VPN ou Virtual Private Network @ =... oso0o0co5co reer a ern Protocol Secry L: secure Sockets VPN GERE PAR UN FOURNISSEUR RESEAU Les VPN (Virtual Private Network ou Réseau Privé Virtuel en francais) qui sont gérés par un fournisseur de service internet peuvent offrir soit une connectivité de couche 2, soit une connectivité de couche 3. Operateur Réseau Un VPN de couche 2 est utile pour les clie et qui demandent une cannectivité de coi ure de couche 3 Dans ce cas, c'est le client qui doi Tensemble de son routa; Lavantage q onctionnent qui ll a comparé & un VPN de couche 3, c'est que certaines applications ne dans le méme réseau de couche 2. les noouds réseau so Sion S de couche 2 est vu place du cété client, alors on comme un gros switch virtuel. Dans un VPN MPLS de couche 3, un sous-réseau IP bien distinct est utilisé sur chacun des sites client Ici, c'est lopérateur qui prendre en charge Ie routage. Dans co type de Réseau crypté, uno relation est établio entre le routeur CE, et le routour PE. Le CE est cété client et PE cote fournisseur. Sion se place du c0té client, alors on peut imaginer que le réseau privé virtuel MPLS de couche Zest vu comme un grand routeur virtuel. VPN MPLS de couche 2 => Switch Virtuel Router CE: ustomer dge Router PE: rovider dge VPN MPLS de couche 3 => Routeur Virtue! VPN GERES PAR L'ENTREPRISE On va maintenant voir le "réseau crypté" géré par I'entreprise en elle-méme. Cest un moyen sécurisé, fiable et rentable pour relier le sieg social, les sites distants et les salaries qui travaillent de chez eux. Ventreprise VPN Site a Site [VPN Accés a distance (On peut voir un réseau privé virtuel comme un pont entre deux réseaux privés, et ce pont est construit sur un réseat dic comme internet Comme on peut le voir sur la représontation du Réseau Privé Virtuel géré par entreprise, il permet aux périphériques du siége social 2 droite denvoyer et de recevoir des données avec ses succursales 8 gauche, comme silles étaient directement connectées. Un Réseau Privé Virtuel est un réseau privé virtuel construit dans une infrastructure de réseau public, comme internet. lls offrent une alternative peu cotiteuse aux connexions WAN privées, | est trés utile dans les entreprises avec lesquelles les salariés sont trés mobiles 2t au'ils doivent se connecter au réseau de l'ontrepriso de n'importe ou. existe deux types de réseaux crypté: = LeVPN 1o VEN diaceas 8 distance. Un Réseau Privé Virtuel de site a site est une simple extension d'un réseau WAN. Les utilisateurs transmettent et réceptionnent des données via un équipement de réseau virtuel privé, lequel est chargé do encapsulation et du chiffroment des données. Ces informations chiffrées sont ensuite acheminges a travers un tunnel sécurisé sur Internet, Elles atieignent finalement un autre site de réseau virtuel privé, assurant une conn points exion sécurisée entre les deux tle réseau virtuel d'accés a distance est plutot utilisé pour les personnes qui travaillent de chez eux. En general, il utilise un client réseau prive virtuel, comme Ie logiciel Cisco AnyConnect Nous allons maintenant detailler les avantages du réseau privé virtual + Tout d'abord, il est trés économique, car il permet aux entreprises d'utiliser In net, pour connecter des sites et utilisateurs distants & entreprise principale évite d'utiliser des liens WAN dédiés qui codtent ucoup plus ch + Un autre avantage est son extensibilité. Comme le réseau privé virtue! utilise internet, il est 11s facile d'ajouter de nouveaux utilisateurs, et ce, sans modifier infrastructure. + la aussi une grande Compatibilité : car niimporte quels utilisateurs qui disposent diintemnet chez eux peuvent accéder a leur réseau dontroprise. le dernier point est sa Sécurité Aujourd’hui, les Virtual Private Network fournissent un haut niveau de sécurité, en utilisant des protacoles de eryptage et d'authentification pour p! autorisé Lager les données de tout accés non Les pr -oles les plus utilises pour cette secu 6 sont IPsec et le SSL Nous allons maintenant voir les différentes options de sécurité du VPN de site a site. = On ale tunnel IPsec qui permet de fournir quatre services de sécurité + Ona de la Confidentialité, c a-dire que lexpéditeur peut chiffrer les paquets avant de les ransmettre sur le réseau, * Comme autre sécurité, on a de I'intégrité des données, cest-8-dire que le récepteur peut vérifier que les données ont 6 transmises sans avoir 6t6 modifiées de quelque maniére que ce soit. = On ade PAuthen une Protection antireplay : Ce demier permet de verifier que chaque paquet est unique et n’a pas été dupliqué. Si des p: arrivent en retard ou sant en double, alors ils sere matiquement supprimes, Une autre option de VPN site To site est le VPN GRE sur IPsec. Bien que IPsec fournisse une méthode sécurisée pour le tunnelin: ila tout de méme certaines limites. des données sur un réseau IP, Par exemple, il ne prend pas en charge le multicast et les broadcast, ce qui empeche cutiliser certains protocoles comme ceux du routage. Cest pourquoi le protocale GRE a été créé. Avec lui, lest possible dexécuter des protocoles de routage sur I'IPSec. on va terminer le cours, avec un protocole beaucoup moins connu qui est le DMVPN de cisco. Crest un réseau virtuel dynamique multipoint qui permet de faire des tunnels IPsec et CRE directement entre les routeurs. II supporte les protocoles de routage OSPF, EIGRP et BGP. conclusion, le dépioiement d'un réseau crypté geré par une entreprise ou un fournisseur de services offre une soluti n flexible et économique pour sécuriser |e communication entre differents sites ot utilisateurs distants. Ces réseaux utilisant Internet pourr créer un pont sécurisé entre le siege social et les filiales, ou pour permettre aux employés en télétravail diaccéder au réseau dientreprise comme sills étaient physiquement présents. La sécurité renforeée ost uno caractéristique cls, avec l'utilisation de protocoles de cryptage avancés pour assurer que les données transmises restent confidentielles et intégres. L'extensibilité et la compatibilité avec linfrastructure Internet existante rendent ces solutions i les pour les entreprises en croissance, permettant une intégration facile de nouveaux sites ou utilisateurs sans investissements lourds inalement, adoption d'un réseau privé virtuel souligne Importance d'une connectivité fiable et sécurisée dans le monde numérique d'aujourc'hui. Que ce soit pour le VPN site & site ou le VPN diacces a distance, les entreprises peuvent béneficier d'une connectivité améliorée tout en protégeant leurs données critiques contre les menaces externes. Les technologies comme IPsec et SSL jouent un réle crucial dans la protection des informations, foisant du réseau virtuel privé une pierre angulaire de la sécurité informatique moderneVPN gérés par un fournisseur et par I'entreprise Les VPN qui sont gérés par un fournisseur de service, peuvent offrir soit une connectivité couche 2 ou une connectivité de couche 3. Réseaux privés virtuels gérés par un fournisseur BR2 BR3 BR2 BR3 Un réseau privé virtue! de couche 2 est utile pour les clients qui exécutent leur propre infrastructure de couche 3 et qui nécessitent une connectivité de couche 2 aupras du fournisseur de services. Dans ce cas, le client gére l'ensemble de son routage. L'avantage quill 2, comparer 8 un réseau privé virtuel de couche 3, c'est que certaines applications ne fonctionnent que si les nceuds réseau sont dans le meme réseau de couche 2. Sion se place du cote client alors on peut imaginer que le VPN MPLS de couche 2. du fournisseur de service, est vue comme un gros Switch virtuel, Dans un VPN MPLS de couche 3, un sous-réseau IP distinct est utilisé sur chaque site client. Si on déploie un protocole de routage sur ce VPN, alors le fournissour de service doit prendre en charge léchange des routes. Une le routeur PE, pour Provider Edge, Lo CE est coté client et PE coté fournisseur. Dans le réseau du ation adjacente est établie entre le routeur CE, pour Customer Edge, et fournisseur de services. il existe de nombreux rouleurs ps (routeurs de base de fournisseur de Le réseau privé virtuel de couche 3 est approprié pour les clients qui préférent externaliser leur routage vers un fournisseur de services, car c'est ce dernier qui maintient et gére le routage paur les sites clients, Sion se place du cote clier de service, est vue comme un grand routeur virtue. alors on peut imaginer que le VPN MPLS de couche 3 du fournisseur Business Partner with a Cisco Router Regional Office with a Cisco ASA Firewall 2 Home Office with Mobile Worker with a Cisco Router Cisco AnyConnect on ‘Sie to-Site VPN ‘a Laptop Computer le-Acoose VPN, Passons maintenant, au réseau privé virtuel géré par l'entreprise elle-méme. Les entreprises ant besoin de moyens sécurisés, fiables et rentables pour relier le siage social, las sites distants at les salariés qui bossent en télétravail de chez eux. On peut voir Un réseau privé virtuel comme un pont centro deux réseaux privés, et ce pont est construit sur un réseau public, comme internet. Vous construisez ce pont sur un réseau public, généralement Internet. Comme représenté sur image, le de recevoir des réseau privé virtuel permet aux périphériques du siége social, & droite, d’envoyer données avec ses succursales a gauche, comme si elles étaient directement connectées Un réseau privé virtue! est un réseau privé virtuel construit dans une infrastructure de réseau public, comme internet. Les réseaux privés virtuels offrent une alternative peu couteuse aux connexions WAN privées. Il est particuliérement utile dans les entreprises ol! les salariés sont tres mobiles et quills doivent se connecter a distance Ués souvent, au réseau de lentreprise et quills doivent accéder a des données trés sonsibles. ‘Comme le montre image, il existe deux types de réseaux VPN : Le VPN site-To site et le réseau privé virtuel acces distant, * Un VPN site To site ast une extension d'un réseau WAN classique. Les utilisateurs finaux envoient et recoivent du trafic via un équipement VPN, qui pourrait étre un routeur ou une appliance Cisco ASA. Cet appareil est responsable d’encapsuler et de chiffrar le trafic sortant et de l'envoyer par un tunnel VPN sur Internet vers un autre périphérique VPN sur le site distant. + Et le réseau privé virtuel aceés distant est plutét utilisé pour les utilisateurs mobiles, qui travaillent a distance Dans ce dernier, chaque héte utilise, en général, le logiciel Cisco AnyConnect réseau privé virtuel Client. Un réseau privé virtue! offre plusieurs avantages * Comme de I’Economie : car i! permet aux entreprises d utiliser Un transport Internet pour connecter des bureaux et utilisateurs distants au site principal de l'entreprise. Ce qui élimine les lions WAN dédiés et tras couteux + Un autre avantage est son extensibilité. lls permettent aux entreprises diutiliser linfrastructure Intornet, ce qui rend les nouveaux utilisatours trés facilos 8 ajouter. Ils peuvent en ajouter énormement sans ajouter d'infrastructure importante, + llaaussi une grande Compatibil connexion haut debit, comme lours ADSL ou le cablo, pour accéder 3 leur rés0au 9 : car il permet aux travailleurs mobiles, de profiter dune d'entreprise. Cette capacité leur offre une flexibilité et une grande efficacite. + Et le dernier point est sur la Sécurité : les réseaux privés virtuels peuvent fournir le plus haut niveau de sécurité en utilisant des protocoles avances de cryptage et d'authentification qui protagent les données contre tout accés non autorisé. Notamment avec les protocoles IPsec et ssl Il existe plusieurs options de sécurité VPN en site To site: ona le tunnel IPsec Cette option est le principal modéle de conception réseau privé virtuel IPsec. Il fournit quatre services de sécurité importants + Dela Confidentialité du chiffrement : 'expéditeur peut chiffrer les paquets avant de les transmetire sur un réseau. Ce qui signifie que personne ne peut écouter la communication. Méme si un autre appareil lintercepte + lacomme sécurité de I'intégrité des données : c’est-a-dire que le réceptour peut vérifier que les don: scit, IPsec garantit lintégrité des données en utilisant des sommes de contrdle, c'est une 5 ont bien été trensmises sans avoir été modifi¢es de quelque maniere que ce simple verification de redondance. + Il permet rAuthen| garantissant et en certifiant la source de l'information, ication : Le récepteur peut authentifier la source du paquet en * Et ila une Protection antireplay: qui permet de verifier que chaque paquet est unique nest pas dupliqué. Et si des paquets arrivent en retard ou sont en double, ils seront supprimés. Une autre option de VPN site To site est le VPN GRE sur IPsec Bien que IPsec fournisse une méthode sécurisée pour le tunneling des données sur un réseau IP, i! a des limites. Par exemple, il ne prend pas en charge le multicast et le broadcast, ce qui empéche utilisation de protocoles qui utilisent ces fonctionnalites, comme les protocoles de routage. Ley routage avec IPSEC. rotecole GRE permet de remédier 2 cela, car avec lui, il est possible d'executer un protocsle de llya aussi, beaucoup moins connu, Cisco DMVPN pour cisco dynamique multipoint VPN. Il gagit d'un mécanisme qui permet diétablir les tunnels IPsec + GRE, celui qu’on a vu juste avant, directement entre les routeurs qui veulent dialoguer ensemble avec une grande simplicité et surtout de facon totalement dynamique! ona Cisco IPsec VTI Tt pour fi Le mode VI dune configuration IPsec simpifie ls configuration du réseau privé virtuel.Il existe doux types de VII statiques et dynamiques La configuration se fait sur une interface virtuelle.Tunnel GRE : Configuration VPN Tunnel GRE: Generic Routing Encapsulation > arene | Sers00 —— a | Hote -192.168.1.1 Tunnel GRE: Dans €e cours, nous allons voir la mise on place d’un VPN, avec une encapsulation GRE! Le protacole GRE, permets de placer les paquets IP dans un autre paquet al M-. 5-4 a =reone oon eer : a ‘ Héte 192.16 mble a un lien normal, sauf ‘Comme nous pouvons le voir sur cette topologie, |e tunnel qu’ll est virtuel, Il faut donc lui configurer une IP, 2t on utilisera le réseau 192.168.10.0. porto l'P © * Lerou Configuration d'un tunnel GRE Passons a la configuration d'un tunnel pour voir comment il fonctionne ! ulation) offre une efficace pour encapsuler les Le tunnel GRE (Generic Routing Encap: ta 1u intermédiaire di les trans Les routeurs 1 et 2 peuvent se rejoindre, grace au routeur du fournisseur d’acces a internet ! din Pour rendre les ch les deux réseaux locaux puissent communiquer au tre Voici les tapes a suivre Création du tunnel appropriée. Ce ss8US est similaire a la création d'une interface réseau, Vinterface Tunnel 1 pour le tunnel ¢ On va commencer par le créer ! La commande « interface Tunnel » permet de créer le tunnel, comm: on choisit "interface 1 du tunnel ! 2t une IP destination dans noi Ensuite, il faut o construire ce tunnel. Configuration des adresses source et destination D cauree at dectinatian parle dant aux ne fais la riinnal cree, ceaite de configh rar es publiques co! tunnel. Ces adresses le tunnel est établi Attribution d'une adresse IP au tunnel réseau, le tunnel GRE doit se voir attribuer une adi te interfec Maintenant que notre tunnel est en place, on va lui assigner une adresse IP! Tout comme toute autre interface, il faut y mettre une IP Aprés avoir suivi ces étapes, le tunnel GRE est prét a etre utilisé pour acheminar le trafic entre les routeurs configures tre Tunnel s’exécute correctement ! F, pour que les routeurs 1 et 2 puissent communiquer ! ontinue Configuration du routage OSPF cole de routage pour assurer E, il est essentiel d'établir un p 2a travers Internet. Pour ce faire, not concernées et de spécifier les zones Tout diabord, il est nécessaire d'activer OSPF sur les interfa SCS aS aey Deane eee eae rateur nel outage respe la communica Vérification de la connectivité les routeurs pour ifier la connectivité Apras avoir configuré OSPF, ta travers le tune Sssurer que le routage fonctionne cor eee aerer i tes ee ectiey PF sera configuré avec succés, permettant aux réseaux En suivant ces étapes, le routa Conclusion La mise en place d'un tu: figurat! e consiste & 2 interface réseau conventionnelle. Il source et destination pour le tunnel, e PF t Path Fitst), un protocole de routege pour sa fiabilité et son efficaci opté pour ©: échangero routage respectives pour per: $s routeurs pour nt travers le tunnel. Cette verification garantit q > maniere fiable et ef tunnel GRE a ation entre les utilisateurs, 00 quils je tunneling et de routag