Étude et Mise en place d’un tunnel distant avec DMVPN

Étude et Mise en place d’un tunnel distant avec DMVPN

PROBLEMATIQUE

Ceux qui se sont déjà penchés sur la question des VPN IPsec ont pu rapidement se rendre compte des limites de ce protocole et en particulier, de deux d’entre elles. Premièrement, lorsque l’on rajoute un site qui doit communiquer avec un site central, il est nécessaire de modifier la configuration de ce site central. Cela présente non seulement un problème pratique de maintenance (il faut intégrer une modification conséquente dans la configuration d’un équipement en production), mais surtout d’échelle : la configuration du site central peut devenir rapidement illisible à partir de quelques dizaines de sites distants. Par ailleurs, si les sites distants doivent communiquer entre eux, l’équation devient impossible à résoudre. Imaginons un réseau composé d’une mairie (M) et de deux annexes (A1 et A2). Pour obtenir un réseau « full meshed » (complètement maillé, ayant des liaisons IPsec entre tous les sites), il faut créer 3 tunnels IPsec (M-A1, M-A2, A1-A2) comme l’illustre sur la figure ci-dessous . Figure 1 Réseau complètement maillé à trois routeurs 4 Maintenant, nous ajoutons une troisième annexe (sans originalité, appelons la A3). Pour continuer à avoir un réseau complètement maillé, nous devons créer 3 tunnels supplémentaires (M-A3,A1- A3,A2-A3) comme l’illustre sur la figure ci-dessous. Figure 2 Réseau complètement maillé à quatre routeurs Nous avons doublé le nombre de tunnels pour arriver à 6 tunnels. En fait, pour relier un nombre n de sites, nous devons configurer n(n-1) /2 tunnels, et modifier les configurations de n routeurs. DMVPN (Dynamic Multipoint VPN) permet de résoudre ces deux problèmes : non seulement la configuration du routeur « central  » reste statique (elle ne change pas lorsque l’on ajoute un site distant), mais encore la création de tunnels entre sites distants est complètement automatique. Il si ajoute que pour implémente du VPN il faut impérativement des adresses IPv4 fixe pour que les paquets ne se perdent pas dans le tunnel ce qui est un problème majeur pour les fournisseurs d’accès à cause de la pénurie qui est à l’origine des prix élevé pour les adresses IP fixe.

 OBJECTIFS

DMVPN offre plusieurs avantages aux administrateurs réseau tels que : Provisionnement sans contact : les concentrateurs DMVPN ne nécessitent pas de configuration supplémentaire lorsque des nouveaux sont ajoutés. Ces hubs peuvent utiliser une configuration de tunnel modélisée. Déploiement évolutif : un peering minimal et un état permanent minimal sur les routeurs permettent une mise à l’échelle massive. L’échelle du réseau n’est pas limitée par les périphériques physiques, virtuels ou logiques. Tunnels de type « Spoke-to-spoke » : DMVPN fournit une connectivité́ »full-mesh » tout en configurant uniquement le tunnel « spoke-to-hub » initial. Les tunnels dynamiques de type « hub à hub » sont créés au besoin et détruits lorsqu’ils ne sont plus nécessaires. Il n’y a pas de perte de paquets lors de la construction de tunnels dynamiques à la demande à un hub après l’établissement des tunnels initiaux. Un hub maintient les états d’acheminement uniquement pour les hubs avec lesquels il communique. Topologies de réseau flexibles : l’opération DMVPN ne fait aucune hypothèse rigide concernant les topologies de plan de contrôle ou de superposition de plan de données. Le plan de contrôle DMVPN peut être utilisé dans un modèle hautement distribué et résilient qui permet une échelle massive et évite un seul point de défaillance ou d’encombrement. À l’autre extrême, il peut également être utilisé dans un modèle centralisé pour un seul point de contrôle.

PERTINENCE DU SUJET

Dans notre cas, l’atout majeur du DMVPN est sa facilité dans le déploiement. Une fois établie, la configuration des routeurs Hub demeure inchangée. L’ajout de sites de type « Client » se fait de manière automatique (le tunnel est automatiquement créé) alors que son adresse IP coté́ Internet peut-être non connue et dynamique. Aussi nous pouvons mentionner l’échange d’informations de routage (EIGRP, OSPF, BGP…) via le tunnel créé, la mise en place dynamique (à la demande) des 6 tunnels entre spoke to spoke, le support du transport de plusieurs protocoles (IPv4, IPV6, unicast, multicast, routage statique et dynamique…). .

HYPOTHESE

 Nous essayons dans la mesure du possible d’envisager une politique évolutive d’interconnections de site distant afin que l’échange des ressources ne pose plus de problème au sein de l’entreprise. Dans le cadre de notre travail, nous avons jugé bon de joindre au système d’information existant au sein de l’entreprise, les applicatifs de l’internet afin de lui permettre : • Une bonne conservation et recherche aisée des informations en interne et externe ; • L’échange des données entre les différentes directions de l’entreprise ; • La récupération de l’information en temps réel • Enfin, une rapidité dans le traitement de l’information avec toutes les mesures de sécurité garantie ;

COLLECTE D’INFORMATION 

Les méthodes mises en œuvre pour la collecte des informations prennent en compte la documentation. La recherche documentaire est réalisée à travers divers sites internet et les cours pédagogiques. Elle a consisté à identifier, recenser et à consulter les ouvrages en rapport avec la thématique. Cela a permis de faire le point des connaissances afin de mieux cerner les aspects susceptibles d’être abordés par le sujet.

 ÉTUDE COMPARATIVE ENTRE LES DIFFERENTES SOLUTIONS DE TUNNELING 

Voici une comparaison entre les différentes technologies VPN en tunnel, notamment IPSEC, EasyVPN et GetVPN 

IPSEC-IPSECURITY 

IPSec fait partie du cadre de normes ouvertes qui assure la confidentialité, l’intégrité et l’authentification des données entre pairs de la couche IP participants. IPSec peut être utilisé pour protéger un ou plusieurs flux de données entre homologues IPSec (les homologues IPSEC sont donc la source et la destination pour lesquelles le tunnel IPSEC est présent). IPSec comprend les deux principaux protocoles suivants : • En-tête d’authentification (AH) • Encapsulating Security Payload (ESP) Si nous parlons en détail d’IPSEC, IPSec utilise également d’autres normes de chiffrement existantes pour constituer une suite de protocoles. L’en-tête d’authentification (AH) assure l’authentification et l’intégrité des datagrammes transmis entre deux systèmes. Pour ce faire, il applique une fonction de hachage unidirectionnelle à clé au datagramme afin de créer un condensé de message. Si une partie du datagramme est modifiée pendant le transit, le destinataire le détecte lorsqu’il effectue la même fonction de hachage unidirectionnel sur le datagramme et compare la valeur du résumé de message fourni par l’expéditeur. La figure ci-dessous illustre l’ensemble des etatpe permettant d’atablir un tunnel IPsec

Le hachage à sens unique implique également l’utilisation d’un secret partagé entre les deux systèmes, ce qui signifie que l’authenticité peut être garantie. Si nous parlons de la fonction de l’AH, elle est appliquée à l’ensemble du datagramme, à l’exception des champs d’en-tête IP modifiable qui changent en transit : par exemple, les champs Time to Live (TTL) modifiés par les routeurs le long du chemin de transmission Le protocole ESP (Encapsulating Security Payload) est un protocole de sécurité utilisé pour assurer la confidentialité (chiffrement), l’authentification de l’origine des données, l’intégrité, le service optionnel antireplay et la confidentialité du flux de trafic limité en annulant l’analyse du flux de trafic.

 EasyVPN-EzVPN 

EasyVPN utilise le protocole client Unity, qui permet de définir la plupart des paramètres VPN IPSec au niveau d’une passerelle IPSec, qui est également le serveur EzVPN. Lorsqu’un client EzVPN initie une connexion de tunnel IPSec, le serveur EzVPN envoie les stratégies IPSec et les autres attributs requis pour former le tunnel IPSec sur le client EzVPN et crée la connexion de tunnel IPSec correspondante.La figure ci-dessous illustre uen topologie de tunnelisation EasyVPN Figure 4 EzVPN en Réseau d’entreprise Le tunnel sur le client EzVPN peut être lancé automatiquement ou manuellement. Il peut également être déclenché par le trafic, en fonction de la configuration ou du type de client EzVPN utilisé. Une configuration minimale est requise sur le client EzVPN. EasyVPN fournissant le processus de configuration générale suivant : • Paramètres de tunnel de négociation EasyVPN : dans EasyVPN, cela peut être fait avec des algorithmes de chiffrement, des durées de vie SA, etc. • Authentification utilisateur EasyVPN : dans EasyVPN, cela peut impliquer la validation des informations d’identification de l’utilisateur via XAUTH

Table des matières

INTRODUCTION1
PARTIE1 : CADRE THEORIQUE ET METHODOLOGIQUE
CHAPITRE1 : CADRE THEORIQUE
1. Problématique
2. Objectifs
3. Pertinence du sujet
CHAPITRE2 : CADRE METHODOLOGIQUE
1. Hypothèse
2. Collecte d’information
PARTIE2 : ÉTUDE COMPARATIVE
CHAPITRE1 : ÉTUDE COMPARATIVE ENTRE LES DIFFERENTES SOLUTIONS DE TUNNELING
1. IPSEC-IPSECURITY
2. EasyVPN-EzVPN
CHAPITRE2 : PRESENTATION DU DMVPN
1. Description
2. Présentations des protocoles du DMVPN
3. La Solution DMVPN
4. Sécurisation des tunnels DMVPN
PARTIE3 : ARCHITECTURE ET MIS EN PLACE DE LA SOLUTION
CHAPITRE1 : ARCHITECTURE
1. SINGLE CLOUD TOPOLOGY Single Tier
2. DUAL CLOUD TOPOLOGY
CHAPITRE2 : MISE EN PLACE DE LA SOLUTION
1. Topologie 1 : single Cloud single tier
CONCLUSION
BIBLIOGRAPHIE ET WEBOGRAPHIE
ANNEXE

 

projet fin d'etudeTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *