RAPPORT DE STAGE

Faculté: Informatique et Sciences 
 du numérique (ISN)

spécialité: Réseaux et Sécurité Informatique (RSI)

Rapport de stage de fin de cycle pour l'obtention
du diplôme licence

THÈME

MISE EN PLACE D'UN VPN DE TYPE HUBS AND SPOKE

Dédicaces

A notre raison de vivre, d’espérer,

A notre source de courage, à ceux qu’on a de plus chères,

Nos petites familles,

Pour leurs sacrifices sans limite,

A nos enseignants

Pour leurs patience, leurs soutien

Et leurs encouragements

Et à nos amis

Pour leur témoigner une amitié et fidélité indéfinies.

Remerciements

Je remercie le seigneur DIEU pour tous les biens fait et les bénédictions dont il m’a comblé et espère qu’il en sera toujours ainsi car c’est toi qui me donne la force.

Je suis personnellement convaincu que ce projet ne sera pas la fin de ma carrière bien au contraire, il marquera le début d’une nouvelle expérience de ma vie privée, ma vie professionnelle et une bonne performance dans le domaine de l’informatique.

Au seuil de ce travail, je tiens à remercier mon encadreur, Monsieur OWO ADJA SERGES qui sans sa précieuse assistance, ce projet de fin d’année n’aurait sans doute abouti.

Enfin, je tiens à exprimer mes sincères remerciements à tous ceux qui ont contribué de près ou de loin à la réalisation de ce travail.

Sommaire

Dédicaces……………………………………………………………………………...2

Remerciements………………………………………………………………………...3

Sommaire……………………………………………………………………………...4

Liste des figures……………………………………………………………………….6

Liste des abréviations………………………………………………………………….7

Avant-propos…………………………………………………………………………..8

Introduction……………………………………………………………………………9

Chapitre I : Contexte de travail………………………………………………………...10

I.                   Présentation de la structure d’accueil……………………………………...10

II.                Service d’affectation……………………………………………………….11

III.             Etude de l’existant……………………………………………………….....12

IV.             Cahier de charge…………………………………………………………....13

Chapitre II : Conception………………………………………………………………16

I.                   Description de la méthode………………………………………………..16

1.      Généralité des vpn……………………………………………………16

2.      Historique du dmvpn…………………………………………………16

3.      Fonctionnement du dmvpn…………………………………………...17

4.      Modèle de déploiement du dmvpn……………………………………18

II.                Description et choix des outils techniques………………………………..19

1.      Les protocoles utilisés………………………………………………..19

a.       IPsec……………………………………………………………...19

b.      MGRE……………………………………………………………19

c.       NHRP……………………………………………………………19

d.      OSPF……………………………………………………………..20

e.       DHCP……………………………………………………………20

2.      Logiciel utilisé………………………………………………………21

Chapitre III : Réalisation……………………………………………………………23

I.                   Configuration des routeurs………………………………………………23

1.      Configuration du hub (UVCI)……………………………………….24

2.      Configuration du spoke1 (ORANGE)……………………………….25

3.      Configuration du spoke2 (CISCO)…………………………………..27

II.                Résultats……………………………………………………………….…27

III.             Les difficultés et enseignements tirés au cours du stage………………….28

1.      Difficultés………………………………………………………….…28

2.      Enseignements tirés…………………………………………………..29

Conclusion……………………………………………………………………………30

Références……………………………………………………………………………31

Liste des figures

Figure 1 : logo uvci…………………………………………………………………...10

Figure 2 : plateforme campus………………………………………………………....11

Figure 3 : exemple de topologie………………………………………………………14

Figure 4 : fonctionnement du protocole nhrp…………………………………………20

Figure 5 : logo packet tracer………………………………………………………… 21

Figure 6 : interface packet tracer……………………………………………………..22

Figure 7 : routeur……………………………………………………………………...22

Figure 8 : notre topologie……………………………………………………………...23

Figure 9 : sur le hub…………………………………………………………………..27

Figure 10 : spoke1…………………………………………………………………….28

Figure 10 : spoke2…………………………………………………………………….28

Liste des abréviations

UVCI : Université Virtuelle de Côte d’Ivoire

VPN : Virtual Private Network

DMVPN : Dynamic Multipoint Virtual Private Network

ESP : Encapsulating Security Payload

GRE : Generic Routing Encapsulation

MGRE : Multipoint Generic Routing Encapsulation

IKE : Internet Key Exchange

ISAKMP : Internet Security Association and Key Management Protocol

IP : Internet Protocol

IPSEC : Internet Protocol Security

NBMA : Non Broadcast Multiple Access

NHRP : Next Hop Resolution Protocol

LAN : Local Area Network

WAN : Wide Area Network

OSPF : Open Shortest Path First

DHCP : Dynamic Host Configuration Protocol 

Avant-propos

L’Université Virtuelle de Côte d'Ivoire (UVCI) est une université publique ivoirienne d'enseignement à distance, située à Abidjan.

L’UVCI est un établissement public administratif (EPA) créée par décret N°2015-775 du 09 décembre 2015 par l’Etat de Côte d’Ivoire. Cette université qui forme aux métiers du numérique éducatif est issue de la deuxième phase de l’appui financier du deuxième Contrat de Désendettement et de Développement (C2D) Éducation/Formation conclu entre la République française et l’Etat de Côte d’Ivoire par la volonté politique du Ministère de l’Enseignement Supérieur et de la Recherche Scientifique, à vouloir résoudre le problème du sureffectif des institutions universitaires.

Le C2D éducation/formation vise ainsi à soutenir le ministère de l’enseignement supérieur et de la recherche scientifique dans ses efforts d’introduction du numérique éducatif dans le système d’enseignement supérieur. L’objectif étant de répondre au nombre de plus en plus croissant de bacheliers qui se présentent aux portes des universités chaque année, au déficit en infrastructures et d’améliorer la qualité de l’offre de formation en vue de relever le taux d’employabilité des diplômés.

Introduction

Nos entreprises ou structures d’aujourd’hui disposent souvent de plusieurs partenaires. Ces partenaires communiquent et  partagent des données avec la structure centrale et parfois entre eux, souvent faites sur de grande distance géographique. Face à ce constat, il est indispensable d’avoir une communication sécurisée et fiable afin de ne pas compromettre les informations confidentielles de l’entreprise. La mise en place d’un VPN de type hubs and spoke consistant à créer un tunnel va nous aider à sécuriser et crypter les données.

Cependant comment avoir une communication fiable afin de sécuriser les données d‘une entreprise de plusieurs sites distants en d’autres termes comment mettre en place un réseau fiable et centralisé ? c’est dans ce contexte que le thème « MISE EN PLACE D’UN VPN DE TYPE HUBS AND SPOKE » nous a été confié .Ce rapport va présenter les différentes étapes de réalisation de ce projet. Il comporte trois (3) chapitres. Le premier chapitre définit le contexte de travail qui consistera à présenter la société d’accueil, une étude de l’existant et ressortir le problème identifié. Le deuxième chapitre présente la conception du projet et enfin le troisième chapitre fait ressortir la phase de réalisation du projet.

CHAPITRE I :

Contexte de travail

                             I.            Présentation de la structure d’accueil

Ma structure d’accueil est l’Université Virtuelle de Côte d’Ivoire (UVCI), dont je ferai la présentation.

figure 1: logo uvci

L’Université Virtuelle de Côte d'Ivoire (UVCI) est une université publique ivoirienne d'enseignement à distance, située à Abidjan.

L’UVCI est un établissement public administratif (EPA) créée par décret N°2015-775 du 09 décembre 2015 par l’Etat de Côte d’Ivoire. Cette université qui forme aux métiers du numérique éducatif est issue de la deuxième phase de l’appui financier du deuxième Contrat de Désendettement et de Développement (C2D) Éducation/Formation conclu entre la République française et l’Etat de Côte d’Ivoire par la volonté politique du Ministère de l’Enseignement Supérieur et de la Recherche Scientifique, à vouloir résoudre le problème du sureffectif des institutions universitaires.

Le C2D éducation/formation vise ainsi à soutenir le ministère de l’enseignement supérieur et de la recherche scientifique dans ses efforts d’introduction du numérique éducatif dans le système d’enseignement supérieur. L’objectif étant de répondre au nombre de plus en plus croissant de bacheliers qui se présentent aux portes des universités chaque année, au déficit en infrastructures et d’améliorer la qualité de l’offre de formation en vue de relever le taux d’employabilité des diplômés.

L’Université Virtuelle de Côte d’Ivoire a pour principale mission de développer et vulgariser l’enseignement à distance à travers les Technologies de l’Information et de la Communication qui font partie intégrante du Programme Thématique de Recherche du Conseil Africain et Malgache pour l’Enseignement Supérieur (CAMES). Par conséquent, elle se doit d’accompagner les Universités et Grandes Écoles Publiques qui dispensent de cours en présentiel, afin que celles-ci convergent vers la formation à distance à travers le numérique et aussi diffuser la culture numérique.

Il est à rappeler que l’Université Virtuelle compte en trois années de fonctionnement, près de 8000 étudiants qui sont formés au numérique éducatif dans la filière Informatique des Sciences du Numérique, par le biais de la plateforme campus. Nous avons six(6) spécialités qui sont le Réseau et Sécurité Informatique(RSI), Développement d’Application et e-Services(DAS), Bases de Données(BD), MultiMedia et Arts du Numériques(MMX), Communication Digitales (COM) et e-Commerce et Marketing Digital (CMD). 

figure 2 : plateforme campus

 

                        II.            Service d’affectation

Dès mon arrivée à l’Université Virtuelle de Côte d’Ivoire (UVCI) en tant que stagiaire, j’ai été affecté au niveau du département de la Direction des Affaires Académiques et Pédagogiques (DAAP) plus précisément dans le service l’Unité de Recherche et d’Expertise Numérique, qui est chargée de la mise en œuvre de la politique élaborée par le Service de la Valorisation de la Recherche et des Innovations. En effet, l’axe de recherche de cette cellule concerne entre autres les Systèmes Décisionnels et Bio-informatiques, le Traitement du Signal et de l’Image, la Modélisation et économie des systèmes numériques, les Réseaux et Sécurité Informatique et le TICE, Accès à l'Information.

Cependant, mon rôle est de faire des recherches et innover dans le domaine des Réseaux et Sécurité Informatique étant donné que celui-ci est ma spécialité.

                    III.            Etude de l’existant

L’Université Virtuelle de Côte d’Ivoire (UVCI) est dirigé par le Directeur Général(DG) M. KONE Tiémoman et est aidé par deux directeurs centraux qui sont le Directeur des Affaires Académiques et Pédagogiques(DAAP) le Professeur Fernand KOUAME et la Directrice des Affaires Administratives (DAAF) Mme Nelly KOFFI. Et, elle regorge de plusieurs ordinateurs portables, bureautiques, imprimantes, un Datacenter, etc…qui sont reliés entre eux créant ainsi un réseau local.

 En effet, nous avons constaté que l’UVCI à plusieurs partenaires de travail tels que : l’Université Alassane Ouattara(UAO), l’Université Nangui Abrogoua(UNA), etc… et aussi des partenaires informatiques qui sont entre autres : Cisco, Microsoft, Mediasoft la Fayette et Orange CI qui parfois se partagent des données. Comment assurer le partage des données et avoir un accès sécurisé entre l’UVCI et ses partenaires qui souvent faites sur de grandes distances géographiques ? L’internet a été mis en place pour répondre à ce type de problématique.

Vu que je travaille dans le domaine du Réseau et Sécurité Informatique et que suis apte à être administrateur réseau, entrepreneur numérique etc…en outre, d’après mes recherches, force est de constater que l’UVCI ne dispose pas d’infrastructure VPN (réseau privé virtuel) entre lui et ses partenaires. Par conséquent, pour trouver une solution au problème que l’UVCI m’a sollicité pour implémenter un vpn de type hubs and spoke (réseau en étoile) qui va assurer la fiabilité et sécuriser les échanges entre lui et ses partenaires informatiques cités plus haut.

                    IV.            Cahier de charge

En ce qui concerne la structure UVCI, il nous a été demandé de mettre en place un vpn de type hubs and spoke.

Selon mon étude la mise en place du vpn (Virtual Private Network) de type hubs and spoke utilisant comme support l’internet repose sur un protocole appelé « protocole tunneling ». Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinateur. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. En effet, le protocole de tunneling permet de faire circuler les informations de l’entreprise de façon cryptée d’un bout à l’autre bout du tunnel.

Ainsi, dans une topologie vpn hubs and spoke (réseau en étoile) plusieurs routeurs vpn spoke (rayon) communiquent en toute sécurité avec un serveur central qui est le routeur vpn hub. Un tunnel séparé et sécurisé s’étend entre chaque rayon (spoke) et le concentrateur (hub). Cette topologie est un moyen simple d’autoriser les employés de site distant à accéder à votre réseau principal. Cela fonctionne bien si la plupart le trafic va des sites distants au réseau principal et il y’a peu de trafic entre les sites parce que, le trafic inter-sites doit passer par le hub (concentrateur) puis par un rayon (spoke) car, un trafic trop important entre sites peut créer des goulots d’étranglements. Il est aussi appelé vpn centralisé car, tous les tunnels VPN convergent au même emplacement. Elle peut être utilisée pour disposer d'une visibilité et d'un contrôle globaux sur les données à partir d'un emplacement central. Cette solution peut préserver la disponibilité des ressources, car toutes les ressources partagées peuvent être placées à un emplacement fiable et bien géré.

 Cependant, dans notre cas nous utiliserons au moins trois (3) routeurs dont deux sites spoke (rayon), qui seront respectivement Cisco et Orange CI qui utiliseront des tunnels vpn pour accéder aux ressources du réseau concentrateur (hub) qui sera l’UVCI et on procédera comme suit :

figure 3 : exemple de topologie

      Ø  L’UVCI sera représenté par un routeur vpn hub (concentrateur) par lequel toutes les                           données circuleront et il sera l’emplacement central. Pour se faire nous allons configurer le vpn            à chaque rayon et configurer la communication entre ses rayons.

Ø  Orange CI sera représenté par un routeur vpn spoke (rayon) qui sera relié au hub (UVCI).

Ø  Cisco sera lui aussi représenté par un routeur vpn spoke (rayon) relié également au hub (UVCI).

Toutes ces configurations se passeront dans un environnement de simulation comme Cisco Packet Tracer.

Les avantages d’un vpn est qu’il permet d’assurer un accès aisé et peu coûteux aux intranets ou extranets d’entreprise, et pour ce qui est de la topologie hub and spoke est qu’elle est beaucoup moins complexe. En plus, cette configuration qui s'appuie fortement sur l'emplacement central, car il constitue le point de panne unique des tunnels VPN. Si l'organisation ajoute d'autres emplacements distants, il peut être nécessaire d'augmenter la capacité de l'emplacement central. Si les ressources réseau sont principalement dispersées sur les sites distants, une architecture décentralisée peut constituer une meilleure solution.

CHAPITRE II :

Conception

 I.        Description de la méthode

1.    Généralité des vpn

Il existe plusieurs types de VPN qui sont : les vpn client à serveur, les vpn site à site et les vpn hub and spoke (DMVPN).

A l’Université virtuelle de Côte d’Ivoire (UVCI) comme nous l’avons dit, il n’existe pas de VPN (Virtual Private Network) entre lui et ses partenaires (Orange et Cisco), autrement dit l’échange de données entre ces différentes structures n’est pas sécurisé et fiable. C’est vu cela que nous allons mettre en place un VPN de type hub and spoke (réseau en étoile) souvent aussi appelé VPN multipoint dynamique(DMVPN).En effet, nous utiliserons un VPN multipoint dynamique(DMVPN).parce que, cette méthode permet aux sociétés ou structures et leurs succursales ou partenaires d’avoir une communication via internet (WAN) sécurisé et fiable à l’aide de tunnels IPsec.

2.    Historique du dmvpn

Pour que les sociétés ou structures établissent de grands réseaux d'IPsec interconnectant leurs sites à travers Internet, vous devez être capable de faire évoluer le réseau d'IPsec. IPsec crypte le trafic entre deux points de terminaison (homologues), et le cryptage est fait par les deux points de terminaison à l'aide d'un « secret » partagé. Puisque ce secret est partagé seulement entre ces deux points de terminaison, les réseaux cryptés sont en soi une collection de liaisons point à point. Pour cette raison, IPsec est intrinsèquement un réseau tunnel point à point. La méthode la plus faisable pour faire évoluer un grand réseau point à point est de l'organiser en un réseau en étoile ou en un réseau maillé complet (partiel). Dans la plupart des réseaux, la majorité du trafic IP se fait entre les rayons et le concentrateur, et très peu entre les rayons, ainsi la conception de réseau étoile est souvent le meilleur choix. Cette conception s'accorde également avec des réseaux Frame relay plus anciens puisqu'il était beaucoup trop cher de payer des liaisons entre tous les sites dans ces réseaux.

3.    Fonctionnement du dmvpn

En utilisant Internet comme l'interconnexion entre le concentrateur et les rayons, les rayons ont également l'accès direct entre eux sans frais supplémentaires, mais il a été très difficile, voire impossible, d'installer et/ou gérer un réseau maillé complet (partiel). Les réseaux maillés complets ou partiels sont souvent souhaitables parce qu'il peut y avoir des économies de coûts si le trafic de routage spoke-to-spoke peut se faire, au lieu de passer par le concentrateur. Le trafic spoke-to-spoke traversant le concentrateur utilise ses ressources et peut provoquer des délais, particulièrement en utilisant le cryptage IPsec, puisque le concentrateur (hub) devra décrypter les paquets des rayons envoyeurs, puis crypter à nouveau le trafic pour l'envoyer au rayon receveur. Un autre exemple où le trafic de routage direct spoke-to-spoke serait utile est le cas où deux rayons sont dans la même ville et le concentrateur se trouve à l'autre bout du pays. Alors que les réseaux en étoile IPsec étaient déployés et se développaient en taille, il est devenu plus souhaitable de les faire router des paquets d'IP aussi dynamiquement que possible. Dans anciens réseaux en étoile Frame Relay, ceci a été accompli en exécutant un protocole de routage dynamique comme OSPF ou EIGRP sur des liaisons Frame Relay. C'était utile pour annoncer dynamiquement l'accessibilité des réseaux en étoile et prendre en charge également la redondance dans le réseau de routage IP. Si le réseau perdait un routeur concentrateur, un routeur de concentrateur de secours pouvait automatiquement lui succéder pour maintenir la connectivité réseau aux réseaux en étoile. En outre, il y a un problème fondamental avec les tunnels IPsec et les protocoles de routage dynamique. Les protocoles de routage dynamiques se basent sur l'utilisation de Multicast IP ou de paquets de diffusion, mais IPsec ne prend pas en charge le cryptage de multicast ou des paquets de diffusion. La méthode actuelle pour résoudre ce problème est d'utiliser les tunnels d'encapsulation de routage générique (GRE) en combinaison avec le chiffrement IPsec.

Les tunnels GRE prennent en charge le transport du Multicast IP et des paquets de diffusion à l'autre extrémité du tunnel GRE. Le paquet de tunnel GRE est un paquet de monodiffusion IP. Ainsi, le paquet GRE peut être crypté à l'aide d'IPsec. Dans ce scénario, GRE effectue le travail de tunnel et IPsec se charge de la partie cryptage pour supporter le réseau VPN. Lorsque des tunnels GRE sont configurés, les adresses IP pour les points de terminaison du tunnel (source du tunnel…, destination du tunnel…) doivent être connues de l'autre point de terminaison et doit être routable par Internet. Ceci signifie que le concentrateur et tous les routeurs en étoile dans ce réseau doivent avoir des adresses IP non-privées statiques.

Et nous avons aussi, tous les tunnels point à point IPsec (ou IPsec+GRE) doivent être configurés sur tous les routeurs, même si certains/la plupart de ces tunnels ne sont pas nécessaires à tout moment. Avec la solution DMVPN, un routeur est le concentrateur, et tous les autres routeurs (rayons) sont configurés avec des tunnels vers le concentrateur. Les tunnels de rayon-à-concentrateur sont continuellement en ligne, et les rayons n'ont pas besoin de la configuration pour les tunnels directs aux autres rayons. Au lieu de cela, quand un rayon veut transmettre un paquet à un autre rayon (tel que le sous-réseau derrière un autre rayon), elle emploie NHRP pour déterminer dynamiquement l'adresse de destination requise du rayon cible. Le routeur concentrateur agit en tant que serveur NHRP et traite cette demande pour le rayon source. Les deux rayons créent alors dynamiquement un tunnel IPsec entre eux (par l'intermédiaire de l'interface simple mGRE) et des données peuvent être directement transférées. Ce tunnel dynamique de rayon à rayon sera automatiquement démoli après une période d'inactivité (configurable)

4.    Modèle de déploiement du dmvpn

Il propose deux modèles de déploiement possibles :

- Le modèle Hub-and-spoke : chaque spoke possède une interface GRE permettant de monter le tunnel vers le HUB. Tout trafic entre les spoke passe par le HUB. Ce modèle ne prend pas en compte les liaisons entre les spokes. - Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface mGRE permettant aux tunnels dynamiques de transiter vers les autres spokes. Ce modèle prend en compte les liaisons entre différents spokes et offre une grande évolutivité de la configuration pour les périphériques.  

     II.    Description et choix des outils techniques

Pour mettre en place cette solution nous aurons besoin de plusieurs protocoles, de matériel et logiciel informatique.

1.      Les protocoles utilisés

a.     IPsec

Protocole de chiffrement permettant de chiffrer le trafic entre deux sites (entre hub et spoke ou spoke et spoke aussi), par l’utilisation des clés pré-partagées. Il n’est sans doute pas le protocole le mieux sécurisé mais permet une mise en œuvre simple et rapide.

b.      mGRE (multipoint GRE)

GRE permet d’encapsuler des paquets multicast, requis notamment pour les protocoles de routage ; le ’m’ de mGRE permet lui de créer des tunnels multipoints entre les sites (Ax-Ay et Ax-M), c’est à dire de créer plusieurs tunnels par une seule pseudo-interface ’Tunnel.

c.       NHRP (Next Hop Resolution Protocol)

Ce protocole permet aux sites distants de faire connaitre l’adresse IP de l’interface "physique" servant à monter le tunnel GRE avec le serveur. Le serveur conservera cette information pour tous les sites distants, afin de leur permettre d’obtenir l’adresse de leur voisin pour monter des tunnels directs.

• Le routeur hub sera le serveur NHRP.
• Tous les autres routeurs qui sont les spokes (rayons) seront des clients NHRP.
• Les clients NHRP s'enregistrent auprès du serveur NHRP et communiquent leur adresse IP publique.
• Le serveur NHRP garde une trace de toutes les adresses IP publiques dans son cache.
• Lorsqu'un routeur souhaite canaliser quelque chose vers un autre routeur, il demande au serveur NHRP l'adresse IP publique de l'autre routeur.

figure 4 : fonctionnement du protocole nhrp

d.      OSPF (Open Shortest Path First)

OSPF est un protocole de routage dynamique (états de liaisons) permettant aux sites distants (rayon ou spoke) d’annoncer leur réseau local au site central (hub), et au site central de propager la totalité des routes apprises aux sites distants. Vous devez également vous assurer que le routeur concentrateur sera le routeur désigné (DR) pour le réseau IPsec+mGRE. Ceci est fait en définissant la priorité OSPF à plus de 1 sur le concentrateur et à 0 sur les rayons.

e.     DHCP

Dynamic Host Configuration Protocol (DHCP, protocole de configuration dynamique des hôtes) est un protocole réseau dont le rôle est d’assurer la configuration automatique des paramètres IP d’une station ou d'une machine, notamment en lui attribuant automatiquement une adresse IP et un masque de sous-réseau. Dans notre cas, il sera utilisé pour attribué dynamiquement des adresses IP à l’interface physique extérieure (ethernet0).

2.     Logiciel utilisé

Pour notre implémentation, nous allons utiliser le logiciel de simulation qui est Cisco Packet Tracer.

Packet Tracer est un simulateur de matériel réseau Cisco (routeurs, commutateurs). Cet outil est créé par Cisco Systems qui le fournit gratuitement aux centres de formation, étudiants et diplômés participant, ou ayant participé, aux programmes de formation Cisco (Cisco Networking Academy). Le but de Packet Tracer est d'offrir aux élèves et aux professeurs un outil permettant d'apprendre les principes du réseau, tout en acquérant des compétences aux technologies spécifiques de Cisco. Il peut être utilisé pour s’entraîner, se former, préparer les examens de certification Cisco, mais également pour de la simulation réseau.

 

figure 5 : logo packet tracer

 Packet tracer à pour interface après téléchargement et installation la figure ci-dessous :

figure 6 : interface packet tracer

Sur cette image ci-dessus nous utiliserons quatre routeurs interconnecté entre eux.

 

figure 7 : routeur

Sur ces différents routeurs, deux sera configuré comme étant le spoke, un autre sera configuré étant le hub et le dernier sera configuré jouant le rôle d’internet. Les routeurs doivent avoir au moins IOS 12.3 et plus (Utilisation du routeur c7200 pour avoir la fonctionnalité DMVPN). - 48 Mo de RAM - 12 Mo de flash.

CHAPITRE III :

Réalisation

figure 8 : notre topologie

Notre topologie sera présentée comme l’image ci-dessus et les routeurs seront configurés comme suit :

     I.            Configuration des routeurs

Quelques précisions avant de commencer:

·         Que la politique IKE (crypto isakmp policy) soit identique sur chacun des routeurs.

·         Que la politique IPSec (crypto ipsec transform-set) soit identique sur chacun des routeurs.  

·         Que le protocole de routage OSPF soit configuré de façon cohérente, c’est à dire que le réseau WAN(192.x.x.0/24) soit déclaré dans une area différente des réseaux LAN (192.168.x.0/24) et du réseau utilisé pour les tunnels VPN (10.0.0.0/24). En effet, si cette condition n’est pas remplie, vos tunnels VPN risquent d’avoir une connexion instable.         

1.     Configuration du hub (UVCI)

Router>enable

Router#configure terminal

Router(config)#hostname Hub

Hub(config)#interface G0/0

Hub(config-if)#ip address 172.17.0.1 255.255.255.0

Hub(config-if)#no shutdown

Hub(config-if)#exit

Hub(config)#interface G0/1

Hub(config-if)#ip address 192.168.0.1 255.255.255.0

Hub(config-if)#no shutdown

Hub(config-if)#exit

Hub(config)#crypto isakmp policy 1

Hub(config-isakmp)#authentication pre-share

Hub(config-isakmp)#encryption aes

Hub(config-isakmp)#hash sha

Hub(config-isakmp)#group 1

Hub(config-isakmp)#exit

Hub(config)#crypto isakmp key uvci21 address 0.0.0.0 0.0.0.0

Hub(config)#crypto ipsec transform-set uvci2 esp-aes esp-md5-hmac mode transport

Hub(config-crypto-trans)#exit

Hub(config)#crypto ipsec profile VPN_UVCI

Hub(config-profile)#set transform-set uvci2

Hub(config-profile)#exit

Hub(config)#interface tunnel0

Hub(config-if)#bandwith 1000

Hub(config-if)#ip address 10.0.0.1 255.255.255.0

Hub(config-if)#ip mtu 1400

Hub(config-if)#ip nhrp authentication test

Hub(config-if)#ip nhrp map multicast dynamic

Hub(config-if)#ip nhrp network-id 5

Hub(config-if)#ip nhrp holdtime 600

Hub(config-if)#ip ospf network broadcast

Hub(config-if)#ip ospf priority 5

Hub(config-if)#delay 1000

Hub(config-if)#tunnel source ethernet0

Hub(config-if)#tunnel mode gre multipoint

Hub(config-if)#tunnel key 6

Hub(config-if)#tunnel protection ipsec profile VPN_UVCI

Hub(config-if)#exit

Hub(config)#interface G0/0

Hub(config-if)# ip address 172.17.0.1 255.255.255.0

Hub(config-if)#exit

Hub(config)#interface G0/1

Hub(config-if)#ip address 192.168.1.1 255.255.255.0

Hub(config-if)#exit

Hub(config)#router ospf 1

Hub(config-router)#network 192.168.1.0 0.0.0.255 area 0

Hub(config-router)#network 10.0.0.0 0.0.0.255 area 0

2.     Configuration du spoke1 (ORANGE)

Router>enable

Router#configure terminal

Router(config)#hostname Spoke1

Spoke1(config)#interface G0/0

Spoke1(config-if)#ip address dynamic

Spoke1(config-if)#no shutdown

Spoke1(config-if)#exit

Spoke1 (config)#interface G0/1

Spoke1(config-if)#ip address 192.168.1.1 255.255.255.0

Spoke1(config-if)#no shutdown

Spoke1(config-if)#exit

Spoke1(config)#crypto isakmp policy 1

Spoke1(config-isakmp)#authentication pre-share

Spoke1(config-isakmp)#encryption aes

Spoke1(config-isakmp)#hash sha

Spoke1(config-isakmp)#group 1

Spoke1(config-isakmp)#exit

Spoke1(config)#crypto isakmp key uvci21 address 0.0.0.0 0.0.0.0

Spoke1(config)#crypto ipsec transform-set uvci2 esp-aes esp-md5-hmac mode transport

Spoke1(config-crypto-trans)#exit

Spoke1(config)#crypto ipsec profile VPN_UVCI

Spoke1(config-profile)#set transform-set uvci2

Spoke1(config-profile)#exit

Spoke1(config)#interface tunnel0

Spoke1(config-if)#bandwith 1000

Spoke1(config-if)#ip address 10.0.0.2 255.255.255.0

Spoke1(config-if)#ip mtu 1400

Spoke1(config-if)#ip nhrp authentication test

Spoke1(config-if)#ip nhrp map multicast 172.17.0.1

Spoke1(config-if)#ip nhrp map 10.0.0.1 172.17.0.1

Spoke1(config-if)#ip nhrp network-id 5

Spoke1(config-if)#ip nhrp holdtime 300

Spoke1(config-if)#ip ospf network broadcast

Spoke1(config-if)#ip ospf priority 0

Spoke1(config-if)#delay 1000

Spoke1(config-if)#tunnel source ethernet0

Spoke1(config-if)#tunnel mode gre multipoint

Spoke1(config-if)#tunnel key 6

Spoke1(config-if)#tunnel protection ipsec profile VPN_UVCI

Spoke1(config-if)#exit

Spoke1(config)#interface G0/0

Spoke1(config-if)# ip address dhcp hostname SPOKE1

Spoke1(config-if)#exit

Spoke1(config)#interface G0/1

Spoke1(config-if)#ip address 192.168.1.1 255.255.255.0

Spoke1(config-if)#exit

Spoke1(config)#router ospf 1

Spoke1(config-router)#network 192.168.1.0 0.0.0.255 area 0

Spoke1(config-router)#network 10.0.0.0 0.0.0.255 area 0

3.     Configuration du spoke2 (CISCO)

Pour la configuration du Spoke2, nous ferons la même configuration que sur le Spoke1.

II.            Résultats

Pour vérifier que tout fonctionne correctement, vous pouvez effectuer des captures de paquets par le biais du logiciel Wireshark, ce qui vous permettra d’apercevoir des paquets ESP (Encapsulating Security Payload) transitant entre les différents routeurs pour les communications Lan-to-Lan. Ou tout simplement lancer un ping entre spoke1 et spoke2.

Ø  Exécutons la commande show ip route et show ip nhrp sur le Hub

figure 9 : sur le hub

Donc nous constatons que le Hub connait les chemins pour envoyer des informations aux LAN via les tunnels crées par le biais de la commande show ip route et show ip nhrp permet de voir les IP dynamiquement mappées sur le Hub (adresses NBMA (adresse publique) et VPN (adresse privée)).

Ø  Apres un ping entre le spoke1 et le spoke2, lorsque nous exécutons show ip route voilà le constat

figure 10 : spoke1

                   

figure 11: spoke2

A partir du résultat ci-dessus, vous pouvez voir que Spoke1 et Spoke2 ont des mappages NHRP l'un pour l'autre à partir du routeur concentrateur, et ils ont construit et ont utilisé un tunnel mGRE+IPsec. Les mappages NHRP expireront après cinq minutes (valeur actuelle de la durée de conservation NHRP = 300 secondes). Si les mappages NHRP sont utilisés dans la dernière minute avant l'expiration, alors une requête et une réponse de résolution NHRP seront envoyées pour réactualiser l'entrée avant qu'elle ne soit supprimée. Autrement, le mappage NHRP sera supprimé et cela déclenchera IPsec qui effacera les SA IPsec.

III.  Les difficultés et enseignements 
tirés au cours du stage

1.      Difficultés

Au cours du stage, lorsque le thème MISE EN PLACE D’UN VPN DE TYPE HUB AND SPOKE m’a été confié j’ai été confronté à plusieurs difficultés. D’abord, je ne savais même pas de quoi il s’agissait de faire parce que je n’avais aucune notion des vpn et encore moins le type hub and spoke en d’autre terme je n’avais aucune idée sur le thème même après des jours de recherche sur internet. Ensuite, après des recherches et l’aide de mon encadreur j’ai pu me familiariser avec le thème mais un autre problème se posait au niveau de mon environnement de travail qui est Cisco Packet Tracer là où j’avais des problèmes avec l’emplacement des routeurs et du nuage Cloud qui n’arrivait pas s’interconnecter entre eux j’ai même changé de simulateur et prendre l’émulateur GNS3 qui me causa également des soucis car je devais télécharger des routeurs et des IOS(système d’exploitation pour routeur). Enfin, lors de la configuration des routeurs j’ai remarqué également que certaines commandes ne fonctionnaient pas  tels que «crypto ipsec transform-set » et  « crypto ipsec profile ».

2.     Enseignements tirés

Malgré toutes les difficultés rencontrées, le thème m’a aussi permis de tirer plusieurs enseignements. D’abord, j’ai compris à quoi consistait la mise en place d’un vpn, connaitre les types de vpn et comment mettre en place et configurer un vpn. Ensuite, je me suis familiarisé encore plus avec Cisco Packet Tracer et ses commandes. Et j’ai connu d’autre émulateur réseau tel que GNS3 et bien d’autre logiciel. Enfin, j’ai appris que tous les routeurs n’étaient pas fait pour la mise en place d’un vpn et aussi fallait toujours vérifier si le package securityk9 était actif en passant par la commande « show license all », faute de quoi les commandes de sécurité ne passeront pas.   

Conclusion

J’ai effectué mon stage de fin d’année de licence au sein de la structure Université Virtuelle de Côte d’Ivoire (UVCI). Ma mission principale était de faire recherche et d’innover au niveau des Réseaux et Sécurité Informatique vu que j’ai été affecté au service de l’Unité de Recherche et d’Expertise Numérique. En effet, nous avons bénéficié de plusieurs contributions parmi lesquelles celles de notre encadreur monsieur ADJA Owo serge Alain ainsi que tout le corps professoral de l'UVCI. Ces contributions portaient sur les explications de cours, de travaux pratiques et l'utilisation des logiciels spécifiques.

Après la mise en place de ma solution, toute porte à croire il peut y avoir des améliorations car nous avons découvert que d'autres entreprises utilisaient ce système avec des options plus améliorées que les nôtres.

Ce stage m’aura permis d’avoir une expérience très appliquée du monde professionnel. Notamment en ce qui concerne la gestion de projet, vu que j’ai mené mon projet du début jusqu’à la fin. Nous proposons donc que, afin de rendre la formation plus complète à l'UVCI, de combiner les connaissances des différentes spécialités enseignés et rendre plus pratique les cours liés à notre domaine de compétence.

Références

https://www.watchguard.com/help/docs/help-center/fr-FR/Content/fr-FR/Fireware/configuration_examples/bovpn_centralized_config_example.html

https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-ipsecvpn-52/Hub_and_Spoke_Config/Config_Overview.htm

https://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-ipsecvpn-52/Hub_and_Spoke_Config/Dynamic_Spokes_Config_Example.htm

http://www.networklife.net/2014/10/introduction-au-dmvpn/