Objectifs de certification

ICND2 200-105

  • 3.4 Décrire les options de technologies WAN Point-to-point, Hub and spoke, Full mesh, Single vs dual-homed
  • 3.5 Décrire les options de connectivité d'accès WAN MPLS, Metro Ethernet, Broadband PPPoE, Internet VPN DMVPN, site-to-site VPN, client VPN

CCNA R&S 200-125

  • 4.4 Décrire les options de technologies WAN (Point-to-point, Hub and spoke, Full mesh, Single vs dual-homed)
  • 4.5 Décrire les options de connectivité d'accès WAN (MPLS, Metro Ethernet, Broadband PPPoE, Internet VPN DMVPN, site-to-site VPN, client VPN)

Technologies et topologies WAN

1. Technologies WAN

Les technologies WAN sont considérées comme des technologies d’accès au réseau (L2) positionnées physiquement (HDLC, Ethernet) et/ou logiquement (PPP, IP/MPLS, IPSEC, TLS, HTTPS).

Elles sont utilisées pour un accès :

  1. soit, à un WAN privé qui interconnecte des sites distants;
  2. soit, à l’Internet (WAN public)
    • afin d’accéder à des ressources publiques
    • ou afin d’accéder à des ressources privées éventuellement via des tunnels VPN

et de manière optionnelle avec des services de sécurité qui assurent des niveaux de confidentialité, d’authentification et d’intégrité.

1.1. Généalogie des technologies WAN

Les technologies évoluent depuis bien plus longtemps que les technologies TCP/IP.

Généalogie des technologies WAN depuis le milieu du XXe siècle

1.2. Entreprise Internet Access

  • Broadband PPPoE
  • Internet DSL Link
  • DOCSIS Cablo-opérateurs
  • Wireless ISP

1.3. Options de connectivité WAN privé

  • Metro Ethernet
  • IP MPLS
  • Les technologies VPN

2. Options de connectivité WAN vers l’Internet

Les technologies peuvent se caractériser par le nombre de connexion auprès d’un seul ou plusieurs fournisseurs de services. Ce type de connectivité assure une redondance vers les services externes à l’organisation.

  • Single Homed : Connexion unique auprès d’un FAI/ISP.
  • Dual Homed : Double connexion auprès d’un seul FAI/ISP.
  • Single Multihomed : Une seule connexion auprès de 2+n FAI/ISP.
  • Dual Multihomed : Double connexion auprès de 2+n FAI/ISP.
.HomedMultihomed
SingleUne seule connexion auprès d’un seul FAI/ISP.Une seule connexion auprès de 2+n FAI/ISP.
DualDouble connexion auprès d’un seul FAI/ISP.Double connexion auprès de 2+n FAI/ISP.

2.2. Connectivité Single Homed

Dans une topologie Single Homed, il y a une connexion unique auprès d’un FAI/ISP.

Single Homed : Connexion unique auprès d'un FAI/ISP.

2.3. Connectivité Dual Homed

Avec une connectivité “Dual Homed”, il y a une double connexion vers le fournisseur d’accès Internet quel que soit le nombre de routeur chez le client ou le fournisseur.

Dual Homed : Double connexion auprès d'un seul FAI/ISP.

2.4. Connectivité Single Multihomed

Dans une topologie “Single Multihomed”, on trouvera une seule connexion vers plusieurs fournisseurs d’accès Internet, quel que soit le nombre de routeurs nécessaires chez le client.

Single Multihomed : Une seule connexion auprès de 2+n FAI/ISP.

2.5. Connectivité Dual Multihomed

Dans une topologie “Dual Multihomed” on trouvera une double connexion vers plusieurs fournisseurs d’accès à Internet quel que soit le nombre et les liaisons établies de chaque côté.

Dans la figure suivante, on trouve une double connexion vers plusieurs fournisseurs d’accès à Internet à partir d’un seul noeud chez le client.

Double connexion vers plusieurs FAI à partir d'un seul noeud

Dans la figure suivante, on trouve une double connexion vers plusieurs fournisseurs d’accès à Internet à partir de deux noeuds dédiés à chacun chez le client.

Double connexion vers plusieurs FAI à partir de deux noeuds

Dans la figure suivante, on trouve une double connexion vers plusieurs fournisseurs d’accès à Internet à partir de deux noeuds chez le client qui réalise un maillage entre les deux côtés.

Double connexion vers plusieurs FAI à partir de deux noeuds avec maillage

3. Metro Ethernet (MetroE)

3.1. Connectivité Point-to-Point : Service E-Line/VPLS

Connexions point-à-point.

Connexions point-à-point

3.2. Connectivité Hub-and-Spoke : Service E-Tree

Topologie Hub and Spoke.

Topologie Hub and Spoke

3.3. Connectivité Mesh : Service E-LAN

MetroE Ethernet E-LAN Service : topologie maillée.

MetroE Ethernet E-LAN Service

4. Architecture IP / MPLS

Architecture IP / MPLS

MultiProtocol Label Switching (MPLS) est un mécanisme de transport de données basé sur la commutation d’étiquettes ou “labels”, qui sont insérés à l’entrée du réseau MPLS et retirés à sa sortie. À l’origine, cette insertion s’opère entre la couche de liaison de données (niveau 2) et la couche réseau (niveau 3) afin de transporter des protocoles comme IP. C’est pourquoi de temps à autres MPLS est qualifié de protocole de couche “2,5”, entre la couche 2 (L2) du modèle OSI et la couche 3 (L3).

Ce protocole a évolué pour fournir un service unifié de transport de données pour les clients en utilisant une technique de commutation de paquets. MPLS peut être utilisé pour transporter pratiquement tout type de trafic, par exemple la voix ou des paquets IPv4, IPv6 et même des trames Ethernet ou ATM.

MPLS permet d’acheminer sur une seule infrastructure différents types de trafic dissociés tout en respectant les contraintes de fonctionnement associées.

Comme son sigle (MPLS) l’indique, ses caractéristiques sont :

  • multiprotocol (multi-protocoles) : il est capable de supporter les différents protocoles de niveau inférieur, au sens OSI (ATM, Frame relay…)
  • label switching (commutation par étiquettes) : il se base sur une étiquette (en anglais : label) ou identifiant pour la commutation des paquets. Cette étiquette est attribuée aux paquets par l’équipement PE (Provider Edge) lors de leur entrée dans l’infrastructure MPLS.
Toplogie IP MPLS

Sources : http://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/telco_dcn/Book/telco5.html et https://fr.wikipedia.org/wiki/Multiprotocol_Label_Switching

Terminologie IP MPLS

  • CE Customer Edge : Équipement du client.
  • CPE Customer Premises Equipment : Équipement du client (ou du FAI) qui donne accès au nuage opérateur.
  • UNI User Network Interface : Interface d’accès au nuage opérateur qui détermine la frontière des responsabilités.
  • PE Provider Edge : Premier matériel actif du nuage opérateur.
  • P Provider : Equipement dans le nuage opérateur que le client ignore.
Terminologie IP MPLS

Source : http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_and_MAN/Ethernet_Access_for_NG_MAN_WAN_V3-1_external.html

5. Solutions WAN privé VPN

5.1. Définition d’un VPN

Un réseau privé virtuel virtual private network (VPN) étend un réseau privé à travers un réseau public comme l’Internet.

Il permet à un ordinateur d’envoyer et de recevoir des données à travers des réseaux partagés ou publics comme s’ils étaient directement connectés au réseau privé, tout en bénéficiant des fonctionnalités, de la sécurité et des politiques de gestion de ce réseau privé.

Une liaison VPN est créée en établissant une connexion virtuelle point à point sur de véritables connexions physiques par des protocoles de mise en tunnel et/ou de chiffrement du trafic.

Un VPN n’est pas nécessairement “sécurisé”, on peut le considérer comme une facilité d’accès (Virtual Network) offrant le service d’une “ligne physique privée” (Private) (soit pas nécessairement confidentielle ou authentique).

5.2. Avantages

Les technologies VPN permettent de connecter des endroits à travers le monde de manière sécurisée et cohérente.

Aussi, les accès distants pour les utilisateurs mobiles connaissent son succès.

Enfin, les utilisateurs domestiques peuvent utiliser ces technologies pour cacher leur présence sur Internet.

5.3. Catégories

Les VPNs peuvent être dans des modèles :

  • à accès distant (remote-access, road-warrior) connectant des individus à un réseau privé, établis à la demande
  • site-à-site (site-to-site) connectant deux réseaux en leur bordure

Les systèmes VPN peuvent être classés selon :

  • les protocoles utilisés pour la mise en tunnel du trafic
  • le point de terminaison du tunnel
  • la connectivité “site-to-site” ou “remote-access”
  • le niveau de sécurité offert
  • la couche OSI présente dans la connexion : des circuits de type L2 ou une connectivité réseau de type L3
  • l’usage : WAN privé, WAN public

5.4. VPN non sécurisés

Toute encapsulation peut embarquer un paquet IP. En ce sens, tout protocole, quelle que soit sa couche pourrait servir de protocole de tunnel et servir de facilité VPN non sécurisé (ou sécurisé).

On connait des cas comme ip-in-ip, 6in4, et … GRE pour des protocoles de tunnels à usage en général légitime.

Il est trivial de placer du trafic IP dans des paquets ICMP, DNS ou TLS sur le port 443 qui sont difficilement ou négligemment filtrés par les pare-feu et les proxys en sortie.

5.5. VPN sécurisés

Les technologies VPN peuvent supporter des protocoles et des algorithmes de chiffrement, d’authentification et d’intégrité.

Un modèle de sécurité VPN assure :

  • La confidentialité : même si le trafic est capturé, l’attaquant ne verra que du trafic chiffré
  • L’authentification de l’émetteur pour empêcher des accès non autorisés
  • L’intégrité des messages afin de détecter leur altération

5.6. VPN IPSEC Site-to-Site

Internet Protocol Security (IPsec) a été initialement développé par l’IETF pour IPv6 (quand celui-ci était obligatoire jusqu’au RFC 6434 qui se contente désormais de le recommander).

IPsec est un protocole standard de sécurité largement déployé avec IPv4 et L2TP. Attention, il s’agit d’un “framework” ouvert composé de plusieurs protocoles et supportant divers algorithmes.

Sa conception rencontre les objectifs principaux de la sécurité : authentification, intégrité et confidentialité. IPsec utilise le chiffrement en encapsulant les paquets IP dans un paquet IPsec. Il opère donc à la couche 3. La désencapsulation intervient en bout du tunnel pour rendre le paquet IP original.

5.7. VPN TLS (Remote Access)

Transport Layer Security (TLS) est un protocole de couche applicative qui peut mettre en tunnel le trafic entier d’un réseau ou des connexions individuelles.

On peut aussi lui trouver des fonctionnalités de type “WebVPN”. Un grand nombre de fabricants propose des solutions d’accès distants par VPN toutes aussi incompatibles entre elles.

Enfin, un VPN TLS peut se connecter quasiment de n’importe quel endroit là où IPsec peut poser des problèmes avec les règles de pare-feu et NAT.

5.8. Cisco Dynamic Multipoint VPN (DMVPN)

Cisco Dynamic Multipoint VPN (DMVPN) simplifie les configurations VPN en utilisant les protocoles :

  • GRE : Generic Routing Encapsulation (RFC 2784)
  • NHRP : Next Hop Resolution Protocol (protocole IETF)
  • IPSEC

Topologies DMVPN

On trouvera deux types de topologies VPN :

  • Dual hub-dual DMVPN cloud
  • Dual hub-single DMVPN cloud

Source : https://supportforums.cisco.com/sites/default/files/legacy/3/9/5/26593-DMVPNbk.pdf

5.9. Autres protocoles VPN sécurisés

  • Datagram Transport Layer Security (DTLS) - utilisé par Cisco AnyConnect VPN et par OpenConnect VPN pour résoudre un problème TLS avec les tunnels sur UDP.
  • Microsoft Point-to-Point Encryption (MPPE) fonctionnant avec Point-to-Point Tunneling Protocol et d’autres implémentations
  • Multi Path Virtual Private Network (MPVPN).
  • Secure Shell (SSH) VPN - OpenSSH
  • PPTP/L2TP

Laisser un commentaire