Un réseau mutualisé pour l'Enseignement et la Recherche à Paris  
   Accueil       Présentation       CORAP       Réseau       Applicatifs       Supervision       Ressources    >> Je m'identifie 

Services de VPN sur RAP

Un des apports de RAP est la mutualisation des moyens d'interconnexion entre différents sites d'un même établissement. Ainsi, de nombreuses liaisons inter-sites, dédiées à un seul établissement peuvent être abandonnées au profit de l'utilisation de RAP pour le trafic interne à l'établissement (en plus du trafic avec RAP, RENATER et Internet).

La reconduction sur RAP des services apportés auparavant par les liaisons dédiées et la mise en oeuvre de nouvelles interconnexions passant par RAP, sont rendues possibles par l'utilisation de réseaux privés virtuels (RPV ou VPN).

Du fait de leur caractère "privé", les VPN permettent en particulier l'utilisation d'adressage IP privé (RFC 1918) ainsi que le transport de protocoles non routés sur RAP (Appletalk, IPX, Netbeui, ...).

En fonction des besoins à satisfaire, la mise en oeuvre de ce service peut prendre les formes suivantes :


1. VPN de niveau 2

1.1. VLAN (Virtual Local Area Network) sur Ethernet
Pour utiliser le service de VPN de niveau 2 de RAP, les sites raccordés en Ethernet doivent mettre en oeuvre le marquage (taggage) des trames Ethernet sur la liaison avec RAP, selon le protocole normalisé 802.1q. Dans ce cas, il existe en général un VLAN d'interconnexion IP entre le site et RAP auquel s'ajoutent les VLANs participant au(x) VPN(s). Le service de VPN de niveau 2 sur RAP bénéficie désormais d'une haute-disponibilité grâce au protocole VPLS, plus d'informations dans la partie 3 ci-dessous.

1.2. Exemples de mise en oeuvre
Certaines liaisons optiques, utilisées auparavant pour le raccordement de sites internes à un établissement ont été reprises dans RAP, permettant notamment de raccorder les autres établissements présents sur les sites. Dans ce cas, un service de VPN de niveau 2 a été mis en oeuvre lors de l'intégration de la liaison dans RAP, pour reconduire de manière transparente la liaison inter-sites intra-établissement éjà en service.

1.3. Cas des sites bas-débits
L'utilisation du Q-in-Q - Norme 802.1ad permet de transporter les VLANs des sites bas-débits vers le backbone RAP. Avec le support du 802.1ad, les sites bas-débits encapsulent leurs VLANs dans le super-VLAN de l'opérateur. L'équipement d'extrémité sur RAP décapsule le trafic qui lui arrive encapsulé 802.1ad et propage les VLANs du site sur le backbone RAP.



2. VPN de niveau 3 (à base de tunnels)

Il est possible de bâtir des réseaux privés virtuels sur un réseau IP, en transmettant les données entre deux réseaux locaux sous forme encapsulée à l'intérieur de datagrames IP traités comme les autres sur le réseau de transport. Ainsi, les sites raccordés à RAP peuvent mettre en oeuvre ce type de service qui ne nécessite pas (à l'inverse des VPN de niveau 2) de configuration par CORAP. On peut distinguer deux grandes catégories d'utilisation pour les VPN de niveau 3: la simple coercition du routage entre les sites, ou la mise en oeuvre de dispositifs de sécurité plus élaborés comme le l'authentification, le contrôle d'intégrité ou le chiffrement. En fonction des objectifs, les encapsulations suivantes peuvent être utilisées.

2.1. Tunnels GRE
GRE (generic encapsulation) encapsule simplement IP dans IP. Un tunnel GRE peut se substituer à une liaison dédiée (de type liaison louée), par exemple pour faire transiter tout le trafic d'un site par une autre site, tout en passant par le backbone de RAP. Ainsi, un établissement qui souhaiterait, pour des raisons de suivi des trafics ou de mise en oeuvre de dispositif de sécurité centralisé, faire passer le trafic de tous ses sites avec l'extérieur par un seul point peut utiliser des tunnels.

2.2. Tunnels IPSec
En plus de l'encapsulation, IPSec apporte des service de sécurité comme l'authentification et le chiffrement des données. Bien que RAP soit un réseau dédié à la communauté enseignement recherche, certains trafics peuvent nécessiter un niveau de protection requerrant l'utilisation d'IPSec.

2.3. Exemples de mise en oeuvre
Plusieurs établissements, qui disposaient avant RAP d'une architecture centralisée ont reconduit cette topologie sous la forme de VPN de niveau 3. Leur expérience est concluante, avec toutefois quelques pièges à contourner pour garantir la transparence du VPN aux utilisateurs :



3. VPN de niveau 2 avec VPLS

Avec le déploiement de sa nouvelle infrastructure, RAP a fait le choix de mettre en œuvre MPLS dans le but de fournir un service de VPN de niveau 2 basé sur VPLS.

Auparavant fourni par la propagation de vlans 802.1Q sur son backbone, le service VPN de niveau 2 sur RAP s’est avéré de plus en plus contraignant à opérer, par le nombre de tags limité, par la nécessité de garantir l’unicité d’un tag sur un chemin traversant plusieurs réseaux autonomes et par les difficultés d’exploitation pouvant être rencontrées dans l’utilisation du protocole de Spanning-Tree en cas de bouclage.

La fourniture de ce service a donc évolué grâce au protocole VPLS et chaque vlan 802.1Q a été migré vers une instance VPLS. La technologie VPLS offre un service Ethernet multipoint à multipoint qui apporte une connectivité entre plusieurs sites et simule, de manière transparente pour le site, une liaison LAN Ethernet entre chacun des sites.

VPLS permet d’offrir un service de VPN de niveau 2 de haute fiabilité (redondance et fast-convergence sub-second) sur le backbone mais aussi sur l’accès des sites doublement raccordés à RAP avec le mécanisme de multihoming de VPLS.

Le service de VPN de niveau 2 sur RAP basé sur VPLS document pdf



4. Comment mettre en oeuvre le service de VPN sur RAP

Pour l'utilisation d'un VPN de niveau 2 sur RAP, l'établissement réalise une description de son architecture cible et la transmet au CORAP qui propose les solutions les plus adaptées à chaque problématique.
Dans le cas de VPN de niveau 3 (à base d'encapsulation IP), RAP n'intervient que pour le routage au même titre que pour le reste des trafics, il n'y a donc en général aucune opération spéciale à réaliser par CORAP pour cette mise en oeuvre totalement sous le contrôle de l'établissement. Cependant, dans le cas de sites dont tout le trafic est repris dans un VPN, RAP peut fournir le routage spécifique d'un réseau d'une seule adresse (/32 en IPv4 ou /128 en IPv6) vers le site, permettant de constituer de manière économique l'extrémité du VPN sur l'adressage de l'établissement.