O.

INTRODUCTION GENERALE

L'interconnexion de deux ou plusieurs sites par

liaison spécialisée à présenter un certain nombre de
limites liées au cout qui est très élevé, mais le
débit est garanti. Ainsi, la liaison entre deux ou
plusieurs sites passant par internet est trop
vulnérable aux attaques des pirates. C'est-à-dire les
données transitant par l'internet sont trop exposées
aux attaques de n'importe quel genre et cela,
constitue un risque pour les entreprises.

Pour pallier à cela, il faut mettre en place un tunnel

DMVPN permettant à ces sites d'échanger des données
sans courir trop de risque ; d'où le DMVPN SITE TO
SITE.

I. PROBLEMATIQUE

Partant de notre sujet du travail, nous disons bien

que L’Hôtel de ville et Les Maisons Communales étant
des institutions publiques de l’état hébergeant dans
une même ville, sont appeler à ses partager les
informations relatives à la bonne gouvernance de la
province

L’Hôtel de ville éprouve des difficultés dans le

contrôle, sécurité et surveillance de la Gestion des
maisons communales car elles sont très distantes.

Avant de décrire le déploiement d'un système autonome

sécurisé via la technologie DMVPN, certaines questions
nous viennent à l'esprit dont la nécessité serait de
les exprimer dans l'idéal d'avoir une vision sur le
présent travail.

Comment assurer les accès sécuritaires au sein de

Maisons communales réparties sur de grandes distances
géographiquement éloigné de l'Hôtel de Ville ?
Concrètement, comment une succursale de l'Hôtel de
Ville peut-elle accéder aux données situées sur un
serveur distant de plusieurs milliers de Kilomètres ?

Quels protocoles et quelle configuration assurent-ils

l'accès sécurisé aux informations de l'Hôtel de
Ville ?

II. HYPOTHESE

Nous essayons dans la mesure possible d'envisager une

politique optimale de partage des informations afin
que l'échange des ressources ne pose plus de problème
au sein de l'Hôtel de Ville et Maisons communales.

Dans le cadre de notre travail, nous avons jugé bon de

joindre au système d'information existant au sein de
l'entreprise, les applicatifs de l'internet afin de
lui permettre :

 Une bonne conservation et recherche aisée des

informations en interne et externe ;
 L'échange des données entre les différentes
directions de l'Hôtel et Maisons communales ;
 Une rapidité dans le traitement de l'information
avec toutes les mesures de sécurité garantie ;
 La récupération de l'information en temps réel.

En vue de remédier toujours aux inquiétudes soulevées

au travers des questions posées ci-haut, nous pensons
que :

oIl existerait un moyen d'échange de l'information

qui serait adapté à la gestion efficace et
efficiente de l'Hôtel de Ville et maisons
communales;
oUne configuration appropriée existerait et des
systèmes d'exploitation tels que Windows Server,
 Unix, Linux...seraient mieux adaptés pour assurer
l'accès sécurisé à l'information.

III. CHOIX ET INTERET DU SUJET

Vu l'objectif que l'entreprise a et l'estime qu'on lui

accorde, nous avons jugé bon de porter notre choix sur
ce sujet qui s'intitule : Déploiement d’un système
autonome sécurisé par DMVPN afin de faire profiter à
ces institutions cette étude et au monde scientifique
nos connaissances acquises durant notre parcours
universitaire.

IV. DELIMITATION DU SUJET

Dans le cadre de ce travail, nous ne prétendons pas

aborder tous les aspects liés à sa réalisation parce
qu'il faut le limiter sur le plan spatio-temporel.

Ø Dans le temps, notre étude couvre la période allant

de 2024-2025

Ø Dans l'espace, notre étude concerne uniquement le

Déploiement d’un système autonome sécurisé a l’aide de
DMVPN.

V. METHODES ET TECHNIQUES UTILISEES

a. Méthodes

Tout chercheur se focalise sur une méthode susceptible

de l'orienter à atteindre son objectif du problème
qu'il étudie dans son travail. En d'autres termes la
méthode est l'ensemble des moyens par lesquels, une
discipline cherche à atteindre. Les vérités qu'elle
poursuit, les démontrent et les vérifient.

Pour l'élaboration de notre travail, nous avons fait

recours aux trois méthodes :
- Méthode historique : Elle consiste à étudier le
passé d'une entreprise pour mieux cerner sa
situation actuelle afin de mieux préparer son
évolution future;

- Méthode analytique : Elle nous a permis d'analyser

en détail le composant du système existant. Elle
consiste à décomposer les éléments du système
existant enfin de le définir, les analyser et d'en
dégager les spécificités auxquelles le nouveau
système fera face;

- Méthode descriptive : Par cette méthode, certains

principes et concepts ont été décrits tout
simplement sans commentaire;

b. Techniques

La technique est l'ensemble organisé des procédés d'un

travail, et comme tout travail nécessite des
techniques, pour celui-ci nous avons opté pour :

 La technique documentaire : Elle met en présence de

chercheur des documents concernant les
informations recherchées.
 Technique d'interview : Elle consiste à interroger
en vue d'avoir des points de vue avec les
différents employés du service qui nous a
intéressé pour acquérir les informations dont on a
besoin. Cette technique nous a permis d'obtenir
les renseignements sur l'étude de l'existant, par
un jeu des questions réponses ;
 Les contacts : Nous ont permis de recueillir des
informations concernant notre étude auprès des
spécialistes dans le domaine des réseaux
informatiques.
VII. DIFICULTE RENCONTREES

Durant l'élaboration de notre travail, nous nous

sommes bités à plusieurs difficultés dont la plus
complexe est la faible documentation sur le sujet
enquêté dans les bibliothèques de la place.

VII. SUBDIVISION DU TRAVAIL

Hormis l'introduction générale et la conclusion

générale, notre travail est subdivisé en quatre
chapitres qui sont :

Chapitre I : Notion sur les Réseaux IP

Chapitre II : Sécurité réseaux et DMVPN

Chapitre III : Présentation de L’Hôtel de Ville

Chapitre IV : Etude de Déploiement

Chapitre I : Notion sur les Réseaux IP
I. Généralité
Le terme IP est l’acronyme d’Internet Protocol. Il
s’agit d’un numéro permettant d’identifier chaque
machine sur les réseaux. Par machine, je dois
préciser qu’on ne parle pas que des ordinateurs,
mais aussi des serveurs, des routeurs ou encore
des imprimantes… En bref tout ce qui est capable
de se connecter à un réseau nécessite une adresse
IP.
On pourrait faire l’analogie entre l’IP et le
numéro de téléphone. Il existe des millions de
numéros de téléphone mais le vôtre est unique et
ne peut que vous identifiez.

II. Historique
Vers la fin des années 60, on s’aperçoit que les
ressources informatiques sont en règle générale
mal exploitées. Le département de la défense
américaine, le DOD, finance le développement de
protocoles et de matériels possédant une forte
tolérance de panne, notamment en cas de frappes
nucléaires soviétiques. C’est alors qu’en 1970, le
réseau Advanced Research Projet Agency Network,
plus connu sous le doux nom d’ARPANET voit le
jour. Sa principale force est qu’il prend appuie
sur les lignes téléphoniques, ce qui offrait à
l’époque un débit d’environ 50 kb/s, aujourd’hui
cela semble ridicule, mais à l’époque c’était
extraordinaire.
ARPANET va connaître une croissance tout aussi
extraordinaire puisqu’en 1972, on compte une
quarantaine d’institutions reliées entre-elles.
 Celles-ci disposent entre-autres d’un service de
courrier électronique.
Ce réseau, adoptera le protocole Transmission
Control Protocol / Internet Protocol alias TCP/IP.
Ce protocole ne sera plus considéré comme secret
militaire en 1980, et sera donc autorisé à
l’utilisation dans les milieux civils. Un réseau
mondial est alors constitué, il prendra
l’appellation Internet et connaîtra un succès
inimaginable et fulgurant.

III.Définition du Réseau
Un réseau est un moyen qui permet à des individus
ou à des groupes de partager des informations et
des services. Par extension, un réseau
informatique est un ensemble d’outils permettant à
des machines de partager des informations, des
services ou encore des ressources. Dans nos
réseaux informatiques modernes, ces outils sont
constitués en partie d’un panel
de protocoles nécessaires au fonctionnement des
réseaux.
On peut comparer un réseau informatique à un
réseau routier: tous les utilisateurs sont
connectés entre eux grâce au réseau Internet de la
même manière que les villes sont reliées entre
elles par le réseau routier.

IV. Adressage IP
Pour assurer cette liaison entre les machines, on
a recours au protocole dénommé Internet Protocol,
alias : IP. Ce protocole assure la livraison de
l'information sous forme de paquets. Cela signifie
 que toute l'information à envoyer sera fractionnée
en petits bouts, appelés paquets. Ces paquets
seront envoyés de manière indépendante sur le
réseau et ça sera au destinataire de remettre
les paquets dans le bon ordre et de les assembler
pour récupérer l'information.
Afin de pouvoir communiquer avec le bon
destinataire, sans se tromper, il faudra
nécessairement pouvoir identifier la machine que
l'on recherche, et donc par extension toutes les
machines du réseau. Pour identifier chaque
machine, on utilise un système d'adressage
spécifique : l'adressage IP

V. Généralité sur l’adressage

Il existe deux versions majeures d’IP : les
versions 4 (IPv4) et 6 (IPv6). La version 4 est
aujourd'hui là plus utilisée dans le monde, même
si elle est amenée à disparaître sous peu. Les
adresses des machines utilisant IPv4 sont
composées de 4 octets, chacun d'entre eux étant
séparé du suivant par un point. Cette notation
s'appelle la notation décimale pointée.
Quelques exemples : 192.168.0.1 ; 10.25.172.37 ;
42.42.42.42.
Chaque octet peut varier de 0 à 255 et chaque
adresse ne peut identifier qu’un et un seul hôte
sur le réseau auquel il est connecté :

PAS
123.256.2.1
BON

192.168.2.1 BON

PAS
300.5.89.7
BON
 Une adresse IP sert à la fois à identifier une
machine sur un réseau, mais aussi le réseau sur
lequel se trouve la machine. Pour ce faire, on
peut distinguer 2 parties dans une adresse IP : la
partie hôte, ou host id, qui identifie la machine
et la partie réseau, ou net id, qui identifie le
réseau où se trouve la machine.

VI. Les classes

Pour faciliter l'administration des réseaux et la
bonne répartition des adresses IP, l'organisme
ayant la charge d'attribuer les adresses (l'IANA)
à séparer les adresses IP en différentes
catégories appelée classes. Il en existe 3
principales et 2 qui ne peuvent pas être attribuée
à des machines. Ces 5 classes sont représentées
par une lettre allant de A à E.

a)Classe A
 La classe A est la première classe d'adresses IP.
Le premier octet d'une adresse de classe A
convertit en binaire commencera toujours par 0.
Le premier octet représente le net id tandis que
les 3 autres constituent le host id.
 Le premier octet peut avoir des valeurs allant
de 0 à 127.
 Avec la classe A, on peut réaliser 127 réseaux et
avoir 16 277 214 machines par réseau.
 Les adresses commençant par 127 sont
particulières. Elles sont réservées à des usages
de test et diagnostic. Aucune machine ne peut
posséder une adresse commençant par 127.
L'adresse 127.0.0.1 est attribuée à toutes les
machines et ne peux servir que pour faire des
tests, c'est à dire qu'elle ne peut en aucun cas
vous permettre de communiquer avec d'autres
machines. L'adresse 127.0.0.1 est appelée boucle
locale (ou loopback).
 b)Classe B
 La classe B est la seconde classe d'adresses IP.
Le premier octet d'une adresse de classe B
convertit en binaire commencera toujours par 10.
Les deux premiers octets constituent le net id et
les 2 derniers le host id.
 Le premier octet peut varier de 128 à 191.
 Avec la classe B, on peut réaliser 16 384 réseaux
et avoir 63 534 machines par réseau
c)Classe C
 La classe C est la troisième et dernière classe
utilisable d'adresses IP. Le premier octet d'une
adresse de classe C convertit en binaire
commencera toujours par 110. Les trois premiers
octets représentent le net id et le dernier
le host id.
 Le premier octet peut varier de 192 à 223.
 Avec la classe C, on peut réaliser 2 097 152
réseaux et avoir 254 machines par réseau.

d)Classe D et E
Ces deux classes sont réservées à un usage particulier,
c'est à dire qu'elles ne sont pas disponibles pour le
grand public.
La classe D
Les adresses de classe D ayant étés convertis en binaire

débuteront toujours par 1110. Le net id n'est pas fixé.
 Le premier octet variera de 224 à 239.
 Cette classe est réservée au multicast. Le multicast
c'est lorsqu'une machine émet à destination de plusieurs
autres. Le terme français est multidiffusion.
La classe E
 Les adresses de classes E ayant été convertis en binaire
débuteront toujours par 1111. Le net id n'est pas fixé.
 Le premier octet variera de 240 à 255.
Cette classe est réservée à un usage encore
indéterminé
 e)Récapitulatif sur les classes
Voilà, on a déjà abordé une des parties les plus
importantes. Voici un schéma avec un exemple d'adresse
IP de chaque classe, et la division host/net id.

f)Remarques sur les classes et leur utilisation

Comme vous l'avez peut-être remarqué, plus on monte

dans les classes (A –> B –> C), plus le nombre de
réseaux disponibles augmentent mais celui des machines
baisse. Cela signifie en fait que les systèmes
informatiques utilisant un grand nombre de machines
auront tendant à utiliser une classe A alors que les
petits réseaux, comme par exemple chez vous, auront
tendance à utiliser une classe C. Les classes
permettent, en fonction du nombre de machine en
possession de gérer plus ou moins finement le nombre
de réseaux et surtout le nombre de machines
disponibles par réseaux

VII.Les adresses IP Privée/Public

Au début de l'Internet, toutes les machines
pouvaient se connecter directement au réseau via
un modem. Or au moment de l'explosion du réseau,
le nombre d'adresse IP est devenu clairement
insuffisant (et l'est toujours par ailleurs). Il a
donc été décidé de séparer les réseaux publics,
c'est à dire Internet et les réseaux locaux : chez
soi ou dans l'entreprise. Pour ce faire, une
machine fait la différence entre le réseau local
et le réseau Internet.
Mais Où est le gain d'adresses IP ?! Avec cette
méthode, on a un équipement qui communique sur les
deux réseaux (Internet et le réseau local). Donc,
toutes les machines du réseau local devront
impérativement passer par lui pour aller sur
Internet. Vu de l'extérieur, la seule machine
sortante du réseau local est l'équipement faisant
le lien. Vous connaissez cet équipement : il
s'agit de votre Box Internet.
Conséquences : il y a maintenant deux réseaux
distincts et hermétique. Un réseau local ne pourra
pas communiquer directement avec un autre réseau
local. Donc si les deux réseaux locaux utilisent,
en interne, exactement les même adresses IP ça ne
pose aucun problème. L'économie d'adresse se
trouve ici : les réseaux locaux utiliseront les
mêmes adresses puisqu'elles ne pourront pas
rentrer en conflit. L'IANA a donc décidé
d'attribuer à chacune des trois premières classe
d'adresses IP, une bande d'adresses qui ne
pourront pas sortir sur Internet et qui seront
destinées à un usage local uniquement : les
adresses IP privées. De cette façon, toutes les
autres adresses IP sont destinées à un usage sur
Internet : les adresses publiques
 Les plages d'adresses privées sont définies comme
tel:
 Classe A : toutes les adresses comprises entre
10.0.0.0 et 10.255.255.255, soit 16 777 216
machines.
 Classe B : toutes les adresses comprises entre
172.16.0.0 et 192.168.255.255 soit 1 048 576
machines.
 Classe C : toutes les adresses comprises entre
192.168.0.0 et 192.168.255.255 soit 5 536
machines.
Remarque : les plages d'adresses sont relatives à
leurs classes, c'est à dire que le nombre de
machines disponibles sur un réseau privé de classe
A est supérieur au nombre de machines disponibles
sur un réseau privé de classe B. De cette manière,
on reste proportionnel aux réseaux de départs.

VIII. Les Adresses particulières

Dans l'adressage IP, il existe un certain nombre
d'adresses qui ne peuvent pas être appliquées à des
machines. Ces adresses sont dites particulières et
connues :
 Aucune adresse de machine ne peut commencer par
127. De plus l'adresse 127.0.0.1 est normalement
atteignable par toutes les machines, même si la
machine n'est pas connectée au réseau car c'est
une adresse local existant pour permettre des
tests de connectivités. Elle est appelée boucle
local ou adresse de loopback.
 Aucune adresse de machine ne peut se terminer par
0. Les adresses se terminant par 0 sont des
adresses dites de réseaux, c'est à dire qu'elles
 permettent d'identifier un réseau. Ces adresses
sont appelées adresses this.
 Aucune adresse de machine ne peut se terminer par
255. Les adresses se terminant par 255 sont des
adresses de diffusion. Ces adresses permettent de
communiquer avec toutes les machines d'un même
réseau en même temps. Ces adresses sont appelées
adresses de broadcast.
Par extension, l’adresse 255.255.255.255 permet de
contacter toutes les machines du domaine de
diffusion. Le domaine de diffusion correspond à
tous les réseaux connus par la machine qui diffuse

IX. Les masques de sous-réseaux

Nous avons, tout à l'heure, définit les classes
d'adresses IP en expliquant que cela permettait de
sectionner les réseaux. Pour éviter que les
machines parlent à celles qui ne sont pas dans leur
réseau on fait appel au masque de sous-réseau, plus
communément appelé masque.
Lors de l'envoi/réception d'informations, on fait
un ET logique entre l'adresse IP de l'adresse
source/destination et le masque pour vérifier que
la machine est bien sur notre réseau. Si ce n'est
pas le cas, l'information est tout bonnement
ignorée.
Chaque classe d'adresse possède un masque attribué
par défaut :
 Classe A : 255.0.0.0
 Classe B : 255.255.0.0
 Classe C : 255.255.255.0
De plus, nous avons aussi parlez de net/host
id tout à l'heure, et du fait qu'il faille faire
un ET logique pour les trouver. Ce ET logique se
 réalise entre l'adresse IP de la machine et son
masque

Toutefois, pour que ce calcul soit correct, il ne

doit pas s'effectuer sur l'IP décimale pointée,
mais l'IP binaire pointée.
Au niveau de ce cours les masque revêtent une
importance moindre, mais ils font cependant partit
des notions élémentaires de l'adresse IP

X. Récapitulatif
 Chapitre deuxième : sécurité réseaux et
DMVPN

1e partie : sécurité réseaux

I. Introduction
Internet existe à présent depuis plus de 30 ans,
s’accroissant à un rythme effréné. Et semblable à
une ville qui n’aurait pas su gérer les problèmes
de sécurité lors de sa croissance, Internet se
retrouve confronté à des problèmes de
confidentialité et d’accès aux données, où les
voleurs s’appellent hackers et où les délits se
nomment exploits.
Ce besoin de sécurité, s’applique dans de nombreux
cas; le commerce électronique, l’accès distant à
une machine, le transfert de fichier, l’accès à
certaines parties d’un site contenant des données
confidentielles.
Le « mot de passe » semble être la solution la plus
évidente et la plus simple à implanter mais ce qui
pose problème n’est pas tant le fait de devoir
insérer un mot de passe, mais plutôt de faire en
sorte que l’acheminement de ce mot de passe au
travers du réseau Internet se fasse de manière
sécurisée, c’est à dire que si une personne se
trouve à ce même moment à écouter (sniffer) le
média physique que vous utilisez, elle ne doit pas
comprendre (déchiffrer) ce que vous avez transmis.
Et donc pouvoir le réutiliser par la suite à vos
dépends.
On peut sécuriser le transport d’informations de
bout en bout (end-to-end). Et cela au travers de
différents mécanismes et de variantes qui leurs
sont appliquées. Notamment grâce à l’utilisation
des VPN (Virtual Private Network) qui ne seront pas
étudiés dans ce document), mais aussi des
mécanismes comme SSH (SSF en France) et SSL (dont
la dernière version se nomme TLS).
SSH, ou Secure Shell, sécurise la connexion depuis
l’ordinateur local jusqu’au serveur distant en
établissant une connexion cryptée. SSL ou, Secure
Socket Layer, permet l’accès sécurisé à un site web
ou à certaines pages d’un site web.

II. Les Exigences de la sécurité des réseaux

L’arrivée d’internet et des nouvelles technologies
ont permis de développer et d’améliorer de manière
considérable la communication. Cependant, ces
nouvelles technologies ne sont pas invulnérables,
les failles des sécurités sont fréquentes, c’est
ainsi que la question de la sécurité des réseaux a
pris une place importante dans la société actuelle.
La méthode de sécurité et les choix des protocoles
de sécurité peuvent être différents selon les
utilisateurs des réseaux mais il est nécessaire de
tendre en compte les certains principes :
 a.Authentification et identification
L’authentification des services permet de bien
assurer qu’une communication est authentique dans
les réseaux.
On distingue généralement deux types
d’authentification :
- L’authentification d’un tiers consiste à
prouver son identité
- Et l’authentification de la source des
données sert à prouver que les données
reçues viennent bien d’un tel émetteur
déclaré.
Les signatures numériques peuvent aussi servir à
l’authentification, la signature numérique sera
abordée dans la section de l’intégrité.
L’authentification a une nécessité de fournir une
identification et de la prouver, sur la plupart des
réseaux le mécanisme d’authentification utilise une
paire « code d’identification/mot de passe ».
Avec la vulnérabilité constamment liée à
l’utilisation des mots de passe, il est important
de recourir aux mécanismes très robustes tels que
l’authentification par des certificats [ISO-9594],
des clés publiques [River78] ou à travers des
centres de distribution des clés [RFC1510+]
b.Intégrité
L’intégrité se lie à la protection contre les
changements et les altérations. L’intégrité est
considérée quand les données émis sont identiques à
celles reçues. Des différences peuvent apparaitre
si quelqu’un tente de modifier ces données ou tout
simplement si un problème de transmission/réception
intervient.
Il y a une technique utilisée pour faire un
contrôle sur cela comme, les bits de parité, les
checksums ou encore les fonctions de hachage à sens
unique [RFC2104]. Cependant ces mécanismes ne
peuvent pas garantir absolument l’intégrité. Il est
possible en effet, que les données altérées aient
la même somme de contrôle. C’est possible qu’une
attaque modifie les données et recalcule le
résultat de la fonction de hachage (empreinte).
Dans le cas d’avoir un seul expéditeur qui soit
capable de modifier l’empreinte, on utilise des
fonctions de hachage à clés sécrètes ou privées.
C’est une garantie à la fois pour l’intégrité et
l’authentification. Ces deux services de sécurité
sont souvent fournis par le même mécanisme pour une
raison de sens d’accompagnement l’un de l’autre
(dans les contextes d’un réseau peu sur).
c.La confidentialité
La confidentialité est un service de sécurité qui
assure l’autorisation d’une seule personne à
prendre la connaissance des données. En général on
utilise un algorithme cryptographique de
chiffrement des données concernées pour avoir ce
service.
Si seul les données sont chiffrées, une oreille
espionne peut tout de même écouter les informations
de l’en- tête, elle peut ainsi, à partir des
adresses source et destination, identifier les
tiers communicants et analyser leur communication :
fréquence des envois, quantité de données échangée,
etc.
Il y a de protection contre l’analyse de trafic
quand en plus de la confidentialité, on garantit
l’impossibilité de connaitre ces informations. On
utilise l’authentification, l’intégrité et la
confidentialité souvent ensemble pour offrir une
base des services de sécurité.

d.La Nom Répudiation

La non répudiation fait preuve tant que
l’expéditeur que le destinateur que le message a
était bien transmis, les empêches de nier de
l’avoir transmis.
On démonte deux types des non répudiation :
1) La non répudiation de l’origine qui protège un
destinateur confronté à un expéditeur niant avoir
envoyé le message
2) La non répudiation de la réception qui joue le
rôle inverse du précédent, à savoir démontrer que
le destinataire a bien reçu le message que
l’expéditeur lui a envoyé.
Dans le cadre de la cryptographie à clé publique,
chaque utilisateur est le seul et unique détenteur
de la clé privée. Ainsi, tout message accompagné
par la signature électronique d’un utilisateur ne
pourra pas être répudié par celui-ci, à moins que
tout le système de sécurité n’ait été pénétré.
Au contre, le non répudiation n’est pas directement
acquise dans le système utilisant des clés
secrètes. Le serveur distribue la clé de
chiffrement aux deux parties, un utilisateur peut
nier avoir envoyé le message en question en
alléguant que la clé secrète partagée a été
divulguée soit par une compromission du
destinataire, soit par une attaque réussie contre
le serveur de distribution de clés.
Ce qui revient à une non répudiation obligeant le
destinataire à envoyer un accusé de réception signé
et horodaté.

e. Protection d’identité
La vérification efficace des événements liés à la sécurité
se fonde aussi sur la capacité d’identifier chaque
utilisateur.
Il est très nécessaire que chaque utilisateur de
l’internet ait une identité distincte, qui est une
combinaison qui donne le nom de l’utilisateur et
possiblement celui de son Pc, de son organisation et son
pays.
Comme nous l’avons défini avant au niveau de la première
catégorie active de la sécurité, la connaissance de ces
informations par un tiers malveillant peut être considérée
à la vie privée des usagers.
Il y a un grand défi dans le domaine de la sécurité, c’est
la protection de ces informations privées. Ceci nous
permet de protéger le trafic réseau contre les
malveillants qui comptent analyser tout type
d’informations (algorithme, nom de l’utilisateur,
environnement etc.) afin d’intercepter les communications.
Dans la plupart des cas, l’identité du récepteur
(généralement un serveur) est publique. Pour cela, un
protocole de sécurité doit surtout protéger l’identité de
l’initiateur (généralement les clients.
 f.Contrôle d’accès
La normativité des utilisateurs et la demande
d’accès distant sécurisé vers les réseaux privés
des entreprises ont poussé à la majorité des
entreprises à adapter des solutions de sécurité
basées sur des points d’accès situés aux frontières
des réseaux privés. Ces points d’accès sont aussi
très intéressants dans le sens où ils constituent
un point unique et la sécurité peut être imposée.
Ils donnent des ressèmes de trafic, des
statistiques sur ce trafic, et encore toutes les
connexions entre les deux réseaux.
2e partie
DMVPN
: (Dynamic Multipoint Virtual
Private Network)

I. Introduction
Le protocole DMVPN (Dynamic Multipoint Virtual
Private Network) est une technologie de réseau
utilisée pour créer des réseaux privés virtuels
(VPN) sécurisés et évolutifs.
Voici quelques notions importantes concernant le
DMVPN :
1.Flexibilité
Le DMVPN permet aux utilisateurs d'établir des
connexions VPN sécurisées entre plusieurs sites
géographiquement distants sans avoir à configurer
manuellement des tunnels VPN point à point. Cela
rend le déploiement et la gestion des VPN plus
rapides et plus simples.
2.Scalabilté
Avec le DMVPN, il est possible de connecter un
grand nombre de sites à un hub central sans avoir à
configurer des tunnels séparés pour chaque liaison.
Les sites peuvent être ajoutés ou supprimés
facilement, ce qui facilite l'extension ou la
réduction du réseau.
 3.Routing dynamique
Le DMVPN utilise généralement des protocoles de
routage dynamique tels que OSPF (Open Shortest Path
First) ou EIGRP (Enhanced Interior Gateway Routing
Protocol) pour échanger des informations de routage
entre les sites. Cela permet aux sites de
communiquer les uns avec les autres de manière
efficace et de choisir les meilleurs chemins pour
acheminer le trafic.

4.Encryption
Le DMVPN utilise généralement le protocole IPsec
(Internet Protocol Security) pour assurer la
confidentialité et l'intégrité des données
transitant sur le réseau VPN. IPsec offre des
mécanismes de chiffrement et d'authentification
pour protéger les données contre les attaques
malveillantes.
5.Coût
Le DMVPN permet de réduire les coûts de
connectivité en utilisant des connexions Internet
publiques plutôt que des lignes louées dédiées.
Cela permet aux entreprises d'utiliser des réseaux
publics moins chers tout en maintenant un niveau
élevé de sécurité et de performance.

II. Avantages et désavantages

 a.Avantages

o Flexibilité : le DMVPN permet aux utilisateurs

de se connecter de manière dynamique et
transparente à plusieurs sites distants sans la
nécessité d'une configuration manuelle
complexe.

o Economie de coûts : avec le DMVPN, il est

possible d'utiliser des réseaux publics bon
marché, tels qu'Internet, pour créer des VPN
sécurisés, au lieu de recourir à des lignes
privées coûteuses.

o Scalabilté : en utilisant la technologie "hub-

and-spoke" ou "spoke-to-spoke" du DMVPN, il est
possible d'étendre facilement le réseau VPN en
ajoutant de nouveaux sites distants sans impact
sur la performance.

o Redondance : le DMVPN permet l'utilisation de

plusieurs chemins VPN simultanément, offrant
ainsi une plus grande redondance et une
meilleure résilience du réseau.

b.Désavantages

o Complexité de configuration : la mise en place

du DMVPN peut être complexe et nécessite une
compréhension approfondie des protocoles sous-
jacents tels que IPsec, IPSec Tunnel Interface
(VTI) et Next Hop Resolution Protocol (NHRP).
 o Latence : bien que le DMVPN soit conçu pour
fonctionner sur des réseaux publics, la qualité
de service peut être affectée en raison de la
latence et des éventuelles pertes de paquets
sur Internet.

o Sécurité : bien que le DMVPN utilise IPsec pour

sécuriser les communications, la sécurité
dépend de la manière dont les paramètres IPCes
sont configurés et gérés. Une mauvaise
configuration peut compromettre la sécurité du
réseau.

o Dépendance à Internet : étant donné que le

DMVPN utilise des réseaux publics tels
qu'Internet, le fonctionnement du VPN peut être
affecté en cas de problèmes de connectivité
Internet ou d'indisponibilité du service.

Il est important de prendre en compte ces avantages

et inconvénients lors de l'évaluation de
l'utilisation du DMVPN dans un environnement réseau
spécifique.

III. Architecture
Le DMVPN (Dynamic Multipoint Virtual Private
Network) utilise une architecture en étoile avec un
concentrateur central (hub) et des branches
(spokes) qui se connectent au hub. Voici les
principales composantes de cette architecture :
 Concentrateur (Hub) : C'est le nœud central du
DMVPN qui gère les communications entre les
branches. Il agit en tant que point de
terminaison pour tous les paquets provenant des
spokes, et il est responsable de leur
redistribution afin d'acheminer les paquets
vers les destinations appropriées.

 Branchements (Spokes) : Ce sont les nœuds qui

se connectent au concentrateur central (hub).
Les spokes créent des tunnels GRE (Generic
Routing Encapsulation) avec le hub pour
transférer les paquets vers le hub et vers
d'autres spokes. Les spokes peuvent également
communiquer directement entre eux sans passer
par le concentrateur. Chaque spoke doit avoir
une connexion physique ou virtuelle avec le
hub.

 Protocole : Le protocole IPsec (Internet

Protocol Security) est utilisé pour sécuriser
les communications entre les spokes et le hub.
Il assure le chiffrement, l'authentification et
l'intégrité des données.

 Protocole de routage : Le protocole de routage

utilisé dans la plupart des déploiements DMVPN
est l'EIGRP (Enhanced Interior Gateway Routing
Protocol). EIGRP est utilisé pour échanger les
informations de routage entre les spokes et le
hub, permettant ainsi aux routes d'être
 automatiquement mises à jour et distribuées
dans le réseau DMVPN.

 NHRP (Next Hop Resolution Protocol) : C'est un

protocole qui permet aux spokes de résoudre
dynamiquement l'adresse IP de destination en
une adresse physique (Mappage Adresse IP –
Adresse MAC) sans utilisation d'une
infrastructure de routage complète. Cela permet
de maximiser l'efficacité du routage et
d'éviter des problèmes de performance liés à
d'autres protocoles routables.

Dans l'ensemble, l'architecture du DMVPN offre une

connectivité réseau flexible, évolutive et
sécurisée en permettant aux entreprises de
connecter leurs sites distants de manière efficace
tout en minimisant les coûts et les complexités de
déploiement de réseaux privés virtuels (VPN)
traditionnels.

IV. Conclusion
En conclusion, le DMVPN est une solution attrayante
pour les entreprises ayant des sites distants
dispersés géographiquement. Il offre une
connectivité sécurisée et évolutive, tout en
réduisant les coûts de configuration et de
maintenance. C'est une technologie qui continue de
gagner en popularité et qui est largement adoptée
dans le domaine des réseaux d'entreprise.