Memoire at [PDF]
REBUPLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE Ministère de l’Enseignement Supérieur et de la Recherche Scientifique U
40 0 5MB
Papiere empfehlen
![Memoire at [PDF]](https://vdoc.tips/img/200x200/memoire-at.jpg)
- Author / Uploaded
- Aziz Drif
Datei wird geladen, bitte warten...
Zitiervorschau
REBUPLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université des Sciences et de la Technologie Houari Boumediene
Faculté d’Electronique et Informatique Département Télécommunications Mémoire de Master Domaine : Sciences et Technologie Spécialité : Télécommunications Option : Télécommunications Réseaux et Multimédia THEME
Conception et simulation du réseau d’un fournisseur de services Internet Proposé et dirigé par :
Présenté Par :
Mlle. BENDJEBLA Nadia
BELALA Anis
Dr. ZERGAT Kawthar Yasmine
SARRAH Mouloud
Soutenu le : 19 Juin 2018
Devant le jury composé de :
Président : Pr. CHITROUB Salim Examinateur : Dr. KROBA Encadreur : Mlle. BENDJEBLA Nadia. Co-encadreur: Dr. ZERGAT Kawthar Yasmine.
Promotion : 2017/2018
Remerciements Nous tenons a remercié ALLAH de nous avoir donné la santé et le courage pour mener à bien et à terme de ce travail réalisée. Nous tenons aussi à exprimer toute notre reconnaissance à nos encadreurs Madame ZERGAT Yasmine, Mlle. BENDJEBLA Nadia, M.OUAHCEN Bouzid. On les remercier de nous avoir encadrés, orientés, aidés et conseillés. Nous remercions aussi tous les enseignants du département de télécommunication de la faculté électronique et informatique qui ont attribués à notre formation de Master. On voudrait remercier particulièrement nos familles pour leur amour et leur soutien constant. On voudrait également exprimer notre reconnaissance envers les amis et collègues qui nous ont apporté leur support moral et intellectuel tout au long de notre démarche. Nous désirons aussi remercier tous ceux et à toutes celles qui ont contribuée de près ou de loin à ce magnifique projet. Nous remercions sincèrement tous ceux qui ont bien voulu prendre part à ce jury.
MERCI.
Résumé Le monde de l’industrie des télécoms change très rapidement, et les opérateurs se trouvent face à des défis et des contraintes technico‐économiques pour assurer la satisfaction de leurs clientèles et faire des économies majeures. Le but de notre projet est de simuler un réseau d’un fournisseur d’accès internet avec la présence de plusieurs protocoles indispensables pour le bon fonctionnement d’un réseau réel, et dont l’architecture est proche de celle d’ALGERIE TELECOM. En effet, notre simulation se présente sur trois partie, la partie « réseau d’accès d’un client » avec la configuration de protocole d’authentification RADIUS et le protocole d’accès PPPOE, la deuxième partie est bien « réseau cœur », qui se base essentiellement sur les protocoles OSPF, BGP, MPLS, ainsi que Le MP-BGP. Nous avons aussi ajouté une entreprise avec deux sites distants pour simuler un réseau VPN, en finalisant avec un simple réseau de sortie vers internet avec un exemple d’un service DNS fournie au réseau d’accès. Mots clés : réseau d’un Fournisseur d’accès internet, réseau cœur, OSPF, BGP, MPLS, MP-BGP, réseau VPN, service DNS, réseau d’accès d’un client, protocole d’authentification RADIUS et le protocole d’accès PPPOE.
Table des matières Remerciements. Résumé. Liste des abréviations. Liste des figures. Liste des tableaux. Introduction générale ................................................................................................. 1 1. Les protocoles de routages OSPF & BGP ............................................................. 2 1.1-Introduction ........................................................................................................... 2 1.2-Protocole OSPF à zone unique .............................................................................. 2 1.2.1-Composants du protocole OSPF ........................................................................................... 3 1.2.1.1-Les bases de données ...................................................................................................... 3 1.2.1.2-Messages des protocoles de routage ................................................................................ 4 1.2.1.3- Principe de l’algorithme Shortest Path First .................................................................. 5 1.2.2-Fonctionnement de l’OSPF.................................................................................................... 6 1.2.3-La métrique d’OSPF .............................................................................................................. 7
1.3-Protocol Border Gateway Protocol ........................................................................ 8 1.3.1-Utilisation du protocole BGP................................................................................................. 8 1.3.2- Un système autonomes AS ................................................................................................... 8 1.3.3-Fonctionnement du BGP ...................................................................................................... 9 1.3.4-Messages du protocole BGP ................................................................................................ 10 1.3.5-Les attributs de BGP ............................................................................................................ 10
1.4-Conclusion............................................................................................................ 12 2. Multi-Protocol Label Switching (MPLS) ........................................................... 13 2.1-Introduction .......................................................................................................... 13 2.2-Fonctionnement du protocole MPLS ................................................................... 13 2.2.1- L’entête MPLS ................................................................................................................... 14
2.3-Architecture du protocole MPLS ......................................................................... 15 2.3.1-Label Distribution Protocol (LDP) ..................................................................................... 15 2.3.2-Tables MPLS ....................................................................................................................... 16 2.3.3-Affectation et commutation des étiquettes ......................................................................... 17
2.4-Virtual Private Network VPN .............................................................................. 18 2.4.1-Principe de fonctionnement d'un VPN .......................................................................... 18 2.4.2-les différents types de VPN ............................................................................................ 19 2.4.3-Principe de fonctionnement d’un MPLS/VPN .................................................................... 20
2.5-Conclusion............................................................................................................ 22 3. L’authentification et le protocole PPPoE ............................................................ 23 3.1-Introduction .......................................................................................................... 23 3.2-Protocole Remote Authentication Dial-In User Service (RADIUS) .................. 23 3.2.1-Procédure d’authentification RADIUS ................................................................................ 24 3.2.2-Protocoles de mot de passe ................................................................................................. 25 3.2.3-Procédure d’autorisation ..................................................................................................... 26 3.2.4-Comptabilisation (Accounting) .......................................................................................... 26
3.3-Point to Point Protocol (PPP) .............................................................................. 27 3.3.1-Format de la trame PPP ........................................................................................................ 28 3.3.2-PPP over Ethernet (PPPoE) ................................................................................................ 29 3.3.3-La session PPP ..................................................................................................................... 30
3.4-Conclusion ........................................................................................................... 31 4. Etude de la conception ......................................................................................... 32 4.1-Introduction .......................................................................................................... 32 4.2-Réseau d’un fournisseur d’accès internet ............................................................ 32 4.2.1-Le relais de trame ou Frame Relay ...................................................................................... 32 4.2.2-Le mode de transfert asynchrone (ATM) ........................................................................... 33 4.2.3-Les moyens de transmissions dans un FAI .......................................................................... 35
4.3-Description de la conception ................................................................................ 36 4.4-Configuration de la maquette ............................................................................... 36 4.4.1-Configuration des interfaces des routeurs............................................................................ 37 4.4.2-Configuration du protocole OSPF ....................................................................................... 39 4.4.3-Configuration du Protocole Border Gateway Protocol (BGP) ........................................... 41 4.4.4-configuration du protocole MPLS ....................................................................................... 43 4.4.5-Configuration du Domain Name System (DNS) ............................................................... 43 4.4.6-Configuration du MPLS/VPN ............................................................................................. 45 4.4.7-Configuration du RADIUS .................................................................................................. 47
4.5-Conclusion............................................................................................................ 53
Conclusion générale ................................................................................................. 54 Références bibliographiques. Annexe A. Annexc B.
Liste des abréviations
A
C
E
I
M
O
AAA : Authentication, Authorization, Accounting AAL : ATM Adaptation Layer AS : Autonomous System ASN : Autonomous System Number ATM :Asynchronous Transfer Mode CE : Costumer Edge CHAP: Challenge Handshake Authentication Protocol CLI : Command Line Interface CIDR : Classless Inter-Domain Routing eBGP : exterior Border Gateway Protocol EIGRP : Extended Interior Gateway Routing Protocol EGP : Exterior Gateway Protocol ELSR : Edge Label Switch Router
iBGP: interior Border Gateway Protocol ID : IDentifiant IGP : Interior Gateway Protocol IP : Internet Protocol IPv4 : Internet Protocol version 4 IPv6 : Internet Protocol version 6 IS-IS : Intermediate System to Intermediate System
MAC : Media Access Control MED : Multi-Exit Discriminator MP-BGP : Multi-Protocol Border Gateway Protocol MPLS : Multi-Protocol Label Switching
OSPF : Open Shortest Path First
B
BDR : Backup Designated Router BGP : Border Gateway Protocol
DBD : DataBase Descriptor DCE : Data Circuit Equipment D DR : Designated Router DSL : Digital Subscriber Line DTE : Data Terminal Equipment FAI : Fournisseur d’Accès à Internet F FEC : Forwarding Equivalency Classes FIB : Forwarding Information Base
L
LCP: Link Control Protocol LDP : Label Distribution Protocol LFIB : Label Forwarding Information Base LIB: Label Information Base LMI : Local Management Interface LS : Ligne Spécialisée LSA : Link-State Advertisements LSAck : Link-State Acknowledgment LSDB : Link-State DataBase LSP : Label Switch Path LSR : Link State Request LSR : Label Switch Router LSU : Link State Updates
N NAS : Network Access Server NCP : Network Control Protocol NGN : Next Generation Network
P
P : Provider PADI : PPPoE Active Discovery Initiation PADO : PPPoE Active Discovery Offer PADR : PPPoE Active Discovery Request PADS : PPPoE Active Discovery Sessionconfirmation PADT : PPPoE Active Discovery Terminate PAP : Password Authentication Protocol PE : Provider Edge PPP : Point to Point Protocol PPPoE : Point to Point Protocol over Ethernet RADIUS: Remote Authentication Dial-In User Service
QoS : Quality of Service
R
S
SDH : Synchronous Digital Hierarchy SPF : Shortest-Path-First
T
U
UDP : User Datagram Protocol
V
W
WAN : Wide Area Network
Q
RD : Route Distinguisher RIB : Routing Information Base RIP : Routing Information Protocol RPV : Réseaux Privés Virtuels RT : Route Target TCP : Transmission Control Protocol TDM : Time Division Multiplexing TLV : Type-Longueur-Valeur TTL : Time to Live VLSM : Link State Updates VPN : Virtual Private Network VRF : Virtual Routing and Forwarding
Liste des figures
Chapitre 1 : Les protocoles de routages OSPF & BGP Figure 1.1 : Caractéristiques du protocole OSPF ................................................................................. 2 Figure 1.2 : Contenu du paquet Hello OSPF ....................................................................................... 4 Figure 1.3 : Les états du protocole OSPF ............................................................................................ 6 Figure 1.4 : Les deux versions de BGP (iBGP et eBGP) .................................................................... 9 Figure 1.5 : La prise en compte de l’attribut de poids ....................................................................... 11
Chapitre 2 : Multi-Protocol Label Switching (MPLS) Figure 2.1 : Format de l’entête MPLS ............................................................................................... 14 Figure 2.2 : Architecture MPLS ........................................................................................................ 15 Figure 2.3 : Etablissement d’une connexion LDP ............................................................................. 16 Figure 2.4 : Les différentes tables MPLS .......................................................................................... 17 Figure 2.5 : Affectation des étiquettes ............................................................................................... 17 Figure 2.6 : Distribution et commutation des étiquettes .................................................................... 18 Figure 2.7 : VPN d’accès ................................................................................................................... 19 Figure 2.8 : L’intranet VPN ............................................................................................................... 19 Figure 2.9 : L’extranet VPN .............................................................................................................. 20 Figure 2.10 : L’affectation des étiquettes d’un VPN MPLS .............................................................. 21 Figure 2.11 : La superposition des protocoles de routage.................................................................. 21 Figure 2.12 : Format de l’adresse VPN-IPv4 ..................................................................................... 22
Chapitre 3 : L’authentification et le protocole PPPoE Figure 3.1 : Procédure d’authentification .......................................................................................... 25 Figure 3.2 : Authentification PAP...................................................................................................... 25 Figure 3.3 : Authentification CHAP .................................................................................................. 26 Figure 3.4 : La procédure de comptabilité (Accounting) .................................................................. 27 Figure 3.5 : Architecture de PPP ........................................................................................................ 28 Figure 3.6 : Trame PPP ...................................................................................................................... 29 Figure 3.7 : Format de la trame PPPoE .............................................................................................. 30 Figure 3.8 : Les étapes de découvertes d’une session PPPoE........................................................... 31
Chapitre 4 : Evaluation de la plateforme Figure 4.1 : Topologie physique du Frame Relay.............................................................................. 33 Figure 4.2 : Schéma des plans et niveaux du modèle ATM .............................................................. 34 Figure 4.3 : Maquette de simulation du réseau d’un fournisseur d’accès internet proche de celle d’Algérie Telecom ............................................................................................................................. 37 Figure 4.4 : les adresses des interfaces configurées sur le routeur R1 ............................................... 39 Figure 4.5 : Topologie du réseau cœur .............................................................................................. 40 Figure 4.6 : Les commandes utilisées pour la configuration d’OSPF ............................................... 40 Figure 4.7 : les voisins du routeur R6 ................................................................................................ 41 Figure 4.8 : Les relations iBGP et eBGP ........................................................................................... 42 Figure 4.9 : Les commandes utilisées pour la configuration de BGP ................................................ 42 Figure 4.10 : les voisins BGP du routeur R1 .................................................................................... 42 Figure 4.11 : Configuration du MPLS pour le routeur R1 ................................................................. 43 Figure 4.12 : la partie concernée par la configuration du serveur DNS............................................. 44 Figure 4.13 : traduction du nom de domaine www.google.com en adresse IP ................................. 45 Figure 4.14 : La partie concernée par la configuration du VPN ........................................................ 45 Figure 4.15 : Les commandes utilisées pour la configuration du VPN ............................................. 46 Figure 4.16 : Test de MPLS/VPN ...................................................................................................... 46 Figure 4.17 : Association du cloud avec la machine virtuelle ........................................................... 47 Figure 4.18 : Configuration de daloRADIUS .................................................................................... 47 Figure 4.19 : la plateforme du serveur daloRADIUS ........................................................................ 48 Figure 4.20 : L’ajout du client dans la base de données du serveur RADIUS................................... 48 Figure 4.21 : L’ajout du BRAS dans la base de données du serveur RADIUS ................................. 49 Figure 4.22 : La base de données du serveur RADIUS ..................................................................... 49 Figure 4.23 : Les étapes de configuration du RADIUS et PPP au niveau du BRAS ......................... 50 Figure 4.24 : Les étapes à suivre pour la configuration du client ...................................................... 50 Figure 4.25 : Test de connectivité entre le client- BRAS et le client-Serveur RADIUS ................... 51 Figure 4.26 : Les captures de PPP...................................................................................................... 51 Figure 4.27 : Traduction du nom domaine www.google.com en adresse IP coté client.................... 52 Figure 4.28 : Les captures RADIUS .................................................................................................. 52 Figure 4.29 : Les paquets de comptabilité (Accounting) .................................................................. 53
Liste des tableaux Chapitre 1 : Les protocoles de routages OSPF & BGP Tableau 1.1 : résumé de la base de données qui décrit un réseau .......................................................... 3
Chapitre 4 : Test et évaluation Tableau 4.1 : L’affectation des adresses IP pour chaque routeur de notre réseau ............................... 37
Introduction générale Avant l’avènement du MPLS, plusieurs technologies de transports comme ATM et Frame Relay ont longtemps été utilisés par les opérateurs réseaux dans le monde. Aujourd’hui, le développement des services voix ,vidéo et données, le développement éclatant d’internet , la convergence des réseaux (réseau de téléphonie fixe et mobile, réseaux informatiques,…etc) vers le réseau IP et bien d’autres facteurs, font que ces technologies historiques soient dépassées .Car la tendance actuelle est celle inspirées par les Next Generation Networks (NGNs) ou réseaux de prochaine génération en français qui se veulent exigeantes en terme de débit (de l’ordre de gigabit) et de qualité de service plus évoluée. Dès lors, il faut penser à des technologies de transport offrant du très haut débit, une très bonne qualité de service et surtout permette le transport des flux en temps réel Pour notre cas, nous nous sommes tournés vers la technologie MPLS qui respecte les critères cités ainsi qu’un ensemble de protocoles qui assurent la continuité des services dans les réseaux ISP. Le fournisseur du service Algérie Telecom dans lequel on a effectué notre projet de fin d’études s’est rendu compte que cette infrastructure proposée peut être utilisée pour offrir des services multiples pour leurs clients (VOIP, Data, IPTV, FTTX..) et d’autres nouvelles technologies. Ce type de convergence des services crée le changement du modèle économique de l’industrie des télécoms. L’infrastructure proposée dans notre projet est adaptée par une grande majorité des ISPs dans le monde. Dans ce contexte l’objectif de notre projet de fin d’études est de faire une étude et une conception du réseau d’un provider Internet ainsi que la description de ces entités fonctionnelles en prenant pour notre cas d’étude d’un réseau proche de celui d’Algérie Télécom. Le présent rapport est organisé en quatre chapitres :
Le premier chapitre trace les principaux protocoles de routage dynamique utilisés dans les réseaux IP.
Le deuxième chapitre traite la technologie MPLS ainsi que son fonctionnement.
Le troisième chapitre concerne la partie accès et authentification du client.
Le dernier chapitre traite des perspectives de déploiement d’un réseau du fournisseur d’accès internet proche d’un réseau d’Algérie Télécom et de la stratégie adoptée.
Enfin, nous avons retenu dans une conclusion générale les grandes lignes de ce qui, à notre sens, mérite une attention toute particulière de la part des lecteurs.
1
Chapitre 1
Les protocoles de routages OSPF & BGP
1. Les protocoles de routages OSPF & BGP 1.1-Introduction : Internet n'est rien d'autre qu'un immense réseau de lien et d'interconnexion entre plusieurs réseaux. Pour savoir le chemin à emprunter parmi tous ces liens pour aller d'un réseau A à un réseau B, il faut qu'un protocole de routage ait été mis en place. Le but du routage est de définir une route ou un chemin à un paquet quand celui-ci arrive sur un routeur, et surtout d'assurer qu'il existe toujours un chemin pour aller d'un réseau à un autre. Dans ce chapitre, nous allons aborder les protocoles de routages utilisés dans ce projet et qui sont Open Shortest Path First (OSPF) et Border Gateway Protocol (BGP). Ces deux protocoles sont indispensables dans le réseau d’un fournisseur d’accès Internet.
1.2-Protocole OSPF à zone unique : Le protocole Open Shortest Path First (OSPF) est un protocole de routage à état de liens, qui a été développé pour remplacer le protocole de routage à vecteur de distance dit protocole d'information de routage ou Routing Information Protocol (RIP). En effet, le RIP se basait uniquement sur la métrique de nombre de sauts pour déterminer la meilleure route. Une métrique non adaptée aux réseaux de grande taille avec plusieurs chemins et des vitesses variables [1]. Parallèlement, le protocole OSPF présente des avantages considérables par rapport au RIP, vu qu’il offre une convergence plus rapide et s'adapte mieux aux réseaux actuels. Les différentes caractéristiques du protocole OSPF sont résumées sur la figure suivante:
Figure 1.1 : Caractéristiques du protocole OSPF. 2
Chapitre 1
Les protocoles de routages OSPF & BGP
1.2.1-Composants du protocole OSPF : Tous les protocoles de routage partagent des composants similaires. Ils utilisent tous des messages pour échanger les informations de routage. Ces messages permettent de renforcer les structures de données, qui sont ensuite traitées au moyen d'un algorithme de routage [2]. Les trois composants principaux du protocole de routage OSPF incluent : Les bases de données. Les messages des protocoles de routage. Les algorithmes. 1.2.1.1-Les bases de données : Avec OSPF, tous les routeurs d'un même réseau travaillent sur une base de données topologique identique qui décrit le réseau. Cette base contient tous les éléments de ce dernier, les liaisons disponibles, leurs états et aussi l’acheminement des routes. On peut résumer la base de donnés OSPF dans ce tableau [2] : Tableau 1.1 : résumé de la base de données qui décrit un réseau. Base de données
Tableau
Description •Liste de tous les routeurs voisins avec lesquels un routeur a établi une communication bidirectionnelle
Base de données
Table de
•Cette table est unique pour chaque routeur
des liaisons
voisinage
•Peut-être affichée au moyen de la commande show ip ospf neighbor •Liste des informations relatives à tous les autres routeurs du réseau
Base de données
Table
d’états de liens
topologique
(LSDB)
•La base de données représente la topologie du réseau • Tous les routeurs au sein d’une zone possèdent des LSDB identiques • Peut-être affichée au moyen de la commande show ip OSPF • Liste de routes générée lors de l’exécution d’un algorithme sur la base de données d’états de liens
Base de données de
Table de
• La table de routage de chaque routeur est unique et contient des
réacheminement
routage
informations sur les modalités d’envoi des paquets aux autres routeurs • Peut-être affichée au moyen de la commande Show ip route 3
Chapitre 1
Les protocoles de routages OSPF & BGP
1.2.1.2-Messages des protocoles de routage : Le protocole OSPF échange des messages permettant de transmettre des informations de routage à l’aide des cinq types de paquets [2] : • Paquet Hello : Le paquet de type 1 du protocole OSPF correspond au paquet Hello. Les paquets Hello sont utilisés pour : Détecter les voisins OSPF et établir des liaisons. Annoncer les paramètres sur lesquels les deux routeurs doivent s'accorder pour devenir voisins. Définir le routeur désigné (DR) et le routeur désigné de secours (BDR) sur les réseaux à accès multiple. La figure 2.2 présente les champs contenus dans les paquets Hello de type 1 :
Figure 1.2 : Contenu du paquet Hello OSPF. Champs Type : Identifie le type de paquet. « Type=1 »indique un paquet Hello. La valeur 2 identifie un Paquet de description de base de données DBD. « Type=3 », c’est un paquet de demande d'état de liens ou Link State Request (LSR). «Type=4 » pour un paquet de mise à jour d'état de liens, Link State Update (LSU) et pour la valeur 5, c’est un paquet d'accusé de réception d'état de liens, Link State Acknowledges (LSAck). Champs ID du routeur : une adresse IPv4 utilisée pour identifier le routeur d'origine de façon unique. 4
Chapitre 1
Les protocoles de routages OSPF & BGP
Champs ID de zone : Zone d'où provient le paquet. Champs Masque réseau : Masque de sous réseau associé à l'interface émettrice. Champs Intervalle Hello : Indique la fréquence à laquelle un routeur envoie des paquets Hello. L'intervalle Hello par défaut sur des réseaux à accès multiple est de 10 secondes. Ce minuteur doit être identique sur les routeurs voisins. Dans le cas contraire, aucune liaison n'est établie. Champs Priorité du routeur : Utilisé dans une sélection d’un routeur désigné et un routeur désigné de secours DR/BDR. La priorité par défaut pour tous les routeurs OSPF correspond à 1, mais elle peut être changée manuellement en une valeur comprise entre 0 et 255. Plus la valeur est élevée, plus le routeur devient le routeur désigné sur le lien. Champs Intervalle Dead : Durée en secondes pendant laquelle le routeur attend des informations d'un voisin avant de le déclarer hors service. Par défaut, l'intervalle Dead du routeur est quatre fois plus long que l'intervalle Hello. Ce minuteur doit être identique sur les routeurs voisins pour l’établissement d’une liaison. Champs Routeur désigné (DR) : ID du routeur désigné. Champs Routeur désigné de secours (BDR) : ID du routeur désigné de secours. Champs Liste des voisins : Liste qui identifie les ID de routeur de tous les routeurs adjacents. • Paquet DBD de description de base de données : C’est un résumé de tous les liens que le routeur connait. Lorsqu’un voisin identifie un lien non connu dans la description de la base de données, il demande l’état de liens avec le paquet LSR. • Paquet LSR de demande d'état de liens : C’est le paquet qui permet de demander plus d’informations sur un lien, et la réponse sur cette demande c’est le LSA (Link State Advertisements). • Paquet LSA de la mise à jour : c’est la mise à jour qui contient des informations sur un lien (plusieurs types de LSA existent). • Paquet LSU de mise à jour d'état de liens : Un ensemble de plusieurs paquet de la mise à jour LSA. • Paquet LSAck d'accusé de réception d'état de liens : L’accusé de réception pour chaque paquet de mise à jour d’état de liens LSU. 2.2.1.3-Principe de l’algorithme Shortest Path First : Le processeur traite les tables de voisinage et de topologie à l'aide de l'algorithme Shortest Path First (SPF) de Dijkstra. L'algorithme SPF est basé sur le coût cumulé permettant d'atteindre une destination. En effet, ce dernier crée une arborescence SPF en plaçant chaque routeur à la racine de
5
Chapitre 1
Les protocoles de routages OSPF & BGP
l'arborescence en calculant le plus court chemin vers chaque nœud. Cette arborescence est ensuite utilisée pour calculer les meilleures routes. Le protocole OSPF insère les meilleures routes dans la base de données de réacheminement, qui sont utilisées pour créer la table de routage [2]. 1.2.2-Fonctionnement de l’OSPF : Lorsqu'un routeur OSPF est initialement connecté à un réseau, il tente de : Créer des liaisons avec ses voisins. Procéder à l'échange des informations de routage. Calculer les meilleures routes. Converger. En effet, l’OSPF passe par plusieurs états en tentant d'atteindre la convergence [2], Les états du protocole OSPF peuvent être résumés dans la figure suivante :
Figure 1.3 : Les états du protocole OSPF. • État Down : Il signifie qu'aucune information « hello » n'a été reçue de ce voisin, mais que des paquets hello peuvent toujours lui être envoyés s'il reste dans cet état. Pendant l'état de voisinage complètement adjacent, si un routeur ne reçoit pas de paquet hello d'un voisin dans le RouterDeadInterval (RouterDead Interval = 4*Hello Interval par défaut), l’état du voisin passe de Full à Down. • État Init : Cet état spécifie que le routeur a reçu un paquet hello de son voisin, mais l'ID du routeur récepteur ne figure pas dans ce paquet. Quand un routeur reçoit un paquet hello d'un voisin, 6
Chapitre 1
Les protocoles de routages OSPF & BGP
il devrait lister l'ID du routeur de l'expéditeur dans son paquet hello comme accusé de réception prouvant qu'il a reçu un paquet hello valide. • État Two-Way : Dans cette étape, une communication bidirectionnelle a été établie entre deux routeurs. Bidirectionnel signifie que chaque routeur a accédé au paquet hello de l'autre routeur. Cet état est atteint quand le routeur recevant ce paquet voit son propre ID de routeur dans le champ voisin du paquet hello reçu. A ce stade, le routeur décide s'il souhaite devenir adjacent avec ce voisin [2]. • État ExStart : Une fois que le DR et le BDR sont élus, le processus réel d'échange d'informations d'états de liens peut commencer entre les routeurs et leur DR et BDR. Dans cet état, les routeurs et leur DR et BDR établissent des relations maître-esclave et choisissent le nombre de séquences initiales pour la formation d'adjacences. Le routeur avec l'ID de routeur le plus élevé devient le maître et commence l'échange. En tant que maître, il est le seul routeur autorisé à incrémenter le numéro de séquence. Logiquement, pour conclure, le DR/BDR avec l'ID de routeur le plus élevé devient le maître pendant ce processus de relation maître-esclave. • État Exchange : Dans l'état Exchange, les routeurs OSPF échangent des paquets du descripteur de base de données (DBD). Les descripteurs de base de données contiennent uniquement des entêtes de messages link-state advertisement (LSA) et présentent le contenu de l'ensemble de la base de données d'états de liens. Chaque paquet DBD porte un numéro de séquence qui peut être incrémenté seulement par le maître et qui est explicitement reconnu par l'esclave. Les routeurs envoient également des paquets de requête d'état de lien et des paquets de mise à jour d'état de lien(qui contiennent le message LSA entier) au cours de cet état. Le contenu du DBD reçu est comparé aux informations contenues dans la base de données des états de lien des routeurs pour vérifier si la nouvelle ou plus actuelle information d'état de lien est disponible chez le voisin. • État Loading : Dans cet état, l'échange réel des informations d'état de lien se produit. Basés sur les informations fournies par les DBD, les routeurs envoient des paquets de requête d'état de lien. Le voisin fournit alors l'information d'état de lien demandée sous forme de paquets de mise à jour d'état de lien. Pendant l'adjacence, si un routeur reçoit un message LSA périmé ou manquant, il demande ce message LSA en envoyant un paquet de requête d'état de lien. • État Full : Dans cet état, les routeurs sont entièrement adjacents les uns avec les autres. Tous les messages LSA de type routeur et réseau sont échangés et les bases de données des routeurs sont entièrement synchronisées. Full est l'état normal pour un routeur OSPF [2]. 1.2.3-La métrique d’OSPF :
7
Chapitre 1
Les protocoles de routages OSPF & BGP
Le protocole de routage utilise une métrique pour déterminer le meilleur chemin d'un paquet sur un réseau. Une métrique donne une indication de la surcharge nécessaire pour envoyer des paquets à travers une interface particulière. Le protocole OSPF utilise le coût comme métrique. Un coût plus faible indique un meilleur chemin qu'un coût plus élevé [1]. Le coût d'une interface est inversement proportionnel à la bande passante de cette interface. Par conséquent, une bande passante plus élevée indique un coût plus faible. Une surcharge et des délais supplémentaires correspondent à un coût supérieur. Ainsi, une ligne Ethernet 10 Mbit/s présente un coût plus élevé qu'une ligne Ethernet 100 Mbit/s [2]. La formule utilisée pour calculer le coût OSPF est la suivante : Coût = bande passante de référence / bande passante de l'interface Il faut noter que la bande passante de référence par défaut correspond à 108.Par conséquent, la formule est la suivante : Coût = 100 000 000 bits/s / bande passante de l'interface en bits/s
1.3-Le protocole Border Gateway Protocol : Border Gateway Protocol (BGP) est un protocole d'échange de route utilisé notamment sur le réseau Internet. Son objectif est d'échanger des informations de routage et d'accessibilité de réseaux (appelés préfixes) entre Autonomous Systems (AS). Contrairement aux protocoles de routage interne, BGP n'utilise pas de métrique classique mais fonde les décisions de routage sur les chemins parcourus, les attributs des préfixes et un ensemble de règles de sélection définies par l'administrateur de l'AS. On le qualifie de protocole à vecteur de chemins ou path vector protocol [3]. BGP est principalement utilisé par les fournisseurs d'accès à Internet (FAI) pour l'échange de routes. La plupart des utilisateurs finaux d'Internet n'ont qu'une seule connexion à un FAI. Dans ce cas, le BGP est inutile car une route par défaut est suffisante. Cependant, une entreprise qui serait connectée de façon redondante à plusieurs FAI pourrait obtenir un numéro de système autonome propre et établir des sessions BGP avec chacun des fournisseurs. Aussi les réseaux IP privés peuvent utiliser BGP, par exemple pour interconnecter des réseaux locaux utilisant OSPF [4]. 1.3.2-Le système autonomes AS : Un Autonomous System (AS) est constitué d’un ou plusieurs réseaux sous la responsabilité administrative d’un FAI. Les protocoles de routage utilisés dans chacun des AS peuvent être différents. Un protocole spécifique, dit
External Gateway Protocol (EGP) gère l’échange
8
Chapitre 1
Les protocoles de routages OSPF & BGP
d’information entre les différents AS [4]. Les numéros d'AS sont utilisés par le protocole de routage BGP entre les AS. Au sein d'un AS, le protocole de routage interne (notamment OSPF) permet aux routeurs de cet AS de communiquer entre eux. Par contre entre les systèmes autonomes, le routage est externe [4]. 1.3.3-Fonctionnement du BGP : Les connexions entre deux voisins BGP sont configurées explicitement entre deux routeurs. Ils communiquent alors entre eux via une session TCP sur le port 179 initiée par l'un des deux routeurs. BGP est le seul protocole de routage à utiliser TCP comme protocole de transport [4]. Il existe deux versions de BGP : Interior BGP (iBGP) et Exterior BGP (eBGP). iBGP est utilisé à l'intérieur d'un AS alors qu’eBGP est utilisé entre deux AS.
Figure 1.4: Les deux versions de BGP. En général, les connexions eBGP sont établies sur des connexions point-à-point ou sur des réseaux locaux. La durée de vie (Time to Live, TTL) des paquets de la session BGP est alors fixée à 1. Si la liaison physique est rompue, la session eBGP l'est également, et tous les préfixes appris par celle-ci sont annoncés comme supprimés et retirés de la table de routage. À l'inverse, les connexions iBGP sont généralement établies entre des adresses logiques, non associées à une interface physique particulière. Ceci permet, en cas de rupture d'un lien physique, de conserver la session iBGP active si un lien alternatif existe et un protocole de routage interne dynamique (IGP) est employé (par exemple OSPF).
9
Chapitre 1
Les protocoles de routages OSPF & BGP
Une fois la connexion entre deux routeurs établie, ceux-ci s'échangent des informations sur les réseaux qu'ils connaissent et pour lesquels ils proposent du transit, ainsi qu'un certain nombre d'attributs associés à ces réseaux qui vont permettre d'éviter des boucles (comme AS Path) et de choisir avec finesse la meilleure route [4].
1.3.4-Messages du protocole BGP : Une fois une connexion est ouverte, BGP échange plusieurs messages avec les paramètres de la connexion et les informations de routage, tous ces messages BGP sont diffuser vers un seul partenaire [2]. Les types de message BGP sont : • OPEN : Ce message est utilisé dès que la connexion TCP est établie entre les voisins BGP, il permet d'échanger des informations telles que les numéros d'AS respectifs et de négocier les capacités de chacun des pairs. • KEEPALIVE : Maintient la session ouverte. Par défaut le message KEEPALIVE est envoyé toutes les 30 secondes, et un délai de 90 secondes sans message UPDATE ni KEEPALIVE reçu entraîne la fermeture de la session. • UPDATE : Ce message permet l'annonce de nouvelles routes ou le retrait de routes. • NOTIFICATION : Message de fin de session BGP à la suite d'une erreur. • ROUTE-REFRESH : La capacité de rafraîchissement des routes est négociée dans le message OPEN et permet de demander de ré-annoncer certains préfixes après une modification de la politique de filtrage [2]. 1.3.5-Les Attributs de BGP : Lorsqu’un routeur BGP reçoit des mises à jour en provenance de plusieurs systèmes autonomes décrivant différents chemins vers une même destination, il doit choisir un seul et meilleur itinéraire pour l’atteindre et ensuite, il le propage vers ses voisins. La décision est fondée sur la valeur des attributs que la mise à jour contient ainsi que sur d’autres facteurs configurables par BGP. Les différents attributs sont les suivants [2] : • AS-path (attribut obligatoire) : Chaque fois qu’une mise à jour passe par l’intermédiaire d’un AS, BGP ajoute son numéro d’AS à la mise à jour. L’attribut AS-path représente la liste des numéros de tous les AS qu’une mise à jour a traversés pour pouvoir atteindre une destination. La liste des AS s’allonge donc à mesure que le message de mise à jour se propage. Cet attribut permet d’éviter les redondances et les boucles. 10
Chapitre 1
Les protocoles de routages OSPF & BGP
• Origin (attribut obligatoire) : Cet attribut donne des informations sur l’origine de la route et peut prendre l’une des valeurs suivantes: IGP : la route annoncée provient du même système autonome que l’annonceur. EGP : la route est apprise via le protocole de routage externe EGP. Incomplète : la route a été apprise d’une autre manière, sans doute s’agit-il d’une route configurée statiquement. • Next hop (attribut obligatoire) : Cet attribut contient l’adresse IP du routeur vers lequel l’information doit être émise pour atteindre le réseau. Il s’agit en général du routeur qui a émis le message de mise à jour BGP. • Weight (attribut optionnel) : L’attribut de poids est un attribut Cisco spécial qui est utilisé dans le processus de sélection de chemin lorsqu’il existe plus d’une route vers la même destination. L’attribut de poids est local au routeur sur lequel il est assigné, et il n‘est pas propagé dans les mises à jour de routage. Les routes avec un poids plus élevé emportent la préférence lorsqu’il y a plusieurs chemins pour la même destination [2].
Figure 2.5 : La prise en compte de l’attribut de poids. Ici, les routeurs A et D prennent connaissance du réseau 192.168.0.0 de l’AS 400 et propagent chacun la mise à jour vers B. B possède deux routes pour atteindre le réseau 192.168.0.0 et doit décider de la route à utiliser. Si, sur B, le poids des mises à jour en provenance de A est supérieur à celui des mises à jour de C, D utilisera A comme prochain saut pour atteindre le réseau 192.168.0.0. • Local préférence (attribut optionnel) :L’attribut de préférence locale possède un rôle similaire à l’attribut de poids, à ceci près que l’attribut de préférence locale fait partie des informations de mises à jour de routage et est échangé entre les routeurs d’un même système autonome.
11
Chapitre 1
Les protocoles de routages OSPF & BGP
• Multi-Exit Discriminator (attribut optionnel) : Cet attribut est une indication à l’attention des routeurs voisins externes concernant le chemin à privilégier vers un AS lorsque celui-ci possède plusieurs points d’entrée (via les différents routeurs externes de l’autre AS). Plus la valeur du MultiExit Discriminator (MED) est petite, plus la route est préférable. Cet attribut est échangé entre les AS mais lorsque des informations d’attribut MED entrent dans un AS, elles n’en sortent pas.
Lorsqu’une mise à jour pénètre dans un AS avec une certaine valeur d’attribut MED, celle-ci est utilisée pour effectuer les prises de décision au sein de l’AS. Lorsque BGP renvoie cette mise à jour à un autre AS, l’attribut est réinitialisé avec la valeur 0. • Community (attribut optionnel) : L’attribut de communauté relatif à une route est utilisé pour grouper des destinations auxquelles des décisions de routage peuvent être appliquées. Les attributs peuvent être obligatoires ou optionnels [2].
1.4-Conclusion : Dans ce chapitre, nous avons étudié les protocoles de routages les plus adaptés dans les réseaux actuels. En effet, un protocole de routage permet aux routeurs de se comprendre et d'échanger des informations de façon automatique, périodique ou occasionnelle afin que chaque routeur soit au courant des évolutions du réseau sans intervention manuelle d’un administrateur. Concrètement, le protocole de routage fixe la façon dont les routeurs vont communiquer mais également la façon dont ils vont calculer les meilleures routes à emprunter.
12
Chapitre 2
Multi-Protocol Label Switching (MPLS)
2. Multi-Protocol Label Switching (MPLS) 2.1-Introduction : Actuellement, pour transmettre des paquets Internet Protocol (IP) d'une adresse source vers une adresse de destination sur un réseau, on utilise le routage unicast, saut par saut basé sur la destination. Cependant, la flexibilité de ce type de routage est affectée par certaines restrictions (coût, performance) dues à l'utilisation de cette méthode. C'est pourquoi, l'Internet Engineering Task Force décida de mettre au point un ensemble de protocoles pour former un nouveau type d'architecture réseau appelée Multi Protocol Label Switching (MPLS), destinée à résoudre la majeure partie des problèmes rencontrés dans les infrastructures IP actuelles et à en étendre les fonctionnalités.
2.2-Fonctionnement du protocole MPLS : Le MPLS est une solution proposée pour répondre aux problèmes posés par les réseaux actuels. MPLS est une technique dont son rôle principal est de combiner les concepts du routage IP de niveau 3, et les mécanismes de la commutation de niveau 2. Le protocole MPLS se base sur l’utilisation de deux principales familles d’équipements, à savoir :
Label Switch Router (LSR) : est un équipement de type routeur, capable de commuter des paquets ou des cellules, en fonction de la valeur des étiquettes qu’ils contiennent. Dans le cœur du réseau, les LSRs procèdent tout simplement à la lecture et la commutation des étiquettes, et non aux adresses des protocoles de niveau supérieur.
Edge Label Switch Router (ELSR) : est un routeur d’extrémité qui joue un rôle important dans l’assignation et la suppression des étiquettes au moment où les paquets entrent dans le réseau ou en sortent. Il faut savoir que les étiquettes ne sont imposées sur les paquets qu’une seule fois en périphérie du réseau MPLS, au niveau du routeur d’entrée appelé Ingress Edge Label Switch Router (E-LSR). A ce stade, un calcul est effectué sur le datagramme afin de lui affecter une étiquette spécifique.
Lorsque le datagramme d’un flux arrive au routeur d’entrée (Ingress E-LSR), ce dernier réalise une classification des paquets, y assigne une étiquette et transmet les paquets étiquetés au nuage MPLS. En se basant uniquement sur les étiquettes, les LSRs du nuage MPLS commutent les paquets étiquetés jusqu’au routeur de sortie appelé l’Egress LSR qui supprime les étiquettes et remet les paquets à leur destination finale [5]. Il est donc nécessaire de propager les informations sur ces
13
Chapitre 2
Multi-Protocol Label Switching (MPLS)
étiquettes à tous les LSRs. Pour cela, des protocoles de distributions des étiquettes sont utilisés et qui doivent coopérer avec des protocoles de routage de niveau supérieur, tel que : Intermediate System to Intermediate System (IS-IS), OSPF, RIP et BGP. 2.2.1- L’entête MPLS : Toute l’architecture MPLS est organisée autour d’une principale notion que constitue le label ou étiquette, dont le format dépend explicitement des caractéristiques du réseau utilisé. L’entête MPLS à une taille de 4 octets (32 bits) et elle est composé des champs suivants :
L’étiquette : le numéro de l’étiquette, composé de 20 bits.
Experimental (EXP) : Compris sur 3 bits utilisé comme champ de classe de service, on peut définir plusieurs classes de services, tel que: La classe de service pour le transport de la vidéo. La classe de service pour le transport de la voix. La classe de transport de données, très prioritaires qui sert notamment aux applications ayant des besoins critiques en termes de performance, de disponibilité et de bande passante. La classe de transport de données prioritaires, qui correspond à des applications non critiques possédant des exigences particulières en termes de bande passante. La classe de transport de données non prioritaires, représentant ainsi la classe de service la moins prioritaire.
Bottom of stack (S) : Le bit “S” est à 1 quand la dernière étiquette de la pile est atteinte.
Time To Live (TTL) : Ce champ a le même rôle que le Time To Live (TTL) de l’entête IP. Etant donné que l’entête IP n’est pas analyser par les LSRs, la valeur du TTL est recopiée dans l’entête MPLS à l’entrée du réseau par l’Ingress LSR ensuite, à chaque commutation par un LSR, le TTL est modifié ou sa valeur sera recopiée dans l’entête IP à la sortie du réseau MPLS par l’Egress LSR [6].
Figure 2.1 : Format de l’entête MPLS. 14
Chapitre 2
Multi-Protocol Label Switching (MPLS)
2.3-Architecture du protocole MPLS : L’architecture MPLS est composée de deux plans (voir Figure 2.2) principaux pour la commutation dans le réseau backbone [7]:
Plan de contrôle : Il permet de créer et de distribuer les routes et les étiquettes. Ainsi, il contrôle des informations de routage, de commutation et de distribution des étiquettes entre les périphériques adjacents.
Plan de données : Il est connu également sous le nom de «Forwarding Plane» et permet de contrôler la transmission de données en se basant sur la commutation des étiquettes.
Figure 2.2 : Architecture MPLS. 2.3.1-Label Distribution Protocol (LDP) : La distribution des étiquettes aux LSRs est réalisée par le protocole Label Distribution Protocol (LDP). Ce dernier définit des procédures de communications pour que les LSRs puissent s’informer des tables de commutation de leurs voisins. En effet, les étiquettes du LDP sont du type « saut par saut », c’est-à-dire qu’elles n’effectuent le chemin que d’un saut avant d’être mis à jour. En ce qui concerne la découverte des LSRs adjacents, le protocole de routage User Datagram Protocol (UDP) est sollicité, par l’envoi des accusés de réceptions. Enfin, lorsque les deux nœuds se découvrent, ils établissent une connexion TCP pour un transport fiable de données [7].
15
Chapitre 2
Multi-Protocol Label Switching (MPLS)
Les messages échangés entre les deux routeurs LSRs lors d’une session LDP sont de types :
Messages de découverte : Recherche et maintien la connexion avec un LSR sur le réseau.
Messages de session : Etablissement, maintien et suspension de sessions LDP.
Messages d'avertissement : Création, modification et suppression des correspondances entre Forwarding Equivalence Classes (FEC) et les étiquettes.
Messages de notification : Messages d'erreurs.
Figure 2.3 : Etablissement d’une connexion LDP. 2.3.2-Tables MPLS : Sur la base des informations collectées par le protocole LDP, les LSRs et ELSRs construisent les deux tables : Label Information Base (LIB) et Label Forwarding Information Base (LFIB) qui serviront par la suite pour la prise de décision au niveau de la commutation d’étiquettes [7].
Label Information Base (LIB) : C'est La première table construite par le routeur MPLS, elle contient pour chaque sous-réseau IP la liste des étiquettes affectées par les LSRs voisins avec tous les chemins possibles pour atteindre la destination, ce qui permet de connaitre les étiquettes affectées à un sous réseau par chaque LSR voisin.
Label Forwarding Information Base (LFIB) : A partir de la table LIB et de la table de routage IP, le routeur construit une table dite Label Forwarding Information Base (LFIB), qui contient que les étiquettes du meilleur prochain saut. Ce dernier sera utilisé pour commuter les paquets étiquetés. 16
Chapitre 2
Multi-Protocol Label Switching (MPLS)
Figure 2.4 : Les différentes tables MPLS. 2.3.3-Affectation et Commutation des étiquettes : L’affectation des étiquettes aux paquets peut être caractérisée par des groupes ou des classes de flux dites FEC. En MPLS, le choix d’une FEC peut être fait selon plusieurs paramètres, tel que : adresse IP (source/destination) et paramètre de qualité de service (débit, délai).Les paquets appartenant à une même classe FEC sont traités de la même manière. D’abord, le chemin établi par l’MPLS appelé Label Switched Path (LSP) est emprunté par tous les datagrammes de ce flux ensuite, l’étiquette est ajoutée entre la couche 2 et l’entête de la couche 3 afin d’être lue par le switch LSR. Ce dernier appliquera les services appropriés et redirigera les paquets en fonction des étiquettes. Ce schéma de consultation et de transfert MPLS offre la possibilité de contrôler explicitement le routage en fonction des adresses source et destination, facilitant ainsi l’introduction de nouveaux services IP.
Un flux MPLS est vu comme un flux de niveau 2.5 appartenant au
niveau 2 et au niveau 3 du modèle de l’OSI [5].
Figure 2.5 : Affectation des étiquettes. 17
Chapitre 2
Multi-Protocol Label Switching (MPLS)
Le principe de base de MPLS est la commutation des étiquettes. Ces étiquettes sont de simples nombres entiers qui sont insérées entre les entêtes de niveaux 2 et 3 par les routeurs ELSRs sur la base de la valeur FEC .Une fois que les paquets sont commutés par les routeurs LSRs, arrivés au niveau du routeur ELSR de sortie, l’étiquette est supprimée pour procéder au routage du paquet [5]. Il est important de noter que cette étape est réalisée sans consultation de l’entête IP. Le schéma suivant montre le rôle des différents routeurs en fonction de leur emplacement dans le réseau MPLS :
Figure 2.6 : Distribution et commutation des étiquettes. Les paramètres intervenant dans la classification d’un paquet dans une FEC dépendent du protocole de distribution des étiquettes utilisé. MPLS utilise le protocole LDP qui permet de classifier un paquet dans une FEC selon des paramètres de qualité de service. Ainsi, chaque FEC se voit associer une étiquette de sortie ou le routeur saura donc quelle étiquette il doit attribuer aux paquets IP correspondant à telle ou telle FEC.
2.4-Virtual Private Network VPN : L’une des applications les plus importants du protocole MPLS est de pouvoir créer des Réseaux Privés Virtuels (RPV) ou Virtual Private Network (VPN) en anglais. Le VPN est une technique permettant à un ou plusieurs postes distants de communiquer de manière sure, tout en empruntant les infrastructures publiques, ce type de liaison est apparu suite à un besoin croissant des entreprises de relier les différents sites, et ce de façon simple et économique [5]. 2.4.1-Principe de fonctionnement d'un VPN : Un réseau VPN repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise. 18
Chapitre 2
Multi-Protocol Label Switching (MPLS)
Le principe de tunneling consiste à créer un chemin virtuel après avoir identifié le destinataire et l'émetteur, par la suite la source chiffre les données et les envoient en empruntant le chemin virtuel. Les données à transmettre peuvent parfois être prises en charge par un protocole différent d’IP alors dans ce cas, le protocole VPN encapsule les données en ajoutant un en-tête. Le tunneling correspond à l'ensemble des processus d'encapsulation, de transmission et de désencapsulation [5]. 2.4.2-les différents types de VPN : Suivant les besoins, on distingue principalement 3 types de VPN :
Le VPN d’accès : Utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau de leur entreprise, alors que l'utilisateur se sert d'une connexion Internet afin d'établir une liaison sécurisée [5].
Figure 2.7 : VPN d’accès.
L’intranet VPN : L’intranet VPN est utilisée pour relier deux ou plusieurs intranets d'une même entreprise. Ce type de réseau est particulièrement utile au sein
d'une
entreprise
possédant plusieurs sites distants. L’objectif des réseaux intranet VPN consiste à garantir la sécurité et l’intégrité des données [5].
Figure 2.8 : L’intranet VPN. 19
Chapitre 2
Multi-Protocol Label Switching (MPLS)
L’extranet VPN : une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires [5], elle offre également un accès contrôlé aux clients, fournisseurs, partenaires ou autres tiers autorisés.
Figure 2.9 : L’extranet VPN. 2.4.3-Principe de fonctionnement d’un MPLS/VPN : Un réseau privé virtuel MPLS/VPN permet de connecter des sites distants sur un réseau partagé par tous les clients. Les composants des MPLS/ VPN sont :
Provider Edge (PE) : Il s’agit des routeurs du réseau cœur qui sont situés en entrée du réseau (PE Ingress) et en sortie du réseau (PE Egress).
Customer Edge (CE) : Il s’agit de l’équipement client, il peut être un routeur, un pont, un commutateur ou un hôte.
Provider (P) : Routeur ou commutateur de cœur du backbone, chargé de la commutation des trames MPLS.
Pour assurer la gestion des VPN, les routeurs PE ont la capacité de gérer plusieurs tables de routage grâce à la notion Virtual Routing and Forwarding (VRF). Une VRF est constituée d'une table de routage, d'une FIB et d'une table FEC spécifique indépendante des autres VRF , y compris une copie de la LFIB ou l’acheminement dans le réseau MPLS est réalisé par cette table, de ce fait une VRF correspond à un routeur dédié au VPN (routeur virtuel). Chaque VRF est désignée par un nom sur les routeurs PE, les noms sont affectés localement et n'ont aucune signification vis-à-vis des autres routeurs. Chaque interface de PE reliée à un site client est rattachée à une VRF particulière [8].
20
Chapitre 2
Multi-Protocol Label Switching (MPLS)
La figure 2.10 illustre l’affectation des étiquettes d’un VPN MPLS :
Figure 2.10 : L’affectation des étiquettes d’un VPN MPLS. La VRF assure le routage dans le VPN, elle considère le réseau MPLS comme un lien en point à point entre le PE d’entrée et le PE de sortie. En effet, la VRF d’entrée indique en fonction du client VPN destinataire le PE de sortie considéré comme étant le prochain saut dans le réseau VPN. Pour assurer l’échange d’information de routage de chaque VPN, MPLS utilise deux protocoles de routage comme suit :
Multi-Protocol Border Gateway Protocol (MP-BGP) : Le trafic du réseau privé virtuel est isolé logiquement des autres trafics VPN par le biais du protocole MP-BGP, qui est une extension du protocole de routage BGP pour les réseaux MPLS, il est utilisé entre les PE rattachés au CE pour que les routeurs PE échangent les informations VPN tel que : identifiant de VPN, identifiant des sites, les étiquettes utilisées et le type d’encapsulation.
Internal Gateway Protocol (IGP) : est un protocole de routage classique entre les différents nœuds du réseau, c’est-à-dire dans le cœur du réseau MPLS, par exemple OSPF.
Par contre entre le PE et CE on utilise le protocole RIP ou directement une route statique [8].
21
Chapitre 2
Multi-Protocol Label Switching (MPLS)
Figure 2.11 : La superposition des protocoles de routage. Un problème doit être résolu : d’une part un client VPN peut appartenir à plusieurs VPN et d’autre part l’utilisation de plus en plus fréquente par les entreprises des adresses privées conduit à un chevauchement d’adresses, vu que l’unicité d’adresse ne peut être garantie. La solution consiste à rendre artificiellement les adresses uniques sur le réseau en leur ajoutant un identifiant spécifique appelé distingueur de route ou Route Distinguisher (RD).Ensuite, modifier le protocole de routage c’est-à-dire MP-BGP pour qu’il accepte de telles adresses. Le RD permet de garantir l'unicité des routes VPNv4 échangées entre PE mais ne définit pas la manière dont les routes vont être insérées dans les VRF des routeurs PE. L'importation et l'exportation des routes sont gérées grâce à Route Target (RT). Les RTs ne sont rien que des filtres appliqués sur les routes VPNv4. Chaque VRF définie sur un PE est configurée pour exporter ses routes suivant un certain nombre de RT, une route VPN exportée avec un RT donné sera ajoutée dans les VRF des autres PE important ce RT [8]. La figure 1.12 fournit le format de cette nouvelle adresse dite adresse VPN-IPv4.
Figure 2.12 : Format de l’adresse VPN-IPv4. Le champ type précise comment est construit le distingueur de route. Il est déterminé à partir du numéro de système Autonomous System Number (ASN), et la valeur unique est attribuée par l’opérateur de VPN. 22
Chapitre 2
Multi-Protocol Label Switching (MPLS)
2.5-Conclusion : Dans ce deuxième chapitre, nous avons présenté la technologie MPLS, qui a été développée pour sa rapidité grâce à la commutation de paquets en se basant sur la notion des étiquettes. Ce qui se rapproche à la précision et l’efficacité des protocoles de la couche réseau (couche 3) avec la simplicité et la vitesse de la commutation de la couche liaison de données (couche 2). MPLS permet aussi de mettre en œuvre plusieurs solutions de haut niveau fortement bénéfiques aux opérateurs, telle que le MPLS/VPN que nous avons étudié avant de l’utiliser plus tard dans la partie pratique.
23
L’authentification et le protocole PPPoE
Chapitre 3
3. L’authentification et le protocole PPPoE 3.1-Introduction : De nos jours, un nombre de plus en plus important de personnes disposant d'appareils (portables, tablettes, etc.) souhaitent accéder à l'Internet. Toutefois, chaque réseau est déployé par rapport à des règles d'accès, qui n'autorise l'accès aux ressources, qu'à une catégorie de personnes. Il est devenu nécessaire de mettre en place un système d’authentification, d’autorisation et de comptabilisation. Dans la vision de consolider cette connaissance, nous abordons le protocole Remote Authentication Dial-In User Service (RADIUS) qui est un protocole d’authentification standard dont l’authentification est une phase essentielle pour la sécurisation de la communication auxquels les utilisateurs doivent pouvoir prouver leur identité (la vérification des noms d’utilisateurs et de leurs mots de passe) à leurs partenaires de communication ainsi que les informations de configuration qui précisent le type de service à fournir à l’utilisateur (par exemple :Point to Point Protocol(PPP)).
3.2-Protocole Remote Authentication Dial-In User Service (RADIUS) : En sécurité informatique, Le protocole Remote Authentication Dial-In User Service (RADIUS) est un protocole client/serveur appartenant à la famille des protocoles AAA pour Authentication, Authorization, Accounting. Ce dernier réalise trois fonctions principales [9] : L’authentification : est le mécanisme qui garantit que seuls les utilisateurs ayant le droit d’accéder au système y accèderont et cela ce fait grâce à une authentification nom d’utilisateur/ mot de passe, ou grâce à un certificat. L’autorisation : consiste à déterminer les droits de l’utilisateur sur les différentes ressources. La traçabilité ou comptabilité (Accounting) : permet de garder des informations sur l’utilisation des ressources par l’utilisateur. Le fonctionnement du RADIUS est basé sur un système client/serveur qui est chargé de définir les accès d'utilisateurs distants à un réseau. Ce dernier propose des fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients. Le protocole RADIUS utilise les ports 1812 et 1813 de la couche protocolaire UDP, comme suit :
Le port 1812, permet d’échanger les données liées à l’authentification des utilisateurs.
Le port 1813, permet la gestion de comptes pour assurer la traçabilité des opérations.
Le client RADIUS Network Access Server (NAS) est un serveur informatique permettant à un fournisseur de services indépendant (FAI) de fournir aux clients connectés un accès Internet et c’est
23
L’authentification et le protocole PPPoE
Chapitre 3
un intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS sont chiffrés et authentifiés grâce à une clef secrète d’authentification [10]. Le fonctionnement de RADIUS est basé sur le scénario suivant :
Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance.
Le NAS achemine la demande au serveur RADIUS.
Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, ou bien une autre méthode d'identification est demandée à l'utilisateur. Le serveur RADIUS va répondre par une de ces quatre réponses suivantes : Accept : l'identification a réussi. Reject : l'identification a échoué. Challenge : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un défi. Change password : Où le serveur RADIUS demande à l'utilisateur un nouveau mot de passe.
3.2.1-Procédure d’authentification RADIUS : Le poste utilisateur transmet une requête d'accès à un client RADIUS, afin d’accéder au réseau, qui se chargera de lui demander les informations nécessaire, tel que le nom d'utilisateur (login) et le mot de passe. Ce dernier génère une requête demande d’accès (Access-Request) contenant les informations d'authentification. Le serveur RADIUS peut traiter lui-même cette requête ou la transmettre à un autre serveur RADIUS par un mécanisme appelé Proxy RADIUS, qui se chargera de l'identification finale. Le serveur RADIUS peut traiter aussi la demande dans le cas où il dispose de suffisamment d'éléments dans l'Access-Request ou demander des informations supplémentaires par un renvoi de paquet défi d’accès (Access Challenge), auquel le client RADIUS répondra par un autre Access-Request et ainsi de suite. Le serveur RADIUS valide ou refuse l'identification en renvoyant un paquet de type : Accès-Accepter ou Accès-Rejeter [11].
24
L’authentification et le protocole PPPoE
Chapitre 3
Figure 3.1 : Procédure d’authentification. 3.2.2-Protocoles de mot de passe : RADIUS connaît nativement deux protocoles de mot de passe : Password Authentication Protocol (PAP) et le Challenge Handshake Authentication Protocol (CHAP).
Password Authentication Protocol (PAP) :C’est un protocole d'authentification par mot de passe. Il a été originalement utilisé dans le cadre du protocole Point to Point Protocol (PPP). Le principe du protocole PAP consiste à envoyer l'identifiant et le mot de passe en clair à travers le réseau. Si le mot de passe correspond alors l'accès est autorisé sinon il sera refusé [11].
25
L’authentification et le protocole PPPoE
Chapitre 3
Figure 3.2 : Authentification PAP.
Challenge Handshake Authentication Protocol (CHAP) : Est un protocole d'authentification pour PPP à base de défi (challenge), ce qui le rend bien plus sûr que le PAP. L'objectif du CHAP est l’authentification auprès d'un authentificateur sans échange de mot de passe en clair sur le réseau [11].
Figure 3.3 : Authentification CHAP. 3.2.3-Procédure d’autorisation : L’authentification RADIUS peut être enrichie d'une autorisation. A titre d’exemple, l’adresse IP du client, son temps de connexion maximal, son temps d'inactivité… ect. Les attributs RADIUS portent les détails spécifiques d’authentification, d’autorisation, et les précisions comptables pour la demande et la réponse. Afin d’illustrer la diversité des attributs, voici quelques exemples d’attributs:
User-Password : Mot de passe PAP ou CHAP.
Framed-IP-Address : Spécifie une adresse IP à attribuer à l’utilisateur.
Tunnel-Type : Donne le type de tunnel utilisé.
Cisco-Call-Type : Un attribut utilisé par le matériel Cisco.
3.2.4-Comptabilisation (Accounting) : La deuxième fonction d'un serveur RADIUS est la comptabilisation (Accounting) assurant à la fois la journalisation des accès et la facturation. La comptabilisation se base sur deux types de paquets principaux: début de comptabilité (Accounting-Start) et l’arrêt de la comptabilité (Accounting-Stop) dont la session est définie comme l'intervalle entre un début et un arrêt.
26
L’authentification et le protocole PPPoE
Chapitre 3
Le paquet Accounting-Start émis par le client RADIUS après connexion effective de l'utilisateur contient des données de base, tel que : nom d'utilisateur, adresse IP affectée, date et heure de connexion, type de connexion, type de service. Une fois l'utilisateur déconnecté, il envoie un paquet Accounting-Stop avec le même identificateur de session afin que le serveur RADIUS puisse fermer la session [11].
Figure 3.4 : La procédure de comptabilité (Accounting).
3.3-Point to Point Protocol (PPP) : Point-to-Point Protocol (PPP) est un protocole de transmission pour l'internet, qui permet d'établir une connexion entre deux hôtes sur une point, il fait partie de la couche liaison de données (couche 2) du modèle OSI et utilisé sur des connexions Ethernet PPP over Ethernet (PPPoE). PPP s'appuie sur trois fonctionnalités:
L'encapsulation des datagrammes.
Le contrôle de la liaison avec Link Control Protocol (LCP).En effet, dans une communication PPP, l'émetteur et le récepteur envoient des paquets LCP pour déterminer des informations spécifiques à la transmission de données. Le LCP vérifie l'identité de l'élément connecté il
27
L’authentification et le protocole PPPoE
Chapitre 3
l'accepte ou le refuse, il détermine la taille des paquets acceptables pour la transmission, recherche les erreurs dans la configuration et peut interrompre la communication en cas d'erreur. Les données ne peuvent pas être transmises sur un réseau tant que la connexion n'est pas acceptée par LCP.
Le contrôle de la couche réseau : réalisé via Network Control Protocol (NCP), qui est un protocole réseau intégré à PPP pour fournir les options concernant la couche 3 du réseau, c’està-dire Internet Protocol (IP).
Le protocole PPP permet une meilleure gestion des liaisons, car il prend en charge des mécanismes d'authentification, comme PAP ou CHAP, il admet aussi le groupement de lien, garce au PPP Multi Link, qui permet de regrouper virtuellement plusieurs liaisons sérielles en une seule interface virtuelle, dont l’objectif est d’assurer une augmentation de bande passante, ainsi que la gestion de la redondance. De même, le protocole PPP assure aussi la compression des données [12].
Figure 3.5 : Architecture de PPP. 3.3.1-Format de la trame PPP : La trame PPP est composée des champs suivants :
Drapeau : Indicateur de début ou fin de trame. 28
L’authentification et le protocole PPPoE
Chapitre 3
Adresse : Adresse de diffusion standard (Valeur = 11111111), car PPP n’attribue pas d’adresse d’hôte (Couche 2).
Contrôle : Fourniture d’un service non orienté connexion (Valeur = 00000011).
Protocole : Identification du protocole encapsulé (IP).
Données : Ce champ contient l'information encapsulée qui a été transmise par la couche réseau ou par les protocoles de gestion de lien (LCP) ou de gestion de couche réseau (NCP) [12].
FCS : Séquence de contrôle de trame pour une vérification des erreurs.
Figure 3.6 : Trame PPP. 3.3.2-PPP over Ethernet (PPPoE) : Le protocole Point to Point Protocol over Ethernet (PPPoE) est une implémentation spécifique du protocole PPP sur l'Ethernet. On le rencontre en particulier sur les accès à haut débit à Internet de type Digital Subscriber Line (DSL). Ce protocole tire plusieurs avantages, tel que la compatibilité avec les protocoles d'authentification (PAP, CHAP, etc.) et le contrôle de débit de la connexion. PPPoE occupe 8 octets dans les trames Ethernet et diminue donc d'autant la taille maximale des paquets IP [14].La trame PPPoE est composée des champs suivants :
Version : sur 4 bits elle indique la version de la spécification PPPoE.
Type : sur 4 bits qui indique le type de la version de la spécification PPPoE.
Code : sur 8 bits définis pour l'étape de découverte et l'étape de la session PPP.
Identificateur de session : Valeur sur 16 bits, qui est fixée pour une session PPP donnée entre l'adresse Ethernet source et l'adresse Ethernet destination.
Longueur : Valeur sur 6 bits indiquant la longueur de la charge utile PPPoE. Cela n'inclut pas la longueur des en-têtes Ethernet ou PPPoE.
La charge utile : PPPoE contient zéro ou plusieurs TAGs. Un TAG est un ensemble TypeLongueur-Valeur (TLV) construit et défini comme suit : Type : Type de données codé sur 16 bits Longueur : Valeur sur 16 bits indiquant en octets la longueur de « Valeur ». 29
L’authentification et le protocole PPPoE
Chapitre 3 Valeur : Valeur de la donnée.
Figure 3.7 : Format de la trame PPPoE. 3.3.3-La session PPP : Pour qu’une session PPP sera établie, une étape préliminaire, dite la découverte doit être effectué comme suit : Emission d’un paquet broadcast d’initiation par l’hôte. Les hôtes envoient en diffusion un paquet PPPoE Active Discovery Initiation (PADI), le paquet PADI doit contenir un ServiceName, indiquant le service que l'hôte demande ainsi que d'autres numéros correspondant à d'autres types de TAG. Une fois que le NAS reçoit un PADI, il répond en envoyant un paquet PPPoE Active Discovery Offer (PADO) à l'adresse de destination, qui est une adresse unicast de l'hôte envoyé dans le PADI. Le paquet PADO doit contenir le nom du NAS et un Service-Name identique à celui contenu dans le PADI. Emission d'un paquet de demande de session unicast par l'hôte, PPPoE Active Discovery Request (PADR). Vu que le PADI a été envoyé en diffusion, l'hôte peut recevoir plusieurs PADO. Cette dernière examine les paquets PADO reçus par le NAS et en choisit un dont le choix peut être basé sur le nom du NAS ou sur les services offerts. Emission d'un paquet de confirmation de session par le NAS, via le paquet PPPoE Active Discovery Session-confirmation (PADS).Quand le NAS reçoit un paquet PADR, il se prépare à établir une session PPP. En effet, le NAS produit un identificateur de session unique pour la 30
L’authentification et le protocole PPPoE
Chapitre 3
session PPPOE et répond à l'hôte avec un paquet PADS. Le paquet PADS contient le nom du service sous lequel le NAS a accepté la session PPPoE, si le NAS n'accepte pas le service proposé dans le PADR il doit répondre avec des PADS Service-Name-Error. Emission d’un paquet de terminaison. Ce paquet peut être envoyé soit par l'hôte soit par le NAS, à n'importe quel moment, afin d’indiquer que la session PPPoE est terminée. Quand un paquet PPPoE Active Discovery terminate (PADT) est reçu, aucun autre trafic PPP utilisant cette session ne peut être envoyé [13].
Figure 3.8 : Les étapes de découvertes d’une session PPPoE. Une fois que la session PPPoE, l'établissement de la connexion PPP peut s'exécuter normalement comme s'il était exécuté sur un média point à point. Les trois phases connues des connexions PPP sont la phase LCP, la phase d'authentification et la phase NCP [13].
3.4-Conclusion : Dans ce chapitre, nous avons abordé les protocoles d’accès dont principalement le protocole RADIUS.RADIUS est un protocole basé sur un système client/serveur, chargé de définir les accès d'utilisateurs distants à un réseau, tout en proposant d’autres fonctionnalités de comptabilité permettant aux FAI de facturer précisément leurs clients. De même, le protocole PPPoE a été présenté, qui est une implémentation du protocole PPP sur Ethernet, afin d’établir la session PPP entre le client et le serveur d’accès NAS. Dans le chapitre suivant, nous allons aborder notre projet
31
L’authentification et le protocole PPPoE
Chapitre 3
qui consiste à faire une conception du réseau d’un provider internet proche à celui d’Algérie Télécom.
32
Chapitre 4
Etude de la conception
4. Etude de la conception 4.1-Introduction : Après avoir étudié théoriquement les protocoles utilisés dans le réseau, il convient maintenant de passer à la partie conception de notre projet au sein de l’entreprise d’accueil. Dans ce chapitre nous allons commencer par une petite description de l’existant et ensuite décrire les différentes étapes afin d’atteindre les objectifs de la conception de ce projet. On commencera par la description de la conception ainsi que les avantages qu’elle peut apporter tout en illustrant la topologie de la maquette à simuler et les méthodes sur les différentes phases d’implémentation.
4.2-Réseau d’un fournisseur d’accès internet : Un fournisseur d'accès à Internet (FAI), est un organisme généralement une entreprise mais parfois aussi une association offrant une connexion à Internet [14]. Au cours du temps, les fournisseurs d’accès internet ont utilisé plusieurs technologies et de mécanismes de commutation de paquets. Les plus anciens sont Le relais de trame (Frame Relay) et Asynchronous Transfer Mode (littéralement « mode de transfert asynchrone », ATM) en arrivant au plus récent, la technologie des MPLS qu’on avait déjà abordé dans le chapitre 2. 4.2.1-Le relais de trame ou Frame Relay : Le relais de trame ou Frame Relay est un protocole à commutation de paquets situé au niveau de la couche de liaison (niveau 2) du modèle OSI, utilisé pour les échanges intersites et ne fournit que de la vérification d'erreurs. Frame Relay permet d'avoir un débit compris entre 56kb/s et 2 Mb/s et il peut être utilisé à la fois dans un réseau public et dans un réseau privé [15]. Pour le fonctionnement du Frame Relay, les périphériques reliés à un Wide Area Network (WAN) sont généralement classés en Data Terminal Equipment (DTE) Ou Data Circuit Equipment (DCE).
Les DTEs sont généralement des équipements terminaux placés à l'entrée du réseau du consommateur : routeurs ou Frame Relay.
Les DCE sont des équipements situés au cœur du réseau et offre un service de synchronisation entre les équipements de commutation.
32
Chapitre 4
Etude de la conception
Figure 4.1 : Topologie physique du Frame Relay. R1 et R2 considérés comme des DTE et ils sont connectés à des switchs Frame Relay (Ethernet switch sur le schéma) considérés comme des DCE par des lignes spécialisées. Les liens entre R1, R2 et les switchs Frame Relay sont appelés des liens d'accès sur lesquels sont périodiquement transportés des messages définis par le protocole Local Management Interface (LMI). Le Frame Relay connait plusieurs caractéristiques, tel que:
Plus la distance couverte par une ligne spécialisée est importante, plus le service est coûteux.
Les réseaux à commutation de paquets fournissent un multiplexage de nombreuses données à travers un seul lien de communication.
Une simple connexion à un fournisseur d'accès à un réseau à commutation de paquets est moins coûteuse.
Si 2 sites distants veulent communiquer par le biais de Frame Relay, ils ont donc juste à constituer un circuit entre ces sites, à travers le réseau Frame Relay.
4.2.2-Le mode de transfert asynchrone (ATM) : ATM est un protocole réseau de niveau 2 à commutation de cellules, qui a pour objectif de multiplexer différents flux de données sur un même lien utilisant une technique de type Time Division Multiplexing (TDM) ou multiplexage à répartition dans le temps (MRT). L’ATM est un protocole asynchrone, s'appuyant fréquemment sur une couche de transport synchrone, c’est-à-dire que les cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre, mais sont insérées dans le flux de données synchrones d'un protocole de niveau inférieur pour leur transport [15]. L’intégration d'ATM au sein du réseau d'entreprise doit se faire sans trop perturber l'existant, protégeant les investissements matériels et logiciels réalisés.
33
Chapitre 4
Etude de la conception
Il faut donc envisager quatre axes d'utilisation ATM :
Connexions des stations de travail.
Backbone de réseau local.
Accès au réseau étendu.
Transport sur réseau étendu.
Dans le modèle OSI, ATM pourrait être placée au niveau 2 (Couche Liaison de Données).Le modèle ATM considère trois niveaux : La couche physique : Utilisation des standards déjà déployés des couches physiques tels que la fibre optique et la paire torsadée. La couche ATM : Construction de la cellule ATM, multiplexage/démultiplexage et commutation des cellules. La couche ATM Adaptation Layer (AAL) : Adaptation du flux de données à la structure des cellules. On distingue une AAL par type de trafic. Les couches du modèle ATM sont regroupées sur trois plans :
Le plan Utilisateur : Ce plan permet bien sûr de faire transiter dans le réseau les informations, mais il prend également en charge les erreurs de transfert et la surveillance du flux émis. Le plan de Contrôle : ATM étant en mode connecté, ce plan permet l'établissement, la libération et la surveillance des connexions. Le plan de Gestion : Ce plan assure des opérations de contrôle et de maintenance (gestion des performances, détections des pannes, localisation des fautes...etc).
Figure 4.2 : Schéma des plans et niveaux du modèle ATM. 34
Chapitre 4
Etude de la conception
ATM permet de véhiculer tout type d’information : voix, vidéo, données. Pour cela, il faut offrir :
Un débit suffisant : Les applications multimédia ont besoin de liens avec des débits en Gigabits/sec.
Une qualité de service adaptée aux différents types de trafic : Le trafic temps réel tolère certaines pertes mais pas de retard (comme la voix et la vidéo haute-résolution), tandis que le trafic sans contrainte de temps réel tolère une distorsion temporelle mais pas de perte (comme le transfert de fichiers).
Il faut noter que l’ATM possède des caractéristiques lui permettant de remplir ses objectifs. En effet l’ATM : utilise des paquets de petite taille fixe appelés cellules. est orienté connexion. Chaque connexion est identifiée par un numéro, toute cellule transportant les données porte l'identificateur de la connexion. utilise le multiplexage temporel asynchrone. Possède une signalisation riche permet la mise en œuvre de fonctionnalités adaptées. 4.2.3-Les moyens de transmissions dans un FAI : Un FAI procède de manière différente dans le câblage et la mise en place du support de transmission, selon le type du client ou d’abonné (entreprise ou résidentiel). Les types de câblages et de supports les plus utilisés par un FAI sont : Les lignes spécialisées (LS) : Une ligne spécialisée (LS) appelée également liaison louée est une liaison physique de niveau 2 dans le modèle OSI, mise en œuvre et exploitée par un FAI sur des courtes ou longues distances. La LS est connectée en permanence entre deux bâtiments distants. Elle n'est qu'exclusivement partagée entre ces deux points, à la différence des réseaux dits "partagés" où tous les abonnés disposent des mêmes ressources matérielles et logicielles (liaisons et routeurs IP). Les Liaisons micro-ondes : Les liaisons micro-ondes sont des supports de transmission d'informations utilisées surtout sur les réseaux WAN pour relier différents réseaux. Ce type de liaison est très utile pour relier des réseaux qui n'autorisent aucune connexion physique. Au niveau de la bande passante, ces types de liaisons peuvent atteindre une vitesse de transmission de 10 Mbps. Les stations d'émission et de réception des micro-ondes doivent être alignées avec une grande précision pour pouvoir transférer efficacement les informations, ce qui est très couteux. Les micro-ondes peuvent subir des interférences dues aux mauvaises conditions climatiques comme le brouillard ou la pluie. 35
Chapitre 4
Etude de la conception
La fibre optique : La fibre optique est un support de transmission d'information en utilisant des signaux lumineux au sein d'un réseau. Les informations échangées se font à l'aide de signaux électriques qui seront convertis en signaux lumineux avant d'être transmis. Le câble optique fait circuler les informations dans un conducteur central en verre ou en plastique, ce conducteur est enveloppé de silicone ou plastique pour empêcher la perte du signal et l'ensemble est enveloppé dans une gaine plastique. Lorsque les signaux lumineux atteignent l'ordinateur cible, ces signaux lumineux sont à nouveau convertis en signaux électriques pour être exploitables dans la réception. La fibre optique est cependant un support idéal pour la transmission des informations sur un réseau. Les câbles coaxiaux: Le câble coaxial est l’un des supports de transmission les plus utilisés au niveau des réseaux. Il est composé d'un fil de cuivre rigide enveloppé d'une couche plastique, elle-même entourée d'une feuille ou tresse métallique et l'ensemble du câble est recouvert d’une gaine plastique souple. Bien que la tresse métallique protège les transmissions des informations contre les interférences, les signaux électriques voisins peuvent perturber la transmission des signaux. La largeur de la bande mesure la quantité d'informations qui peut être transférée simultanément à l'aide d'un support donné. Dans les réseaux qui utilisent le câble coaxial, la vitesse de transmission moyenne est de 10 Mbps [8].
4.3-Description de la conception : Notre projet consiste à faire une représentation virtuelle d’un réseau provider internet avec la présence de plusieurs services et protocoles indispensables pour le bon fonctionnement et la sécurité du réseau. La conception du réseau est divisée en 3 parties : le réseau cœur, le backbone internet et le réseau d’accès.
4.4-Configuration de la maquette : Dans cette partie-là nous allons faire des configurations sur les 3 parties du notre conception c’està-dire le réseau cœur qui est la base de notre réseau, réseau internet et réseau d’accès, nous allons implémenter les différents protocoles afin que notre réseau fonctionne.
36
Chapitre 4
Etude de la conception
Figure 4.3 : Maquette de simulation du réseau d’un fournisseur d’accès internet proche de celle d’Algérie Telecom. Pour la réalisation de la maquette, nous avons utilisé : 1 routeur c3725 représente le serveur DNS. 1 routeur c3725 représente le réseau backbone (internet). 3 routeurs c3725 représentent les routeurs d’extrémités du réseau cœur du fournisseur d’accès. 1 routeur c3725 représente le BRAS, le routeur responsable de l'authentification et de la comptabilité et de l'assignation d'adresse IP. 1 routeur c3725 représente le client dans notre conception. 2 routeurs c3725 pour une entreprise appelée « entrepriseA ». 3 routeurs c7200 et un routeur c3725 pour représentent les routeurs internes du réseau cœur. 1 commutateur Ethernet. Une machine virtuelle contenant le serveur radius (utilisé pour l’authentification et la comptabilité). 4.4.1-Configuration des interfaces des routeurs : En premier lieu nous allons configurer toutes les interfaces des différents routeurs en affectant à chaque interface une adresse IP selon le plan d’adressage bien choisi. Il suffit de sélectionné l’interface concerné et lui affecter une adresse IP ainsi que le masque du sous réseau correspondant. Une interface loopback est une interface virtuelle située dans les routeurs (elle n'existe pas réellement), elle joue le rôle d'une corbeille de réseau. Les paquets erronés qui devrons être rejetés sont envoyés directement vers l'adresse de cette interface virtuelle (loopback) pour les supprimés.
37
Chapitre 4
Etude de la conception
Pour les adresses IP des interfaces loopback, nous avons attribué pour chaque routeur une adresse IP en fonction du numéro du routeur associé. Exemple : pour R1, l’adresse IP du loopback vaut 1.1.1.1 et ainsi de suite, sauf pour le routeur R10, l’adresse 100.100.100.100 lui a été attribuée pour la loopback, car l’adresse 10.10.10.10 existe déjà auparavant dans le réseau cœur. L’affectation des adresses IP pour chaque routeur de notre réseau est illustrée dans le tableau 4.1. Tableau 4.1 : L’affectation des adresses IP pour chaque routeur de notre réseau. Routeur
R11 R13 R14 R8
Interface Adresse IP FastEthernet0/0 10.10.10.9/30 FastEthernet0/1 10.10.10.17/30 FastEthernet1/0 10.10.10.1/30 FastEthernet2/0 172.30.0.2/29 FastEthernet0/0 10.10.10.14/30 FastEthernet0/1 10.10.10.6/30 FastEthernet1/0 10.10.10.26/30 FastEthernet2/0 192.168.0.2/30 FastEthernet0/0 10.10.10.34/30 FastEthernet0/1 192.168.0.6/30 FastEthernet1/0 192.168.1.1/30 FastEthernet0/0 10.10.10.2/30 FastEthernet0/1 10.10.10.5/30 FastEthernet1/0 10.10.10.21/30 FastEthernet0/0 10.10.10.18/30 FastEthernet1/1 10.10.10.22/30 FastEthernet1/0 10.10/10.29/30 FastEthernet0/0 10.10.10.10/30 FastEthernet1/1 10.10.10.13/30 FastEthernet1/0 10.10.10.33/30 FastEthernet0/0 10.10.10.30/30 FastEthernet1/0 10.10.10.25/30 FastEthernet0/0 192.168.1.2/30 FastEthernet0/1 192.168.60.1/30 FastEthernet1/0 -----------------FastEthernet0/0 -----------------FastEthernet0/0 192.168.0.5/30 FastEthernet0/0 192.168.0.1/30 FastEthernet0/0 172.30.0.1/29
Masque 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.248 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 255.255.255.252 ------------------------------------255.255.255.252 255.255.255.252 255.255.255.248
-----------------13.13.13.13 14.14.14.14 8.8.8.8
R10
FastEthernet0/0
255.255.255.248
100.100.100.100
R1
Provider Edge (PE)
R3
R4 R2
R5 Providers (P) R6
R7 R9
Routeurs d’accès BackBone
172.30.0.3/29
loopback 1.1.1.1
3.3.3.3
4.4.4.4
2.2.2.2
5.5.5.5
6.6.6.6 7.7.7.7
9.9.9.9
En ce qui suit, nous allons détailler la configuration du routeur R1. Il faut noter que nous avons procéder de la même manière pour le restant des autres routeurs de notre réseau.
38
Chapitre 4
Etude de la conception
R1 # configure terminal. Passez en mode de configuration globale. R1 (config) # Interface FastEthernet 0/0 : passez au mode de configuration d’interface en indiquant le type et le numéro d’interface. R1 (config-if) # ip address 10.10.10.9 255.255.255.252 : Configurez l’adresse IP et le masque de sous-réseau. R1 (config-if) # exit R1 (config) # interface loopback 0 R1 (config-if) # ip address 1.1.1.1 255.255.255.255 R1 (config-if) # exit R1 (config) # do wr Pour voir si nous avons bien configuré les interfaces, il suffit de taper la commande « show ip interfaces brief » afin d’afficher l’état des interfaces configurés:
Figure 4.4 : les adresses des interfaces configurées sur le routeur R1. 4.4.2-Configuration du protocole OSPF: Le protocole OSPF est activé sur tous les liens du réseau cœur appartenant tous à la même zone (area0), afin que chaque routeur obtienne dans sa table de routage les routes vers toutes les destinations dans la zone. Dans ce qui suit, nous procéderons à la configuration d’OSPF au niveau du réseau cœur, qui consiste à donner pour chaque routeur les voisins qui l’entourent.
39
Chapitre 4
Etude de la conception
Figure 4.5 : Topologie du réseau cœur. A titre d’exemple, prenant le routeur (R6). La figure suivante présente les commandes utilisées pour la configuration de l’OSPF.
Figure 4.6 : Les commandes utilisées pour la configuration d’OSPF. R6 (config) # router ospf proccess-id. Dans notre cas, le paramètre process-id est égal à 1. Ce nombre est choisi par l’administrateur réseau, et est compris entre 1 et 65535. R6 (config-router) # network 10.10.10.8 0.0.0.3 area 0. Pour configurer OSPF afin d’annoncer des sous-réseaux spécifiques. Dans ce cas 0.0.0.3 représente le contraire du masque de sous réseau 255.255.255.252. Area 0 fait référence à la zone OSPF, tous les routeurs OSPF de la même zone doivent avoir les mêmes informations. Dans notre étude, on utilise OSPF à zone unique.
40
Chapitre 4
Etude de la conception
Pour afficher les voisins du routeur R6 on utilise la commande « show ip ospf neighbor » :
Figure 4.7 : les voisins du routeur R6. Cette figure nous donne les adresses des loopback voisins au routeur R6, l’état de lien s’il est UP/DOWN, aussi avec quelle interface, le routeur R6 est en contact avec les adresses IP des interfaces voisins. 4.4.3-Configuration du Protocole Border Gateway Protocol (BGP) : Nous allons donc mettre en place des relations iBGP entre les PE (R1-R4), (R1-R3), (R3-R4). Le but est que les PE s’échangent leurs routes BGP sans qu’il soit nécessaire d’utiliser de la redistribution. Nous pouvons constater qu’il n’est pas nécessaire que les routeurs soient directement connectés pour qu’une relation se forme. Pour une relation iBGP, il est conseillé d’utiliser une adresse IP Loopback comme IP de voisin car si nous utilisons une IP d’interface et que celle-ci tombe en panne, la relation BGP disparait. La mise en place de relation eBGP entre le R4 et le BRAS, R1-R10 et R1-R8, avec les adresses IP de Loopback est nécessaire. A titre d’exemple, prenons le routeur R1. Pour l’eBGP, c’est-à-dire entre le routeur R1 et le Backbone, il faut utiliser la commande suivante: R1 (Config-router) # neighbor 100.100.100.100 0.0.0.0 ebgp-multihop 3 Cette commande n’est pas obligatoire dans l’iBGP, il est nécessaire d’utiliser cette commande dans l’eBGP car par défaut une relation eBGP ne peut pas s’établir sur une distance de plus d’un saut.
41
Chapitre 4
Etude de la conception
Figure 4.8 : Les relations iBGP et eBGP. Pour la configuration du BGP, nous allons utiliser le routeur R1, et on procède de la même façon pour les autres routeurs (R3, R4, R8, R10 et R9) comme suit :
Figure 4.9 : Les commandes utilisées pour la configuration de BGP. La commande « show ip bgp neighbors » nous permet de vérifier la bonne configuration du BGP ainsi que le bon établissement des liens:
Figure 4.10 : les voisins BGP du routeur R1. 42
Chapitre 4
Etude de la conception
4.4.4-configuration du protocole MPLS : Pour le protocole MPLS, il suffit de l’activer, via la commande suivante : R1 (config) # mpls ip La commande utilisée pour l’affectation d’une plage d’étiquettes pour le routeur R1 est: R1 (config) # mpls label range 100 199. Cette commande va nous permettre d’affecter une plage d’étiquettes pour chaque routeur, par exemple pour le routeur R1 ; une plage d’étiquette entre 100-199. Pour R2, une plage qui varie entre 200 et 299 et ainsi de suite. Il faut s’assurer aussi que ip cef (Cisco Express Forwarding) soit activé pour recevoir les messages LDP sinon nous pouvons l’activé par la commande ip cef.
Figure 4.11 : Configuration du MPLS pour le routeur R1. 4.4.5-Configuration du Domain Name System (DNS): Le Domain Name System, généralement abrégé DNS, qu'on peut traduire en système de noms de domaine, est le service informatique distribué utilisé pour traduire les noms de domaine Internet en adresse IP ou autres enregistrements. Le DNS est un protocole indispensable au fonctionnement d'Internet, pas d'un point de vue technique mais d'un point de vue de son utilisation, car il est inconcevable aujourd'hui d'utiliser des adresses IP en lieu et place des noms des sites web pour naviguer sur Internet [16].
43
Chapitre 4
Etude de la conception
Figure 4.12 : la partie concernée par la configuration du serveur DNS. La configuration du serveur DNS sera faite sur le Routeur R10 de la partie Internet par les commandes suivantes :
R10 (config) # ip host 8.8.8.8 www.google.com
Cette commande nous montre que www.google.com correspond à 8.8.8.8, c’est-à-dire la translation du nom de domaine à une adresse IP.
R10 (config) # ip dns server
Cette commande est utilisée pour que le routeur R10 soit un serveur DNS.
R9 (config) # ip name-server 41.110.32.2
Cette commande spécifie l’adresse IP du nom du serveur utilisé, Lorsqu’on veut accéder à www.google.com du BRAS, ce dernier va envoyer une requête au serveur DNS afin de déterminer s’il reconnait cette adresse. Une fois que le serveur vérifie dans sa base de donnée, l’existante de cette adresse, ou elle sera dirigé directement au routeur R8 car www.google.com correspond à 8.8.8.8. C’est à ce moment-là ou la translation du nom de domaine vers l’adresse IP sera effectuée.
44
Chapitre 4
Etude de la conception
La figure suivante montre la traduction du nom de domaine www.google.com en adresse IP qui lui correspond (8.8.8.8)
Figure 4.13 : traduction du nom de domaine www.google.com en adresse IP. 4.4.6-Configuration du MPLS/VPN : Dans cette partie, le MPLS/VPN va être configuré. En premier lieu, nous allons donner un nom au routeur virtuel (VRF), nous avons choisi le nom « entrepriseA », nous allons aussi définir le déstingueur de route pour que l’adresse soit unique (1:1). De même, route-target est configurer afin de pouvoir définir comment les routes sont importés ou exportés. Finalement, nous apportons des modifications au niveau du BGP, pour que le type de ces adresses sera accepté (MP-BGP) et que l’entreprise a accès qu’à l’autre site de son entreprise en VPNv4 mais pas aux autres routeurs qui sont en IPv4. Il suffit alors de configurer une route statique entre le CE et le PE pour qu’ils puissent communiquer entre eux. La partie concernée par la configuration est illustrée par le cadre rouge dans la figure suivante :
Figure 4.14 : La partie concernée par la configuration du VPN. 45
Chapitre 4
Etude de la conception
Les commandes utilisées pour la configuration du VPN coté PE (R4) sont illustrés dans la figure 4.15. Il faut noter que nous procédons de la même façon pour l’autre extrémité c’est-à-dire R3 :
Figure 4.15 : Les commandes utilisées pour la configuration du VPN. Et de côté CE (entreprise A) c’est-à-dire les routeurs R13 et R14 on va juste configurer des routes statiques. On prend le routeur R13 et on lui applique la configuration d’une route statique : R13 (config) # ip route 192.168.0.5 255.255.255.0 fastEthernet 0/0 : le réseau à atteindre est le 192.168.0.5/24 et l’interface utilisée pour joindre le réseau est fastEthernet 0/0. A ce stade, il suffit simplement de tester le bon fonctionnement de notre MPLS/VPN, par un test de connectivité (PING) :
Figure 4.16 : Test de MPLS/VPN. 46
Chapitre 4
Etude de la conception
Avec ce test, on voit bien que l’entreprise a accès à l’autre site de son entreprise mais pas aux autres routeurs. 4.4.7-Configuration du RADIUS : Avant de commencer la configuration de daloRADIUS, nous allons associer le cloud qui est configuré sur VMnet 3 dans GNS3 avec notre machine virtuelle. Il suffit d’accéder aux paramètres de notre machine virtuelle et choisir le specific virtual network VMnet3.
Figure 4.17 : Association du cloud avec la machine virtuelle. Après l’association de cloud avec la machine virtuelle, nous allons configurer notre machine virtuelle c’est-à-dire notre serveur RADIUS, en lui affectant une adresse IP de 192.168.60.7.
Figure 4.18 : Configuration de daloRADIUS.
47
Chapitre 4
Etude de la conception
Maintenant, il suffit de taper l’adresse 192.168.60.7 dans le navigateur pour visualiser la plateforme de serveur daloRADIUS, cependant il faut que la machine virtuelle soit allumée :
Figure 4.19 : la plateforme du serveur daloRADIUS. Après avoir terminé la configuration du serveur RADIUS on doit ajouter BRAS, le client à la base de données, afin d’effectuer la gestion d’authentification et de comptabilité, dont l’ajout du client est illustré dans la figure ci-dessus :
Figure 4.20 : L’ajout du client dans la base de données du serveur RADIUS. 48
Chapitre 4
Etude de la conception
Une autre étape tout aussi nécessaire, consiste à l’ajout du BRAS comme illustré dans la figure suivante :
Figure 4.21 : L’ajout du BRAS dans la base de données du serveur RADIUS. Maintenant, nous allons vérifier si le client RADIUS (BRAS) et l’utilisateur (le client) figurent dans la base de données.
Figure 4.22 : La base de données du serveur RADIUS.
49
Chapitre 4
Etude de la conception
Les étapes à suivre pour la configuration du BRAS sont illustrées dans la figure suivante :
Figure 4.23 : Les étapes de configuration du RADIUS ET PPP au niveau du BRAS. La figure suivante présente les étapes de configuration du client :
Figure 4.24 : Les étapes à suivre pour la configuration du client. Un test est de rigueur, dans le but de vérifier la bonne configuration du client BRAS et le serveur RADIUS (daloRADIUS), par un simple test de connectivité (PING) : 50
Chapitre 4
Etude de la conception
Figure 4.25 : Test de connectivité entre le client- BRAS et le client-Serveur RADIUS. Par la suite, nous affichons des captures à l’aide de wireshark et on voit si la session PPP s’établie entre le client et le BRAS, comme suit :
Figure 4.26 : Les captures de PPP. La figure ci-dessous illustre les étapes de découverte et l’établissement de la session PPP. En effet on voit bien dans la capture avant qu’une session PPP commence il y’a l’étape préliminaire c’est l’étape de découverte qui consiste en une négociation de session et la découverte des adresses mac entre la source et la destination. 51
Chapitre 4
Etude de la conception
Et puis la partie session qui se présente par des échanges de paramètres d’authentification et de plusieurs protocoles tel que : -LCP pour déterminer des informations spécifique à la transmission de données, CHAP : pour indiquer le type d’authentification et DHCP : pour affecter une adresse dynamique à l’hôte. Pour la partie terminate en cas de déconnexion coté client ou bien coté BRAS. Après avoir vérifié que la session PPP s’établie, on va tester si le client peut accéder à www.google.com .
Figure 4.27 : Traduction du nom de domaine www.google.com en adresse IP coté Client. Cette figure nous montre que le client à accéder à www.google.com et que le nom du domaine a été traduit en adresse IP correspondante. Maintenant on va faire une capture à l’aide de wireshark pour voir la procédure de comptabilité (Accounting) :
Figure 4.28 : Les captures RADIUS. Une fois que la session PPP est établie, après avoir négocié et choisi l’identificateur de session la procédure de comptabilité commence par un paquet Accounting Start et on reçoit la mise à jour
52
Chapitre 4
Etude de la conception
chaque 60s pour vérification (Déconnexion du client, expiration du forfait...etc.), et pour le paquet Accounting-Stop en cas de déconnexion coté client ou bien coté BRAS .La figure ci-dessus illustre les paquets d’une procédure de comptabilité :
Figure 4.29 : Les paquets de comptabilité (Accounting).
4.5-Conclusion : Il a été question dans ce chapitre, de décrire et simuler les différentes phases du réseau provider internet proche de celui d’ALGERIE TELECOM. Notre simulation illustre toutes les phases possible à partir d’un client jusqu’au backbone Internet, dans laquelle nous avons apporté des modifications aux niveaux des différents équipements utilisés. Le simulateur GNS3 à partir de son interface graphique, nous a permis de concevoir et simuler la topologie voulue, comprenant les périphériques suivants : les commutateurs, les routeurs et les stations de travail. La fiabilité de notre réseau est également vérifiée à partir d’un ensemble de tests.
53
Conclusion générale Le travail que nous avons accompli a pour principal objectif d’une simulation d’un réseau provider internet dans ces différentes phases, une partie accès au réseau, un réseau cœur principal et un simple réseau de sortie vers internet avec un exemple d’un service DNS. Ce projet nous a permis de mettre en pratique les connaissances acquises durant le cycle de notre formation et de nous familiariser avec le monde professionnel durant la période de notre stage au sein de l’entreprise d’accueil « ALGERIE TELECOM ». Dans ce mémoire, nous avons présenté dans la première partie quelques généralités sur les protocoles de routages dynamiques utilisées tels que le BGP et l’OSPF et le principe de fonctionnement des réseaux MPLS et les VPN. A la fin de cette partie, nous avons détaillé et expliqué le protocole d’authentification RADIUS et le protocole d’accès PPPOE. Dans la deuxième partie nous avons configuré l’architecture proposée à l’aide de l’outil GNS3 afin de simuler l’interconnexion des différentes plateformes. En effet, la combinaison entre les technologies VPN et MPLS a permis de fournir une solution sécuritaire. Entre autres, l’évolution dans le domaine des réseaux ne cesse de donner une grande souplesse de trouver des solutions efficaces pour maintenir la disponibilité et la fiabilité de ces réseaux et aussi pour fournir une sécurité des biens et des personnes en assurant toujours une authentification pour les accès. La réalisation de ce projet a été bénéfique et importante pour nous dans le sens où elle nous a permis de comprendre le fonctionnement des réseau provider internet, mais aussi d’approfondir et d’acquérir de nouvelles connaissances qui seront utiles et déterministes pour nous à l’avenir.
53
Références bibliographiques [1] Guy Pujolle, ‘Initiation aux réseaux’, Eyrolles, 2001. [2] Cours Cisco Networking Academy Program (CCNA). [3] Y Rekhter T.LI S.Hares ,’RFC 4271 : A Border Getway Protocol 4’, 2006. [4] Clément SAAD,’Instabilités du protocole BGP’, Memoire de D.E.A, Université Montpellier, 2015. [5] William Landry SIME, ‘Mise en place d’une architecture VPN MPLS avec gestion du temps de connexion et de bande passante utilisateur’, Mémoire Master, Institut d’ingénierie d’informatique de Limoge ,2010. [6]
ISMAIL, ‘Mise en œuvre d’un cœur de réseau IP/MPLS’, Diplôme d’ingénieur d’état en télécommunication, université de Bechar, 2010.
[7]
James Reagan, ‘CCIP MPLS Study Guide’, SYBEX, 2002.
[8]
Claude Servin, ‘Réseaux et télécoms 2e Edition’, DUNOD, 2006.
[9]
Houssenbay Olivier, ‘FreeRadius, un serveur d’authentification forte pour ALCASAR’, Mémoire fin d’études, ESIEA, 2015.
[10] Claude Duvallet, ‘Architectures et protocoles des réseaux-chapitre 8 : Le protocole RADIUS’, Université du Havre, 2007-2008. [11] Charles Emmanuel Mouté Nyokon, Authentification et protocle PPPoE : le cas de l’accessibilité à l’internet via ringodialeré’, Université de Yaoundé I, 2011. [12] W.Simpson traduit par V.G Frénaux, ‘RFC 1661 : Point to Point Protocol (PPP)’ ,1998. [13] Laurent Azé Quentin Tieghem Nicolas Jourdan et Marie Bazin, ‘RFC 2516 : Une méthode [14] pour la transmission du PPP sur Ethernet’, 2002. [15] http://www.micro-mole.com/fic_pdf/Fai-Definition.pdf. [16] Patrice BIHINA, ‘IP-VPN Technologies et implémentations associées’, Mémoire fin d’études pour l’obtention d’ingenieur, ESGI, 2001. [17] http://www.frameip.com/dns/.
Annexe A ALGERIE TELECOM A. Présentation du groupe Algérie Telecom (AT) Algérie Telecom est leader sur le marché Algérien des télécommunications qui connait une forte croissance. Offrant une gamme complète de services de voix et de données a ces clients. Cette position s’est construite par une politique d’innovation forte adaptée aux attentes des clients et orientée vers les nouveaux usages. Entrée officiellement en activité à partir du 1er janvier 2003, elle s'engage dans le monde des Technologies de l'Information et de la Communication avec trois objectifs:
Rentabilité.
Efficacité.
Qualité de service.
L’objectif d’AT est d'avoir un niveau élevé de performance technique, économique, et sociale afin de se maintenir durablement leader dans son secteur. Dans un environnement devenu concurrentiels, son principal but consiste à préserver et développer sa dimension internationale et participer à la promotion de la société de l'information en Algérie.
A.1-Infrastructure du réseau d’Algérie Télécom : Algérie Telecom est l’un des importants fournisseurs de services dans le domaine des télécom en Algérie. Ce dernier recouvre l’ensemble du territoire national, où chaque wilaya dispose de sa propre infrastructure. L’infrastructure de réseau d’Algérie télécom repose sur un modèle multicouche évolutif traditionnel comme l’illustre la Figure suivante:
Figure A.1: Infrastructure D’Algérie Télécom.
Couche cœur du réseau (Core Layer): contient les plateformes de services détient par Algérie télécom et fournis à la disposition de ces clients.
Couche de distribution (Distribution Layer): regroupe les données reçues à partir des nœuds d’accès avant qu’elles ne soient transmises vers la couche cœur de réseau, en vue de leur commutation vers la plateforme approprié.
Couche d’accès (Edge Layer): représente l’interface avec les clients de service et assure l’accès au réseau à l’aide des périphériques spécifiés.
A.1.1-Equipement existant : Dans cette section nous allons citer les différents équipements qui constituent l’infrastructure de réseau d’Algérie Télécom.
Multi Service Access Node (MSAN) : MSAN permet de rapprocher les équipements des clients, ce qui autorise des débits plus élevés on intégrant l'Asymmetric Digital Subscriber Line (ADSL) et la voix ainsi que certains services comme la visiophonie, conférence à trois, etc... La Figure 2 illustre l’équipement MSAN:
Figure A.2: Le périphérique MSAN.
Routeur : C’est l’élément intermédiaire dans l’infrastructure de fournisseurs de service assurant le routage des paquets. Son rôle est de faire transiter des paquets d'une interface réseau vers une autre, au mieux, selon un ensemble de règles.
Figure A.3 : Image d’un routeur.
BRAS : Est un équipement réseau qui assure l'interconnexion entre les MSANs d'un réseau Digital subscriber line(DSL) et le réseau d'un Fournisseur d'accès à Internet (FAI). Il assure différentes tâches, comme associer le trafic en provenance des MSANs, terminer logiquement les sessions Ethernet et faire respecter des notions de qualité de service. Le BRAS est le premier saut IP que rencontre le trafic sortant d'un utilisateur d’internet, il est aussi responsable de l'authentification et de comptabilisation (souvent via un système de proxy RADIUS) et de l'assignation d'adresse IP.
Figure A.4 : Equipement BRAS.
Annexe B Outils de simulation B. Les logiciels utilisés B.1-Logiciel GNS3 (Graphical Network Simulator): GNS3 est un simulateur de réseau graphique. L'objectif de GNS3 est de fournir des nouvelles technologies de communication exerçant une activité professionnelle dans le domaine de l'administration systèmes et réseaux. C’est une solution pour modéliser parfaitement les réseaux. Grâce à GNS3, les utilisateurs peuvent tester et estimer, dans des conditions quasi réelles et sans avoir à financer le matériel, leurs configurations et réseaux avant de les mettre en place physiquement. Pour fournir des simulations complètes et précises, GNS3 est fortement lié à : Dynamips : est un émulateur IOS Cisco. Dynagen : est une extrémité avant à base de texte pour Dynamips. Qemu : est un émulateur de machine source et virtualiseur. B.1.1-La configuration de GNS3 : 1. Une fois le logiciel téléchargé et installé. Au lancement du logiciel une fenêtre apparait au milieu, pour la création d’un nouveau projet. Pour cela il faut spécifier dans l’onglet :le chemin où sauvegarder le projet et son nom et ensuite cliqué sur OK.
Figure B.1 : Création d’un nouveau projet sous GNS3. L’espace de travail de GNS, est divisé en trois parties, la partie gauche affiche la liste des équipements matériels disponibles que nous pouvons ajouter dans notre topologie, la partie droite affiche la liste des éléments actifs et au milieu, est affiché l’espace de travail
Figure B.2 : Espace de travail de GNS3. 2. Pour commencer à travailler avec GNS3, nous devons avoir l’IOS image de Cisco, il faut donc télécharger les IOS dont on va se servir. Une fois effectué, nous allons renseigner pour chaque modèle de routeur que nous voulons utiliser, le chemin vers l’image IOS. 3. Pour ajouter l’IOS (OS Cisco) à la plate-forme adéquate aller sur le menu Edit, Preferences. Cliquer Router IOS et faire new, et sélectionner l’une des IOS précédemment télécharger, puis choisir la plate-forme et le modèle du routeur adéquat puis cliquer sur OK. Comme ci-dessous
Figure B.3 : Ajout des IOS. 4. Une fois les IOS sont ajoutés, nous pouvons utiliser les routeurs, il suffit de faire un simple clic, glisser-déposer à l’un des routeurs de la liste gauche et de le déposer dans la partie centrale de GNS3. 5. Pour ajouter une machine virtuelle dans notre architecture, il nous faut au préalable, installer VMware Workstation et avoir déjà configuré au moins une machine virtuelle.
B.2-VMware Workstation : VMware Workstation est un logiciel de virtualisation de systèmes d'exploitation. En utilisant les ressources matérielles de l'ordinateur (système hôte), VMware Workstation permet la création d'un ou de plusieurs ordinateurs virtuels dans lesquels s'installent d'autres systèmes d'exploitation (systèmes invités). Les systèmes invités fonctionnent en même temps que le système hôte, mais seul ce dernier a accès directement au véritable matériel de l'ordinateur. Les systèmes invités exploitent du matériel générique, simulé par un "faux ordinateur" (machine virtuelle) créé par VMware Workstation. VMware Workstation permet de faire fonctionner plus d'un système d'exploitation en même temps en toute sécurité. En effet, les systèmes invités n'interagissent pas directement avec le système hôte, et n'interagissent pas entre eux. Le champ d'action des systèmes invités est confiné, limité à leur propre machine virtuelle.
Figure B.4 : L’interface de la VMware Workstation 14. B.3-Wireshark : Wireshark est l’un des meilleurs analyseurs de paquets réseau disponibles. Un analyseur de paquets tentera de capturer les paquets réseau et essayera d'afficher ces données de paquets aussi détaillées que possible.
Exemples de personnes utilisant Wireshark pour:
Les administrateurs réseau l'utilisent pour résoudre les problèmes réseau.
Les ingénieurs de sécurité réseau l'utilisent pour examiner les problèmes de sécurité.
Les développeurs l'utilisent pour déboguer les implémentations de protocole.
Les gens l'utilisent pour apprendre les internes des protocoles informatiques.
Les fonctionnalités fournies par Wireshark:
Disponible pour UNIX et Windows.
Capture des données de paquets en direct à partir d'une interface réseau.
Afficher les paquets avec des informations de protocole très détaillées.
Enregistrer les données de paquets capturées.
Exporter certains ou tous les paquets dans un certain nombre de formats de fichiers de capture.
Filtrer les paquets selon de nombreux critères
Recherchez des paquets sur de nombreux critères.
Coloriser l’affichage des paquets en fonction des filtres.
Créer diverses statistiques.
Figure B.5 : L’espace de travail de Wireshark. B.4-DaloRADIUS : DaloRADIUS est une plateforme web écrite en PHP, HTML, CSS et JavaScript destinée à gérer les déploiements des fournisseurs d’accèsinternet, elle comprend la gestion des utilisateurs, les rapports graphiques, la comptabilité, un moteur de facturation et de la géolocalisation des abonnés. Les avantages de l'utilisation de la machine virtuelle daloradius: Il a une empreinte plus petite. Facile, évolutif et gérable en tant que machine virtuelle pouvant être migrée vers d'autres serveurs. Les procédures de sauvegarde et de restauration sont faciles et flexibles. Tous les composants liés à daloRADIUS sont préinstallés et préconfigurés et nécessite seulement d’une petite configuration à personnaliser pour le déploiement d’un réseau spécifique.
Figure B.6 : La plateforme Web de daloRADIUS.
Résumé Le monde de l’industrie des télécoms change très rapidement, et les opérateurs se trouvent face à des défis et des contraintes technico‐économiques pour assurer la satisfaction de leurs clientèles et faire des économies majeures. Le but de notre projet est de simuler un réseau d’un fournisseur d’accès internet avec la présence de plusieurs protocoles indispensables pour le bon fonctionnement d’un réseau réel, et dont l’architecture est proche de celle d’ALGERIE TELECOM. En effet, notre simulation se présente sur trois partie, la partie « réseau d’accès d’un client » avec la configuration de protocole d’authentification RADIUS et le protocole d’accès PPPOE, la deuxième partie est bien « réseau cœur », qui se base essentiellement sur les protocoles OSPF, BGP, MPLS, ainsi que Le MP-BGP. Nous avons aussi ajouter une entreprise avec deux sites distants pour simuler un réseau VPN, en finalisant avec un simple réseau de sortie vers internet avec un exemple d’un service DNS fournie au réseau d’accès.
Abstract The world of the telecom industry is changing very rapidly, and operators are facing challenges and techno-economic constraints to ensure the satisfaction of their customers and make major savings. The goal of our project is to simulate a network of an Internet access provider with the presence of several protocols essential for the proper functioning of a real network, and whose architecture is close to that of ALGERIA TELECOM. Indeed, our simulation is presented in three parts, the "access network of a client" part with the RADIUS authentication protocol configuration and the PPPOE access protocol, the second part is "core network", Essentially based on the OSPF, BGP, MPLS, and the MP-BGP protocols, we also added a company with two remote sites to simulate a VPN network, by finalizing with a simple exit network to the internet with an example of a DNS service provided to the access network.
ملخص اقتصادية لضمان رضى زبائنهم وتحقيقأرباح- ويواجه المتعاملون عدة تحديات وقيود تقنية،عالم االتصاالتيتغيربسرعة كبيرة الهدف من مشروعنا هو محاكاة شبكة لمزود خدمة اإلنترنت مع وجود العديد من البروتوكوالت األساسية للتشغيل السليم.كبيرة جزء "شبكة دخول، يتم عرض محاكاتنا في ثالثة أجزاء، في الواقع. وبنيتها قريبة من بنية اتصاالت الجزائر،لشبكة حقيقية ،PPPOEوبروتوكول النقطة إلى النقطة عبر إيثرنتRADIUS الزبون" مع تكوين بروتوكول التحقق من دخول المستخدم كما قمنا،MP-BGP وMPLS وBGPوOSPF تستند بشكل أساسي على بروتوكوالت،"والجزء الثاني هو "الشبكة األساسية في األخير اضفنا شبكة خروج بسيطة إلى اإلنترنت مع مثال لخدمة،VPN أيضً ا بإضافة شركة مع موقعين بعيدين لمحاكاة شبكة . المقدمة لشبكة الوصولDNS