DMVPN AVEC IPSEC

I- PRESENTATION
Le DMVPN (Dynamic Multipoint Virtual Private Network) a été introduit par Cisco
Systems pour répondre aux besoins croissants des entreprises en matière de connectivité entre
leurs sites distants. Avant l'avènement du DMVPN, les entreprises avaient recours à des
solutions de connectivité basées sur des lignes louées, ce qui s'avérait coûteux et peu évolutif.
Le DMVPN a révolutionné ce domaine en permettant aux entreprises de tirer parti des réseaux
publics, tels qu'Internet, pour établir des connexions sécurisées entre leurs sites distants, offrant
ainsi une alternative rentable aux solutions traditionnelles.

Au fil du temps, le DMVPN a évolué pour offrir une solution de connectivité de plus en
plus flexible et évolutive. La phase 2 du DMVPN a introduit l'utilisation du protocole NHRP
(Next Hop Resolution Protocol), permettant ainsi la création de tunnels dynamiques. Cette
évolution a considérablement simplifié la gestion et l'expansion du réseau, offrant aux
entreprises la possibilité d'ajouter ou de supprimer des sites distants sans avoir à effectuer de
reconfigurations majeures. De plus, le DMVPN offre des fonctionnalités avancées telles que
la prise en charge du multicast, ce qui le rend adapté à un large éventail de scénarios
d'implémentation.

En résumé, l'évolution du DMVPN a permis de le positionner comme une solution de

connectivité rentable, flexible et sécurisée, offrant aux entreprises la possibilité de connecter
un grand nombre de sites distants à leur infrastructure centrale de manière efficace et évolutive.

II- CONCEPTS
Le DMVPN repose sur plusieurs concepts clés qui en font une solution de connectivité
puissante et flexible. Voici les principaux concepts associés au DMVPN :

➢ Hub-and-Spoke Topology : Le DMVPN utilise une topologie en étoile (hub-

andspoke) où un site central (hub) est connecté à plusieurs sites distants (spokes).
Cette architecture permet une connectivité efficace entre les sites distants et le site
central.
➢ Tunnels Dynamiques : Grâce à l'utilisation du protocole NHRP (Next Hop
Resolution Protocol), le DMVPN permet la création de tunnels dynamiques entre
 DMVPN AVEC IPSEC

les sites distants et le site central. Cela simplifie la gestion des connexions et permet
une évolutivité aisée du réseau.
➢ Protocole de Routage Dynamique : Le DMVPN est conçu pour fonctionner avec
des protocoles de routage dynamique tels que EIGRP (Enhanced Interior Gateway
Routing Protocol) ou OSPF (Open Shortest Path First). Cela permet une
convergence rapide du réseau et une utilisation efficace des chemins de
communication.
➢ Chiffrement et Sécurité : Le DMVPN intègre des mécanismes de chiffrement et
de sécurité pour garantir la confidentialité des données transitant sur les
connexions. Il utilise des technologies telles que IPsec (Internet Protocol Security)
pour assurer la sécurité des communications.
➢ Évolutivité : L'un des principaux avantages du DMVPN est son évolutivité. Il
permet l'ajout et la suppression aisés de sites distants sans impact majeur sur la
configuration globale du réseau.

En combinant ces concepts, le DMVPN offre une solution de connectivité souple, sécurisée
et évolutive, adaptée aux besoins des entreprises cherchant à interconnecter efficacement leurs
sites distants à leur infrastructure centrale.

III- MODELES DE DEPLOIEMENT ET TOPOLOGIE

1- Modèles de déploiement
Le déploiement du DMVPN peut se faire selon plusieurs modèles en fonction des besoins
spécifiques de l'entreprise. Voici les principaux modèles de déploiement du DMVPN :

A- Mode de Base (Spoke-to-Hub)

Dans le modèle de déploiement Mode de Base (Spoke-to-Hub) du DMVPN, plusieurs sites

distants (spokes) sont connectés à un site central (hub). Ce mode est caractérisé par les éléments
suivants :
 DMVPN AVEC IPSEC

➢ Connectivité Centralisée : Le site central (hub) sert de point central pour la

connectivité, permettant aux sites distants d'accéder aux ressources et aux services
hébergés au niveau central.
➢ Tunnels Dynamiques : Les tunnels sont établis de manière dynamique entre chaque
site distant et le site central, offrant une connectivité directe et efficace. Cela permet
d'optimiser le trafic et de simplifier la gestion des connexions.
➢ Simplicité de Configuration : Ce modèle offre une configuration relativement simple,
car la connectivité est principalement orientée vers le site central. Cela facilite la
gestion et la maintenance du réseau.
➢ Utilisation de Protocoles de Routage Dynamique : Les protocoles de routage
dynamique tels que EIGRP (Enhanced Interior Gateway Routing Protocol) ou OSPF
(Open Shortest Path First) peuvent être utilisés pour gérer la connectivité entre le site
central et les sites distants.
➢ Gestion Centralisée : En centralisant la connectivité, le modèle Spoke-to-Hub facilite
la supervision et la gestion globale du réseau, offrant un contrôle accru sur le trafic et
les flux de données.

Ce modèle de déploiement est couramment utilisé pour créer des réseaux DMVPN offrant
une connectivité efficace et sécurisée entre un site central et plusieurs sites distants. Il offre
une solution pratique pour les entreprises cherchant à consolider leur connectivité au sein d'une
architecture centralisée tout en offrant une haute disponibilité et une gestion simplifiée.

B- Mode de Secours (Spoke-to-Spoke)

Dans le modèle de déploiement Mode de Secours (Spoke-to-Spoke), les sites distants sont
configurés pour communiquer directement entre eux, contournant le site central (hub) en cas
de défaillance de la connexion au hub. Voici les caractéristiques clés de ce modèle :
➢ Connectivité Directe entre Sites Distants : Les sites distants sont capables de
communiquer directement entre eux via des tunnels cryptés, offrant une redondance et
une résilience accrues en cas de panne de la connexion au site central.
➢ Redondance et Résilience : En éliminant la dépendance exclusive à l'égard du site
central, le modèle Mode de Secours offre une redondance significative, assurant la
continuité des opérations même en cas de défaillance du hub.
 DMVPN AVEC IPSEC

➢ Amélioration des Performances : En permettant aux sites distants de communiquer

directement entre eux, ce modèle peut contribuer à une meilleure efficacité des
échanges de données et à une réduction de la latence, en particulier pour le trafic entre
sites distants.
➢ Flexibilité de Configuration : Ce modèle peut être configuré de manière à activer
automatiquement la communication directe entre les sites distants en cas de défaillance
de la connexion au site central, offrant ainsi une solution de secours transparente.
➢ Utilisation de Protocoles de Routage Dynamique : Les protocoles de routage
dynamique sont souvent utilisés pour gérer la connectivité entre les sites distants,
permettant une adaptation dynamique aux changements dans la topologie du réseau.

Le modèle Mode de Secours (Spoke-to-Spoke) est particulièrement utile pour renforcer la

résilience et la redondance du réseau, offrant une alternative fiable en cas de défaillance du site
central. Il peut être une solution efficace pour les entreprises cherchant à garantir une
connectivité continue entre leurs sites distants, même en cas de perturbation du hub central.

C- Mode Partagé (Spoke-to-Spoke avec NHRP Redistribué)

Le modèle Mode Partagé (Spoke-to-Spoke avec NHRP Redistribué) du DMVPN est une
variante qui combine des éléments des modes de déploiement Spoke-to-Spoke et Spoke-toHub.
Voici une présentation des caractéristiques clés de ce modèle :

➢ Connectivité Directe et Centralisée : Dans ce modèle, les sites distants sont capables
de communiquer directement entre eux (Spoke-to-Spoke), tout en conservant la
connectivité avec le site central (Spoke-to-Hub). Cela offre la flexibilité de choisir la
meilleure voie de communication en fonction des besoins spécifiques.
➢ Utilisation de NHRP Redistribué : Le protocole NHRP (Next Hop Resolution
Protocol) est utilisé pour la résolution dynamique des adresses IP des sites distants,
permettant ainsi l'établissement de tunnels directs entre les sites distants tout en conservant
une gestion centralisée des adresses IP.
➢ Redondance et Résilience : En permettant aux sites distants de communiquer
directement entre eux, le modèle Mode Partagé offre une redondance et une résilience
accrues, tout en conservant les avantages de la connectivité centralisée au site central.
 DMVPN AVEC IPSEC

➢ Flexibilité et Évolutivité : Ce modèle offre une grande flexibilité dans la gestion des
flux de données entre les sites distants, tout en permettant une évolutivité aisée pour
prendre en charge de nouveaux sites distants sans compromettre la connectivité
existante.
➢ Simplicité de Gestion : Grâce à la combinaison de la connectivité directe entre sites
distants et de la connectivité centralisée au site central, ce modèle offre une gestion
simplifiée et une supervision efficace du trafic et des flux de données.

Le modèle Mode Partagé (Spoke-to-Spoke avec NHRP Redistribué) constitue une solution
polyvalente qui combine le meilleur des deux mondes, offrant à la fois la connectivité directe
entre sites distants et la connectivité centralisée au site central. Il peut être bénéfique pour les
entreprises cherchant à optimiser la redondance, la résilience et la flexibilité de leur réseau
DMVPN.

D- Mode de Hub Multisite

Le modèle Mode de Hub Multisite dans le cadre du DMVPN est une configuration qui
permet à plusieurs sites centraux (hubs) de fonctionner de manière distribuée pour gérer la
connectivité avec les sites distants (spokes). Voici une présentation des caractéristiques clés de
ce modèle :

➢ Gestion Distribuée : Dans ce modèle, plusieurs sites centraux agissent comme des
hubs distribués, chacun étant capable de gérer la connectivité avec les sites distants.
Cela permet une répartition de la charge et une redondance accrue, améliorant ainsi
la résilience du réseau.
➢ Connectivité Flexible : Les sites distants peuvent être connectés à plusieurs hubs,
offrant ainsi une connectivité flexible et une meilleure tolérance aux pannes. En cas
de défaillance d'un hub, les sites distants peuvent basculer vers un autre hub pour
maintenir la connectivité.
➢ Amélioration des Performances : En répartissant la charge entre plusieurs hubs,
le modèle Mode de Hub Multisite peut contribuer à améliorer les performances en
évitant la congestion et en optimisant les chemins de communication.
➢ Redondance et Tolérance aux Pannes : La capacité à basculer entre plusieurs
hubs en cas de panne ou de défaillance d'un hub contribue à renforcer la redondance
 DMVPN AVEC IPSEC

et la tolérance aux pannes du réseau, assurant ainsi une connectivité continue pour
les sites distants.
➢ Simplicité de Gestion : Bien que plusieurs hubs soient impliqués, ce modèle peut
offrir une gestion centralisée efficace, permettant la supervision et la configuration
des tunnels VPN de manière cohérente à travers l'ensemble du réseau.

Le modèle Mode de Hub Multisite est particulièrement utile dans les environnements où
la redondance, la résilience et la distribution de la charge sont des priorités. Il permet de créer
un réseau DMVPN robuste et flexible, capable de s'adapter aux changements de la topologie
réseau et de maintenir des performances élevées même en cas de pannes.

IV- AVANTAGES ET INCONVENIENTS

1- Avantages

Le DMVPN (Dynamic Multipoint Virtual Private Network) offre plusieurs avantages

significatifs, ce qui en fait une solution populaire pour les réseaux d'entreprise. Voici
quelquesuns de ses principaux avantages :

▪ Scalabilité : Le DMVPN est hautement évolutif, ce qui le rend adapté aux réseaux en
croissance. Il peut facilement s'adapter à l'ajout de nouveaux sites distants sans
nécessiter de modifications majeures de l'infrastructure existante.
▪ Flexibilité de la Connectivité : Il offre une connectivité flexible en permettant aux
sites distants de communiquer directement entre eux (Spoke-to-Spoke) ou via un hub
central (Spoke-to-Hub), selon les besoins spécifiques du réseau.
▪ Réduction du Coût de la Bande Passante : Le DMVPN utilise des tunnels de type
GRE (Generic Routing Encapsulation), ce qui permet de réduire les coûts en optimisant
l'utilisation de la bande passante et en minimisant le trafic de routage.
▪ Simplicité de Gestion : Il simplifie la gestion des réseaux en permettant une
configuration centralisée des tunnels VPN. Cela facilite la supervision, la maintenance
et la gestion des sites distants depuis un emplacement central.
 DMVPN AVEC IPSEC

▪ Tolérance aux Pannes : Le DMVPN offre une tolérance aux pannes élevée en
permettant la redondance des connexions et la commutation automatique vers des
chemins de secours en cas de défaillance d'une connexion principale.
▪ Sécurité Renforcée : Il assure un niveau élevé de sécurité en offrant la possibilité de
crypter les communications via des tunnels VPN, ce qui protège les données sensibles
lors de leur transit sur des réseaux publics.
▪ Optimisation du Trafic : Il permet d'optimiser le trafic en offrant la possibilité
d'utiliser des protocoles de routage dynamique, ce qui améliore l'efficacité du réseau
en évitant la surcharge des liens et en optimisant les chemins de communication.
▪ Support de la Voix et de la Vidéo : Le DMVPN est capable de prendre en charge
efficacement les applications sensibles à la latence telles que la voix sur IP (VoIP) et la
vidéoconférence, ce qui en fait une solution polyvalente pour les besoins de
communication d'entreprise.

En résumé, le DMVPN présente un ensemble complet d'avantages, notamment en termes

de flexibilité, évolutivité, sécurité et gestion, ce qui en fait une solution attrayante pour les
entreprises cherchant à connecter de manière efficace et sécurisée leurs sites distants à leur
réseau central.

2- Inconvénients
Malgré ses nombreux avantages, le DMVPN (Dynamic Multipoint Virtual Private
Network) peut présenter certains inconvénients, notamment :

❖ Complexité de Configuration Initiale : La mise en place initiale d'un réseau DMVPN

peut être complexe, en particulier pour les administrateurs réseau moins expérimentés.
La configuration des tunnels VPN, des protocoles de routage et des paramètres de
sécurité peut nécessiter une expertise technique approfondie.
❖ Surcharge Potentielle des Ressources : Dans des environnements à grande échelle, la
surcharge des ressources du routeur central (hub) due à la gestion des connexions
DMVPN et à la résolution des adresses NHRP peut se produire. Cela nécessite une
conception soignée de l'infrastructure pour éviter ce problème.
❖ Gestion de la Sécurité : Bien que le DMVPN offre des fonctionnalités de sécurité
telles que le chiffrement des données, la gestion des clés et la protection des
 DMVPN AVEC IPSEC

communications, une mauvaise configuration ou une gestion inadéquate de la sécurité

peut entraîner des vulnérabilités potentielles.
❖ Surveillance et Dépannage : Le dépannage du DMVPN peut être plus complexe que
pour les VPN traditionnels, en raison de la nature dynamique des connexions et de la
configuration des tunnels. La surveillance continue est nécessaire pour détecter les
problèmes potentiels.
❖ Dépendance aux Fournisseurs de Services : Dans le cas de la mise en place d'un
DMVPN via des fournisseurs de services, il peut exister une certaine dépendance à
l'égard de ces tiers pour maintenir la connectivité et la qualité du réseau.
❖ Latence Potentielle : L'ajout de tunnels VPN et de sauts supplémentaires peut
potentiellement introduire une latence supplémentaire dans le réseau, bien que cette
latence puisse être minimisée avec une conception appropriée du réseau.
❖ Coûts Associés : Bien que le DMVPN puisse réduire les coûts de bande passante, la
mise en place initiale et la maintenance continue peuvent entraîner des coûts
supplémentaires, en particulier pour les entreprises avec des besoins complexes.

Il est important de noter que la plupart de ces inconvénients peuvent être gérés efficacement
avec une planification, une conception et une gestion appropriées du réseau. En tenant compte
de ces inconvénients potentiels, les entreprises peuvent mettre en place des solutions DMVPN
robustes et fiables pour répondre à leurs besoins de connectivité sécurisée entre les sites
distants et le réseau central.

PRESENTATION GENERALE DES 3 TYPES DE DMVPN

Le DMVPN (Dynamic Multipoint Virtual Private Network) est un type de réseau privé virtuel
(VPN) qui permet la création d'un réseau étendu et sécurisé entre plusieurs sites. Il existe trois
types principaux de DMVPN :

1. DMVPN Phase 1 hub to spoke :

Avantages :

- Facile à configurer et à déployer.

- Peut être utilisé avec des protocoles de routage dynamique.

Inconvénients :

- Nécessite un serveur NHRP (Next Hop Resolution Protocol) central pour la résolution
d'adresses.

- Peut être limité en termes de scalabilité.

 DMVPN AVEC IPSEC

1. DMVPN Phase 2 spoke to spoke relié au hub :

Avantages :

- Améliore la scalabilité par rapport à la phase 1.

- Réduit le trafic NHRP.

Inconvénients :

- Plus complexe à configurer que la phase 1.

- Nécessite une configuration de routage plus élaborée.

1. DMVPN Phase 3 spoke to spoke sans passer par le hub :

Avantages :

- Offre une scalabilité et une flexibilité accrues.

- Permet une meilleure intégration avec les protocoles de routage dynamique.

Inconvénients :

- La configuration la plus complexe des trois phases.

- Nécessite une planification et une conception minutieuses.

Le type de DMVPN le plus couramment utilisé est le DMVPN Phase 3, en raison de sa

scalabilité et de sa flexibilité accrue. C’est cd type que nous souhaitons implémenter
 DMVPN AVEC IPSEC

I- PRESENTATION DES OUTILS

1- Environnement de l’implémentation

AFEC est une grande société disposant de plusieurs Annexes dans les régions de Foumba,
Douala et Yaoundé. AFEC centre étant à Yaoundé, l’on veut établir une communication
sécurisée entre celui-ci et les autres sites situés à Foumban et Douala. L’objectif ici est de
raccorder AFEC Yaoundéaux autres sites en utilisant DMVPN sécurisé avec IPsec.

2- Prérequis
✓ IOS 12.3 et plus (Utilisons le routeur C7200 pour avoir la fonctionnalité DMVPN)
✓ 48 Mo de RAM
✓ 12 Mo de flash