VPN & QOS dans LES Réseaux Informatiques.pdf

VPN et Qualité de service dans les réseaux informatiques
Mémoire rédigé et présenté par TIOFACK BAVOUA TEKEU Clément 1
DEDICACE
A
M & Mme GUIMEZAP PAUL

REMERCIEMENTS
Je rends tout d’abord grâce à DIEU pour la force, l’énergie, le courage bref pour toutes les
merveilles dont il n’a cessé de me faire grâce tout au long de ce stage.
Je voudrais aussi exprimer ma profonde gratitude à ceux qui d’une façon ou d’une autre ont
contribué au bond déroulement de ce travail. Je pense notamment à:
• M. TEKOUDJOU François Xavier pour m’avoir soutenu en me prodiguant des conseils,
pour ses encouragements au cours de mon stage surtout quand je semblais
m’abandonner au découragement.
• M. MANGAMTCHEUTCH Artur pour les conseils toujours plus pertinents les uns que
les autres.
• Tous les enseignants de l’I.S.T.D.I plus précisément les enseignants du Cycle Ingénieur
CS2I pour leur encadrement.
• Monsieur FOTSO Valérie Directeur Général de FT&T pour avoir bien voulu
m’accueillir dans sa société et pour l’attention qu’il accorde aux jeunes passionnés des
Nouvelles Technologies de l’Information et de la Communication et désireux de s’intégrer
dans le monde du travail.
• Mes encadreurs professionnels M. FOTSO Valérie qui malgré ses multiples
préoccupations, sollicitations et autres occupations n’a ménagé aucun effort pour nous
venir en aide chaque fois que le besoin se faisait sentir.
• Tous les employés de FT&T
• Ma mère Mme DJIOTIO BAVOUA TEKEU CLEMENTINE
• Mon père M. DJIOTIO BAVOUA LUC PASCAL
• Mon Tuteur M. GUIMEZAP PAUL
• Ma maman Mme GUIMEZAP Martine
• Mes frères et Sœurs
• Tous ceux et celles dont je n’ai pu nominativement citer les noms mais qui de près ou de
loin ont contribué à la rédaction de cet ouvrage.

AVANT-PROPOS
La réforme universitaire de 1992 portant création des six universités d’état et des
instituts supérieurs privés a donné lieu à un essor de ces derniers ; et notamment dans les
domaines techniques. Un exemple palpable est celui de l’ISTDI : Institut Supérieur des
Technologies et du Design Industriel.
Mis sur pied par :
M. et Mme GUIMEZAP,
Aut. Création : N°02/0094/MINESUP/DDES/ESUP d u 13 Sept 02.
Aut. Ouverture : N°0102/MINESUP/DDES/ESUP du 18 Sept. 02.
En partenariat avec : ISMANS, 3IL, ANKHAMON (France) CCNB, Groupe TECART
(Canada), l’ISTDI offre les possibilités suivantes :
Cycle de techniciens supérieur (BTS) 2 ans.
Spécialités :
Banque et Finance
Action commerciale
Commerce International
Informatique de Gestion
Comptabilité et Gestion des entreprises
Communication d’entreprise
Génie Civil
Électronique
Électrotechnique
Froid et Climatisation
Informatique Industrielle
Maintenance et après vente automobile
Maintenance des Systèmes Informatique
Informatique de Gestion
Assurance
Banque

Cycle des Technologies de l’Information et de la Communication (TIC).
Spécialités :
Réseautique
Webmestre / Multimédia
Programmation appliquée pour Internet
Cycle préparatoire
Cycle préparatoire aux grandes écoles d’ingénieur
ATS (Adaptation des Techniciens Supérieur au cycle d’ingénieur)
MPSI (Mathématiques Physiques Sciences)
TSI (Technologies et Sciences Industrielles)
Certification CISCO
CCNA 1
CCNA 2
CCNA 3
CCNA 4
Formation professionnelle en cours du jour et du soir
Cycle d’ingénieur CS2I et 3IL-AC (Afrique Centrale) en partenariat 3il (Institut
D’Ingénierie Informatiques Limoges France) au Cameroun
Administration des systèmes réseaux et Télécommunications
Administration des systèmes web
Genie Logiciel
Informatique Embarquée
Diplôme: Master 2 professionnel
C’est ainsi qu’à la fin de cinq années de formation en Cycle Ingénieur CS2I, Le
Master 2 Professionnel offre dans ses exigences l’occasion à chaque étudiant de passer 6
mois au sein d’une entreprise ceci dans le but de concilier les connaissances théoriques
acquises dans le cadre de la formation en cours d’année et celles pratiques menés sur le
terrain.
C’est dans cet otique que nous avons effectué un stage académique à FT&T (Fotso
Technology and Telecommunications). Appartenant à la filière Ingénierie CS2I et plus

précisément de la spécialité Management des systèmes, Réseaux et Télécom. Notre
travail portera sur l’étude des VPN et la qualité de service dans les réseaux informatiques.
Le secteur des télécommunications tout comme de l’informatique qui sont des activités à
n’en point douter de haute technicité sont en constante évolution. Nous sommes donc au
quotidien emmenés à côtoyer, utiliser des réseaux de télécommunications et informatiques
dans le but de s’informer et informer. Plus le nombre d’utilisateurs utilisant le système grandit
et plus il devient impérieux d’assurer la qualité du service dans ces réseaux vpn,
informatiques et autres liaisons. Notre travail portera sur l’étude des réseaux vpn et la qualité
de service dans les réseaux informatiques.

SOMMAIRE
DEDICACE .............................................................................................................................................. 1
REMERCIEMENTS ................................................................................................................................. 2
AVANT-PROPOS...................................................................................................................................... 3
SOMMAIRE............................................................................................................................................. 6
LISTE DES TABLEAUX......................................................................................................................... 10
INTRODUCTION GENERALE............................................................................................................... 11
CHAPITRE 1 : MONOGRAPHIE DE FT&T.............................................................................. 13
I. PRESENTATION GENERALE DE FT&T ......................................................................... 13
II. ORGANISATION ADMINISTRATIVE................................................................................ 14
a. FICHE D’IDENTITE DE FT&T...................................................................................... 15
b. ORGANIGRAMME DE FT&T....................................................................................... 15
III. DESCRIPTION DES DIFFERENTS SERVICES.............................................................. 16
CHAPITRE 2 : PROBLEMATIQUE ET METHODOLOGIE DE TRAVAIL ........................... 17
I. PROBLEMATIQUE............................................................................................................... 17
II. METHODOLOGIE DE TRAVAIL ET ETAT DE L’ART................................................... 18
a. MÉTHODOLOGIE.......................................................................................................... 18
b. ETAT DE L’ART............................................................................................................. 19
III. LE RESEAU INTERNET ET LE VPN : DOMAINE D’ETUDE ....................................... 20
CHAPITRE 3: LE VPN: PRINCIPE DE FONCTIONNEMENT.......................................... 21
I. GENERALITES SUR LE VPN ............................................................................................ 21
a. Définition......................................................................................................................... 21
b. Généralités ..................................................................................................................... 21
II. PRINCIPE GENERAL .......................................................................................................... 22
III. TYPE DE VPN ....................................................................................................................... 22
a. Le VPN d’accès ............................................................................................................. 22

b. Le VPN site à site.......................................................................................................... 24
CHAPITRE 4 : TECHNOLOGIES, PROTOCOLES ET SECURITE...................................... 25
I. TECHNOLOGIES ET SOLUTIONS EXISTANTES ......................................................... 25
a. Liaisons spécialisées (LS) OU Lignes louées....................................................... 25
b. Liaisons spécialisées téléphoniques...................................................................... 26
1- Liaisons point à point analogiques..............................................................26
2- Liaisons multipoints analogiques...............................................................27
3- Liaisons multipoints numériques ...............................................................27
II. ETUDE DES PROTOCOLES UTILISES.......................................................................... 27
a. Protocole Ppp................................................................................................................ 27
1. Généralités ....................................................................................................27
2. Format d’une trame Ppp ...............................................................................28
3. Phase de connection ....................................................................................29
4. Qualité de service rendue suivant le protocole Ppp..................................29
b. Protocole Pptp............................................................................................................... 29
1. Encapsulation GRE.......................................................................................30
2. Authentification MS-CHAP, EAP-TLS ..........................................................30
3. Cryptage MPPE .............................................................................................31
4. Qualité de service au niveau du protocole Pptp .........................................31
c. Protocole Ipsec ............................................................................................................. 31
1. Généralités ....................................................................................................31
2. Mode d’Ipsec .................................................................................................31
3. Composantes d’Ipsec ...................................................................................31
4. Autres protocoles de chiffrement et d’authentification..............................32
Gestion des clés d’IPSEC.............................................................................32

Protocoles de gestion des clés .................................................................................32
d. Protocole Mpls .............................................................................................................. 34
1. Principe de fonctionnement de Mpls ...................................................................... 34
2. Utilisation du Mpls pour les VPN.............................................................................. 34
3. Sécurité ........................................................................................................................... 34
e. Protocole L2tp............................................................................................................... 35
1. Composantes fondamentales ......................................................................35
2. Sécurisation des tunnels L2tp .....................................................................36
CHAPITRE 5 : BILAN ET EVALUATION DES DIFFERENTES............................................ 37
TECHNOLOGIES ET PROTOCOLES UTILISES DANS LES LIAISONS VPN.................. 37
I. RECAPITULATIF DES TECHNOLOGIES UTILISEES POUR LA MISE SUR PIED
DE LIAISONS VPN........................................................................................................................ 37
II. ETUDE COMPARATIVE DES DIFFERENTS PROTOCOLES ..................................... 38
1. VPN-SSL ........................................................................................................38
2. VPN-PPP ........................................................................................................39
3. PPTP ..............................................................................................................39
4. L2TP - IPSEC .................................................................................................40
5. Mpls - Ipsec ...................................................................................................41
CHAPITRE 6 : PROCESSUS DE MISE EN PLACE DE LA QUALITE DE SERVICE
DANS UN RESEAU INFORMATIQUEET DES LIAISONS VPN........................................... 50
I. QUALITE DE SERVICE BASEE SUR LES NORMES ................................................... 50
II. BUT DE LA MISE SUR PIED D’UN SYSTEME DE QUALITE ..................................... 51
III. FONCTIONNEMENT DE LA QUALITE AU SEIN D’UN RESEAU INFORMATIQUE51
1. Qualité de service selon l’architeture Ethernet...........................................51
2. Qualité de service suivant les différentes couches du modèle OSI ..........52
IV. MECANISME DE MISE EN PLACE DE LA QUALITE DE SERVICE....................... 53

V. QUALITE DE SERVICE DU POINT DE VUE DE LA SECURITE................................. 55
VI. PERSPECTIVES TECHNOLOGIQUES SUR LES RESEAUX PRIVES VIRTUELS
ET LA QUALITE DE SERVICE................................................................................................... 55
CONCLUSION GENERALE................................................................................................................... 56
BIBLIOGRAPHIE.................................................................................................................................... a
LEXIQUE .................................................................................................................................................c

LISTE DES FIGURES
Figure 1 Organigramme FT&T ................................................................................................... 15
Figure 2 VPN d'accès..................................................................................................................... 22
Figure 3 VPN site à site................................................................................................................ 23
Figure 4 Format de trame Ppp .................................................................................................. 27
Figure 5 Encapsulation GRE........................................................................................................ 29
Figure 6 Protocoles L2tp .............................................................................................................. 35
Figure 7 Eléments fonctionnels pour assurer le maintien d’une qualité de service
dans le réseau.................................................................................................................................. 52

LISTE DES TABLEAUX
Tableau 1 Fiche d'identité FT&T .............................................................................................. 15
Tableau 2 Comparaison protocoles Ipsec - Mpls .............................................................. 41
Tableau 3 Offres proposées par l'operateur par débit ..................................................... 43

INTRODUCTION GENERALE
Dans un contexte de grande concurrence, d’accroissement de la productivité au sein
des entreprises les nouvelles technologies de l’information et de la communication et Internet
se sont avéré un moyen efficace sinon crucial pour l’expansion des entreprises. Avec le
développement rapide de l'Internet, il y a un grand intérêt pour le déploiement de réseaux
privés virtuels à travers les protocoles internet ; Ces technologies ont pu se développer
grâce aux performances toujours plus importantes des réseaux locaux et de leur
interconnexion. Mais le succès de ces applications a fait aussi apparaître un de leur écueil.
La qualité de service jusque là pas très bien connu se pose aujourd’hui comme un élément
permettant d’optimiser les communications sur internet. Aujourd’hui en attendant, la qualité
de service est considérée comme un élément clef de n’importe quel service de réseau et à
fortiori du réseau privé virtuel. Le réseau privé virtuel (VPN) peut être considéré comme une
valeur ajoutée par rapport aux lignes privées coûteuses ou des lignes louées. Le but
principal d'un VPN est de fournir à une société une communication sécurisée à travers un ou
des réseaux publics libres et donc potentiellement dangereux parce que exposés.
La consommation et la croissance se faisant, nombre d’entreprises aujourd’hui
s’exportent c’est ainsi que naissent les multinationales ont de représentations ou des
agences réparties sur de très grandes distances géographiques. Cette expansion ne sachant
se faire sans heurt naît donc le besoin pour celles-ci de communiquer entre elles ou
d’accéder à des informations réparties quelques fois sur différentes agences ou centralisées
sur un seul site. Face à ce problème le besoin pour les entreprises de se doter d’un outil leur
permettant de mettre en communication leurs différentes agences naît. Ces entreprises
ayant très vite compris l’importance que revêtent les technologies de l’information et de la
communication ont vite fait de se doter de réseaux informatiques. Mais cela suffit il pour
permettre à toutes ces agences réparties sur plusieurs villes d’un même pays voire continent
de communiquer entre elles de façon sereine ? Nous sommes en droit de penser que non.
Concrètement comment une succursale d’une entreprise peut elle accéder aux données
situés sur un serveur de la maison mère distante de plusieurs milliers de kilomètres ? Les
réseaux privés virtuels ont commencé à être mis en place pour répondre à cette
problématique. Mais d'autres problématiques sont apparues et les Vpn ont aujourd'hui pris
une place importante dans les réseaux informatiques et l'informatique distribuée. Mais cela
suffit il à assurer une complète sécurité des communications transitant sur cet important
réseau libre qu’est Internet ? Il ne s’agit plus simplement de relier deux agences d’une
entreprise entre elles, mais d’assurer en plus la confidentialité et la sécurité des informations.

Comment assurer la confidentialité des informations sur ce média qu’est Internet quand on
sait que des données critiques y circulent. Mais qu’est ce que c’est un réseau privé virtuel?
Comment fonctionne-t-il ? Quelles sont ses fonctionnalités ? Quel avantage notoire apporte
t’il en comparaison aux autres technologies utilisées jusque là pour mettre en liaison des
réseaux d’entreprises situés sur de très grandes distances géographiques ? y a-t-il des
normes de qualité établies pour gérer la qualité de service ? Quelles sont les technologies et
protocoles utilisées pour leur mise en place ? Les réponses à ces différentes questions nous
permettront d’enrichir ce mémoire de fin de cycle. Nos propos ci-dessus nous amène à
conduire le thème intitulé VPN et QOS DANS LES RESEAUX INFORMATQIUES.
Ce mémoire est organisé en six chapitres
Dans le premier chapitre il est question de présenter l’entreprise qui nous a accueilli
durant notre stage. Le deuxième chapitre traite de la problématique de notre thème, de la
méthodologie de travail, des réseaux internet et enfin il fait un état de l’art en ce qui concerne
les réseaux privés virtuels. Nous nous proposons ensuite de faire une étude des différents
types de réseaux privés virtuels (vpn) (chapitre 3) ensuite nous aborderons les différents
protocoles, technologies utilisées pour mettre sur pied les vpn et comment est traitée la
sécurité suivant ces différentes technologies, protocoles. Nous verrons ensuite toujours dans
ce chapitre quelles sont les spécificités des uns et des autres, du point de vue de la
sécurité, de la qualité de service, des technologies et protocoles utilisés pour mettre sur pied
des réseaux privés virtuels(chapitre 4).Dans le chapitre 5 à la suite de l’étude faite au
chapitre 4 et au vu des conclusions tirées nous nous de faire une évaluation sorte de bilan
de différentes technologies et protocoles utilisées dans les liaisons vpn .Le chapitre 6 traite
de la qualité de service suivant les couches du modèle OSI , de la qualité de service du point
de la sécurité et des méthodes permettant de définir une bonne qualité de service au sein
d’un réseau informatique afin d’améliorer les échanges de données dans les liaisons vpn
dans ce qui existe aujourd’hui. Nous terminerons par une conclusion générale et quelques
perspectives pour des travaux futurs.
CHAPITRE 1 : MONOGRAPHIE DE FT&T

I. PRESENTATION GENERALE DE FT&T
FT&T qui est l’acronyme de Fotso Technology And Telecommunication. Crée en
1996 sous le nom de SPID, elle change de dénomination suite aux différentes mutations
connues par l’entreprise donc la plus importante est sa transformation en Fournisseur
d’Accès Internet (FAI). Étant une entreprise ouverte, FT&T à des partenariats avec les
grandes entreprises de télécommunication à l’instar de RINGO et ORANGE pour ne citer
que celles là.
FT&T est une filiale de SPID Belfort (France) entreprise mère créée en 1993.
Comme toute entreprise ayant comme statut social SARL, elle dispose d’un capital de
10 000 000 de FCFA.
Ses activités principales sont les suivantes :
La fourniture d’accès Internet
L’administration des Systèmes, Réseaux et Télécommunication
Le développement logiciel
Le développement Web
La vente et la maintenance du matériel informatique
La formation professionnelle en bureautique, gestion (SAARI), systèmes réseaux et
maintenance.
II. ORGANISATION ADMINISTRATIVE

a. FICHE D’IDENTITE DE FT&T
b. ORGANIGRAMME DE FT&T
III. DESCRIPTION DES DIFFERENTS SERVICES
Directeur Général
Service Technique
Développement
logiciel et web
Formation
Professionnelle
Systèmes, réseaux et
télécommunication
Service Commercial
V.R.P
Service administratif
et financier
Comptabilité Caisse
Secrétaire
Dénomination Fotso Technology And Telecommunication
Sigle FT&T
Siège social Carrefour Paris Dancing
Adresse BP: 1651 Douala, Tél. : 77 78 83 58 / 97 23 22
06 Fax : (1)3602372355
Capital 10 000 000 Fcfa
Forme juridique SARL
Date de création Juin 1996
Directeur Général M. Valérie Leopold FOTSO
Tableau 1 Fiche d'identité FT&T
Figure 1 Organigramme FT&T

La Direction Générale : Elle est sous l’autorité d’un Directeur général qui supervise tous les
services tout en assurant la bonne marche et le développement de l’entreprise.
Le Service Commercial : Il est assuré par un responsable commercial.
Le Service Technique : Il est assuré par un responsable technique assisté du responsable
développement et du responsable réseau.
Le Service Administratif et Financier : Il est assuré par un responsable financier. Il est en
charge de l’administration et de finances.
Le Secrétariat : Il est assuré par une assistante de Direction, qui au delà de ses fonctions,
assure l’accueil et conseil la clientèle.
Le Service formation : Il est assuré par un responsable chargé de la formation.
Les V.R.P (Vendeurs Représentants Placiers) : Ce sont des partenaires commerciaux de
FT&T qui ont pour rôle d’étoffer le réseau commercial de FT&T.

CHAPITRE 2 : PROBLEMATIQUE ET METHODOLOGIE DE TRAVAIL
I. PROBLEMATIQUE
Les autoroutes de l'information sont devenues un lieu privilégié des enjeux
politiques, technologiques, industriels, économiques, sociaux et même culturels. Les réseaux
de communication sont à l’origine de la révolution de la communication et à l’émergence
d’une société multimédia. Ils sont la conséquence d’un partage équitable des ressources
technologiques. L’information recherchée sur les réseaux de communication et donc
informatiques doit être : Localisée très rapidement, dans son intégralité. Ils sont
indispensables dans la vie quotidienne car notre société est à la recherche des technologies
fonctionnant au tout-numérique. On assiste ces dernières années à une importante
évolution dans le domaine des télécommunications, de l’informatique conduite par la
commercialisation et l’émergence des appareils de communications sans fil (tels que
les téléphones cellulaires, les ordinateurs portables, les assistants personnels etc.) et
des ordinateurs fixes, principale composante des réseaux informatiques. Ainsi aujourd’hui
l’utilisateur passe de l’âge de l’ordinateur personnel à l’âge du traitement de l’information
à travers plusieurs infrastructures réseaux. Il a accès à l’information n’importe où et
n’importe quand. Les réseaux informatiques plus que jamais deviennent ainsi un outil
indispensable à la gestion de l’information au service de l’entreprise. Ceci d’autant plus que
celles-ci s’en servent aujourd’hui pour communiquer avec le monde extérieur ou avec leurs
succursales reparties quelques fois sur plusieurs régions, villes, voire continents. Nombre
d’entreprises l’ont compris et comptent en leur sein une équipe sinon des équipes chargées
de manager cette information au travers de ces réseaux informatiques, particulièrement à
travers l’Internet. Mais comment faire déjà pour relier tous ces réseaux locaux entre eux ?
Les réseaux privés virtuels ont commencé à être mis en place pour répondre à cette
problématique. Mais d'autres problématiques sont apparues cette fois liées à la sécurité, la
confidentialité des informations transmises sur ce média qu’est internet ? Surtout lorsqu’on
sait que la sécurité est un élément à ne pas négliger dans le traitement de l’information.
Comment donc assurer une complète sécurité des communications transitant sur cet
important réseau libre qu’est Internet quand on sait que des données critiques y circulent?
En d’autres termes comment s’assurer que seuls les utilisateurs concernés par les
communications seront les seuls à accéder à ces informations ? Nous l’avons compris Il ne
s’agit plus simplement de relier deux agences d’une entreprise entre elles, mais d’assurer en
plus la confidentialité et la sécurité des informations. Qu’est ce que c’est qu’un réseau privé

virtuel? Comment fonctionne-t-il ? Quelles sont ses fonctionnalités ? Quel avantage notoire
apporte t’il en comparaison aux autres technologies utilisées jusque là pour mettre en liaison
des réseaux d’entreprises situés sur de très grandes distances géographiques ? Y a-t-il des
normes de qualité établies pour gérer la qualité de service ? Quelles sont les technologies et
protocoles utilisées pour leur mise en place ? Comment améliorer la qualité des
communications lors des transmissions sur ces liaisons ? Y a-t-il un moyen de garantir une
qualité de service impeccable sur les réseaux privés virtuels ? Nous nous proposons dans ce
travail de faire un état de l’art des technologies jusqu’ici usitées pour mettre sur pied les
VPN. Et aussi de faire une étude exhaustive des différents types de VPN existants et ensuite
nous nous proposons des méthodes permettant d’améliorer les communications sur ces
réseaux. Nous terminerons par une conclusion générale et quelques perspectives futures
sur la qos dans les réseaux privés virtuels.
II. METHODOLOGIE DE TRAVAIL ET ETAT DE L’ART
a. MÉTHODOLOGIE
Le projet sur lequel nous avons travaillé porte sur l’étude et la mise sur pied d’un
réseau privé virtuel (VPN) permettant d’interconnecter les deux sites de l’entreprise
FT&T. Après s’être imprégné du sujet, nous nous sommes au préalable longuement
documentés sur le projet, question de ne perdre de vue aucun aspect du projet. Après
quoi nous avons fait des propositions dans le sens de la mise à niveau dans un premier
temps du réseau en place afin de se conformer aux exigences d’un réseau privé virtuel.
Après ceci comme dans tout projet informatique et par soucis de respect des normes de
gestion des projets nous avons procédé à une conception du réseau VPN à mettre sur
pied. En définitive la solution que nous avons proposée conformément aux besoins de
l’entreprise a été de mettre sur pied un réseau privé virtuel (VPN) de site-à-site. Ceci
étant nous avons effectué des descentes sur le terrain afin de recenser toutes les offres
des fournisseurs d’accès Internet (F.A.I) en matière d’établissement de liaisons vpn mais
surtout en matière de fourniture d’accès internet aux entreprises. Notre réseau privé
virtuel devant être construit sur le média qu’est internet au moyen d’un tunnel.
b. ETAT DE L’ART
Indéniablement, Internet est rentré dans nos mœurs. A travers, ce réseau
informatique, tout un monde parallèle s'est développé : des sites marchands ont fleuris, les
services pour les particuliers comme les guides d'itinéraire pour nos voyages nous simplifient
bien la vie. Enfin on en vient à échanger des données à travers des programmes d'échange

de fichiers et à « chater » entre internautes. Nous retiendrons de tout ça qu'Internet est un
véritable outil de communication. Tout ceci est rendu possible grâce aux réseaux locaux
dans un premier temps puis plus globalement aux réseaux informatiques. De nos jours,
l’efficacité des réseaux locaux (LAN) au sein des entreprises n’est plus à démontrer. En
effet, leur mise en place permet d’accroître considérablement la productivité avec la mise à
disposition, les partages, et les échanges de données dans l’entreprise. Pourtant, avec
l’expansion des multinationales un nouveau besoin c’est fait ressentir au sein des
entreprises. Celui de savoir comment mettre en communication les différents réseaux
informatiques des agences d’une même entreprise. Les premières solutions trouvées pour
résoudre ce problème furent les réseaux X.25 puis les liaisons spécialisées toutefois la
plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants
par une ligne spécialisée ceci à cause du coût. Un bon compromis a donc consisté à utiliser
Internet comme support de transmission en utilisant un protocole d'"encapsulation" (en
anglais tunneling, d'où l'utilisation impropre parfois du terme "tunnellisation"), c'est-à-dire
encapsulant les données à transmettre de façon chiffrée. Ceci parce que internet
représentait la solution la moins onéreuse pour ces entreprises. On parle alors de réseau
privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le
réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux
"physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les
ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le
système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la
mise en œuvre des équipements terminaux. Seulement il ne permet pas d'assurer une
qualité de service comparable à une ligne louée dans la mesure où le réseau physique est
public et donc non garanti. Dans ce mémoire il sera donc question de trouver des méthodes
pouvant garantir la qualité de service sur des liaisons vpn construites sur ce média libre
qu’est internet.
III. LE RESEAU INTERNET ET LE VPN : DOMAINE D’ETUDE
Aux environs de 1940, la première ère de l'informatique moderne fit son apparition.
Rapidement, l'adaptation des technologies de télécommunications à l'informatique fut
incontournable. Le désir sans cesse croissant de communiquer ensemble a fait naître un
réseau au stade embryonnaire dit local. Ce dernier sous l’influence des technologies
grandissantes a connu une grande extension. On est ainsi parti du réseau local pour un
réseau global, mondial. L’on parle aujourd’hui de village planétaire mieux connu du commun
des mortels sous le nom d’ « Internet ».Cette grande toile qui facilite la communication à
travers le monde s’impose comme une nécessité dans nos activités quotidiennes. Mais la
liaison entre un poste et l’Internet ne s’établit pas automatiquement ou aussitôt que naît le
désir de communiquer, d’où le problème de connexion Internet. Au fil des années l’internet

rentre dans le quotidien des entreprises devenant au fur et à mesure plus qu’une nécessité
pour elles. Aujourd’hui elles ne sauraient se passer de cet important outil dans la prise de
décision au sein des entreprises. Mais alors ces réseaux propres à chaque entreprise
suffisent ils ? Si internet est aujourd’hui considéré comme un sésame pour optimiser le
potentiel productif de l’entreprise il s’est révélé tout aussi néfaste à certains égards. Néfaste
à partir du moment où des informations propres à l’entreprise sont mises à nues et à la
disposition de personnes véreuses parce que ayant transité sur le réseau libre et pas
toujours sécurisé qu’est internet. L’une des solutions pour résoudre ce problème se trouve
être l’utilisation de réseaux informatiques pour la diffusion de l’information entre les sites
d’une entreprise via le média internet. Cela suffit il pour assurer une qualité de service
infaillible et irréprochable ? Comment fonctionne les réseaux privés virtuels? Quelle valeur
ajoutée apporte t’il par rapport aux technologies jusqu’ici utilisées pour mettre en
communication directe de façon "sécurisée" différents sites d’une même entreprise ? Existe-
t-il des normes de qualité garantissant la qualité au sein des réseaux informatiques ? Quelles
sont les technologies les mieux à même de fournir une bonne qualité de service, de la
fiabilité dans le traitement des informations, une sécurité sans faille des communications sur
internet et une livraison correcte des paquets lors des échanges entre différents réseaux
locaux ? Comment mettre sur pied cette sécurité ? Ce sont autant de questions que nous
nous proposons de répondre ou tout au moins d’apporter un début de solution tout au long
de ce mémoire.
CHAPITRE 3: LE VPN: PRINCIPE DE FONCTIONNEMENT

I. GENERALITES SUR LE VPN
a. Définition
Un Réseau Privé Virtuel (anglais : Virtual Private Network, VPN) est un moyen de
communication assurant la sécurité des transferts de données sur des réseaux publics ou
partagés (comme la télédistribution ou encore l’ADSL). Il s’apparente donc à un réseau
de communication avec les mêmes paramètres de sécurité qu’un réseau local.
b. Généralités
Le VPN est une solution de sécurisation des données échangées à travers les
réseaux. Il est une généralisation du concept de tunnel. Il s’agit de faire circuler dans ce
tunnel non seulement les informations des applications, mais également tout ce qui concerne
les couches réseau et transport.
Les VPN présentent essentiellement deux avantages: les économies sur les budgets alloués
à la connectivité et la flexibilité c'est-à-dire l’ajout d’un nouveau site de l’entreprise se fait
simplement en le connectant sur Internet et en l’incluant sur le vpn. Parmi les désavantages
des VPN, on peut noter que:
• L'entreprise ou l'administration utilisant un VPN ne contrôle en effet pas tous les
paramètres nécessaires car largement dépendants des fournisseurs de services.
• On conseille toujours d'utiliser les équipements du même constructeur pour assurer
le bon fonctionnement du VPN d'entreprise.
Nous verrons à la suite de notre travail quels sont les différents types de vpn qui existent
et comment ils fonctionnent à travers un certain nombre d'utilisations type. Nous nous
intéresserons ensuite aux protocoles permettant leur mise en place.
II. PRINCIPE GENERAL
Le VPN repose sur un protocole de tunneling qui est un protocole permettant de
chiffrer les données par un algorithme cryptographique entre les deux réseaux.
Le principe de tunneling consiste à construire un chemin virtuel entre la source et le
destinataire. Il existe deux types de tunneling : le tunneling volontaire basé sur le client
vpn ; l’utilisateur doit pouvoir gérer l’utilisation de ce type de connexion c'est-à-dire savoir
comment arrêter et démarrer le client vpn et le tunneling transparent. En fait, le client
demande de façon transparente au fournisseur d’accès de lui établir une connexion cryptée
en passant par le NAS de ce dernier.
Le VPN se caractérise principalement par:

l’authentification des entités communicantes
authentification des utilisateurs
gestion des adresses : tous les utilisateurs doivent obtenir une adresse privée
cryptage du tunnel
III. TYPE DE VPN
a. Le VPN d’accès
Le VPN d'accès est utilisé pour permettre à des utilisateurs distants d'accéder au
réseau privé. Un client d'accès distant effectue une connexion VPN d'accès distant avec un
réseau privé. Il s'authentifie auprès du serveur VPN) et, pour une authentification réciproque,
le serveur s'authentifie auprès du client. Il est à préciser qu’il existe ici deux cas d’utilisations
de vpn d’accès.
Dans le premier cas le client demande au fournisseur d'accès de lui établir une
connexion cryptée vers le serveur distant : il communique avec le Nas (Network Access
Server) du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.
Selon la deuxième méthode il est beaucoup plus question d’interaction avec
Un logiciel client pour le vpn qui permet à celui-ci d’établir directement la
communication de manière cryptée vers le réseau de l’entreprise auquel il voudrait se
connecter.
Cependant les deux méthodes possèdent chacune des avantages et des
insuffisances que nous allons à présent énumérer et commenter.
La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant
plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec
Figure 2 VPN d'accès

la solution Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est
pas cryptée ce qui peut poser des problèmes de sécurité.
Pour la deuxième méthode ce problème est résorbé puisque l'intégralité des
informations sera cryptée dès l'établissement de la connexion. Par contre, cette solution
nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une
communication cryptée. Nous verrons que pour pallier à ce problème certaines entreprises
mettent en place des Vpn à base de Ssl, technologie implémentée dans la majorité des
navigateurs Internet du marché.
Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien
l'importance dans le Vpn d'avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification "login / mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques.
b. Le VPN site à site
Mettre sur pied un vpn site à site revient à mettre en place un VPN entre plusieurs
sites distants c'est-à-dire entre plusieurs routeurs ou entre un routeur et un firewall par
exemple.
Ce type de réseau est particulièrement utile au sein d'une entreprise possédant
plusieurs sites distants. Ceci parce que dans ce type de réseau l’accent est porté sur la
sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées
à transiter sur le Vpn (base de données clients, informations financières, Documents
administratifs...). Des techniques de cryptographie sont mises en œuvre pour vérifier que les
données n'ont pas été altérées. Il s'agit ici d'une authentification au niveau paquet pour
assurer la validité des données, de l'identification de leur source ainsi que leur non-
répudiation. La plupart des algorithmes utilisés font appel à des signatures numériques qui
sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des
algorithmes de cryptographie. La technologie en la matière est suffisamment avancée pour
Figure 3 VPN site à site

permettre une sécurité quasi parfaite. Le coût matériel des équipements de cryptage et
décryptage ainsi que les limites légales interdisent l'utilisation d'un codage " infaillible ".
Généralement pour la confidentialité, le codage en lui-même pourra être moyen ou faible,
mais sera combiné avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer
une sécurité quasi parfaite.
CHAPITRE 4 : TECHNOLOGIES, PROTOCOLES ET SECURITE
I. TECHNOLOGIES ET SOLUTIONS EXISTANTES
a. Liaisons spécialisées (LS) OU Lignes louées

Ce sont les lignes prises sur l'infrastructure du réseau des Télécommunications
(lignes et multiplex) et qui sont mises à la disposition exclusive de deux ou plusieurs
abonnés aux termes d'une location entretien. Ainsi pour le faire on crée des groupes
fermés d'abonnés garantissant une meilleure confidentialité que sur le réseau public. Il est
tout de même à préciser que ce type de liaison ne traverse pas les commutateurs : un seul
correspondant et en un seul lien.
Les liaisons peuvent être bipoint ou multipoints. Ce type de technologie regorge de
nombreux avantages. Parmi ceux-ci on dénombre
- La permanence.
- La disponibilité.
- La souplesse.
- La transparence.
- La fiabilité.
- Les performances.
- La personnalisation.
- La confidentialité.
b. Liaisons spécialisées téléphoniques
Les liaisons spécialisées téléphoniques sont de deux types. On a d’une part les
liaisons point à point analogiques et d’autres parts les liaisons spécialisées multipoints
analogiques.
Nous allons dans un premier temps présenter et étudier les liaisons spécialisées point à
point ensuite nous étudierons les liaisons spécialisées multipoints analogiques.
1- Liaisons point à point analogiques
Il s'agit de lignes prélevées sur le RTC. En général les liaisons spécialisées fournies
par les fournisseurs d’accès Internet sont de trois types et ceci suivant certains critères dont
la qualité technique de la ligne mesurée en termes :
- De distorsion d'affaiblissement.

- De temps de propagation de groupe (de fréquences) correspondant à des gabarits qui
leur confèrent :
. Soit une qualité normale (QN).
. Soit une qualité supérieure (QS).
- Ces liaisons sont spécifiées par le CCITT :
. M.1020 : circuits internationaux loués de qualité spéciale avec adaptation spéciale sur la
largeur de bande.
. M.1025 : circuits internationaux loués de qualité spéciale avec adaptation de base sur la
largeur de bande.
. M.1040 : circuits internationaux de qualité ordinaire.
2- Liaisons multipoints analogiques
Elles sont dotées de 4 fils analogiques qui permettent à une station principale de
communiquer avec des stations secondaires qui, elles, ne peuvent pas correspondre
directement entre elles.
La transmission de données sur de telles liaisons peut se faire à bas ou à moyen débit selon
la qualité des supports disponibles. Ces liaisons peuvent être établies par câbles ou par
satellites ou par une combinaison de ces deux moyens.
3- Liaisons multipoints numériques
Elles garantissent un débit d'information. Elles sont constituées de tronçons
entièrement numérisés. Les liaisons numériques ont deux types d'usage :
. Transmission de données.
. Transmissions numériques à haut débit.
Les liaisons spécialisées qu’elles soient analogiques ou numériques revêtent un intérêt
certain notamment économiques par rapport aux autres moyens de communication. Pour le
client compte tenu du volume moyen de données transmises et du temps de connexion par
jour ouvré. Il se peut qu'indépendamment de ceci, le client préfère disposer d'un moyen
de liaison directe ne laissant pas la place à :
- D'éventuelles coupures.
- De bruits de centraux.
- Des possibilités d'occupation du poste demandé.

II. ETUDE DES PROTOCOLES UTILISES
a. Protocole Ppp
1. Généralités
Ppp (Point to Point Protocol) est un protocole full duplex qui permet de transférer des
données sur un lien synchrone ou asynchrone. Il permet d’envoyer des paquets IP entre
deux ordinateurs reliés par une liaison série. Il encapsule ces paquets (Ip, Ipx et Netbeui)
dans des trames Ppp puis les transmet encapsulés au travers de la liaison point à point
Le protocole Ppp est employé généralement entre un client d'accès à distance et un
serveur d'accès réseau (Nas).En plus de l'encapsulation de datagrammes, il permet
également la résolution de certains problèmes liés aux protocoles réseaux comme
l'assignation et la gestion des adresses (Ip, X25 et autres). Une connexion Ppp est
composée principalement de trois parties :
Une méthode pour encapsuler les datagrammes sur la liaison série. Ppp
utilise le format de trame Hdlc (High Data Level Control) de l'ISO (International
Standardization Organisation).
Un protocole de contrôle de liaison (Lcp - Link Control Protocol) pour établir,
configurer et tester la connexion de liaison de données.
Plusieurs protocoles de contrôle de réseaux (Ncps - Network Control
Protocol) pour établir et configurer les différents protocoles de couche réseau.
2. Format d’une trame Ppp
Données
1
2 4
3
5
1

1. Fanion - Séparateur de trame égale à la valeur 01111110.
2. Adresse - Ce champ doit être à 0xFF (toutes les stations). Toute adresse non reconnue
entraînera la destruction de la trame.
3. Contrôle - Le champ contrôle doit être à 0x03
4.Protocole - La valeur contenue dans ce champ doit être impaire (l'octet de poids fort étant
pair). Ce champ identifie le protocole encapsulé dans le champ informations de la trame, les
Ncp associés ainsi que les Lcp.
Données - De longueur comprise entre 0 et 1500 octets, Ce champ contient le datagramme
du protocole supérieur indiqué dans le champ "protocole".
5. Fcs (Frame Check Sequence) - Ce champ contient la valeur du checksum de la trame.
Ppp vérifie le contenu du Fcs lorsqu'il reçoit un paquet.
3. Phase de connection
Une connexion Ppp est composée principalement de trois parties :
Une méthode pour encapsuler les datagrammes sur la liaison série. Ppp utilise le
format de trame Hdlc (High Data Level Control)
Un protocole de contrôle de liaison (Lcp - Link Control Protocol)
Plusieurs protocoles de contrôle de réseaux (Ncps - Network Control Protocol)
Toute connexion Ppp commence et finit par une phase dite de "liaison morte». La
couche physique prête, l'établissement de la liaison commence. C’est Lcp (Link Control
Protocol) qui va établir, configurer, tester, et terminer la connexion Ppp. La connexion Ppp
passe ensuite à une phase d'authentification qui est facultative puis en phase de "Protocole
réseau". C'est lors de cette étape que les différents protocoles réseaux sont configurés

séparément. Elle est assurée par le protocole de contrôle de réseau (Ncp) approprié. A ce
moment, le transfert des données est possible.
4. Qualité de service rendue suivant le protocole Ppp
La qualité de service rendue par le protocole Ppp se situe au niveau de la
transmission des informations. Il est à noter que le protocole Ppp tel que rappelé plus haut
est un protocole full Duplex qui permet de transférer des données sur un lien synchrone ou
asynchrone. Il a ceci de particulier qu’il permet non seulement d’encapsuler des
datagrammes mais également la résolution de problèmes liés aux protocoles réseaux.
b. Protocole Pptp
Le protocole PPTP (Point to Point Tunneling Protocol) est un protocole de niveau 2
qui utilise une connexion Ppp à travers un réseau Ip en créant un réseau privé virtuel. Le
principe du protocole Pptp est de créer des paquets sous le protocole Ppp et de les
encapsuler dans des datagrammes IP.
Le tunnel Pptp se caractérise par une initialisation du client, une connexion de
contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur.
Tout trafic client conçu pour Internet emprunte la connexion physique normale, alors
que le trafic conçu pour le réseau privé distant, passe par le tunnel Pptp. Pptp crée ainsi un
tunnel de niveau 3 défini par le protocole Gre (Generic Routing Encapsulation).
1. Encapsulation GRE
L'authentification se fait grâce aux protocoles Ms-Chap ou EAP-TLS. La partie
chiffrement des données s'effectue grâce au protocole Mppe (Microsoft Point-to-Point
Encryption).
2. Authentification MS-CHAP, EAP-TLS
TCP/IP
PPTP
PPP
TCP/UDP
IP Données
TCP/UDP
IP Données
PPP
GRE
TCP/UDP
IP Données
PPP
GRE
IP
PPP
Figure 5 Encapsulation GRE

MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) est un
protocole d’authentification que Microsoft utilise pour authentifier les stations de travail
Windows distantes. Il utilise un mécanisme d'interrogation-réponse pour éviter que le mot de
passe ne soit échangé lors du processus d'authentification. MS-CHAP utilise l'algorithme de
hachage MD4 (Message Digest 4) et l'algorithme de cryptage DES (Data Encryption
Standard) pour générer l'interrogation et la réponse.
EA-TLS (Extensible Authentication Protocol-Transport Level Security) est une
méthode d'authentification mutuelle, ce qui signifie que le client et le serveur se prouvent
respectivement leur identité. Lors de l'échange EAP-TLS, le client d'accès à distance envoie
son certificat d'utilisateur et le serveur d'accès à distance envoie son certificat d'ordinateur.
S i l'un quelconque des certificats n'est pas envoyé ou n'est pas valide, la connexion
est interrompue. Lors des processus d'authentification MS-CHAP ou EAP-TLS, des clés de
cryptage secrètes partagées pour MPPE sont générées.
3. Cryptage MPPE
MPPE (Microsoft Point to Point Encryption) crypte les données des connexions
d'accès à distance PPP ou des connexions VPN PPTP. Les méthodes de cryptage MPPE
standard (clé à 40 bits) et maximal (clé à 128 bits) sont prises en charge. MPPE assure la
sécurité des données entre notre connexion PPTP et le serveur tunnel et exige des clés
client et serveur communes.
4. Qualité de service au niveau du protocole Pptp
La qualité de service au niveau du protocole Pptp réside au niveau de l‘encapsulation
et de la transmission des paquets. En effet le protocole Pptp crée des paquets sous le
protocole Ppp et les encapsule dans des datagrammes ip. On se rend donc bien compte que
qu’en plus de la qualité de service qui est rendue au niveau du protocole Ppp celui y adjoint
une initialisation, une connexion de contrôle entre le client et le serveur ainsi que la
fermeture du tunnel par le serveur. Au travers de ce protocole tout le trafic conçu pour
l’internet emprunte la connexion physique normale à contrario le trafic conçu pour le réseau
privé distant passe par le tunnel Pptp. Ce qui permet au finish de créer un tunnel de niveau 3
défini par le GRE (Generic Routing Encapsulation).
c. Protocole Ipsec
1. Généralités

IPSec est un protocole destiné à fournir différents services de sécurité. Son intérêt
principal reste sans conteste son mode dit de tunneling, c'est-à-dire d'encapsulation d'IP qui
lui permet entre autres choses de créer des réseaux privés virtuels.
2. Mode d’Ipsec
Ipsec est un protocole qui vise à sécuriser l'échange de données au niveau de la
couche réseau. Il fonctionne sous deux modes :
Le mode transport ne modifie pas l'en-tête initial et il réalise les mécanismes
de signature et de chiffrement puis transmet les données à la couche Ip.
Le mode tunnel remplace les en-têtes IP originaux et encapsule la totalité du
paquet IP. L'encapsulation Ipsec en mode tunnel permet le masquage d'adresses.
Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que
le mode transport se situe entre deux hôtes.
3. Composantes d’Ipsec
Protocole de base d’Ipsec
Les tunnels destinés aux échanges de données vont s'appuyer sur 2 protocoles
différents suivant les besoins en sécurité des utilisateurs :
Le premier est le protocole AH (Authentication Header) qui vise à établir l'identité des
extrémités de façon certaine. Il ne garantit aucune confidentialité (chiffrement) des données.
Son principe est d'adjoindre au datagramme Ip classique un champ supplémentaire
permettant à la réception de vérifier l'authenticité des données incluses dans le datagramme.
Ce bloc de données est appelé "valeur de vérification d'intégrité" (Integrity Check Value, Icv).
Le deuxième protocole est le protocole ESP (Encapsulating Security Payload) assure
la sécurité des données par chiffrement et peut aussi assurer l'authenticité en encapsulant
dans un nouveau datagramme IP les données et l'entête.
4. Autres protocoles de chiffrement et d’authentification
MD5 (Message Digest 5): Il fonctionne avec des blocs de 512 bits, ces blocs sont eux-
mêmes tronqué en 16 blocs de 32 bits (16 mots) et le résultat est représenté par un
ensemble de 4 mots. Clé de 128 bits.
SHA-1 (Secure Hash Algorithme version 1): basé sur MD4, il fonctionne avec des blocs
de 512 bits, Clé de 160 bits.
DES (Data Encryption Standard): un algorithme à clé symétrique. C'est un système de
chiffrement par blocs de 64 bits. La clé est codée sur 64 bits et formée de 16 blocs de 4 bits.

3DES (Triple Data Encryption Standard): plus fiable mais plus lent que DES, car il utilise
3 fois le cryptage DES simple et génère donc 3 clés.
Les protocoles Ssl et Tls sont d’autres protocoles de chiffrement et d’authentification
mais ils ne sont pas utilisés par AH et ESP.
SSL (Secure Socket un protocole de couche 4 (niveau transport) utilisé par une application
pour établir un canal de communication sécurisé avec une autre application
TLS (Transport Layer Security): le protocole de sécurisation de la couche transport.
Gestion des clés d’IPSEC
Protocoles de gestion des clés
La clé constitue le numéro ou code secret nécessaire à la lecture, la modification ou la
vérification de données sécurisées. Les protocoles de gestion des clés sont :
IKE (Internet Key Exchange) est un système développé spécifiquement pour Ipsec qui vise à
fournir des mécanismes d'authentification et d'échange de clef adaptés à l'ensemble des
situations qui peuvent se présenter sur l'Internet. Il est composé de plusieurs éléments : le
cadre générique Isakmp et une partie des protocoles Oakley et Skeme.
Isakmp protocole de négociation :
IKE utilise Isakmp pour construire un protocole pratique. Il comprend trois modes principaux:
Main mode et Agressive mode qui sont utilisés durant la phase 1
Quick Mode utilisé durant la phase 2
Phase 1 : négociation d'attributs
• algorithme de chiffrement
• fonction de hachage
• méthode d'authentification
• groupe Diffie-Hellman
Phase 2 : Quick Mode
• Dans cette phase les messages sont protégés par la phase 1
• chaque négociation aboutit à 2 AS (une pour chaque sens)
o paramètres IPSec
o clefs dérivées
o identification des traffics

Oakley Génère les clés qui permettront de chiffrer et de déchiffrer les données transitant sur
le canal sécurisé.
Bases de données internes
Les mécanismes mentionnés ci-dessus font bien sûr appel à la cryptographie et utilisent
donc un certain nombre de paramètres (algorithmes de chiffrement utilisés, clefs,
mécanismes sélectionnés...) sur lesquels les tiers communicants doivent se mettre d'accord.
Afin de gérer ces paramètres, Ipsec a recours à la notion d'association de sécurité (Security
Association, SA).
Le rôle d'une AS est de spécifier, pour chaque adresse IP avec laquelle IPSec peut
communiquer, les informations suivantes :
o le Security Parameter Index (SPI) : identifiant de la SA choisie par le récepteur
o le numéro de séquence
o les paramètres d'authentification (algorithmes et clés)
o les paramètres de chiffrement (algorithmes et clés)
o la durée de vie de l'association
o le mode du protocole IPSec (tunnel ou transport)
Pour gérer les associations de sécurités actives, on utilise une base de données des
associations de sécurité (Security Association Database, SAD). Elle contient tous les
paramètres relatifs à chaque SA et sera consultée pour savoir comment traiter chaque
paquet reçu ou à émettre. Les protections offertes par Ipsec sont basées sur des choix
définis dans une base de données de politique de sécurité (Security Policy Database,
SPD).
d. Protocole Mpls
L’acronyme MPLS désigne Multiprotocol Label Switching. Ce protocole est
normalisé (RFC 3031) par l’IETF (Internet Engineering Task Force). Le protocole Mpls fut
initialement développé pour donner une plus grande puissance aux commutateurs Ip. Il se
présente comme une solution aux problèmes de routage des datagrammes Ip véhiculés sur
Internet. A la suite de ces propos notre proposons de présenter ce protocole, son principe
de fonctionnement et comment il est utilisé dans les vpn.
1. Principe de fonctionnement de Mpls

Le principe de base de Mpls est la commutation de labels. Ces labels, simples
nombres entiers, sont insérés entre les en-têtes de niveaux 2 et 3, les routeurs permutant
alors ces labels tout au long du réseau jusqu'à destination, sans avoir besoin de consulter
l'entête ip et leur tale de routage. Les paquets entrant ou sortant d’un réseau MPLS sont
respectivement encapsulés ou décapsulé par un LER (Label edge Router). A l’entrée du
réseau MPLS, le LER assigne les paquets à un FEC (Foward Equivalent Class) et leur
ajoute le label correspondant (push). En effet, les labels sont associés aux FEC et chaque
label correspond à un LSP. A l’extrémité du LSP (sortie du réseau MPLS), le LER retire le
label des paquets et utilise l’entête IP afin de les forwarder vers leur destination.
2. Utilisation du Mpls pour les VPN
Des tunnels sont créés entre des routeurs Mpls de périphérie appartenant à
l'opérateur et dédiés à des groupes fermés d'usagers particuliers, qui constituent des Vpn.
Dans l'optique Mpls/Vpn, un Vpn est un ensemble de sites placés sous la même autorité
3. Sécurité
La séparation des flux entre clients sur des routeurs mutualisés supportant Mpls est
assurée par le fait que seul la découverte du réseau se fait au niveau de la couche 3 et
qu'ensuite le routage des paquets est effectué en s'appuyant uniquement sur le mécanisme
des labels intermédiaires entre la couche 2 et la couche 3 du modèle OSI.
Le niveau de sécurité est le même que celui de Frame Relay avec les Dlci (Data Link Control
Identifier) qui sont des canaux de communication semi permanents. Le déni de service est
en général effectué au niveau 3 (Ip). Ici, les paquets seront quand même routés jusqu'au
destinataire au travers du réseau Mpls en s'appuyant sur les tables de routage contenus
dans les routeurs périphériques.
e. Protocole L2tp
1. Composantes fondamentales
L2tp est un protocole de tunneling standard utilisé sur Internet qui possède
pratiquement les mêmes fonctionnalités que le protocole PPTP.
TCP/IP
L2TP
PPP
TCP/UDP
IP Données
TCP/UDP
IP Données
PPP
UDP
TCP/UDP
IP Données
PPP
UDP
IP
PPP

L2tp repose sur deux concepts : les concentrateurs d'accès L2tp (Lac : L2tp Access
Concentrator) et les serveurs réseau L2tp (Lns : L2tp Network Server).
Concentrateur d’accès L2TP (LAC)
Le NAS (Network Access Service) du FAI est le client L2TP. Dans la terminologie de
L2TP, il s'appelle : un LAC (L2TP Access Concentrator). Le Lac est l'émetteur des appels
entrants et le destinataire des appels sortants et fait suivre. Un tunnel existe entre le LAC et
le LNS.
Serveur réseau (LNS)
L’équipement relié au LAN de l’entreprise est le serveur, appelé : un LNS (L2TP
Network Server). L'utilisateur (mobile) utilise L2TP dans le tunnel créé à travers Internet pour
se relier aux serveurs de son entreprise. Après la connexion, l'utilisateur et les LNS
négocient la session PPP exactement de la même manière qu’une connexion directe entre
deux sites distants.
2. Sécurisation des tunnels L2tp
Authentification
La méthode d’authentification indique par quel moyen chaque hôte a la certitude
d’être en communication avec un autre membre ou plusieurs membres, et vérifie qu’il s’agit
bien du bon interlocuteur.
KERBEROS V5 : le protocole de sécurité principal pour les authentifications réalisées dans
un domaine. Le mécanisme d'authentification Kerberos V5 émet des tickets d'accès aux
services réseau. Ces tickets contiennent des données cryptées, dont un mot de passe
crypté, qui confirme auprès du service demandé l'identité de l'utilisateur. À l'exception du mot
de passe qu'il doit fournir, l'utilisateur ne voit rien du processus d'authentification.
Kerberos V5 dispose d'un service important, le centre de distribution de clés (KDC, Key
Distribution Center). Le KDC fonctionne sur chaque contrôleur de domaine dans le cadre du
service d'annuaire Active Directory, qui stocke tous les mots de passe et toutes les autres
informations relatives aux comptes.
Figure 6 Protocoles L2tp

Certificats : Cette méthode base l’authentification sur les certificats X.509 version 3
Clés pré partagées : Ces clés sont dites prés partagés parce que les parties s'accordent sur
une clé secrète partagée utilisée pour l'authentification. Au cours de la négociation de
sécurité, les informations sont cryptées avant leur transmission, à l'aide d'une clé de session.
La clé de session est créée à l'aide d'un calcul Diffie-Hellman et de la clé secrète partagée.
Les informations sont décryptées par le destinataire, à l'aide de la même clé.
Chiffrement
L2tp n'intègre pas directement de protocole pour le chiffrement des données. C'est
pourquoi L'IETF préconise l'utilisation conjointe de L2tp et Ipsec.
CHAPITRE 5 : BILAN ET EVALUATION DES DIFFERENTES
TECHNOLOGIES ET PROTOCOLES UTILISES DANS LES LIAISONS
VPN

I. RECAPITULATIF DES TECHNOLOGIES UTILISEES POUR
LA MISE SUR PIED DE LIAISONS VPN
Tout au long de notre étude préalable nous avons fait un récapitulatif des différents
protocoles et technologies concourant à la mise en place de liaisons vpn. Nous avons ainsi
parlé des liaisons spécialisées avec leurs particularités à chacune. Nous avons aussi étudié
les différents protocoles qui sont implantés dans les systèmes d’exploitation pour mettre en
place des réseaux privés virtuels.
De toutes ces technologies étudiées précédemment on peut citer les liaisons
spécialisées qui sont nombreuses et variés. Parmi ces liaisons nous avons les liaisons
spécialisées téléphoniques, les liaisons point à point analogiques, les liaisons multipoints
analogiques et enfin les liaisons spécialisées numériques. Il ressort au finish après cette
étude que les liaisons spécialisées bien que onéreuses ceci pour la simple raison que
l’utilisateur ne peut se l’approprier complètement ni en termes de matériel d’installation, ni
en débit de souscrit. Cependant ils apportaient des avantages notoires au rang desquels
nous pouvons citer : La permanence des liaisons, la disponibilité des applications et autres
informations qui transitent sur le réseau ou la liaison. Nous avons aussi comme autre
avantage la fiabilité, la confidentialité, la transparence, les performances, etc. Ceci car nul
autre que les utilisateurs des sites ayant souscrit le débit pour la liaison chez l’opérateur de
télécommunications ne pourra y accéder.
En plus des liaisons spécialisées pouvant être utilisées pour mettre sur pied des
réseaux vpn, nous nous rendons compte aujourd’hui qu’en plus des liaisons spécialisées
quelques peu onéreuses de nouvelles options existent aujourd’hui pour mettre sur pied des
réseaux vpn. Il s’agit de l’Internet outil accessible aujourd’hui par un grand nombre
d’entreprises. Ces réseaux vpn ne sauraient probablement pas se faire s’il n’existait des
protocoles développés et inclus dans les systèmes d’exploitation dont se servent les
utilisateurs des réseaux informatiques pour rester connecter au réseau de leurs entreprises.
Parmi ceux-ci l’on dénombre les protocoles Ppp (Point to point protocol), Pptp (point to point
tunneling Protocol), L2tp(layer two Tunneling protocol), Ipsec(Internet protocol Security) qui
est un protocole visant à permettre l’échange sécurisé de paquets au niveau de la couche
IP) et enfin le Mpls qui est une technique conçue pour faire remonter des informations de
niveau 2 dans la couche 3. Ceci permet de gérer les ressources disponibles au sein du
réseau.

II. ETUDE COMPARATIVE DES DIFFERENTS PROTOCOLES
Chaque protocole présenté permet de réaliser des solutions performantes de Vpn.
Nous allons ici aborder les points forts et les points faibles de chacun de ses protocoles.
1. VPN-SSL
Présentée comme la solution miracle pour permettre aux itinérants de se connecter
aux applications réparties de l'entreprise les Vpn-Ssl souffrent de problèmes principalement
liés aux navigateurs web utilisés. Elle est une des meilleures solutions sinon la meilleure
pour les entreprises désirant faire un vpn d’accès.
Le but de l’utilisation des navigateurs web est de permettre aux utilisateurs d'utiliser
un outil dont ils ont l'habitude et qui ne nécessite pas de configuration supplémentaire.
Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le renouveler. Cette
opération peut poser problème aux utilisateurs novices. De plus sur la majorité des
navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut
: toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de
sécurité.
Rien n'empêche de plus le client de télécharger une version modifiée de son
navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins...). Rien ne
certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien
une.
Enfin un autre problème lié à l'utilisation de navigateurs web comme base au Vpn est
leur spécificité au monde web. En effet par défaut un navigateur n'interceptera que des
communications Https ou éventuellement Ftps. Toutes les communications venant d'autre
type d'applications (MS Outlook, ou une base de données par exemple) ne sont pas
supportées. Ce problème est généralement contourné par l'exécution d'une applet Java
dédiée dans le navigateur. Mais ceci implique également la maintenance de cette applet
(s'assurer que le client possède la bonne version, qu'il peut re-télécharger au besoin.) L'idée
suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès Vpn est
donc sérieusement à nuancer.
2. VPN-PPP
Ppp (Point to Point Protocol) est un protocole qui permet de transférer des données
sur un lien synchrone ou asynchrone. Il présente l’avantage qu’il est full duplex et garantit
l'ordre d'arrivée des paquets. Il encapsule les paquets Ip, Ipx et Netbeui dans des trames

Ppp, En plus de permettre l’encapsulation de datagrammes il permet aussi la résolution de
certains problèmes liés aux protocoles réseaux comme l’assignation et gestion d’adresses
qui sont des facteurs très importants dans la gestion d’un réseau vpn. Un autre avantage et
non des moindres réside dans le fait qu’il est supporté par un grand nombre
d’environnements.
D’un autre côté PPP permet d'implémenter le concept AAA "Authentication
Authorization Accounting", grâce au Radius. Les sessions PPP sont concentrées sur un BAS
ou un LAC et terminées sur un LNS. Concrètement, ça peut permettre à des opérateurs
alternatifs de collecter des clients par le réseau d'un opérateur tiers. Ce qui est un
inconvénient car les informations transitant sur le réseau ne sont pas forcément codées en
ascii ni en texte clair.
3. PPTP
Pptp présente l'avantage d'être complètement intégré dans les environnements
Windows. Ceci signifie en particulier que l'accès au réseau local distant pourra se faire via le
système d'authentification de Windows NT : RADIUS et sa gestion de droits et de groupe.
Cependant comme beaucoup de produit Microsoft la sécurité est le point faible du produit :
• Mauvaise gestion des mots de passe dans les environnements mixtes win 95/NT.
• Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du
mot de passe au lieu d'être entièrement générées au hasard (facilite les attaques «
force brute »).
• Faiblesses cryptographiques du protocole MsCHAP 1 corrigées dans la version 2
mais aucun contrôle sur cette version n'a été effectué par une entité indépendante.
Identification des paquets non implémentée : vulnérabilité aux attaques de type «
spoofing »
.
4. L2TP - IPSEC
Avantages
Les mécanismes de sécurité mis en place dans Ipsec sont plus robustes et plus
reconnus que ceux mis en place par Microsoft dans Pptp. Par défaut le protocole L2tp utilise

le protocole Ipsec. Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un
autre protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements
d'un Vpn L2tp implémente bien le protocole Ipsec.
Avantages
Ipsec ne permet d'identifier que des machines et non pas des utilisateurs. Ceci est
particulièrement problématique pour les utilisateurs itinérants. Il faut donc prévoir un service
d'authentification des utilisateurs. Dans le cas de connexion dial-up c'est l'identifiant de
connexion qui sera utilisé pour authentifier l'utilisateur. Mais dans le cas de connexion via
Internet il faudra prévoir une phase d'authentification supplémentaire à l'établissement du
tunnel. D'autre part Ipsec n'offre aucun mécanisme de Qos Ce qui limite ses applications :
toutes les applications de voix sur Ip ou de vidéo sur Ip sont impossibles ou seront amenées
à être complètement dépendantes des conditions de trafic sur l'internet public.
Enfin Ipsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les
performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent
indispensable.
5. Mpls - Ipsec
Mpls est aujourd'hui la solution apparaissant comme la plus mature du marché. La
possibilité d'obtenir une Qos garantie par contrat est un élément qui pèse fortement dans la
balance des décideurs. Cependant, seuls des opérateurs spécialisés fournissent ce service
ce qui peut poser de nouveaux problèmes.
Cependant utiliser plusieurs opérateurs pour la gestion du Vpn complique d'autant la
gestion et la configuration de celui-ci.
Enfin l'étendue d'un Vpn-Mpls est aujourd'hui limitée par la capacité de l'opérateur de service
à couvrir de vastes zones géographiques.
Mpls Ipsec
Qualité de
service
Permet d'attribuer des priorités au
trafic par le biais de classes de service
Le transfert se faisant sur l'Internet
public, permet seulement un service

"best effort"
Coût
Inférieur à celui des réseaux Frame
Relay et Atm mais supérieur à celui
des autres Vpn IP.
Faible grâce au transfert via le
domaine Internet public
Sécurité
Comparable à la sécurité offerte par
les réseaux Atm et Frame Relay
existants.
Sécurité totale grâce à la
combinaison de certificats
numériques et de Pki pour
l'authentification ainsi qu'à une série
d'options de cryptage, triple DES et
AES notamment
Applications
compatibles
Toutes les applications, y compris les
logiciels d'entreprise vitaux exigeant
une qualité de service élevée et une
faible latence et les applications en
temps réel (vidéo et voix sur IP)
Accès à distance et nomade
sécurisé. Applications sous IP,
notamment courrier électronique et
Internet. Inadapté au trafic en temps
réel ou à priorité élevée
Etendue
Dépend du réseau Mpls du
fournisseur de services
Très vaste puisque repose sur
l'accès à Internet
Evolutivité
Evolutivité élevée puisque n'exige pas
une interconnexion d'égal à égal entre
les sites et que les déploiements
standards peuvent prendre en charge
plusieurs dizaines de milliers de
connexions par Vpn
Les déploiements les plus vastes
exigent une planification soigneuse
pour répondre notamment aux
problèmes d'interconnexion site à
site et de peering
Frais de
gestion du
réseau
Aucun traitement exigé par le routage
Traitements supplémentaires pour le
cryptage et le décryptage
Vitesse de
déploiement
Le fournisseur de services doit
déployer un routeur Mpls en bordure
de réseau pour permettre l’accès
client
Possibilité d'utiliser l'infrastructure
du réseau Ip existant
Prise en
charge par le
client
Non requise. Le Mpls est une
technologie réseau
Logiciels ou matériels client requis
Tableau 2 Comparaison protocoles Ipsec - Mpls
III. PROPOSITION DE TECHNOLOGIE ET DE TECHNOLOGIE
ET DE PROTOCOLE DE MISE EN PLACE DE VPN SELON
LA QUALITE DE SERVICE, SECURITE ET LE COUT

A l’issu de cette étude et vu les spécifications liés à la plupart des projets faisant
intervenir les vpn un constat s’impose : La plupart des entreprises désirant que l’on mette en
place pour eux un vpn le font très souvent pour interconnecter leurs agences réparties sur
des grandes distances géographiques. Pour cela nous nous proposons de mettre sur pied
une solution vpn de site à site ou intranet vpn. En effet l’intranet vpn est la forme de vpn qui
colle le plus avec l’abréviation de vpn car il s’agit ici de relier entre eux deux réseaux locaux
distincts afin qu’il ne fasse plus qu’un. Ce type de vpn a cet avantage que la connexion
établie est permanente. Son principal inconvénient tient dans le fait que la connexion étant
permanente, une personne tierce pouvait décoder les informations en transit sur le réseau.
Mais aussi que la connexion internet ne dépend pas de l’entreprise cliente mais toujours du
fournisseur d’accès. Cependant ce problème est résolu par l’utilisation de protocole de
tunnelisation comme IPSEC qui sécurise les liaisons d’un bout à l’autre des transmissions
rendant quasiment impossible le décryptage des informations transmises via internet.
Après avoir fait un tour sur le marché des principaux fournisseurs d’accès internet
que sont notamment l’opérateur de téléphonie Mobile ORANGE, l’Opérateur de Téléphonie
Mobile MTN ou encore l’opérateur de Téléphonie Fixe et mobile CAMTEL il ressort que les
solutions qui sont proposées tournent autour des VPN construits autour des liaisons
spécialisées et de VPN sur lesquels les données transitent par Tunnel internet. Ces solutions
sont basées sur du matériel dédié. De ce fait le coût de la solution à déployer et les services
à implémenter seront limités et surtout ils dépendront du budget qui sera utilisé pour acquérir
cette solution. Pour avoir un débit considérable et surtout satisfaisant aux déploiements de
nos différentes solutions, on va étudier les différentes solutions proposées par les principaux
fournisseurs d’accès internet cités plus haut.

Solutions proposée par ORANGE :
TABLEAU DES DIFFERENTES OFFRES PROPOSEES PAR L’OPERATEUR SELON LE DEBIT
Business Classic Business Regular Business Intensive
Business Intensive
Plus
Business Intensive
Premium
Taux de
souscription/3 mois
minimum
150 000 F
Per month
280 000 F 450 000 F 700 000 F 900 000 F
Vitesse de
Réception
Jusqu’à 256 k Jusqu’à 512 k Jusqu’à 1 Mb Jusqu’à 2 Mb Jusqu’à 2 Mb
Vitesse de
transmission
Jusqu’à 128 k Jusqu’à 256 k Jusqu’à 512 k
Tableau 3 Offres proposées par l'operateur par débit

Coût des liaisons spécialisées en fonction du débit :
Débit de 128 k.
Type de transmission : SDSL : Symetric Digital subscriber Line
Coût : Installation : 550 000 F
Mensuel : 290 000 F
Débit de 256K Bytes
Type de transmission : SDSL : Symetric Digital subscriber Line
Mensuel : 450 000 F

Solutions proposée par l’opérateur de Téléphonie MTN CAMEROUN :
TABLEAU DES DIFFERENTES OFFRES PROPOSEES PAR L’OPERATEUR SELON LE
DEBIT
Service
Link Link Pro Link Sonic
Jusqu’à 512 kb/s avec
adresse IP
Jusqu’à 1 Mb/s avec
adresse IP
Jusqu’à 2 Mb/s avec
adresse IP
Tarifs mensuels 400 000 FCFA 750 000 FCFA 1 400 000 FCFA
Services
supplémentaires
VPN & adresses ip
supplémentaires
VPN & adresses ip
supplémentaires
VPN & adresses ip
supplémentaires
Frais de connexion Sur devis Sur devis
Conditions de vente Durée minimum de souscription : 2 ans
Cible concernée par
ce service
Connexion à haut débit
pour les entreprises
possédant plus de 20
ordinateurs
Connexion à haut
débit pour les
entreprises disposant
plus de 50 ordinateurs
Connexion à haut débit
pour les entreprises
disposant plus de 50
ordinateurs
Coût des liaisons spécialisées en fonction du débit :
Après plusieurs correspondantes avec Mme Félicité NDJETEHE Corporate Account
Executive à MTN CAMEROUN les informations que nous avons glanées sont celles-
ci :
Les liaisons spécialisées point à point se font à 4 5OO OOO FCFA
SOLUTION PROPOSEE PAR CAMTEL:
Il faut déjà noter que les offres de cet opérateur en matière de fourniture de liaisons
spécialisées sont très variées elles vont de l’installation de liaisons spécialisées par cuivre à
des liaisons spécialisées Wireless en passant par des liaisons spécialisées par fibre optique.
Ces différentes offres se présentent ainsi qu’il suit :

LIAISONS SPECIALISEES WIRELESS :
Débit : 128 ko Débit : 256 ko
Redevance mensuelle hors taxe : 405 000 F CFA , Redevance mensuelle : 720 000
F CFA
Caractéristiques : CPE
Frais d’accès : ≥
≥
≥
≥420 000 FCFA et sur Devis
Option de Location : 100 000 FCFA
LIAISONS SPECIALISEES PAR CUIVRE :
Débit : 128 ko Débit : 256 ko
Redevance mensuelle hors taxe : 405 000 F CFA , Redevance mensuelle : 720 000
F CFA
≥
≥
≥420 000 FCFA et sur Devis
Option de Location : Il s’agit ici de la location des équipements d’interconnexion à
savoir Modems, Routeurs, Câbles V35.
Caractéristiques : Option de location
Matériels requis
ou autres
modems
compatibles
02 Câbles V
35
Marque RAD, Modèle ASMI 52
avec port V35 pour
l’installation : 02 modems
50 000 FCFA
01 Routeur
Routeur Cisco 1600 ou
supérieur ou tout routeur
compatible
100 000 FCFA

LIAISONS SPECIALISEES PAR FIBRE OPTIQUE :
Débit : 128 ko || Débit : 256 ko
Redevance mensuelle hors taxe : 405 000 F CFA || Redevance mensuelle : 720 000
F CFA
≥
≥
≥3 000 000 FCFA et sur Devis
Caractéristiques : Option de location
Matériels requis
ou autres
modems
compatibles
02 modems
02 Câbles
V35
. SHDSL avec interface série
Pas d’option de
location
01 Routeur
. Au moins une interface
série
. Une interface d’Ethernet
Pas d’option de
location
Après avoir étudié les offres des principaux fournisseurs d’accès Internet présents sur
le marché et établi une comparaison, notre choix se porte sur l’opérateur de téléphonie
mobile ORANGE. Ceci parce qu’il nous fournit le meilleur ratio qualité du service à déployer,
débit sollicité et prix.
L’offre est ici détaillée :
Débit de la liaison 128 k.
Type de transmission : SDSL : Symmetric Digital subscriber Line
Mensuel : 290 000 F

Débit de 256K Bytes
Type de transmission : SDSL : Symmetric Digital subscriber Line
Mensuel : 450 000 F
Cette offre ainsi présentée, nous pensons qu’un débit de 256 K en liaison spécialisée point à
point serait plus adapté. Ceci vu le nombre d’utilisateurs devant partager la connexion
Internet simultanément, le nombre et la taille des applications devant transiter sur le réseau
simultanément.
Nombre de machines connectées : ≈30 ordinateurs connectés
Applications partagées sur le réseau : Applications de comptabilité
Exemple SAARI COMPTA
Débit souscrit en fonction des Services à déployer : 256 K
Services à déployer : Serveur VPN, Serveur DHCP, Serveur DNS, Serveur ICS, Serveur de
Fichiers, Serveur d’Application.
Il s’agit donc ici de construire un tunnel VPN reliant deux réseaux distincts à partir
d’une connexion internet. Ceci revient à dire que chaque site devra posséder sa propre
connexion internet.
Après avoir bien étudié le projet et par souci d’efficience nous sommes arrivés à la
conclusion qu’il serait préférable de construire notre vpn au travers d’une liaison spécialisée
et reliant les deux sites ce qui permettrait d’utiliser la connexion internet d’un seul site et de
la partager par notre liaison à l’ensemble des autres sites.

CHAPITRE 6 : PROCESSUS DE MISE EN PLACE DE LA QUALITE
DE SERVICE DANS UN RESEAU INFORMATIQUEET DES LIAISONS
VPN
I. QUALITE DE SERVICE BASEE SUR LES NORMES
La recommandation E.800 du CCITT (Consultative Committee for
International Telegraph and Telephone) définit la qualité de service (QoS pour Quality
of Service ou QdS pour (Qualité de Service) comme : « l’effet général de la
performance d’un service qui détermine le degré de satisfaction d’un utilisateur du
service ». Cette définition reflète la perception de la qualité de service de point de vue
d’un utilisateur].
Dans le RFC 2386, la QoS est définit comme un ensemble de besoins à assurer par le
réseau pour le transport d’un trafic d’une source à une destination. Ces besoins peuvent
être traduits en un ensemble d’attributs pré spécifiés et mesurables en terme de :
• Délai de bout en bout,
• Variance de délai (gigue),
• Bande passante,
• Pertes de paquets.
• Gigue
• Délais de transmissions
• Pertes de paquets
Autrement appelée (QoS, Quality of Service) cést la conformité dún service à
répondre aux exigences dún client, quíl soit externe ou interne. Elle se défini d’autre
part comme étant est la capacité à véhiculer dans de bonnes conditions un type de trafic
donné, en termes de disponibilité, débit, délais de transmission, gigue, taux de perte de
paquets…. La difficulté est de mesurer précisément cette qualité de service. Il faut donc
distinguer entre le service attendu (les besoins des utilisateurs), le service rendu et le
service perçu. La communication joue donc un rôle important : les équipes informatiques

doivent expliquer ce quélles font, être transparentes sur les engagements comme les
délais. Les contrats déngagement de service permettent de "cadrer" le travail des uns et
láttente des autres.
II. BUT DE LA MISE SUR PIED D’UN SYSTEME DE QUALITE
La qualité de service est un concept de gestion qui a pour but d’optimiser les
ressources d'un réseau en management du système d’information ou d'un processus ou en
logistique et de garantir de bonnes performances aux applications critiques pour
l’organisation. La Qualité de Service permet d’offrir aux utilisateurs des débits et des temps
de réponse différenciés par applications (ou activités) suivant les protocoles mis en œuvre
au niveau de la structure. Elle permet ainsi aux fournisseurs de services (départements
réseaux des entreprises, opérateurs…) de s’engager formellement auprès de leurs clients
sur les caractéristiques de transport des données applicatives sur leurs infrastructures IP.
III. FONCTIONNEMENT DE LA QUALITE AU SEIN D’UN
RESEAU INFORMATIQUE
Les mécanismes les plus connus définis par l’IETF (Internet Engineering Task
Force) sont les Services Différenciés (DiffServ) et les Services Intégrés (IntServ). Le modèle
DiffServ consiste à introduire plusieurs classes de service offrant chacune une qualité de
service différente. Chaque flux de trafic se voit attribuer une classe de service appropriée.
Cette classification de trafic est effectuée en périphérie du réseau, directement à la source
ou sur un routeur d’accès, selon des critères préconfigurés (adresses IP ou ports
TCP/UDP). Chaque paquet est marqué avec un code qui indique la classe de trafic
assignée. Les routeurs dans le cœur du réseau (back one) utilisent ce code, transporté dans
un champ du datagramme IP, pour déterminer la qualité de service requise par le paquet.
1. Qualité de service selon l’architeture Ethernet
L’architecture Ethernet est basée sur une topologie logique de type BUS : les trames
émises sont diffusés en parallèle à tous les nœuds (toutes les machines) du réseau. La
méthode (ou protocole) d’accès utilisée est non déterministe, c’est CSMA/CD. La vitesse
théorique est de 10 Mbits/s ; le débit d’informations réel est en réalité beaucoup plus faible, à
cause du temps perdu à attendre que le réseau soit libre ou qu’une collision ait été gérée (ce

qui croit avec le trafic) et à cause de la longueur des câbles. L’architecture Ethernet standard
est donc très performante en présence d’un trafic faible. Elle se révèle vite très lente dès lors
que le trafic devient trop important .Les trames émises dépendent de la sous couche MAC
de la couche n°
2 du modèle OSI ; dans le cas d’Ethe rnet, elle respecte le standard 802.3 de
l’IEEE. Donc pour assurer une certaine qualité de service au niveau de l’architecture
Ethernet. La détection de collision s'effectuait par chaque nœud, en "écoutant" en
permanence le câble: Ce que je reçois doit être équivalent à ce que j'émets, si c'est différent,
c'est qu'il y a collision. Ainsi le paquet était reis assurant ainsi une qualité de service au
niveau de la transmission des paquets qui transitent sur le réseau.
2. Qualité de service suivant les différentes couches du modèle OSI
L’architecture en couches OSI (Open Systems Interconnexion) pour la gestion du
réseau est utilisée par l’architecture courante de l’Internet. Cette architecture a permis aux
différents réseaux d’être reliés ensemble d’une manière efficace. La hiérarchie des couches
fournit des abstractions naturelles faites à la hiérarchie actuelle dans les réseaux.
La couche physique traite des signaux, et fournit un service pour communiquer des
bits. La couche liaison de données fournit l’abstraction d’un lien, et la capacité de transmettre
et de recevoir des suites de bits, au dessus du lien. La couche réseau présente le concept
d’un chemin ou d’un itinéraire. La couche transport fournit un canal bout à bout, qui pourrait
être fiable ou pas, selon le protocole qui est utilisé. Les trois couches restantes sont moins
clairement définies, et ont été fusionnées réellement dans l’architecture de TCP/IP qui s’est
développée plus tard. Les interactions entre les couches sont contrôlées, et assurées
principalement par les entêtes des protocoles que chaque couche ajoute à l’entête des
paquets. En outre, l’architecture implique également la notion des protocoles de "pair à pair"
(tels que le TCP) qui négocient entre les couches correspondantes sur différentes machines.
Étant donnée cette architecture, les concepteurs peuvent se concentrer sur l’élaboration des
protocoles pour leur couche eﬃcachement, avec l’assurance que le système global
fonctionnera raisonnablement.

IV. MECANISME DE MISE EN PLACE DE LA QUALITE DE
SERVICE
Modèle de qualité de service pour les réseaux vpn
Pour faciliter la gestion, il est judicieux de centraliser ces informations, d’où l’intérêt de
l’utilisation d’un contrôleur central. Dans ce modèle, un routeur devant prendre une décision
sur l’admission d’une réservation envoie une requête au PDP et celui-ci renvoie la décision
prise à partir des règles des politiques.
La fonctionnalité de provisionna est orientée sur les réseaux DiffServ. La principale faiblesse
du modèle DiffServ est que la configuration des classes de qualité de service est statique.
Les routeurs d’accès doivent être configurés pour assigner une classe à chaque type
d’application, donc pour marquer tous les paquets entrant avec un code. Pour chaque
classe, il est nécessaire de configurer les ressources utilisées (largeur de bande par
exemple). Cependant, le trafic dans un réseau change périodiquement et d’une manière
imprévisible. Dans un réseau avec le service VIP, il faudra normalement réserver des
ressources pour la classe DiffServ transportant ce service. Or, pendant la nuit, il y aura peu
de trafic voix sur IP mais peut-être des flux des données importants lors de la sauvegarde
des serveurs. Un tel réseau travaille donc dans deux régimes et nécessite une modification
périodique de la configuration des routeurs. Clairement, ceci n’est possible qu’avec un
processus automatisé. En utilisant le modèle de gestion de qualité de service, un
administrateur de réseau peut définir deux types de politiques, appropriées pour les deux
régimes de trafic et les stocker sur le contrôleur central (PDP). Le PEP contrôle et le PDP
prend des décisions basées sur la politique des règles qui a été définie. Les échanges entre
PEP et PDP sont effectués à l’aide de COPS (Common Open Policy Service Protocol) [6].
Quand une modification de la configuration des routeurs est nécessaire, le PDP
communique à travers le protocole COPS (Common Open Policy Service Protocol) avec
les routeurs et leur transmet la nouvelle configuration.

Ces éléments sont définis de manière logique et ne se restreignent pas à une
implémentation particulière.
Ce modèle générique de contrôle de réseau met en évidence deux fonctions de
contrôle distincts à savoir: l’outsourcing et le provisionna. La fonctionnalité de l’outsourcing
est surtout utilisée en relation avec le modèle IntServ. Nous voyons au travers de ces deux
méthodes de gestion de la qualité de service au sein d’un réseau qu’avant de commencer la
transmission tous les routeurs concernés doivent accepter ou refuser la réservation.
Souvent, cette décision nécessite des informations autres que les ressources disponibles
localement sur le routeur. Il faudrait par exemple vérifier si cette source de trafic a le droit
d’effecteur une réservation ou quelle quantité maximale de ressources elle peut occuper.
Pour faciliter la gestion, il est judicieux de centraliser ces informations, d’où l’intérêt de
l’utilisation d’un contrôleur central. Dans ce modèle, un routeur devant prendre une décision
sur l’admission d’une réservation envoie une requête au PDP (Policy Décision Point) et celui-
ci renvoie la décision prise à partir des règles des politiques.
La fonctionnalité de provisionning est orientée sur les réseaux DiffServ. La principale
faiblesse du modèle DiffServ est que la configuration des classes de qualité de service est
Politique des
Règles
Serveur
d’Authentification
Autres Unités
PDP
PEP
LDAP
Envoi de
requêtes
Décisions
(Evt ERREURS
Exportation des données par PDP pour la gestion
et la surveillance du réseau (En utilisant SNMP)
COPS
Transmission sécurisée
avec IPSEC

VPN & QOS dans LES Réseaux Informatiques.pdf

VPN & QOS dans LES Réseaux Informatiques.pdf

Recommandé

Recommandé

Contenu connexe

Similaire à VPN & QOS dans LES Réseaux Informatiques.pdf

Similaire à VPN & QOS dans LES Réseaux Informatiques.pdf (20)

VPN & QOS dans LES Réseaux Informatiques.pdf