ECOLE NATIONALE DES SCIENCES APPLIQUEES

- TANGER UNIVERSITE ABDELMALEK ESSAÂDI

Filière :
Génie des Systèmes de Télécommunications & Réseaux

Titre du Projet

MISE EN PLACE D’UNE ARCHITECTURE

VPN/MPLS SUR GNS3

Réalisé par :
- ABDERRAHMANE EL
MOUTAALIK BILLAH Encadré par :

- JABRANE KARIMA -Mme LAZAAR SAIDA

- JKAOUA TOURIA

- OUIDAD BENHIR

- BOUTAINA AFILAL

Année Universitaire : 2015-2016

ha

Table des matières :

1.Généralités sur le VPN : ........................................................................................................................ 3

Introduction :........................................................................................................................................... 3
1.1.1 Généralités : ........................................................................................................................... 3
1.2.1 Le VPN d’accès : ...................................................................................................................... 4
1.2.2 L’intranet VPN : ...................................................................................................................... 5
1.2.3 L’extranet VPN : ...................................................................................................................... 5
2 Etude comparative de MPLS/VPN : ...................................................................................................... 6
3- Réalisation de la maquette de simulation VPN/MPLS : ...................................................................... 8
3.1 Enable MPLS : .......................................................................................................................... 10
3.2 Creation des VRFs : ...................................................................................................................... 10
3.3 Configuration du MP- BGP sur les routeurs PE : ......................................................................... 11
3.4 Configuration de OSPF PE – CE : ................................................................................................. 13
3.5 Configuration de la redistribution des itinéraires : ..................................................................... 14
3.6 Test Final de nos configurations : ................................................................................................ 14
Conclusion : ........................................................................................................................................... 16

tre 1
 1. Généralités sur le VPN :

Introduction :
Les entreprises ont des réseaux locaux de plus en plus importants qui comportent des
applications et des données essentielles à l’entreprise. Le problème qui se pose est le suivant:
comment des succursales d’une entreprise peuvent-elles accéder à ces données alors qu’elles
sont réparties sur de grandes distances géographiques. Pour pallier à ce
problème, ces entreprises mettent en place un réseau VPN.
Nous verrons dans ce rapport le principe de fonctionnement du VPN. Nous nous
intéresserons aussi aux différents types d’utilisation du VPN et aux protocoles permettant sa
mise en place.
1.1 Mode de fonctionnement du VPN :
1.1.1 Généralités :

Les réseaux privés virtuels reposent sur des protocoles nommés « protocoles de tunneling »,
(ou encore protocoles de tunnelisation). Ils ont pour but de sécuriser le réseau en cryptant les
données partant des extrémités du VPN à l’aide d’algorithmes de cryptographie. On utilise le
terme « Tunnel » pour représenter le passage sécurisé dans lequel circulent les données
cryptées. Ainsi, toute personne n’étant pas connectée au VPN ne peut pas décrypter ces
données. Lorsqu’un utilisateur veut accéder aux données sur le VPN, on appelle client VPN
(Client d’accès Distant) l’élément qui chiffre et déchiffre les données du côté client et serveur
VPN(Serveur d’Accès Distant) l’élément qui chiffre et déchiffre les données du côté du
serveur (dans notre cas, c’est l’entreprise).Une fois le serveur et le client identifiés, le serveur
crypte les données et les achemine en empruntant le passage sécurisé (le tunnel), les données
sont ensuite décryptées par le client et l’utilisateur a accès aux données souhaitées.
 Figure 1:Schéma générique de tunnelisation

1.2 Les types d'utilisation de VPN :

Dans cette partie, nous étudierons les 3 types d’utilisation du VPN qui sont:
-Le VPN d'accès.
-L'intranet VPN.
-L'extranet VPN.
1.2.1 Le VPN d’accès :

Le VPN d'accès est utilisé pour permettre à des utilisateurs d'accéder au réseau privé de
leur entreprise. L'utilisateur se sert de sa connexion Internet pour établir la connexion VPN
On a deux cas :
 L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers
le serveur distant : il communique avec le NAS (Network Access Server) du
fournisseur d'accès et c'est le NAS qui établit la connexion cryptée.
 L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l’entreprise.
 Figure 2: VPN d'accès

1.2.2 L’intranet VPN :

L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseauest
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants.

Figure 3:L'intranet VPN

1.2.3 L’extranet VPN :

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle
ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que
l’administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun
sur celui-ci.

Figure 4: L’extranet VPN

2 Etude comparative de MPLS/VPN :

2.1 Introduction :

Les VPN/MPLS sont essentiellement implémentés chez les opérateurs afin de

fournir des services à leurs clients. Les opérateurs utilisent leur backbone sur
MPLS pour créer desVPN .
par conséquent le réseau MPLS des opérateurs se trouve partagé ou mutualisé avec d’autre
client. Du point de vue du client, il a l’impression de bénéficier d’un réseau qui lui est
entièrement dédié. C'est-à-dire qu’il a l’impression d’être le seul à utiliser les ressources que
l’opérateur lui met à disposition. Ceci est dû à l’étanchéité des VPN/MPLS qui distingue bien
les VPN de chaque client et tous ces mécanismes demeurent transparents pour les clients.
Finalement, les deux parties sont gagnantes car les clients ont un véritable service IP qui leur
offre des VPN fiables à des prix plus intéressants que s’ils devaient créer eux-mêmes
leur VPN de couche 2. Les opérateurs eux aussi réduisent leurs coûts du fait de la
mutualisation de leurs équipements.
Voici une représentation des VPN/MPLS :

Figure 5: Représentation des VPN/MPLS

Au lancement des VPN/MPLS le modèle Overlay avait été choisi, il consiste à émuler des
lignes dédiées entre chaque entité du client sur le réseau MPLS. Il s’agit en fait d’un LSP
(Label Switched Path) sur le réseau MPLS qui relie chaque site. La création de ces LSP entre
les différents sites de l’entreprise permettra alors de former un VPN IP

Figure 6:Overlay model

Ce modèle a cependant un inconvénient car les points d’accès au réseau MPLS se situent dans
le réseau du client. En effet, l’ajout de nouveaux sites dans ce VPN nécessite la création de
nouveaux LSP. Ce modèle pose ainsi un problème de scalabilité. Si nous avons 5
sites appartenant à un VPN, l’ajout d’un 6ième site requiert la mise en place de 5 nouveaux
LSP. Par conséquent, plus le nombre de sites est élevé plus la tâche s’avère fastidieuse. Un
autre modèle résout ce problème de scalabilité, il s’agit du modèle «Peer to
Peer». Ainsi, l’ajout d’un grand nombre de sites ne pose pas de difficulté.

D’autre part, les points d’accès au réseau MPLS, de ce modèle, se trouvent cette fois ci du
côté de l’opérateur sur les équipements PE (Provider Edge router). Chaque site échange avec
les équipements PE des informations de routage et l’opérateur achemine par la suite les
données vers les sites de destination sur son réseau MPLS
 Figure 7:Peer to peer model

Actuellement ce modèle est largement employé chez les opérateurs car il permet l’ajout de
nouveaux sites en changeant la configuration des PE. De plus, du point de vue de
l’utilisateur l’interconnexion avec le VPN ne se fait que sur un seul équipement de
l’opérateur contrairement au modèle Overlay, il s’agit du PE. Enfin, le routage entres
différents sites clients est optimale car le PE connaît sa topologie et peut de ce fait choisir la
route adéquate. De manière générale, la topologie utilisée pour relier les sites dans
un VPN avec ce modèle est la topologie entièrement maillée ou «full mesh». Cela
implique que tous les sites peuvent se voir ou bien qu’il existe une liaison point à point entre
tous les sites du VPN.

3- Réalisation de la maquette de simulation VPN/MPLS :

Nous allons travailler avec l’architecture suivante :

 Figure 8: Topologie utilisée

On rappelle que :

P (fournisseur) : sont des routeurs de base FAI qui ne se connectent pas à des routeurs de
clients et habituellement exécuter uniquement MPLS

PE (bordure de fournisseur) : Des routeurs qui peuvent se connecter à des sites clients et de
former le bord d'un VPN

CE (en périphérie client) :des routeurs qui existent au bord du site d'un client; ils n’ ont
pas conscience de VPN une IGP en cours d'exécution entre tous les routeurs P et PE est utilisé
pour soutenir LDP et BGP contiguïtés au sein du réseau du fournisseur MP-BGP est exécuté
seulement parmi les routeurs PE.

une IGP (généralement) est exécuté entre chaque routeur CE et son routeur PE amont.

Dans notre Projet, OSPF est déjà en fonctionnement que l'IGP de réseau du fournisseur.
Processus OSPF ont également été préconfiguré sur les routeurs CE; cependant, ces
topologies OSPF restera séparée du fournisseur OSPF.

Il y a cinq tâches essentielles que nous devons accomplir pour obtenir un VPN MPLS place et
le fonctionnement:

 Activer MPLS sur le squelette du fournisseur.

  Créer VRFs et attribuer interfaces routés à eux.

 Configurez MP-BGP entre les routeurs PE.

 Configurez OSPF entre chaque routeur PE et ses routeurs CE attachés.

 Activer la redistribution de route entre les sites client et le backbone.

3.1 Enable MPLS :

Premièrement, nous devons activer MPLS sur toutes les liaisons PP et P- PE avec la
commande d'interface « ip mpls ».
Nous pouvons vérifier la configuration des interfaces avec la commande « show mpls
interfaces »

3.2 Creation des VRFs :

Notre prochaine étape est de créer VRFs des clients sur nos routeurs PE et affecter les
interfaces avec la clientèle pour eux. Nous avons besoin d'attribuer à chaque VRF un
itinéraire distingueur ( RD ) pour identifier de manière unique préfixes comme appartenant à
ce VRF et une ou plusieurs cibles de route ( RTS ) pour spécifier comment les itinéraires
doivent être importés et exportés à partir de la DRV .
Nous allons utiliser un distingueur d'itinéraire pour chaque VRF sous la forme de < ASN > : <
numéro de client >. Pour plus de simplicité, nous allons réutiliser la même valeur à la fois
comme une importation et l'exportation itinéraire cible dans chaque VRF (bien que nous
sommes libres de choisir un autre ou d'autres cibles de route si l'on préfère). VRF
configuration doit être effectuée sur les deux routeurs PE.

On fait de même pour le PE2

Maintenant, nous devons affecter les interfaces appropriées à chaque VRF et réappliquer leurs
adresses IP. La commande « show ip vrf interfaces » peut être utilisé pour vérifier l’attribution
de l'interface VRF et d'adressage.

3.3 Configuration du MP- BGP sur les routeurs PE :

Afin de diffuser ces routes VRF d'un routeur PE à l'autre , nous devons configurer multiproto-
cole BGP ( MP- BGP ) . MP- BGP est un peu différent de l'héritage BGP en ce qu'elle prend
en charge plusieurs familles d'adresses ( IPv4 et IPv6 par exemple ) sur une contiguïté BGP
commun. Il prend également en charge la publicité de routes VPN , qui sont plus que les
routes normales en raison de l'ajout d' une voie distingueur 64 bits (qui nous avons attribué
sous la configuration VRF ) .

MP- BGP ne fonctionne que sur les routeurs PE : routeurs P compter entièrement sur l'IGP du
fournisseur et de MPLS pour transférer le trafic à travers le réseau de fournisseur , et routeurs
CE ne pas avoir connaissance de routes en dehors de leur propre VRF .
Si l'on regarde la configuration en cours du processus BGP de chaque routeur PE , nous re-
marquons que un peu plus de la configuration que nous avons fourni est apparu :

On Vérifie la contiguïté MP- BGP entre les PE1 et PE2 a été formé avec succès avec la com-
mande « show bgp vpnv4 unicast all summary »
Actuellement, il n'y a pas de routes dans la table BGP.

3.4 Configuration de OSPF PE – CE :

Nous avions seulement configuré MP- BGP entre les deux routeurs PE . Maintenant , nous
allons configurer un IGP entre chaque routeur PE et ses routeurs CE attachés à échanger
des routes avec les sites clients . Nous allons utiliser OSPF pour ce projet, mais nous pour-
rions tout aussi bien utiliser une autre IGP comme EIGRP ou RIP . Zone unique OSPF a
déjà été configuré sur les routeurs CE ; toutes les interfaces CE sont dans la zone 0. On
Rappelle que même si nous utilisons OSPF entre chacun des routeurs CE et son routeur PE
amont , ces processus OSPF sont isolés du fournisseur OSPF topologie .
Après la configuration, Nous devrions voir chaque routeur PE former une contiguïté OSPF
avec ses deux routeurs CE attachés , et les routes de la clientèle devrait apparaître dans les
tableaux VRF sur les routeurs PE :
3.5 Configuration de la redistribution des itinéraires :

Nous avons nos MPLS et MP en place et fonctionne , et nos routeurs CE envoient itinéraires à
nos routeurs PE au sein de leurs VRF . La dernière étape consiste à coller le tout en tournant
sur la redistribution de route du client - côté OSPF traite dans MP - BGP et vice versa sur les
routeurs PE .
Nous allons d'abord configurer la redistribution des routes CE dans chaque VRF dans MP -
BGP . Cela se fait sous la famille d'adresses IPv4 BGP pour chaque VRF .

3.6 Test Final de nos configurations :

Conclusion :
nous avons choisi une topologie réseau permettant de mettre en œuvre
les principales fonctionnalités VPN MPLS. Une topologie qui consiste à interconnecter deux
clients via un réseau opérateur utilisant comme technologie de transport MPLS. Les résultats
escomptés sont commentés et montrent bien le fonctionnement de notre réseau .