MPLS

P

DSL Turbo 1000

LS 6

4

LS 5

12

DSL Turbo 1000

LS 64

LS 2Mb

L S 6

4

DSL Turbo 2000

DSL Turb o 10 00

D SL T urb o 60 00

Réseau IP Privé

MPLS/ATMDiffserv

PE

Itinérants

It inérants



0860 90 MCDU

Site RNIS

PE

PE

PE

PE

PEPE

PE

PE

PE

P

P

PP

PP

P

P

P

P

P

P

C

C

C

C

C

C

C C

C

C

Certains sites (franchises, distributeurs) voient uniquement le site central


Avec MPLSAvec MPLS

P

DSL Turbo 1000

LS 6

4

LS 5

12

DSL Turbo 1000

LS 64

LS 2Mb

L S 6

4

DSL Turbo 2000

DSL Turb o 10 00

D SL T urb o 60 00

Réseau IP Privé

MPLS/ATMDiffserv

PE

Itinérants

It inérants



0860 90 MCDU

Site RNIS

PE

PE

PE

PE

PEPE

PE

PE

PE

P

P

PP

PP

P

P

P

P

P

P

C

C

C

C

C

C

C C

C

C

Siège

Filiale

Filiale

Filiale

Filiale Filiale

Franchisé

Franchisé

Franchisé

Franchisé

Les Nomades accèdent directement aux sites autorisés!


IV. La QualitIV. La Qualitéé de Servicede Service


PrioritisationPrioritisation: : àà quoi estquoi est--ce que ce que çça sert ?a sert ?

Définir par exemple un ratio entre la bande passante Intranet et Internet

InternetInternet

IntranetIntranet



InternetInternet

IntranetIntranet



14



InternetInternet

IntranetIntranet


OOùù estest--elle mise en place ?elle mise en place ?

• Malgré le fait que la QoS puisse être marquée au niveau MPLS, ce n’est pas ce champ qui est utilisé

• La QoS est utilisée (chez les opérateurs), sur les liens d’accès


Class-Based Weighted Fair Queuing (CBWFQ)

Chaque file d'attente est associée à un ou plusieurs types de flux.Un pourcentage de la bande passante est attribuée à chaque file d'attente.

Les paquets arrivant sont dirigés vers la file d’attente correspondant àla classe qui leur a été attribuée par Diffserv.

Chacune des files d’attente a un poids différent pour répartir la décision de prise en compte des paquets IP dans la FIFO hardware. Le poids est défini à partir du paramétrage « bandwith » de la classe associé et de la bande passante totale de l’interface WAN. Plus le poids est fort et moins vite le paquet sera traité.

MMéécanisme utiliscanisme utiliséé: CBWFQ: CBWFQ


Low Latency Queiung (LLQ)

L'utilisation de LLQ (ou PQCBWFQ) consiste à ajouter une politique de Priority Queuing (PQ) à CBWFQ. LLQ va permettre d’assurer uneprioritisation de flux.

En attribuant aux flux temps réel la classe PQ, l’association PQCBWFQ va permettre une hiérarchisation en deux niveaux. La première (LLQ) assurera une qualité de service dans laquelle une bande passante et un délai de transmission constant seront garanties. La seconde (CBWFQ) garantira une bande passante à chacune des classes de service non temps réel.

MMéécanisme utiliscanisme utiliséé: LLQ: LLQ


MMéécanisme utiliscanisme utiliséé: PQCBWFQ: PQCBWFQ


5 Classes de Service à l’accès :

- Paquets classifiés et marqués par le CPE à l’aide du champ PREC en fonction du type de protocole, adresse IP, etc …- Répartition de la bande passante par CBWFQ et prioritisation par LLQ uniquement en cas de congestion sur les liens WAN CE-PE- Gestion de QOS IP est applicable uniquement sur du débit garanti (LS ou SDSL ou TDSL).

Priorité Service Traitement associé

1 Flux très sensible au temps de t ransit (voix, vidéo). LLQ2 Flux Data crit ique (S NA , E RP,… ) CB W F Q3 Flux Data non critique (m ail,…) CB W F Q4 Flux Data non critique (ht tp, news,… ) CB W F Q

Default Flux Internet (adresses publiques) CB W F Q

Gestion des Classes de Service: ExempleGestion des Classes de Service: Exemple



15



Exemple 1 : en % de la bande passanteExemple 1 : en % de la bande passante


PE PE CPECPE

Marquage des paquets

Si congestion sur lien CE-PE alors gestion de la bande passante

Réseau

IP VPN-MPLS

QOS IP = PAS DE BURST

1/3 bande passante max du lien

2/3 bande passante max du lien

Exemple de congestion sur un PVCExemple de congestion sur un PVC

ftphttp

http

LS 2M

Site central hébergeant

des serveurs

ftp

Site distant

Gestion des Classes de Service: QOSGestion des Classes de Service: QOS


http

ftp

Gestion des Classes de Service: QOSGestion des Classes de Service: QOS

Si le flux http

tombe,ftp prend

toute la bande

passante



Exemple 1 : en valeur fixeExemple 1 : en valeur fixe


La prioritLa prioritéé des fluxdes flux

ØUn utilisateur télécharge un gros fichier sur internet…

ØLes autres doivent accéder à l ’application paye…..

ØIls ne peuvent utiliser que la bande passante disponible!!!!


Congestion dCongestion d ’’une liaison 256kune liaison 256k

Gestion des flux sans prioritisation

0

50

100

150

200

250

300

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31

PayeTéléchargement

L ’application paye a besoin de 50 kb/s de bande passante: la liaison est saturée - le utilisateurs voient leurs temps de réponse s ’effondrer!



16


PrioritisationPrioritisation des fluxdes flux

ØDes priorités sont définies par applicatif….

ØSelon leur importance pour l ’entreprise….

ØEn cas de congestion, les applications importantes ont la bande passante nécessaire!


Congestion dCongestion d ’’une liaison 256kune liaison 256k

Gestion de la congestion avec priorité

0

50

100

150

200

250

300

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31


L ’application paye a besoin de 50 kb/s de bande passante: ce débit est assuré même en cas de congestion. La vitesse de téléchargement ralentit!


Comparaison avant/aprComparaison avant/aprèèss

Gestion des flux sans prioritisation

0

50

100

150

200

250

300

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31


Gestion de la congestion avec priorité

0

50

100

150

200

250

300

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31



Le type de rLe type de rèègles ggles géénnééralement appliquralement appliquééeses

La performance d'un VPN dépend de la gestion des priorités des flux applicatifs: exemple de 3 classes de services

Voix sur IP

Vidéo-conférence

Accès applicatifsBases de données

Mails, Internet, Transfert des fichiersFile type

Intermédiaire type

Real Time


V. VPN tV. VPN tééllééphonie IPphonie IP


1. Quelques d1. Quelques dééfinitionsfinitions



17


DDééfinition: Intfinition: Intéérêt grêt géénnééralral

Le principal avantage dont il est question est l'économie sur les factures téléphoniques, en particulier pour les communications nationales et internationales.

Autres fonctionnalités : Conférence en mode texte (le "chat") Partage d'applications Tableau blanc Transfert de fichiers Communication à plusieurs participants Extension à la visioconférence


DDééfinition: Voix IPfinition: Voix IP

Voix IP: La voix sur IP (Internet Protocol) est un moyen permettant d’utiliser le réseau Internet pour téléphoner. Il faut simplement disposer d’un ordinateur ou d’un boîtier spécial relié au poste téléphonique. Avec la voix sur IP, les communications sont uniquement facturées au tarif local. Pour certains appels, les économies sont donc substantielles. Les solutions proposées gèrent les appels de PC à PC, de PC à téléphone, voire de téléphone àtéléphone.


DDééfinition: Tfinition: Tééllééphonie IPphonie IP

Téléphoner en empruntant le réseau mondial au lieu des lignes téléphoniques traditionnelles ou la téléphonie sur le Net.


DDééfinition: Voix IPfinition: Voix IP

Voix IP: La voix sur IP (Internet Protocol) est un moyen permettant d’utiliser le réseau Internet pour téléphoner. Il faut simplement disposer d’un ordinateur ou d’un boîtier spécial relié au poste téléphonique. Avec la voix sur IP, les communications sont uniquement facturées au tarif local. Pour certains appels, les économies sont donc substantielles. Les solutions proposées gèrent les appels de PC à PC, de PC à téléphone, voire de téléphone àtéléphone.


2. historique et normalisation2. historique et normalisation


Historique et normalisation:Historique et normalisation:

Les premiers logiciels de téléphonie apparaissent en 1995, avec pour publicité la possibilité de téléphoner à l’autre bout du monde, grâce à Internet, pour le prix d’une conversation locale. Les grands opérateurs du moment sourient, dénoncent la qualité de service qui pourrait être associée à un réseau dont le leitmotiv est le: «best effort» et accusent ce moyen de communication émergeant d’accaparer la bande passante du réseau des réseaux.



18



Best effort:



Aujourd’hui le réflexe est à la modération, en effet les opérateurs téléphoniques se penchent fortement sur le sujet car les technologies et protocoles évoluant, les remarques vindicatives précédentes non plus lieu d’être.



Outre la notion de coût de communication associé à ce moyen de transport, c’est plutôt l’aspect homogénéisation des réseaux qui est à mettre en avant.

En effet les opérateurs, voyant la téléphonie sur Internet se développer, ont mis en place des offres plus que concurrentielles ayant l’avantage non négligeable d’assurer une qualité de service de 99.999% (avec Internet ce n’est pas encore le cas).



Avant 1996, les solutions de voix sur IP reposaient sur des architectures propriétaires. Ces solutions présentaient des défauts parmi lesquels : - le manque d'interopérabilité des équipements ; - l'impossibilité de raccordement au réseau public (seuls les ordinateurs pouvaient communiquer entre eux) ; - l'absence d'architecture générale pour la connexion de n'importe quel type de terminal. Chaque architecture était définie pour deux équipements d'extrémité spécifiques et ne pouvait pas interopéreravec d'autres équipements.



De nombreuses organisations ont alors pris part à l'élaboration d'un standard suffisamment général pour décrire toutes les possibilités de service de voix sur IP. Ils se sont regroupés au sein d'un groupe de travail de l'UIT.

Les organismes de normalisation impliqués dans la définition de standards pour la voix sur IP sont : - UIT-T (Union Internationale des Télécommunications, secteur Télécoms) ; - IETF (Internet Engineering Task Force) ; - IMTC (International Multimedia Teleconferencing Consortium) ; - ECTF (Entreprise Computer Telephony Forum) ; - ETSI (European Telecommunication Standards Institute) ; - International Teleconferencing Association ; - International Multimedia Association.



Ces organismes ont participé à l'élaboration de la norme H.323 dont le respect permet de garantir l'interopérabilité des équipements et la qualité de service. La norme H.323 traite des systèmes de communication multimédia en mode paquet, et normalise la transmission de la voix, de la vidéo, des conférences audio ou vidéo sur IP.

Les principaux apports de H.323 sont les suivants : - Définition des normes de compression des flux audio et vidéo

que les équipements doivent nécessairement supporter ; - Définition des protocoles de signalisation pour l'interopérabilité des équipements ; - Limitation de la bande passante réservée pour chaque type de communication ; - Indépendance vis-à-vis des applications et systèmes d'exploitation; - Indépendance vis-à-vis du réseau physique supportant la communication.



19





D'autres normes existent, telles que SIP (Session Invitation Protocol) adoptée par l'IETF, ou en cours d'élaboration GLP (Gateway Location Protocol) pour déterminer les passerelles les plus proches d'un correspondant. Mais la large majorité de l’industrie et les solutions actuelles ont misé sur H.323.


3. Techniques3. Techniques


Technique: Principe gTechnique: Principe géénnééral (schral (schééma).ma).


Technique: CaractTechnique: Caractééristique de la voixristique de la voix

Domaine spectralLe système vocal est complexe et basé sur des ondes sonores

de fréquences différentes. Le spectre des fréquences perçues par l’oreille humaine

s’étale de 100 Hz à 20 kHz. Cette fourchette est à réduire si l’on veut distinguer les

fréquences utiles des fréquences audibles.La quasi-totalité d’un message sonore est compréhensible

dans la fourchette 300-3400 Hz. (téléphone standard).


Technique: DifficultTechnique: Difficultéés lis liéées es àà la voixla voix

Une conversation entre deux personnes respecte deux principes : intelligibilité et interactivité.

En terme de transmission numérique, cela se traduit par le terme duplex.

Une conversation full duplex assure cette interactivité car chaque locuteur peut parler en même temps, ce qui arrive quand deux personnes parlent de leur propre expérience sans s’écouter...

Un mode half duplex induit une conversation unidirectionnelle du style CB (Citizen Band).

Cette interactivité implique des notions de délais dans le transport de la voix (avec le téléphone, par exemple).

Les mesures effectuées montrent qu’un temps de transit inférieur à 150 ms garantit un dialogue actif. Jusqu’à 400 ms (limite supérieure) le dialogue reste tout de même assez réactif. Au-delà de cette limite le contradicteur aura l’impression de parler dans le vide.



20


Technique: Technique: ÉÉchantillonnagechantillonnage

Les principaux taux de compression de la voix sont :- G711 Pas de compression ( 64 kbits/s )- G729a Compression à 8 kbits/s- G723.1 Compression de 5,3 à 6,3 kbits/s


Technique: inconvTechnique: inconvéénientsnients

Malgré les efforts de normalisation, les passerelles destinées àtransformer la voix en paquets IP ne sont pas compatibles entre elles et les utilisateurs de logiciels différents ne peuvent pas communiquer entre eux.

Le réseau Internet, déjà encombré, peut éliminer les paquets ce qui donne un aspect haché à la communication.

Un nouveau protocole permet de garantir la liaison vocale (RSVP : Resource Reservation Protocol), mais tous les routeurs du réseau ne gèrent pas ce protocole.


Technique: RTechnique: Rééglementation des glementation des éétatstats

Interdite ( services téléphoniques )Non interditeSri

Lanka

Non interditeInterdite Philippines

Non interditeInterdite ( les services téléphoniques sont interdits puisqu'ils sont assimilés à des services de téléphonie vocale )Pérou

Interdite ( jusqu'en 2003 pour la téléphonie IP ) Non interditeMoldo

va

Interdite ( jusqu'en 2003 pour la téléphonie IP ) Non interditeKirghi

zistan

Non interditeInterdite ( services téléphoniques, rappel et reroutage compris )Kenya

Non interditeInterdite Ethiopie

Non interditeInterdite Chypre

Non interditeInterdite Argentine

Utilisation des réseaux IPUtilisation de l'internet publicPays


Concurrence entre tConcurrence entre tééllééopopéérateurs et FAIrateurs et FAI

Les fournisseurs d’accès Internet peuvent proposer des services voix sans disposer de réseaux complexes et àmoindre coût.Les téléopérateurs gardent le contrôles des infrastructures et ont des coûts supplémentaires, licences d’opérateurs, coût d’utilisation des réseaux concurrent à l’international etc.


4. Architectures4. Architectures


Architecture: Tout informatiqueArchitecture: Tout informatique



21


Architecture: tout informatique, le serveur Architecture: tout informatique, le serveur

Dispose du Call Manager.Indifférent du système d’exploitation.Simplifie le CTI.Faible qualité de service.Mise en place délicate.


Architecture: tout informatique, Le terminal Architecture: tout informatique, Le terminal clientclient

Combiné USB ou micro casque connecté sur le terminal.Possibilité de couplage CTI.


Architecture: TArchitecture: Tééllééphonie PABX interface phonie PABX interface Gateway.Gateway.


Architecture: TArchitecture: Tééllééphonie PABX, phonie PABX, LL’’autocommutateur.autocommutateur.

Il remplace l’autocommutateur traditionnel.

Il reste compatible avec les ancien système.

Il est l’interface entre le téléphone et le réseau informatique.


Architecture: TArchitecture: Tééllééphonie PABX, Les tphonie PABX, Les tééllééphones.phones.

Persistance du parc téléphonique.Économie de câblage discutable vu le prix des téléphone IP.Possibilité d’utilisation de téléphones DECT (normaliséGAP).


Architecture: TArchitecture: Tééllééphonie PABX, Principaux phonie PABX, Principaux intintéérêts rêts

Réutilisations des infrastructures réseaux téléphoniques existantes.Récupération des téléphones normalisés existants.Qualité d’écoute et de service.Évolutivité toujours plus importante que les solutions IP.



22


Architecture: TArchitecture: Tééllééphone IPphone IP


Architecture: TArchitecture: Tééllééphone IP, le tphone IP, le tééllééphone.phone.


Architecture: Les tArchitecture: Les tééllééopopéérateursrateurs

Le téléopérateur héberge les fonctionnalités du service et assure également l’interconnexion avec le réseau téléphonique public.Le Service ne nécessitera pas d’investissement matériel ni

logiciel et fonctionne sur le réseau informatique du client.


Architecture: Les tArchitecture: Les tééllééopopéérateurs, Types de rateurs, Types de servicesservices

VoixDonnéesImageLe tout sur réseau de l’opérateur


Architecture: Les tArchitecture: Les tééllééopopéérateurs, Avantages rateurs, Avantages pour les entreprisespour les entreprises

Un investissement limité (un contrat d’abonnement).Rapidité de mise en place et d’évolution.


Architecture: Les tArchitecture: Les tééllééopopéérateurs, Avantages rateurs, Avantages pour les oppour les opéérateursrateurs

Facturation des appels externes pour un montant identique aux autres type de services téléphoniques.Augmentation général de l’utilisation des services.



23


Architecture: Le Architecture: Le peerpeer to to peerpeer

Avantages:• Technique apparu en

1er.• Connu du grand

publique.• Contournement de

certaines réglementations nationales

• Compatibilité voix IPInconvénients

• Qualité de services


5. Usages et int5. Usages et intéérêtsrêts


Usages et intUsages et intéérêts: rêts: CallCall centerscenters


Usages et intUsages et intéérêts: rêts: CallCall centerscenters, Le t, Le tééllééphone, le phone, le clavier et lclavier et l’é’écrancran

L’ordinateur remplace les fiches papiers.Le maniement du clavier, de l’écran et d’une souris rend les manœuvres longues et délicates. Le système est peu performant.


Usages et intUsages et intéérêts: rêts: CallCall centerscenters, Le clavier , Le clavier ll’é’écran et le casquecran et le casque

Le téléopérateur est libre de mouvement.Accélération des procédures.


Usages et intUsages et intéérêts: rêts: CallCall centerscenters, La t, La tééllééphonie IP phonie IP dans les dans les callcall centerscenters

Accélération des procédures de travail.CTI couplage téléphonie informatique.Appel sur des centres offshore.Éventuellement plusieurs accueil téléphonique géré par le même téléopérateur.



24


Usages et intUsages et intéérêts: Clients/fournisseursrêts: Clients/fournisseurs

Regroupement sur une même plate forme géographique permettant l ’amélioration des communications sur certain pôle industriel ou d’excellence.Communication distante pour relation fréquente.


Usages et intUsages et intéérêts: Rrêts: Rééseaux commerciauxseaux commerciaux

Les réseaux commerciaux type succursale ou franchisé.Déploiement facilité par l’instauration de procédures dans le réseau commercial.Rapprochement entre les équipes succursales/franchisées, rapprochant les équipe et l’esprit d’entreprise.


Usages et intUsages et intéérêts: Multinationalesrêts: Multinationales

L’unique but est le gain sur les factures téléphonique.se heurte à des difficultés d’infrastructures dans les

pays en développement.Se heurte à des contraintes réglementaires dans des

pays en développement.Parfois lié à des opérateurs pour plusieurs années.


Les Les VPNsVPNs

QUESTIONS

?



ip vpn cnam final bdecaron.nicolas.free.fr/cnam/client serveur/vpn.pdf · 2005. 7. 23. · benjamin...

Documents