MPLS Multi-Protocol Label Switching

Transcription

1 MPLS Multi-Protocol Label Switching INTRODUCTION MPLS «Multi-Protocol Label Switching» Page sur 181

2 SOMMAIRE Introduction 3 1. Fonctionnement de MPLS La commutation de labels Principe L entête MPLS Le protocole LDP 6 2. La QOS dans MPLS Le modèle Intserv / RSVP Le modèle DiffServ Pourquoi DiffServ Quelles sont les fonctions de DiffServ? Comment fonctionne DiffServ? La QoS dans MPLS Signalisation et QoS dans MPLS Routage et QoS dans MPLS Architecture pour la QoS dans MPLS Utilisation de MPLS dans le cadre des VPN Notion de VPN Les besoins Les architectures réseaux La solution MPLS Architecture détaillée La sécurité Comparaison à d autres solutions VPN VPN SSL VPN Ipsec 17 Conclusion 18 Documentation 18 MPLS «Multi-Protocol Label Switching» Page sur 182

3 Introduction Nous avons vu, en cours sur les «réseaux haut débit», que tout oppose les réseaux IP (mode non connecté, sans qualité de service et mettant en place du routage) et les réseaux ATM (mode connecté, avec qualité de service et mettant en place de la commutation). Pourtant les interconnexions sont possibles. Le MPLS (Multi-Protocol Label Switchning) est une technique qui vise à combiner le routage IP de niveau 3 et la commutation ATM de niveau 2. Le premier objectif de MPLS était d accroître la vitesse du traitement des flux au niveau des équipements de routage. Avec l évolution de la technologie de ces équipements, cet objectif est passé au seconde plan. L aspect fonctionnalité est devenu plus important et les objectifs sont maintenant les suivants : l intégration IP/ATM, la QOS (Qualité de service) et la mise en place de VPN (Réseaux privés virtuels). Nous avons étudié de quelle façon MPLS peut atteindre ces objectifs. Après avoir expliqué son fonctionnement, nous présenterons la gestion de la QOS dans une architecture MPLS et la mise en place de VPN. 1. Fonctionnement de MPLS 1.1. La commutation de labels Principe Avant tout, et pour bien comprendre l apport de MPLS, nous allons faire un rappel sur le routage IP et la commutation ATM. a - Routage IP Comme illustré sur la figure 1, le routage IP fonctionne en une phase et en mode non connecté. Les paquets d un même flux peuvent emprunter des chemins différents. Un routeur IP associe des plages d adresses IP destination à chacune de ses interfaces de sortie. A la réception d un datagramme, le routeur : - détermine le prochain relai en fonction des protocoles de routage internes IGP (Interior Gateway Protocol) ou des protocoles de routage externes EGP (Exterior Gateway Protocol), - remplace l adresse mac de destination (niveau 2) par celle du prochain relai - remplace l adresse mac source par sa propre adresse mac - décrémente le champ TTL (time to live) de l en tête IP Ce travail est effectué dans chaque nœud intermédiaire séparant l expéditeur du destinataire. Il est gourmand en ressources IP dest IP dest IP dest Figure 1 - Routage IP MPLS «Multi-Protocol Label Switching» Page sur 183

4 b Commutation ATM Comme illustré sur la figure 2, la commutation ATM fonctionne en deux phases : - Le bloc d appel du flux est routé en analysant son adresse de destination (adresse X25 par exemple). La route empruntée est mémorisée et associée à des numéros de voie logique (NVL) dans chacun des équipements traversés. - Les blocs de données du flux sont commutés en fonction du NVL auquel ils sont associés. En traversant un équipement, le NVL du bloc de données est remplacé par le NVL de l équipement suivant. En ATM l ensemble des bonds effectués est appelé «Circuit Virtuel». Chaque circuit virtuel peut être lié à une qualité de service. 1) Appel 2) dest dest dest NVL x NVL y NVL z NVL x commutation NVL y commutation NVL z Figure 2 - Circuit virtuel ATM c Acheminement MPLS L acheminement MPLS, définit dans la RFC 3031, est indépendant des couches 2 et 3. Il est basé sur la méthode de «label switching» pour transférer les paquets d un équipement à un autre et constitue ainsi une couche «2,5». Il va permettre d améliorer l efficacité du routage tout en gérant des contraintes de QoS. Eléments du réseau MPLS : LSR : Label Switching Router Commutateur de paquets MPLS LER : Label Edge Routers Commutateurs situés en frontière des réseaux MPLS. On distingue les «Ingress Node» qui insère des labels à l entrée du réseau en fonction de la QoS demandée et les «Egress Node» qui détruisent les labels en sortie du réseau MPLS. FEC : Forwarding Equivalence Class Définit les caractéristiques de QoS attribuées aux flux traversant le réseau MPLS. LSP : Label Switching Path Suite de labels définissant un chemin unique pour un flux traversant le réseau MPLS. MPLS «Multi-Protocol Label Switching» Page sur 184

5 LER ingress node LSR LSR LER egress node 1) IP dest routage IP dest IP dest IP dest routage IP dest 2) Transfert label x label y label IP dest routage push label label x commutation switchlabel label y commutation switchlabel label z routage pop IP dest label x label y label z Figure 3 Acheminement MPLS Quand un paquet arrive dans une réseau MPLS, en fonction de la FEC à laquelle il appartient, le LER ingress node lui affecte un label (qu il déduit de sa table de commutation) et le transmet au LSR suivant. La table de commutation du LER est de la forme suivante : IP dest label Output i /16 x i3 i /16 y i4... Quand un paquet arrive sur un LSR interne, l équipement détermine le prochain label à appliquer au paquet pour qu il atteigne sa destination. Il procède alors à l échange de label (switching), met le champ TTL à jour et l envoie au nœud suivant (un autre LSR ou bien un LER egress node). Le protocole de routage de la couche réseau (RIP, BGP, etc.) n est pas sollicité. La base de données des labels du LER (la LIB) est de la forme suivante : Input in label out label Output i1 x a i3 i2 y b i4... Finalement, quand un paquet arrive sur un LER egress node, l équipement supprime toute trace MPLS et transmet ce paquet au nœud suivant à l aide des informations de la couche réseau. MPLS «Multi-Protocol Label Switching» Page sur 185

6 L entête MPLS L entête MPLS, baptisée «Shim Header», est ajoutée avant l entête de la couche Réseau. Elle est constituée ainsi : Label QoS BS TTL 20 bits 3 bits 1 bit 8 bits Label : oriente le flux entre le LSR amont et le LSR aval QoS : sélection d une Qualité de service BS : «bottom of stack» - Permet d empiler les labels afin d associer plusieurs contrats de service à un flux au cours de sa traversée du réseau MPLS. Il vaut 0 lorsqu il y a empilement et 1 pour indiquer le dernier label de la pile. TTL : limites les boucles lors de l acheminement Le champ TTL de cet entête n est pas redondant avec celui de la couche IP. Nous avons déduit qu il est «recopié» par l egress node avant la sortie vers un réseau IP et évite ainsi aux LSR internes d avoir à accéder aux informations de l entête de la couche de niveau Le protocole LDP Le protocole LDP (Label Distribution Protocol), définit un ensemble de procédures et de messages qui permettent l échange des labels entre les équipements du réseau MPLS. Il est définit dans la RFC Il offre les services suivants : - annonce de la présence d un LSR (en mode non connecté, via UDP) - établissement, maintenance et fermeture d une session entre LSR (en mode connecté via des sessions TCP) - création, échange et suppression de labels (dans la session TCP mentionnée précédemment) - messages d information ou d erreurs (dans la session TCP mentionnée précédemment) LDP permet l échange de labels entre LSR selon deux modes et les LSR peuvent supporter indépendamment chacun de ces modes : - mode «unsolicted downstream» : chaque LSR informe les autres LSR sur les labels à utiliser - mode «downstream on demand» : le LSR désirant envoyer un paquet doit d abord faire une demande de label aux autres LSR La distribution dans le réseau peut, elle-même, s effectuer selon deux modes : - mode indépendant : Chaque LSR associe un label pour chaque FEC, de manière indépendante et en informe ses homologues. Dans ce mode-ci il est donc possible qu un label sortant soit envoyé d un premier LSR vers un second avant que le label entrant n ait été reçu par le premier. - mode «ordred» : L information qui associe un label à un FEC est propagée d une extrémité à l autre du réseau MPLS (en «cascade»). Dans ce mode-ci, chaque LSR devra donc attendre de recevoir l information sur un label entrant avant de pouvoir propager l information sur le label sortant. MPLS «Multi-Protocol Label Switching» Page sur 186

7 2. La QOS dans MPLS Les objectifs principaux de la qualité de service sont : - Assurer une bonne bande passante ; - Limiter la latence ; - Contrôler la gigue ; - Limiter ou éviter les pertes de trames. Deux approches sont généralement utilisées : L'approche Intserv Dans le passé, une approche avec services intégrés (via RSVP) avait été proposée par l'ietf. Cette approche Intserv / RSVP n obtint pas le succès escompté dû à un manque de ce que les anglais appelle «scalability» (littéralement le passage à l'échelle). Cette technique de réservation de bout en bout céda la place à une autre connue sous le nom de DiffServ. L'approche DiffServ Services différenciés donnant aux éléments actifs du réseau un plus grand contrôle sur la gestion de la bande passante Le modèle Intserv / RSVP L'architecture Intserv s'organise autour du concept de flot de données correspondant à un ensemble de paquets résultant d'une application utilisatrice et ayant un besoin d'une certaine QoS. Afin de satisfaire la QoS requise, Intserv propose d'effectuer une réservation de ressources nécessaires à l'établissement de celle-ci via le protocole de réservation de ressources nommé RSVP. Le signal RSVP étant constitué de l'information de contrôle de la QoS, celui-ci propose des directives afin de mettre en place la réservation mais ne dit pas comment la mettre en place, ce domaine étant réservé aux routeurs du réseau qui prennent en compte la signalisation RSVP. Pour se faire, les routeurs disposent de quatre fonctions de contrôle du trafic : 1. Le protocole de réservation de ressource : qui, de façon implicite, signalise le chemin à établir en sollicitant des réservations de bande passante sur chaque routeurs traversés du réseau. 2. Le contrôle d'admission : permet d'autoriser l'arrivée d'un nouveau flot muni de sa QoS sans perturber les QoS des autres flots existant. 3. Les classifieurs de paquets : qui classent les paquets de flots admis dans les classes spécifiques. 4. L'ordonnanceur de paquets : qui détermine l'ordre de service des paquets. Une session RSVP est identifiée par l'adresse du destinataire du flot de données (il s'agit d'une adresse IP Unicast ou Multicast), le numéro de port de destination et le protocole utilisé (TCP ou UDP). RSVP fonctionne avec trois types d'éléments : l'expéditeur, le réseau et le destinataire. L'expéditeur indique au réseau la caractérisation du flux qu'il va envoyer. Le réseau enregistre les demandes, les traite, notifie au destinataire que des messages sont en route. Le destinataire informe le réseau de ce qu'il est capable de recevoir et du moment où la réception est achevée. C'est le destinataire du flot de données qui fait la demande de réservation en s'adressant à un processus RSVP local. La requête formulée, RSVP la transporte de routeur en routeur dans le sens inverse de celui que vont emprunter les données concernées. Pour cette raison, ce protocole n'agit jamais seul, mais s'appuie sur les protocoles de routage. Il peut être aussi associé avec le protocole IP Multicast, mono ou MPLS «Multi-Protocol Label Switching» Page sur 187

8 multi-émetteurs, lorsque des échanges ont lieu au sein d'un groupe d'ordinateurs selon un mode analogue à celui utilisé dans le cas de la télévision ou de la radio. Ainsi RSVP va maintenir un chemin dynamique à l'intérieur du réseau, dynamique car rafraîchit par des messages périodiques stipulant l'état du chemin au travers des routeurs Le modèle DiffServ Pourquoi DiffServ Le modèle IntServ est difficilement applicable dans le cas de grands réseaux. En effet, il est difficile de maintenir un état de ressources réseau pour chaque flux si le chemin emprunté change fréquemment. cela est dû au fait que le routage est indépendant de la gestion de QoS. Ce problème de stabilité ne se pose pas dans les réseaux ATM grâce à l'utilisation d'un routage hiérarchique incluant la QoS. Le modèle DiffServ consiste à classer le trafic grâce à un code présent dans le paquet IP. On applique ensuite des traitements différenciés aux différentes classes de trafic. Nous avons donc affaire à une granularité moins fine mais qui devient en revanche plus scalable. En effet, la granularité du flot implique la réaction en chaine suivante : plus il y a d'utilisateurs dans le réseau, plus il y a de flots, plus il y a de variables de classifications et d'ordonnancements dans les routeurs à maintenir, ce qui a pour conséquence une charge importante au niveau des routeurs qui deviennent alors de moins en moins performants Quelles sont les fonctions de DiffServ? DiffServ se base sur le champ TOS (Type Of Service) d'ipv4 que l'ietf a redéfini en champ DS (DiffServ) pour effectuer la classification. Le [RFC2475] préfère le terme de behaviour aggregate (BA) plutôt que de classe de trafic. Pour mémoire, le champ TOS (8 bits=pppdtrc0) est défini dans la RFC 795 et a été peu utilisé : - champ PRECEDENCE (3 bits) définit la priorité du datagramme (111= plus grande priorité); - bits D (Delay), T (Throughput), R (Reliability) et C (Cost) définissent le mode de transport (D=délai court, T débit élevé, R=transport fiable, C= coût); - dernier bit inutilisé; Le champ DS définit plusieurs priorités (cf figure 4 page 12) Comment fonctionne DiffServ? Les opérations de classification, contrôle et marquage sont effectuées par les routeurs périphériques (Edge Router) tandis que les routeurs centraux (Core Router) traitent les paquets en fonction de la classe codée dans l'en-tête d'ip (champ DS) selon un comportement spécifique: le PHB (Per Hop Behavior). En aucun cas, ils ne traiteront différemment des paquets de sources différentes. L'avantage de Diffserv est qu'il n'y a plus nécessité de maintenir un état des sources et des destinations dans les core routers, d'où une meilleure scalability. Deux comportements de routeurs (PHB) ont été définis : Expédited Forwarding (EF) ou premium service (RFC 2598); il a pour but de garantir une bande passante avec des taux de perte, de délai et de gigue faible; MPLS «Multi-Protocol Label Switching» Page sur 18

9 Assured Forwarding (AF) (RFC 2597) regroupant plusieurs PHB garantissant un acheminement de paquets IP avec une haute probabilité; Cette famille de PHB est scindée en 4 classes garantissant de fournir une bande passante et un délai minimun, chaque classe comprenant 3 niveaux de priorité (Drop Precedence). Les PHB sont mis en oeuvre par les constructeurs dans les routeurs en utilisant des mécanismes de gestion de files d'attente (Custom Queuing, Weighted Fair Queuing,...) et de régulationn de flux. L'Architecture DiffServ se base sur les concepts suivants: Domaine DiffServ (DS Domain): ensemble de noeuds contigus ayant un service commun de règles et de groupes de PHB; Chaque DS domain comprend deux types de noeuds: - Noeuds frontières (DS Boundary nodes) qui effectuent les opérations complexes; - Noeuds intérieurs (DS Interior nodes) Un noeud frontière peut être: - Noeud d'entrée du domaine (DS Ingress Node); - Noeud de sortie de domaine (DS Egress Node); Région DiffServ: ensemble de DS Domain contigus. L'opérateur doit assurer que la QoS de bout en bout soit fournie. Pour que les services soient offerts entre domaines adjacents, il faut établir un SLA (Service Level Agreement) qui permet de définir comment le trafic transitant d'un domaine à un autre est conditionné. Chaque équipement frontière met en oeuvre les mécanismes suivants: Classification des trafics (Classifier); Conditionnement des trafics (Conditionner); Ordonnancement (Scheduling); Acheminement (Forwarding); Le Classifier sélectionne les paquets en se basant sur une partie de l'en-tête. On distingue deux types de Classifier: BA (Behaviour Aggregate): classification établie uniquement en fonction de la valeur du champ DS; MF (Multi-Field): classification établie selon la valeur d'un ou de plusieurs champs de l'en-tête du paquet (champ destination, port...) Le Conditionner met en oeuvre 4 composants: MPLS «Multi-Protocol Label Switching» Page sur 189

10 Meter : mesure du trafic pour vérifier s'il est compatible avec le contrat et fourniture des infos aux autres composants; Marker: affectation d'un DS qui peut être différent de celui qui est reçu; Shaper: lissage du trafic en retardant certains paquets de telle sorte qu'il respecte le débit contractuel; Dropper: suppression de paquets dépassant le trafic contractuel; 2.3. La QoS dans MPLS Signalisation et QoS dans MPLS L intérêt principal de MPLS est de permettre de se passer des couches inférieures ATM, Ethernet, PPP, Frame Relay et de fournir directement à la couche IP un mode connecté. Vu les similitudes qu il y a entre traiter un " label " et traiter un champ VPI/VCI de cellule ATM, la majorité des premières implémentations réutilisent un coeur de commutateur ATM. De fait, pour les constructeurs d'équipements, il est relativement facile de transformer un commutateur PNNI/ATM, en commutateur/routeur MPLS/IP de coeur de réseau : ceci revient à remplacer la couche logicielle du plan de commande par une " couche logicielle MPLS ", c est à dire remplacer PNNI Signalling par LDP (Label Distribution Protocol) et PNNI Routing par OSPF (ou IS-IS, etc.). LDP est le protocole de signalisation qui permet d affecter des labels à un chemin au sein d'un réseau. En ce sens, il correspond à un protocole de signalisation et d'un point de vue fonctionnel s'apparente à PNNI Signalling. Cependant, LDP ne contient pas de paramètres permettant de formuler une demande de ressources à l établissement d un LSP (même s il est possible de demander un traitement spécifique pour tous les paquets empruntant un même LSP, selon le modèle DiffServ). Deux approches ont été retenues à l IETF pour permettre d associer des ressources et de garantir de la QoS sur un LSP : CR-LDP pour Constraint based Routing LDP, définit des extensions à LDP, et RSVP-Tunnels, définit des extensions à RSVP pour la commande de LSP. L'IETF a décidé de ne pas trancher entre ces deux approches concurrentes et de laisser ce soin au marché. Elles permettent toutes les deux d associer de la ressource à un LSP. La première peut le faire selon les deux modèles " QoS ATM " (catégorie de service, paramètres de trafic et de QoS), et " QoS IP " (modèle Intserv), alors que la deuxième permet essentiellement de la " QoS IP ". Une utilisation combinée de LDP+CR-LDP, ou de RSVP-Tunnels permet donc d établir des LSP en leur associant de la bande passante Routage et QoS dans MPLS MPLS «Multi-Protocol Label Switching» Page sur 18 10

11 Dans son expression la plus simple, MPLS utilise les fonctions de routage IP pour établir un LSP : le message d établissement est alors routé comme le serait n importe quel autre paquet IP contenant la même adresse destination. Dans ce cas, le routage se fait " hop by hop ", chaque routeur décidant par lui même de l interface de sortie vers laquelle il envoie le message, indépendamment de ce que les routeurs précédent ont pu choisir. Ce mode de fonctionnement permet à un opérateur d établir simplement un LSP entre deux extrémités de son réseau (pratique dans le cadre des VPNs). De plus, un tel mode de fonctionnement permet de sécuriser des LSP en autorisant leur reroutage en cas de faute dans le réseau (comme pour des Soft PVC en PNNI). L inconvénient d un routage " hop by hop " dans un environnement dynamique est qu il y a un risque de création de boucles. Le problème des boucles en MPLS a fait l objet de divers documents, sans que de réelle solution soit trouvée : en routage " hop by hop ", on sait détecter des boucles, on ne sait pas les éviter complètement. Au cours de l établissement, quand RSVP-Tunnels ou CR-LDP est utilisé, MPLS permet d établir des LSP avec ressources associées, automatiquement à travers le réseau. En MPLS, un LSP auquel on veut associer de la bande passante, s il est routé via le protocole de routage IP, suivra la même route que n importe quel autre LSP vers la même destination : la route qui minimise la somme des poids administratifs (seul paramètre déclaré par OSPF). Dans le cas de MPLS, les routeurs choisissent la route et vérifient a posteriori que la ressource nécessaire à l établissement du LSP est effectivement présente sur cette route. La probabilité que la route retenue ne dispose pas de la ressource est importante en MPLS Architecture pour la QoS dans MPLS Deux types d architectures sont étudiées pour définir la QoS IP : Integrated Services (IntServ) Differential Services (DiffServ) IntServ suppose que pour chaque flux demandant de la QoS, les ressources nécessaires sont réservées à chaque bond entre l émetteur et le récepteur. IntServ requiert une signalisation de bout en bout, assurée par RSVP, et doit maintenir l état de chaque flux (messages RSVP, classification, policing et scheduling par flux de niveau 4). IntServ définit 2 classes de services : Guaranteed : garantie de bande passante, délai et pas de perte de trafic Controlled Load : fournit différents niveaux de services en best effort DiffServ, quant à lui, est davantage destiné à être appliqué en coeur de réseau opérateur. Les différents flux, classifiés selon des règles prédéfinies, sont agrégés selon un nombre limité de classes de services, ce qui permet de minimiser la signalisation. MPLS «Multi-Protocol Label Switching» Page sur 18 11

12 DiffServ définit deux classifications de service (Expedited, Assured) qui peuvent être corrélées aux classifications de service IntServ (Guaranteed, Controlled Load). DiffServ utilise les six premiers bits du champ TOS de l'entête IP afin de classifier le trafic dans des classes ou contrats au niveau de l'ingress-lsr. Ce champ s'appellera DS- Field dans DiffServ. Voir la comparaison dans les deux figures ci dessous entre ces deux champs. Au niveau des LSR, DiffServ définit des PHB (Per Hop Behaviors) afin de construire ces LSPs. Ainsi au niveau des Edges LSR, DiiServ utilise le champs DS-Field, et à l'intérieur du corps MPLS, il invoque les PHBs. Figure 4 - Champ TOS MPLS «Multi-Protocol Label Switching» Page sur 18 12

13 MPLS est amené à inter fonctionner avec DiffServ, car LDP supporte avant tout de la QoS à faible granularité. IntServ et DiffServ sont donc 2 mécanismes complémentaires permettant d établir une QoS consistante sur les réseaux MPLS et non MPLS. MPLS «Multi-Protocol Label Switching» Page sur 18 13

14 3. Utilisation de MPLS dans le cadre des VPN 3.1. Notion de VPN Les besoins Les VPN, (Virtual Private Network ou Réseau Privé Viruel) sont nés dans un premier temps du besoin des entreprises de pouvoir rendre accessible leur réseau local privé depuis l'extérieur. Par la suite, les VPN ont était développés pour interconnecter les réseaux locaux distants quelque fois de plusieurs milliers de kilomètres. Pour établir un tel lien ou tunnel entre deux sites, les données passent la plupart du temps au travers d'un réseau public comme internet. C'est pourquoi il est nécessaire de sécuriser les connexions. Plusieurs critères entre donc en jeu: - authentification: identification de l'entité qui tente d'accéder au VPN - confidentialité: garantie que seules les personnes autorisées sont en mesures d'accéder à l'information. - intégrité: protection du flux de données contre d'éventuelles tentatives d'altération ou de rejeu par «l'homme du milieu» Les architectures réseaux-* Nous distinguons 3 types de VPN: a) le VPN d'accès Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. MPLS «Multi-Protocol Label Switching» Page sur 18 14

15 b) l'intranet VPN L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients, informations financières...). c) l'extranet VPN Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci La solution MPLS L'utilisation de MPLS dans le cadre des VPN est l'une des principales application de cette technologie. En effet, celle-ci semble être adaptée à des architectures de type intranet VPN ou extranet VPN où les deux extrémités du tunnel virtuel sont fixes ce qui permet d'y placer les équipements matériels adéquats Architecture détaillée Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur rôle) dans un environnement MPLS / VPN : MPLS «Multi-Protocol Label Switching» Page sur 18 15

16 P (Provider) : ces routeurs, composant le cœur du backbone MPLS, n ont aucune connaissance de la notion de VPN. Ils se contentent d acheminer les données grâce à la commutation de labels ; Pe (Provider Edge) : ces routeurs sont situés à la frontière du backbone MPLS et ont par définition une ou plusieurs interfaces reliées à des routeurs clients ; Ce (Customer Edge) : ces routeurs appartiennent au client et n ont aucune connaissance des VPN ou même de la notion de label. Tout routeur «traditionnel» peut être un routeur ce, quel que soit son type ou la version d OS utilisée. Le schéma ci-dessous montre l emplacement de ces routeurs dans une architecture MPLS : La sécurité Le protocole MPLS n'a pas été initialement conçu pour répondre aux besoins de confidentialité et d'intégrité des transferts de données. Néanmoins son principe de fonctionnement permet de satisfaire ces deux critères de sélection sans pour autant avoir recours à des techniques de chiffrement. En effet, la sécurité des VPN MPLS est basée sur le principe d'étanchéité des tunnels construits pour relier les différents sites. En outre, le principe de tunnel permettant d'établir des liaisons point à point garantit une certaines forme d'authentification puisque chaque site connaît précisément le site se trouvant à l'autre extrémité d'un tunnel. Toutefois l'authentification au niveau utilisateur devra être gérée par les couches supérieures. MPLS «Multi-Protocol Label Switching» Page sur 18 16

17 3.3. Comparaison à d autres solutions VPN VPN SSL Il existe d'autres solutions permettant de réaliser des VPN. L'une d'entre elle repose sur l'utilisation du protocole SSL. Elle offre comme avantage par rapport à MPLS la possibilité d'une authentification au niveau utilisateur grâce à l'emploi de certificats. En outre, cette solution semble connaître actuellement un franc succès notamment à cause du fait que côté client elle ne nécessite pas l'emploi de matériels ou logiciels spécifiques: un navigateur web standard comme Internet Explorer ou Mozilla FireFox conviendra. Toutefois le protocole SSL reposant sur une couche TCP, cette solution offre donc des services de niveau applicatif (https, ftps,...) plutôt que de niveau réseau. C'est pourquoi elle est plus adaptée à une architecture de type VPN d'accès et n'entre donc pas réellement en concurrence avec MPLS. Ces deux technologies sont donc complémentaires VPN Ipsec IPsec est un ensemble de protocoles et de mécanismes visant à apporter de la sécurité aux protocoles de niveau 3, IPv4 et IPv6. Mpls Ipsec Qualité de service Coût Sécurité Applications compatibles Etendue Frais de gestion du réseau Permet d attribuer des priorités au trafic par le biais de classes de service Le transfert se faisant sur l Internet public, permet seulement un service best effort Inférieur à celui des réseaux Frame Faible grâce au transfert via le Relay et Atm mais supérieur à celui domaine Internet public des autres VPN IP. Comparable à la sécurité offerte par les réseaux Atm et Frame Relay existants. Toutes les applications, y compris les logiciels d entreprise vitaux exigeant une qualité de service élevée et une faible latence et les applications en temps réel (vidéo et voix sur IP) Dépend du réseau MPLS du fournisseur de services Aucun traitement exigé par le routage Sécurité totale grâce à la combinaison de certificats numériques et de PKI pour l authentification ainsi qu à une série d options de cryptage, triple DES et AES notamment Accès à distance et nomade sécurisé. Applications sous IP, notamment courrier électronique et Internet. Inadapté au trafic en temps réel ou à priorité élevée Très vaste puisque repose sur l accès à Internet Traitements supplémentaires pour le cryptage et le décryptage MPLS «Multi-Protocol Label Switching» Page sur 18 17

18 Vitesse de déploiement Prise en charge par le client Le fournisseur de services doit déployer un routeur MPLS en Possibilité d utiliser l infrastructure du bordure de réseau pour permettre réseau IP existant l accès client Non requise. Le MPLS est une technologie réseau Logiciels ou matériels client requis Routage Transparent pour le NAT Incompatibilité avec le NAT (translation des ports) qui est par exemple utilisé pour faire de la répartition de charge entre serveurs. Conclusion Initialement, MPLS avait été créée pour améliorer les performances des réseaux haut-débits, notamment en terme de routage. A l'issue de cette étude, nous avons pu constater qu'en pratique la technologie MPLS s'était orientée vers le développement de la qualité de service. Elle apporte par exemple un mode connecté à IP et permet de différencier les types de flux de données comme le proposait le modèle DiffServ. Nous avons également pu constater que son principe de fonctionnement était assez proche de celui d'atm tout en se substituant au routage de niveau 3. L'autre avantage de cette technologie par rapport à ATM est le prix des équipements deux fois moindre. Enfin, nous avons constaté que l'une des principales applications de ce protocole était la réalisation de VPN de type intranet ou extranet dont la sécurité était basée sur le principe d'étanchéité des tunnels MPLS. Documentation Présentation de MPLS : RFC MPLS : ftp://ftp.rfc-editor.org/in-notes/rfc3031.txt RFC LDP : ftp://ftp.rfc-editor.org/in-notes/rfc3036.txt MPLS «Multi-Protocol Label Switching» Page sur 18