MINISTERE DE L’ENSEIGNEMENT MINISTRY OF HIGHER

SUPERIEUR EDUCATION
INSTITUT AFRICAIN DE AFRICAN INSTITUT OF COMPUTER
L’INFORMATIQUE SCIENCE
IAI CAMEROUN IAI CAMEROUN
CENTRE D’EXCELLENCE TECHNOLOGICAL CENTER OF
TECHNOLOGIQUE PAUL BIYA EXCELLENCEPAUL BIYA

SECURITE DES RESEAUX

THEME : MPLS/IPSEC

Rédigé par :
• MBALLA CELESTIN LONGIN
• MBANI FRANCINE DALILHA
• MBIA ARISTIDE
• MBIDA MFEGUE ARIELLE
• MEBE MEKA WINNY
• MEKEMBEUNG CLARINS DORNELLE
• MENOUNA OLA YANNICK
• MEYOUKA NJONGANG LAURIAN
• MINKO BASSI LESLIE

Sous la supervision de :
M. ONGOLO
Enseignant à l’IAI-CAMEROUN

Année Académique
2024 ~2025
 Sécurité des réseaux : MPLS/IPSEC

SOMMAIRE
SOMMAIRE ................................................................................................................................... 2
LISTE DES FIGURES ................................................................................................................... 3
INTRODUCTION .......................................................................................................................... 4
I. MPLS ...................................................................................................................................... 5
1) Principe de base de MPLS .................................................................................................. 5
2) Architecture MPLS ............................................................................................................. 5
3) Avantages et inconvénients du MPLS ................................................................................ 7
4) Fonctionnement du MPLS .................................................................................................. 9
II. IPSEC ...................................................................................................................................... 9
1. Principe de fonctionnement d’IPSec ................................................................................. 10
2. Architecture IPSec ............................................................................................................ 13
3. Mode d’opération .............................................................................................................. 14
III. MPLS/IPSEC .................................................................................................................... 15
1. Complémentarité des deux technologies .......................................................................... 15
2. Défis et solutions............................................................................................................... 16
3. IMPLEMENTATION ....................................................................................................... 17
CONCLUSION ............................................................................................................................. 28

2
 Sécurité des réseaux : MPLS/IPSEC

LISTE DES FIGURES

Figure 1 : Architecture MPLS......................................................................................................... 6

Figure 2 : Le protocole IPSec dans le modèle OSI ....................................................................... 10
Figure 3 : Architecture IPsecv2 .................................................................................................... 13
Figure 4: Architecture MPLS/IPSEC............................................................................................ 17
Figure 5: configuration d'une interface loopback ......................................................................... 21
Figure 6:visualisation des routes sur P5........................................................................................ 22
Figure 7:activation ospf ................................................................................................................ 22
Figure 8:mise en place du protocole MP-BGP ............................................................................. 23
Figure 9: con figuration des vrf .................................................................................................... 24
Figure 10: redistribution des routes .............................................................................................. 24
Figure 11: configuration IPSEC.................................................................................................... 25
Figure 12:ping entre les PE ........................................................................................................... 26
Figure 13: table mpls ldp .............................................................................................................. 27
Figure 14: interconnectivité entre les sites.................................................................................... 27

3
 Sécurité des réseaux : MPLS/IPSEC

INTRODUCTION

Dans le paysage des réseaux modernes, la performance et la sécurité des données sont des
enjeux cruciaux pour les entreprises. Deux technologies clés qui répondent à ces besoins sont le
Multiprotocol Label Switching (MPLS) et Internet Protocol Security (IPsec). Le MPLS est une
méthode de communication de paquets qui utilise des étiquettes pour acheminer rapidement les
données à travers le réseau, améliorant ainsi l’efficacité et permettant une gestion optimisée du
trafic. D’un autre côté, IPsec est un ensemble de protocoles qui sécurise les communications sur
les réseaux IP en assurant la confidentialité, l’authentification et l’intégrité des données. En
intégrant MPLS et IPsec, les organisations peuvent non seulement bénéficier d’une transmission
rapide des données, mais aussi garantir leur protection contre les menaces potentielles. Cette
synergie entre rapidité et sécurité constitue une solution puissante pour répondre aux exigences
croissantes des réseaux d’entreprise d’aujourd’hui. Dans cet exposé, nous explorerons plus en
détail ces deux technologies, leurs caractéristiques, leurs avantages, et la manière dont leur
intégration peut transformer la gestion des réseaux.

4
 Sécurité des réseaux : MPLS/IPSEC

I. MPLS

1) Principe de base de MPLS

Le MPLS (Multiprotocol Label Switching) est une technologie de commutation de paquets

qui agit entre la couche 2 (liaison de données) et la couche 3 (réseau) du modèle OSI. Son objectif
est d’optimiser et d’accélérer le routage des paquets dans les réseaux IP en utilisant des labels au
lieu de consulter systématiquement la table de routage.

Dans un réseau IP classique, chaque routeur analyse l’adresse IP de destination d’un paquet pour
déterminer le prochain saut (next hop). Ce processus est lent et répétitif, car chaque routeur doit
effectuer une recherche dans sa table de routage. Avec MPLS, ce traitement est remplacé par un
système plus rapide et plus efficace : le paquet se voit attribuer un label par le routeur d'entrée dans
le réseau MPLS. Ce label, de 20 bits, est utilisé par les routeurs intermédiaires pour acheminer le
paquet sans analyser l'en-tête IP. Le dernier routeur (routeur de sortie) supprime le label avant
d'envoyer le paquet vers sa destination finale. Ainsi, MPLS transforme un routage complexe en
une simple opération de commutation basée sur des labels.

2) Architecture MPLS

L'architecture MPLS est utilisée dans les réseaux de télécommunications pour diriger les paquets
de données. MPLS est implémenté entre la couche de liaison de données et la couche réseau dans
la pile de protocoles TCP/IP, permettant un transfert plus rapide des paquets en utilisant des
étiquettes IP.

L'architecture MPLS comprend des routes et des commutateurs équipés pour gérer les paquets
MPLS, ainsi que des protocoles de distribution d'étiquettes (LDP ou RSVP-TE). L'architecture
MPLS repose sur plusieurs éléments clés tels que :

❖ Nœuds de LER (Label Edge Router) : qui sont des routeurs situés à la frontière du réseau
MPLS ; Ils attribuent et suppriment les étiquettes (labels) sur les paquets entrant et sortant
du réseau MPLS.

5
 Sécurité des réseaux : MPLS/IPSEC

❖ Nœuds de LSR (Label Switch Router) : qui sont des routeurs situés à l'intérieur de
l'architecture MPLS ; Ils utilisent les étiquettes pour acheminer les paquets d'un nœud LER
à un autre.
❖ Étiquettes (Labels) MPLS : qui sont des identifiant courts de longueur fixe ajoutés aux
paquets de données. Utilisés pour déterminer le chemin (label-switched path) que doit
suivre le paquet à travers le réseau MPLS.
❖ Protocoles : LDP (Label Distribution Protocol) utilisé pour échanger les étiquettes entre
les routeurs MPLS. RSVP-TE (Resource Réservation Protocol - Traffic Engineering)
pour les tunnels MPLS ou MP-BGP pour MPLS VPN.

L’architecture du système MPLS se compose du plan de contrôle et du plan de transfert.

• Le plan de contrôle est sans connexion. Il distribue les étiquettes, crée une base
d’informations de transmission d’étiquettes (LFIB) et établit ou détruit les chemins de
commutation d’étiquettes.

• Le plan de transfert, également appelé plan de données, est orienté connexion. Ses
connexions peuvent être créées sur des réseaux de couche 2 tels que les réseaux ATM et
Ethernet. Le plan de transfert ajoute ou supprime des étiquettes aux paquets IP et transfère
les paquets reçus en fonction du LFIB.

Figure 1 : Architecture MPLS

6
 Sécurité des réseaux : MPLS/IPSEC

➢ A : Un protocole de routage IP établit une relation de voisinage, échange des informations

de routage et génère la base d’informations de routage IP (RIB).

➢ B : Un protocole de commutation d’étiquettes obtient des informations de routage à partir

du RIB IP.

➢ C : La route optimale active dans le RIB est utilisée pour générer une entrée de transfert
dans une base d’informations de transfert IP (FIB).

➢ D : Un protocole de commutation d’étiquettes établit une relation de voisinage et publie

une étiquette à un nœud en amont. De plus, il obtient une étiquette à partir d’un nœud en
aval et utilise les informations d’étiquette pour générer un LFIB.

3) Avantages et inconvénients du MPLS

a) Avantages de MPLS

• Performance améliorée

Le MPLS utilise des labels pour diriger les paquets, réduisant ainsi la latence. Cette méthode
permet un transfert de données plus rapide que le routage IP classique, améliorant
significativement la performance réseau.

• Qualité de Service (QoS)

MPLS offre la possibilité de prioriser certains types de trafic comme la voix ou la vidéo. Il
permet de gérer les flux selon leur criticité pour garantir une expérience utilisateur optimale.

• Fiabilité et redondance

Grâce au mécanisme de Fast Reroute (FRR), MPLS peut réorienter automatiquement le trafic en
cas de défaillance d’un lien, assurant ainsi une grande disponibilité du réseau.

• Support multi-protocoles

7
 Sécurité des réseaux : MPLS/IPSEC

MPLS est indépendant des couches 2 et 3 du modèle OSI, ce qui lui permet de transporter divers
protocoles comme IP, ATM, ou Frame Relay de manière transparente.

• Sécurité renforcée

Les VPN basés sur MPLS offrent une isolation des données supérieure à celle du réseau Internet,
renforçant ainsi la sécurité des communications.

• Scalabilité

MPLS permet de gérer efficacement des réseaux de grande taille en simplifiant le routage grâce à
l’utilisation de labels et à la segmentation logique.

• Support de l'ingénierie de trafic (Traffic Engineering)

Cette fonctionnalité permet une gestion avancée de la bande passante et une optimisation des
chemins empruntés par les données en fonction des performances souhaitées.

b) Inconvenients de MPLS
• Coût élevé

Le déploiement de MPLS nécessite un investissement important, tant au niveau des équipements

que de la maintenance, ce qui peut le rendre inaccessible à certaines entreprises.

• Complexité de mise en œuvre

Configurer MPLS demande des compétences réseau poussées. La complexité de sa mise en place
peut représenter un frein pour les structures avec peu de personnel qualifié.

• Moins de flexibilité pour les petites entreprises

MPLS est surtout adapté aux grandes infrastructures. Les petites entreprises pourraient trouver des
solutions comme le SD-WAN plus simples et économiques.

• Dépendance au fournisseur

Lorsqu’il est géré par un opérateur, MPLS rend l’entreprise dépendante de ce prestataire, limitant
sa maîtrise sur la configuration et l’évolution du réseau.

• Risque de sous-exploitation

8
 Sécurité des réseaux : MPLS/IPSEC

Dans certains cas, les fonctionnalités avancées de MPLS ne sont pas pleinement exploitées,
rendant la technologie moins rentable.

• Non chiffré par défaut

Contrairement à certaines technologies VPN comme IPSec, MPLS ne chiffre pas les données par
défaut. Une couche de sécurité supplémentaire est souvent nécessaire pour garantir la
confidentialité des communications.

4) Fonctionnement du MPLS

Le MPLS est conçu pour améliorer les performances du réseau. Pour ce faire, il utilise des
étiquettes (Label) qui correspondent chacun à une classe de service spécifique et est utilisée pour
déterminer le chemin que le paquet doit emprunter à travers le réseau.

Pour faire plus simple, MPLS fonctionne comme un agent de la circulation dirigeant les différents
types de données vers les bonnes voies et sorties pour assurer qu’elles atteignent leur destination
rapidement et en toute sécurité. De cette façon, le MPLS s’assure que le trafic définit comme
important arrive à destination plus rapidement que le trafic moins important.

Le fonctionnement du MPLS peut être résumé en trois étapes :

• Attribution d'Étiquettes : Les paquets entrants dans le réseau MPLS reçoivent une
étiquette par un LER.

• Transmission Étiquetée : Les LSR utilisent les étiquettes pour transférer les paquets à
travers le réseau. Chaque routeur examine l'étiquette, la remplace par une nouvelle selon
la table de correspondance, et transmet le paquet au suivant.

• Délivrance : Finalement, le paquet atteint un LER à l'autre extrémité qui retire l'étiquette
avant de délivrer le paquet à sa destination finale.

II. IPSEC

9
 Sécurité des réseaux : MPLS/IPSEC

1. Principe de fonctionnement d’IPSec

IPsec (Internet Protocol Security) est un ensemble de protocoles permettant le transport de

données IP sécurisées. Il comprend des mécanismes de chiffrement et d’authentification. L’IETF
standardise ce protocole et son architecture depuis 1995, et publie des RFCs dont la plus important
aujourd’hui est IPsecv2. Il a été décidé que IPsec serait obligatoire dans IPv6 et facultatif dans
IPv4, mais avec un mécanisme identique.

Figure 2 : Le protocole IPSec dans le modèle OSI

Les protocoles d’IPsec agissent au niveau de la couche de réseau (niveau 3 du modèle OSI). Il
existe d’autres protocoles de sécurité aussi très étendus. On peut citer SSH (Secure SHell) qui
permet à un utilisateur distant d’avoir un interpréteur de commande à distance sécurisé
(chiffrement et authentification). Il y a aussi TLS (Transport Layer Security), descendant de SSL
(Secure Socket Layer), qui offre la possibilité d’ouvrir des sockets TCP sécurisées, mais les
applications doivent alors explicitement faire appel à cette bibliothèque. Ces protocoles opèrent à
partir de la couche de transport vers la couche applicative (niveau 4 à 7). L’utilisation d’IPsec
permet de protéger d’avantage les données dès la couche 3. Son grand succès est qu’il sécurise
toutes les applications et leurs communications au-dessus d’IP de façon transparente, évitant ainsi
les vulnérabilités des couches supérieures.

10
 Sécurité des réseaux : MPLS/IPSEC

a) Les bases de données : SPD, SADB, PAD

La SAD (Security Association Database) donne un contexte à chaque connexion unidirectionnelle
IPsec, qu’on appelle SA ou « association de sécurité », regroupant l’ensemble de ces informations
parmi les plus importants:

• L’index qu’identifie une SA : SPI (Security Parameter Index)

• les adresses @source et @destination
• le mode de la connexion IPsec (tunnel ou transport)
• le type de service de sécurité IPsec utilisé : ESP ou AH
• l’algorithme utilisé pour le service, et la clé utilisée
• Le temps de vie

Comme une SA est unidirectionnelle, protéger une communication classique requiert deux
associations, une dans chaque sens.

La SPD (Security Policy Database) spécifie les SP ou « politiques de sécurité », c’est-à-dire, les
opérations IPsec que doit adopter le nœud sur les paquets sortant ou entrant. Chaque entrée SP est
une règle qui fait correspondre à un paquet une opération IPsec. On définit le paquet grâce à des
"selector" (le protocole de transport, le range d’adresses/ports source et destination). La "politique"
ou comportement à appliquer comprend des informations de l’utilisation IPsec (none / require), du
type mode (transport / tunnel), du type IPsec (AH, ESP), etc.

La PAD (Policy Authorization Database) est une base de données indiquant la manière dont un
nœud doit être identifié, ou quels sont les identifiants qui doivent être pris en compte lors de la
phase d'authentification.

b) Le trafic entrant et sortant

Trafic sortant : lorsque la couche IPsec reçoit des paquets sortants (la machine veut envoyer un
paquet vers l’extérieur), le système vérifie dans la SPD quelle politique IPsec (SP) doit être
associée à ce paquet. S’il existe une politique IPsec, le système va rechercher s’il existe une SA
qui correspond à cette SP. Si le système trouve la SA correspondant, le paquet se voit appliquer
les règles définies dans la SA, sinon le système va appeler le démon IKE pour négocier une SA
avec le nœud destinataire du paquet. Cette SA doit satisfaire les SP des deux nœuds.

11
 Sécurité des réseaux : MPLS/IPSEC

Trafic entrant : lorsque la couche IPsec reçoit un paquet en provenance du réseau, elle examine
l'en-tête pour savoir si ce paquet s'est vu appliquer un ou plusieurs services IPsec et si oui, quelle
SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la vérification et/ou le
déchiffrement du paquet. Dans IPsecv1, une fois le paquet vérifié et/ou déchiffré, la SPD est
consultée pour savoir si la SA appliquée au paquet correspondait bien à celle requise par les
politiques de sécurité. Dans le cas où le paquet reçu est un paquet IP classique, la SPD permet de
savoir s'il a néanmoins le droit de passer.

c) La gestion de clés : IKEv2

IKE (Internet Key Exchange) est un protocole qui permet, lorsque deux nœuds souhaitent
communiquer entre eux via un canal IPsec, l’authentification et la négociation du matériel
cryptographique en accord avec les SP respectives, pour enfin la mise en place des SA. Il est
implémenté sous la forme d’un démon. La spécification de IKEv2 synthétise les différentes
fonctionnalités de IKEv1 (documenté dans plusieurs RFCs) ainsi que des fonctionnalités
introduites par les diverses implémentations de IKEv1 (comme par exemple les extensions
permettant l’utilisation d’IPsec à travers les réseaux NAT, l’héritage d’authentification…). Ainsi,
IKEv2 est une récriture de IKEv1 qui préserve la plus part des fonctions d’IKEv1 (cacher l’identité,
deux phases, négociation cryptographique…), qui fixe plusieurs problèmes d’IKEv1 trouvés
pendant sont déploiement ou analyse, et qui améliore le protocole afin de la rendre plus efficace,
plus robuste et plus interoperable.

d) Le principe du protocole IKE

Le principe devient justement le même qu’on applique pour le trafic sortant (expliqué dans le point
antérieur). Il existe une exception à ce principe : les paquets IKE ne sont jamais soumis à IPsec
par un ajout d'une règle précisant de ne pas utiliser IPsec dans ce cas. Cela permet de casser le
problème de l'œuf ou de la poule (pour mettre en place IPsec, on ne peut pas utiliser IPsec). A
noter qu'IKE effectue ses échanges au-dessus du niveau transport (UDP, port 500, en général).
Cela permet bien de découpler la négociation IPsec des fonctionnalités d'IPsec.

❖ Les phases d’IKE

IKEv2 se décompose en deux phases pour négocier les SA:

12
 Sécurité des réseaux : MPLS/IPSEC

La première phase permet de vérifier l'identité des entités en présence. On choisit les algorithmes
de cryptographie utilisés pour les futures négociations. Á la fin de cette phase, chaque entité doit
disposer d'une clé de chiffrement, d'une clé d'authentification et d'un secret partagé qui servira de
"graine" dans la phase suivante (on produit une clé en fonction de valeurs déjà calculées).

La deuxième phase permet de négocier les attributs plus spécifiques à IPsec (utilisation d'AH ou
d'ESP par exemple), ces échanges sont chiffrés et authentifiés grâce aux éléments décidés lors de
la première phase.

Il y a un intérêt à ce découpage. La première phase fait appel à de la cryptographie asymétrique

lente, elle est de plus utilisée qu'une seule fois pour définir les paramètres qui vont permettre de
sécuriser les échanges de phase 2. La phase 2 est en revanche appelée plusieurs fois. En effet, les
clés qui servent à chiffrer deviennent vulnérables avec le temps ou quand on s'en sert beaucoup.
Cette phase est donc régulièrement re-effectuée pour changer certaines clés de sessions.

2. Architecture IPSec
L’architecture IPSec, d’accord avec l’information présentée peut se résumer dans le schéma
suivant :

Figure 3 : Architecture IPsecv2

13
 Sécurité des réseaux : MPLS/IPSEC

3. Mode d’opération

Les normes IPsec définissent deux modes distincts d'opération IPsec : le mode Transport et le
mode Tunnel. Ces modes n'ont aucune incidence sur le codage des paquets. Les paquets sont
protégés par AH, ESP ou ces deux protocoles dans chaque mode. L'application de la stratégie des
modes est différente lorsque le paquet interne est un paquet IP.

a. Transport Mode (Mode Transport)

Fonctionnement : Le mode de transport IPSec chiffre uniquement la charge utile du paquet de

données et laisse l'en-tête IP sous sa forme d'origine. L'en-tête de paquet non chiffré permet aux
routeurs d'identifier l'adresse de destination de chaque paquet de données. Par conséquent, le
transport IPSec est utilisé dans un réseau étroit et de confiance, tel que la sécurisation d'une
connexion directe entre deux ordinateurs.

Exemple de cas d’usage : Communication entre deux hôtes finaux directement (ex : deux
ordinateurs). Idéal pour les connexions internes ou quand il n’est pas nécessaire de masquer les
adresses IP.

b. Tunnel Mode (Mode Tunnel)

Fonctionnement : Le mode tunnel IPSec est adapté au transfert des données sur les réseaux
publics, car il renforce la protection des données contre les parties non autorisées. L'ordinateur
chiffre toutes les données, notamment la charge utile et l'en-tête, qui est ensuite encapsulé dans un
nouveau paquet IP avec un nouvel en-tête IP. Seules les adresses du nouvel en-tête sont visibles sur le
réseau.

Exemple de cas d’usage : Connexions VPN site-à-site (ex : entre deux bureaux distants).
Communication entre deux passerelles ou routeurs VPN.

14
 Sécurité des réseaux : MPLS/IPSEC

III. MPLS/IPSEC

1. Complémentarité des deux technologies

MPLS (Multiprotocol Label Switching) et IPsec (Internet Protocol Security) sont deux
technologies réseau qui peuvent être utilisées ensemble de manière complémentaire, car elles
répondent à des besoins différents :

Tableau récapitulatif MPLS/IPSEC

Aspect MPLS IPsec

Fonction Optimisation du routage (accélération Sécurisation des

principale du trafic) communications (chiffrement,
authentification)
Niveau d’action Couche 2.5 (entre la couche liaison et Couche 3 (réseau - IP)
réseau)
Sécurité Pas intrinsèquement sécurisé Chiffrement et authentification
forte
Utilisation VPN d’entreprise, QoS (qualité de VPN sur Internet public ou
typique service) complément de MPLS

- MPLS fournit une connectivité privée et optimisée (réseau privé géré par un opérateur), mais ne
chiffre pas les données par défaut.

-IPsec ajoute une couche de sécurité en chiffrant les données qui transitent, même sur un réseau
MPLS.

-Dans certains cas (secteurs sensibles: finance, santé...), les entreprises exigent à la fois la
performance d'un MPLS et la sécurité d'IPsec pour respecter leurs politiques internes ou
réglementaires.

15
 Sécurité des réseaux : MPLS/IPSEC

La complémentarité entre MPLS et IPsec prend donc tout son sens dans les environnements
professionnels exigeant à la fois performance et sécurité. Par exemple, une entreprise peut utiliser
MPLS pour bénéficier de la haute disponibilité, de la qualité de service et de la rapidité d’un réseau
privé géré par un opérateur. En parallèle, elle peut ajouter une couche IPsec sur ce lien MPLS,
pour chiffrer les données sensibles échangées entre ses sites. Cela permet de ne pas avoir à choisir
entre efficacité du transport et sécurité de l’information : les deux sont assurées.

2. Défis et solutions

Défis Détails Solutions proposées

Complexité de la Gestion difficile des - Automatisation (Ansible,
configuration chemins MPLS et des Terraform)
tunnels IPSec, surtout dans - Documentation précise des
les réseaux multi-sites. configurations
- Supervision avec Zabbix, PRTG
ou Nagios
Interopérabilité limitée Certains équipements ne - Choix de fournisseurs
entre équipements supportent pas bien la compatibles (Cisco, Fortinet...)
combinaison MPLS/IPSec - Tests de compatibilité en lab
ou utilisent des - Utilisation de standards ouverts
implémentations comme IKEv2
propriétaires.
Surcharge CPU due au Le chiffrement des paquets - Activation de l’accélération
chiffrement IPSec ajoute de la latence et matérielle VPN
sollicite fortement les - Tunnels IPSec uniquement pour
ressources matérielles. les flux sensibles
- Optimisation QoS sur le réseau
MPLS
Gestion de la redondance Le basculement en cas de - Mise en place de tunnels IPSec
et haute disponibilité panne (failover) peut être redondants
lent ou mal configuré, - BGP + DPD pour la détection de
entraînant une coupure. panne
- IP SLA et suivi d’interface pour
reroutage automatique
Sécurité des tunnels et du Risques de compromission - Chiffrement fort (AES-256,
transport MPLS si les tunnels IPSec ne sont SHA-2)
pas bien sécurisés ; MPLS - Renouvellement régulier des clés
ne chiffre pas les données. - Audit de sécurité périodique
- Filtrage rigoureux des flux via
pare-feu

16
 Sécurité des réseaux : MPLS/IPSEC

Visibilité réduite du trafic Une fois chiffré, le trafic - Utilisation de sondes avant
chiffré (pour l’analyse devient difficile à analyser chiffrement
réseau) pour la détection - Outils d’analyse compatibles
d’anomalies ou de avec IPSec
menaces. - Intégration avec SIEM pour
corrélation des journaux
Coût d’implémentation et Nécessite du matériel - Planification budgétaire et ROI
de maintenance élevé performant, du personnel - Formation du personnel
qualifié et des licences - Utilisation d’outils open source
logicielles dans certains si possible (Strongswan,
cas. LibreSwan pour IPSec, etc.)

3. IMPLEMENTATION

a) Architecture

L'architecture MPLS/IPSEC peut être vue à travers trois couches principales : cœur, distribution
et accès. Chacune de ces couches a des rôles et des objectifs spécifiques :

Figure 4: Architecture MPLS/IPSEC

❖ La couche Cœur (Core Layer)

Son but est de gérer le transport rapide et efficace des données entre les différents points du réseau.

17
 Sécurité des réseaux : MPLS/IPSEC

Ses fonctionnalités sont les suivantes :

- Routage : Utilise des protocoles MPLS pour acheminer le trafic basé sur les labels.
- Haute disponibilité : Fournit une redondance et une tolérance aux pannes pour assurer la
continuité du service.
- Performance : Optimise le transfert de données pour minimiser la latence et maximiser la
bande passante.
❖ La couche de Distribution (Distribution Layer)

Son but est d’agir comme un point d'agrégation pour le trafic provenant de la couche d'accès et le
diriger vers la couche cœur.

Ses fonctionnalités sont les suivantes :

- Contrôle de trafic : Implémente des politiques de qualité de service (QoS) pour prioriser
le trafic critique.
- Sécurité : Fournit des fonctions de sécurité, telles que le filtrage et les listes de contrôle
d'accès (ACL).
- Routage inter-VLAN : Permet la communication entre différents VLANs (Virtual Local
Area Networks).
❖ La couche d'Accès (Access Layer)

Son but est de fournir la connectivité aux utilisateurs finaux et aux dispositifs réseau.

Ses fonctionnalités sont les suivantes :

- Connectivité : Connecte les dispositifs tels que les ordinateurs, les imprimantes et les
téléphones IP au réseau.
- Contrôle d'accès : Gère l'authentification et l'autorisation des utilisateurs pour accéder au
réseau.
- Distribution des VLANs : Permet la segmentation du réseau pour améliorer la gestion et
la sécurité.

18
 Sécurité des réseaux : MPLS/IPSEC

a) OUTILS ET LOGICIELS UTILISES

LOGICIELS

GNS3 (Graphic Network Simulator) qui est un simulateur graphique de réseaux qui
permet de créer des topologies de réseaux complexes et d’en établir des simulations. C’est
un excellent outil pour l’administration des réseaux CISCO.
VMware Workstation qui est un logiciel de virtualisation. Il est disponible en tant
qu’hôte sur les systèmes d’exploitation. Il va nous servir pour la création des machines
virtuelles.
Whireshark, qui est un logiciel d’analyse de protocole, utilisé dans le dépannage et
l’analyse des réseaux informatiques, le développement de protocoles, l’éducation et la
rétro-ingénierie mais aussi le piratage.
Edraw Max qui est un logiciel de création de diagrammes techniques d’entreprise 2D et
3D. il aide à créer des diagrammes de réseau, des organigrammes, des cartes mentales,
plan d’étage, graphiques commerciaux etc.

OUTILS

Câbles droit et croisés Ethernet pour interconnecter les équipements réseau ;

Routeur Cisco 7200 car il supporte le MPLS, VPN et la QoS ;
Serveur VMware Workstation ;

b) CONFIGURATION

Pour mener à bien le déploiement de notre réseau sécurisée MPLS/IPSEC, nous allons procéder à
la configuration de celui-ci suivant les étapes :

❖ Mise en place de l’architecture réseau VPN MPLS ;

❖ Mise en place du trafic engineering ;
❖ La sécurité avec la configuration IPSEC sur les différents PE afin de sécuriser l’échange
des paquets

1. Plan d’adressage

19
 Sécurité des réseaux : MPLS/IPSEC

Le plan d’adressage de notre architecture backbone MPLS est résumé dans le tableau ci-
dessous :

Routeurs Interfaces Adresses IP Masque Loopback

PE1 G1/0 192.168.17.2 255.255.255.0 1.1.1.1.1
G2/0 192.168.12.10 255.255.255.0
G3/0 192.168.18.2 255.255.255.0
PE6 G1/0 192.168.56.9 255.255.255.0 6.6.6.6.6
G2/0 192.168.106.2 255.255.255.0
G3/0 192.168.126.4 255.255.255.0
CE G1/0 192.168.18.1 255.255.255.0 8.8.8.8.8
YAOUNDE
CE G1/0 192.168.17.1 255.255.255.0 7.7.7.7
DOUALA
P2 G1/0 192.168.23.5 255.255.255.0 2.2.2.2
G2/0 192.168.24.2 255.255.255.0
G3/0 192.168.12.11 255.255.255.0
P3 G1/0 192.168.23.4 255.255.255.0 3.3.3.3
G2/0 192.168.35.6 255.255.255.0

P4 G1/0 192.168.35.7 255.255.255.0 4.4.4.4

G2/0 192.168.45.5 255.255.255.0
G3/0 192.168.56.8 255.255.255.0
P5 G1/0 192.168.45.4 255.255.255.0 5.5.5.5
G2/0 192.168.24.3 255.255.255.0
DOUALA G1/0 192.168.106.3 255.255.255.0 9.9.9.9
BRANCH
YAOUNDE G1/0 192.168.126.5 255.255.255.0 10.10.10.10
BRANCH

2. Configuration des interfaces et adresses loopback des routeurs

20
 Sécurité des réseaux : MPLS/IPSEC

Ici, nous procédons à l’attribution du hostname des routeurs, des adresses IP des différentes
interfaces de chaque routeur, le masque réseau ainsi que les adresses loopback de chaque routeur
de notre architecture MPLS. La figure ci-dessous illustre une configuration faite sur le routeur
DOUALA(CE)

Figure 5: configuration d'une interface loopback

3. Mise en place du protocole intra-nuages (ospf)

L’activation du routage classique au niveau du réseau d’opérateur, c’est-à-dire entre les
routeurs PE et les routeurs P doit se faire ici. Nous activons le OSPF dans le nuage pour
garantir la communication entre Pet PE. Ensuite, nous annonçons dans le nuage des réseaux
directement connectés formant ainsi les relations de voisinage. L’OSPF est un protocole de
routage à état de liens qui supporte le trafic engineering. La configuration d’OSPF doit être
effectuée sur tous les routeurs réseaux MPLS.

21
 Sécurité des réseaux : MPLS/IPSEC

Figure 6:visualisation des routes sur P5

4. Mise en place du protocole de découverte des voisins MPLS(LDP)

L’activation du MPLS diffère suivant la position du routeur dans le backbone. Dans les routeurs
P, nous avons activé MPLS sur toutes les interfaces, alors que dans les routeurs PE, l’activation
s’est faite uniquement sur les interfaces les reliant directement aux routeurs P. nous utilisons à ce
niveau le protocole LDP car il est le protocole de découverte de voisin MPLS par défaut, c’est lui
qui nous permettra de distribuer le label entre les différents routeurs P et PE. Nous pouvons ainsi
vérifier nos configurations les commandes « show mpls interfaces » ; « do show mpls ip
neighbor » ; « show mpls forwading-table ».

Figure 7:activation ospf

5. Activation du protocole MP-BGP

BGP est un protocole de routage qui permet de certifier la communication entre deux
systèmes autonomes sur un réseau partagé par tous les clients. Il montre le voisinage en se
basant sur les interfaces loopback. Il diminue les charges sur les interfaces physiques.

22
 Sécurité des réseaux : MPLS/IPSEC

Figure 8:mise en place du protocole MP-BGP

6. Mise en place des vrfs et des interfaces

La notion de VRF consiste à créer à partir d’un routeur physique des sous routeurs logiques.
Chaque instance VRF possède sa propre table de routage et ne peut pas discuter avec une autre
instance. Pour cela, un protocole de routage tel que MP-BGP est nécessaire pour les
interconnecter. Au niveau des PE, nous allons créer des tables de routage virtuelles (VRF)
pour chaque client. Pour chaque configuration de VRF, nous allons désigner le RD (Route
Distinguisher) des futures routes de cette VRF ainsi que le RT (Route Target) dans les deux
sens (import et export). L’installation des VRF est importante car il nous permettra d’éviter
grâce à son installation le problème d’adresse IP dupliqué mais aussi le mélange des routes.

23
 Sécurité des réseaux : MPLS/IPSEC

Figure 9: con figuration des vrf

7. Redistribution entre BGP 1 et OSPF 1000 (gestion des préfixes)

Elle se fait de deux manières, en configurant les routeurs PE de telle sorte que la
redistribution des routes soit effective mutuellement dans les deux sens. La redistribution se
fera comme suit :

Redistribution BGP-OSPF : A ce niveau, on redistribue les routes prises par OSPF dans
BGP ;

Redistribution OSPF- BGP : Ici, on effectue la redistribution à l’inverse donc la

redistribution des routes prises de BGP à OSPF.

Figure 10: redistribution des routes

8. Configuration Du Protocoles Ipsec

Phase1 :
crypto isakmp policy 10
encr aes 256
hash sha

24
 Sécurité des réseaux : MPLS/IPSEC

authentication pre-share
group 2
lifetime 86400

Figure 11: configuration IPSEC

PHASE2 :
ip access-list extended VPN-TRAFFIC
permit ip 10.1.1.0 0.0.0.255 10.2.1.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
permit ip 10.1.2.0 0.0.0.255 10.2.1.0 0.0.0.255
permit ip 10.1.2.0 0.0.0.255 10.2.2.0 0.0.0.255
crypto ipsec transform-set TS-VPN esp-aes 256 esp-sha-hmac
mode tunnel
crypto map CMAP 10 ipsec-isakmp
set peer 192.168.12.2
set transform-set TS-VPN
match address VPN-TRAFFIC
interface GigabitEthernet0/0
ip address 192.168.12.1 255.255.255.0
crypto map CMAP

25
 Sécurité des réseaux : MPLS/IPSEC

c) TEST ET RESULTATS

✓ Connectivité entre les routeurs PE

Nous avons fait un ping à partir des adresses loopback des routeurs PE. Ce ping
permet de simplifier le diagnostic car s’il y’a une erreur elle devra être corrigé. Il
montre et assure également que les routeurs PE peuvent communiquer sans aucun
problème.

Figure 12:ping entre les PE

✓ Visualisation de la table de MPLS LDP

A ce niveau, nous allons effectuer des tests dont le premier permet de voir la base
des informations de labels qui y sont assignés, les interfaces de sortie etc. des routeurs
constitués dynamiquement grâce au protocole LDP effectué à la commande « show
mpls forwading-table » afin de vérifier sur chaque routeur la table de MPLS.

Le second test permet de savoir ou connaitre les voisins du routeur. Il renseigne sur
les identifiants avec les adresses IP y compris les interfaces via lesquelles ils sont reliés, le
nombre de paquets qui sont envoyés et reçus. LDP est le protocole responsable sur
l’affectation des labels.

26
 Sécurité des réseaux : MPLS/IPSEC

Figure 13: table mpls ldp

✓ Interconnexion des sites clients

Nous effectuons un ping d’un site à un autre à partir de son adresse loopback pour
s’assurer que les sites peuvent communiquer, échanger et partager les données. Le ping
entre Ydé et Dla montre que tous les paquets envoyés sont arrivés à destination avec
soit un taux de 100%. Cela signifie en d’autres termes qu’il y’a bien connectivité entre
les sites.

Figure 14: interconnectivité entre les sites

27
 Sécurité des réseaux : MPLS/IPSEC

CONCLUSION

L’intégration de MPLS et IPsec offre une combinaison puissante pour renforcer la sécurité des
réseaux. MPLS permet une gestion efficace du trafic et une qualité de service améliorée tandis
qu’IPsec assure une protection robuste des données en transit grâce au chiffrement et à
l’authentification. Ensemble, ces technologies permettent de créer des réseaux privés virtuels
sécurisés, adaptés aux besoins des entreprises modernes. Cependant, il est essentiel de faire une
mise à jour régulière des protocoles, de surveiller continuellement le réseau afin de maintenir un
environnement sécurisé. En intégrant MPLS et IPsec dans une stratégie de sécurité globale, les
organisations peuvent protéger efficacement leurs données tout en optimisant leur performance
réseau.

28
 Sécurité des réseaux : MPLS/IPSEC

Table des matières

SOMMAIRE ................................................................................................................................... 2
LISTE DES FIGURES ................................................................................................................... 3
INTRODUCTION .......................................................................................................................... 4
I. MPLS ...................................................................................................................................... 5
1) Principe de base de MPLS .................................................................................................. 5
2) Architecture MPLS ............................................................................................................. 5
3) Avantages et inconvénients du MPLS ................................................................................ 7
a) Avantages de MPLS ....................................................................................................... 7
b) Inconvenients de MPLS .................................................................................................. 8
4) Fonctionnement du MPLS .................................................................................................. 9
II. IPSEC ...................................................................................................................................... 9
1. Principe de fonctionnement d’IPSec ................................................................................. 10
a) Les bases de données : SPD, SADB, PAD ................................................................... 11
b) Le trafic entrant et sortant ............................................................................................. 11
c) La gestion de clés : IKEv2 ............................................................................................ 12
d) Le principe du protocole IKE ....................................................................................... 12
2. Architecture IPSec ............................................................................................................ 13
3. Mode d’opération .............................................................................................................. 14
a. Transport Mode (Mode Transport) ............................................................................... 14
b. Tunnel Mode (Mode Tunnel)........................................................................................ 14
III. MPLS/IPSEC .................................................................................................................... 15
1. Complémentarité des deux technologies .......................................................................... 15
2. Défis et solutions............................................................................................................... 16
3. IMPLEMENTATION ....................................................................................................... 17
a) Architecture................................................................................................................... 17
a) OUTILS ET LOGICIELS UTILISES .......................................................................... 19
b) CONFIGURATION ...................................................................................................... 19
c) TEST ET RESULTATS ............................................................................................... 26
CONCLUSION ............................................................................................................................. 28

29