1. [Tapez ici]
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA
RECHERCHE SCIENTIFIQUE
UNIVERSITE TUNIS EL MANAR
INSTITUT SUPERIEUR D’INFORMATIQUE
RAPPORT DE STAGE DE FIN D’ETUDES
Présenté en vue de l’obtention du
Diplôme National de Licence Appliquée en Sciences et Technologies
Mention : Informatique
Spécialité : Administration des Systèmes et Réseaux
Par Mohamed Amine EL ABED
Encadrant professionnel Monsieur Jounaidi MALEK
Encadrant académique Monsieur Bechir BEN GOUISSEM
Réalisé au sein de la Caisse nationale de sécurité sociale (CNSS)
Année universitaire 2017/2018
Implémentation de la solution WAN intelligent de Cisco

2. 2
Encadrant Entreprise
Encadrant ISI
J’autorise l’étudiant à déposer son rapport de stage en vue d’une soutenance
Signature et cachet :
J’autorise l’étudiant à déposer son rapport de stage en vue d’une soutenance
Signature :

3. 3

4. 4
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA
RECHERCHE SCIENTIFIQUE
UNIVERSITE TUNIS EL MANAR
INSTITUT SUPERIEUR D’INFORMATIQUE
RAPPORT DE STAGE DE FIN D’ETUDES
Présenté en vue de l’obtention du
Diplôme National de Licence Appliquée en Sciences et Technologies
Mention : Informatique
Spécialité : Administration des Systèmes et Réseaux
Par Mohamed Amine EL ABED
Encadrant professionnel Monsieur Jounaidi MALEK
Encadrant académique Monsieur Bachir BEN GUISSEM
Réalisé au sein de la Caisse nationale de sécurité sociale (CNSS)
Année universitaire 2017/20
Implémentation de la solution WAN intelligent de Cisco

5. 5
Dédicace
À ma Mère,
“Tu m’as donné la vie, la tendresse et le courage pour
réussir. Tout ce que je peux t’offrir ne pourra exprimer
l’amour et la reconnaissance que je te porte. En
témoignage, je t’offre ce modeste travail pour te
remercier pour tes sacrifices et pour l’affection dont tu
m’as toujours entourée.”
À mon Père,
“L’épaule solide, l’œil attentif compréhensif et la
personne la plus digne de mon estime et de mon
respect. Aucune dédicace ne saurait exprimer mes
sentiments, que Dieu te Préserve et te procure santé et
longue vie. ”
À mes frères Ahmed, Yassine et Youssef,
À mes sœurs Imen et Hiba,
À tout la famille EL ABED,
À tous mes amis …
Med Amine

6. 6
Remerciement
Je tiens à remercier vivement mon encadrant de stage M. Jounaidi MALEK
pour sa disponibilité, son écoute et ses conseils avisés.
Mes remerciements vont aussi à toute l’équipe de la CNSS pour avoir su
m’accueillir dans un environnement de travail stimulant, tout en étant
agréable et même amusant.
Je remercier également mon encadrant académique M. Bechir BEN
GOUISSEM pour toute sa gentillesse, ses précieux conseils, sa patience, sa
disponibilité et pour son soutien.
Finalement, j’adresse mes sincères remerciements à tous ceux qui m’ont
aidée et soutenue dans mon travail sans oublier l’ensemble de mes
professeurs qui ont déployé des efforts afin de transmettre leur savoir et
leur savoir-faire dans les meilleures conditions possibles

7. 7
Liste des figures
Figure 1 l’organigramme de la CNSS.............................................................................................. 14
Figure 2 déférence entre WAN et SD-WAN ................................................................................... 18
Figure 3 Architecture de WAN intelligent de Cisco........................................................................ 23
Figure 4 Architecture existante du CNSS ................................................................................. 26
Figure 5 L’indépendance du transport........................................................................................... 29
Figure 6 Acheminement contrôlé avec PfR.................................................................................... 31
Figure 7 Flux de trafic sur les liens principaux et de sauvegarde................................................... 32
Figure 8 Incapacité du PBR à détecter les liens problématiques................................................... 33
Figure 9 Flux de trafic sur plusieurs liaisons avec le contrôle de chemin intelligent Cisco............ 34
Figure 10 IWAN Domain Hub and Transit Sites.............................................................................. 36
Figure 11 Architecture WAAS de Cisco .......................................................................................... 37
Figure 12 Les tunnels hub-et-spoke et les tunnels spoke-à-spoke................................................ 39
Figure 13 : les paquets NJRP ......................................................................................................... 41
Figure 14 Entête de paquet DMVPN.............................................................................................. 42
Figure 15 architecture MPLS existante .......................................................................................... 45
Figure 16 Table de routage de routeur de PE1 .............................................................................. 46
Figure 17 la table de routage de BGP............................................................................................. 47
Figure 18 Le backbone MPS avec les sites distants........................................................................ 47
Figure 19 L’architecture WAN existant dans le CNSS..................................................................... 48
Figure 20 Routeur ISR et ses couches ........................................................................................... 49
Figure 21 Les tunnels de la DCIHUB1............................................................................................. 52
Figure 22 Le message nhrp Resolution request entre ARIANA et SOUSSA................................... 52
Figure 23 Le trace du paquet de Ariana vers Sousse à travers le tunnel 2 .................................... 53
Figure 24 trafic crypté entre les spokes......................................................................................... 54
Figure 25 les composant du PfR..................................................................................................... 55
Figure 26 Exemple de Stratégies de domaine................................................................................ 56

8. 8
Liste des tableaux
Tableau 1 comparaison des solution SD-WAN 22
Tableau 2 plan prévu 45
Tableau 3 La Différence entre EIGRP et OSPF 50

9. 9
Sommaire
Dédicace........................................................................................................................................... 5
Remerciement.................................................................................................................................. 6
Liste des figures................................................................................................................................ 7
Liste des tableaux............................................................................................................................. 8
Sommaire ......................................................................................................................................... 9
Introduction Générale.................................................................................................................... 12
Chapitre 1 : Présentation du projet ............................................................................................... 13
Introduction ............................................................................................................................... 13
1.1 Présentation de l’organisme d’accueil CNSS........................................................................ 13
1.1.1 Description de la CNSS .................................................................................................. 13
1.1.2 L’organisation Générale de la CNSS .............................................................................. 14
1.2 Présentation du département informatique de la CNSS ..................................................... 15
1.3 le réseau informatique du CNSS........................................................................................... 15
1.4 les objectifs globaux de ce projet......................................................................................... 16
Conclusion.................................................................................................................................. 16
Chapitre 2: Software-defined WAN ............................................................................................... 17
Introduction ............................................................................................................................... 17
2.1 C'est quoi le SD-WAN........................................................................................................... 17
2.2 les solutions SD-WAN........................................................................................................... 18
2.2.1 Cisco Intelligente WAN.................................................................................................. 19
2.2.2 Aryaka’s global SD-WAN................................................................................................ 19
2.2.3 Citrix NetScaler SD-WAN............................................................................................... 20
2.3.4 Talari network SD-WAN ................................................................................................ 21
2.4 Comparaison des solutions .................................................................................................. 21
2.5 Choix du Solution adéquate................................................................................................. 23

10. 10
2.5.1 l'indépendance du transport......................................................................................... 24
2.5.2 Contrôle intelligent de chemin...................................................................................... 24
2.5.3 Optimisation d'application............................................................................................ 24
2.5.4 Connectivité sécurisée .................................................................................................. 25
Conclusion.................................................................................................................................. 25
Chapitre 3 : Etude conceptionnel du solution IWAN ..................................................................... 26
Introduction ............................................................................................................................... 26
3.1 l’architecture réseaux du CNSS............................................................................................ 26
3.2 les restrictions du réseaux WAN de la CNSS ........................................................................ 27
3.3 WAN Intelligent de Cisco...................................................................................................... 28
3.3.1 l'indépendance du transport......................................................................................... 29
3.3.2 Avantage de l'indépendance du transport.................................................................... 30
3.3.3 Contrôle intelligent du chemin ..................................................................................... 30
3.3.4 Déférence entre l’Acheminement contrôlé et normale ............................................... 31
3.3.5 architecture PfR............................................................................................................. 35
3.3.6 Optimisation d'application............................................................................................ 36
3.4 VPN multipoint dynamique.................................................................................................. 37
3.4.1 Pourquoi le DMVPN ?.................................................................................................... 38
3.4.2 Principe de fonctionnement de DMVPN....................................................................... 38
3.4.3 Sécurisation des tunnels DMVPN.................................................................................. 41
Conclusion.................................................................................................................................. 42
Chapitre 4 : Réalisation .................................................................................................................. 43
Introduction ............................................................................................................................... 43
4.1 L’environnement de travail.................................................................................................. 43
4.1.1 GNS3.............................................................................................................................. 43
4.1.2 VMware Workstation.................................................................................................... 43
4.2 Plan prévu ............................................................................................................................ 44
4.3 la configuration du l’architecture existante......................................................................... 45

11. 11
4.3.1 Adressage IP de MPLS Core et OSPF ............................................................................. 45
4.3.2 Configurer LDP/mpls sur toutes les interfaces du backbone MPLS.............................. 46
4.3.3 Configuration MPLS/BGP entre les PE .......................................................................... 47
4.3.4 configuration des routeurs CE et création des VRF ...................................................... 47
4.3.5 La configuration des sites distants................................................................................ 48
4.4 Configuration et implémentation du solution IWAN........................................................... 49
4.4.1 Protocole de routage .................................................................................................... 50
4.4.2 La configuration de DMVPN/IPESEC ............................................................................. 53
4.4.3 Implémentation du PfR ................................................................................................. 54
Conclusion.................................................................................................................................. 57
Conclusion Générale ...................................................................................................................... 58
Bibliographie .................................................................................................................................. 59

12. 12
Introduction Générale
Les besoins en connectivité et en bande passante de l’entreprise ont désormais
largement dépassé les capacités offertes par les services WAN MPLS privés pour
l’interconnexion des sites distants et des datacenters. La technologie SD-WAN permet la
création de réseaux hybrides associant différentes technologies d’accès (services Internet,
routage du trafic dynamique, création de connexions en temps réel) en fonction de la bande
passante disponible ou de critères présélectionnés. Elle permet de réduire les coûts de la
bande passante agrégée. Pour garantir un taux élevé d’efficacité, disponibilité et surtout de
protection des ressources d’un réseau, il faut spécifier et gérer l’accès à ce dernier.
C’est pour cela nous avons choisi comme thème de projet de fin d’étude :
L’implémentation de la technologie intelligent area wide network (IWAN)). Ce stage de fin
d’études a été effectué durant trois mois au sein de la Caisse Nationale de Sécurité Sociale
(CNSS) à la direction centrale de l’Informatique. Nous présenterons d’abord le cadre général
du Projet ensuite nous montrons les différentes limites du WAN du CNSS et notre objectif
puis nous choisiront la meilleure solution adéquate pour l'implémenter. D’autre part, nous
aborderons l’aspect théorique de notre solution. Finalement, la quatrième partie sera dédié
aux détails des étapes de l’installation et de la configurations nécessaires des divers
composants de la solution.

13. 13
Chapitre 1 : Présentation du projet
Introduction
Au cours de ce chapitre nous allons en premier lieu présenter l’organisme d’accueil ; la
Caisse Nationale de Sécurité Sociale. Ensuite nous allons faire une étude de l’architecture et
des technologies existantes dans la CNSS. Enfin nous allons présenter les objectifs de notre
projet .
1.1 Présentation de l’organisme d’accueil CNSS
Dans cette partie nous d´écrirons la CNSS, ensuite nous expliquerons l’organisation
générale de la Caisse, sa mission et son hiérarchie. Enfin, nous présenterons le département
informatique de la CNSS.
1.1.1 Description de la CNSS
Selon l’article 4 de la loi n°60-630 du 14-décembre-1960, La Caisse Nationale de Sécurité
Sociale est un établissement public doté d’une personnalité civile et d’une autonomie
financière et rattachée au secrétariat d ’Etat, à la santé publique et aux affaires sociales, son
siège est à Tunis et elle regroupe divers bureaux régionaux tout au long du territoire tunisien.
Selon le premier article de la même loi « cette organisation est destiné à protéger les
travailleurs et leurs familles contre les risques inhérents à la nature humaine, susceptible
d’affecter les conditions matérielles et morales de leur existence. » La Caisse Nationale est
administrée par un conseil d’administration, composé d’un président Directeur Général et de
douze administrateurs. Bénéficiant des régimes de sécurité sociale, le personnel de bureau
et le personnel ouvrier rattaché sous quelques formes que ce soit à toutes les personnes
morales de droit public ou de droit privé ayant leur siège en Tunisie et qui ne sont pas
affilées a` un régime légal de sécurité sociale couvrant les mêmes éventualités que celles
visées par la loi.

14. 14
1.1.2 L’organisation Générale de la CNSS
La Caisse Nationale de Sécurité Sociale est un établissement public, doté de la
personnalité civile et de l’autonomie financière et rattachée au Secrétariat d’Etat à la
santé publique et aux Affaires Sociales. Elle est régie, dans ses relations avec des tiers,
par les dispositions de la législation commerciale, dans la mesure où il n’est pas dérogé
par la loi. La CNSS fonctionne sous la surveillance et le contrôle permanent et direct du
secrétariat d’Etat à la Santé Publique et aux Affaires Sociales. Elle est administrée par un
conseil d’administration, composé d’un Président Directeur Général et de douze
administrateurs. La caisse est composée de plusieurs directions dont une direction
centrale des études informatiques et des bureaux régionaux ainsi que les polycliniques.
Chaque bureau régional comprend plusieurs unités dont elles sont les suivantes :
— L’unité employeur,
— L’unité prestataire : concerne les assurés sociaux,
—’unité contrôle médical
— L’unité contrôle comptable et technique,
— L’unité administrative,
— Et l’unité de gestion des comptes au profit de l’Etat.
La figure1.1 suivante indique la hiérarchie de la CNSS qui comporte les bureaux, direction, etc.
Figure 1 l’organigramme de la CNSS

15. 15
1.2 Présentation du département informatique de la CNSS
La direction informatique a pour mission de d´développer le système informatique de la CNSS
avec le maximum d’efficacité et d’´économie afin de fournir une meilleure qualité de service. De
plus la direction informatique a pour mission d’élaborer un plan général d’information et de
suivre son exécution en collaboration avec les services intéressés. Elle est chargée de la
promotion de l’utilisation des nouvelles techniques de l’informatique et de communication en
vue d’améliorer la gestion et la qualité de service, elle a pour objet de veiller à la sauvegarde,
l’intégrité, la sécurité de donnée et programme de la CNSS selon la législation en vigueur.
1.3 le réseau informatique du CNSS
Le réseau informatique de la CNSS permet l’échange d’informations au sein de l’entreprise et
le partage de ressources. C’est-à-dire les droits d’accès aux documents et ressources partagés, la
gestion de l’accès internet, les mails.
Le système d’information de la CNSS est totalement informatisé. Ce système est composé de
plusieurs applications hétérogènes, centralisées au sein de la Direction Centrale de
L’informatique, autrement dire ces applications est accessibles par tous les bureaux régionaux et
locaux ainsi que les policliniques de la CNSS à travers son réseau informatique.
Le nœud le plus important et qui représente le cœur du réseau de la CNSS est bien
évidemment le siège de la direction Centrale de l’Informatique (DCI) où nous avons passé notre
stage. Il contient les systèmes centraux, les sources de données centrales, les commutateurs de
base, les routeurs fédérateurs ; toutes les ressources et les équipements clés dans le réseau de la
CNSS. C’est pour cette raison qu’il s’avère indispensable d’améliorer de plus en plus les
composants architecturelles du réseau LAN et WAN de la direction informatique.
La CNSS se compose de plusieurs établissements à travers tout le territoire tunisien relier par
un réseau informatique qui représente son artère principale, par conséquent si ce réseau tombe
en panne, la plupart des fonctionnalités du CNSS peut être interrompus.

16. 16
1.4 les objectifs globaux de ce projet
Les administrateurs réseaux de la CNSS cherchent toujours des moyens pour améliorer
notre architecture réseaux c’est pour cela notre mission comme des stagiaires dans cette
entreprise est de les aider à trouver des solutions pour optimiser le WAN et le sécurisé
contre les déférentes menaces.
Dans le but d’atteindre notre objectif, il faut commencer par l’indentification des
restrictions et les différents problèmes pour construire une image bien claire sur l’existence.
Bien évidemment, il faut chercher la meilleure solution pour optimiser le réseaux WAN de la
CNSS et sécuriser le trafic informatisé entre les différents établissements.
Conclusion
Au cours de ce chapitre, nous avons présenté l’organisme d’accueil et le contexte général
du projet, dans le chapitre suivant, nous aborderons en détails les déférentes technologies
d’optimisation du WAN sur le marché

17. 17
Chapitre 2: Software-defined WAN
Introduction
Après avoir présenté le cadre général du projet dans le chapitre précédent, nous nous
orienterons dans ce chapitre vers la présentation des déférentes solutions SD-WAN
d’optimisation du WAN pour choisir laquelle la plus adéquate à notre entreprise
2.1 C'est quoi le SD-WAN
Software-defined WAN (SD-WAN) est une technologie qui distribue le trafic réseau sur
des réseaux étendus (WAN) utilisant des concepts SDN (Software-defined networking)
pour déterminer automatiquement le moyen le plus efficace d'acheminement de trafic
entre les sites et le data center.
La plupart des formes de technologie SD-WAN créent une superposition virtuelle
indépendante du transport, elle permet d'abstraire les connexions WAN privées ou
publiques sous-jacentes, telles que MPLS, Internet haut débit, fibre, sans fil ou Long
Term Evolution (LTE). Les entreprises peuvent conserver leurs liens WAN existants,
tandis que la superposition SD-WAN utilise les tunnels multiples pour optimiser la bande
passante en dirigeant le trafic WAN le long du meilleur itinéraire vers et depuis les
succursales et les sites de centres de données. La technologie SD-WAN centralise le
contrôle du réseau et permet une gestion du trafic agile et en temps réel sur ces liaisons.

18. 18
La plate-forme SD-WAN doit
• Créer une superposition qui résume le WAN existant.
• Permettre une allocation dynamique de la bande passante pour l'efficacité du
trafic.
• Prendre en charge des types de connectivité agnostiques au transport tel que
MPLS, Ethernet, cellulaire et large bande.
Cette image ci-dessus montre la déférence entre l'architecture WAN et SD-WAN
Figure 2 déférence entre WAN et SD-WAN
2.2 les solutions SD-WAN
Il existe plusieurs solution SD-WAN qu'on peut l'implémenter mais pour bien choisir la
solution adéquate à implémenter dans la CNSS il faut répondre aux questions suivantes :
• À quel point le déploiement et l'approvisionnement sont-ils faciles ?
• Quels sont les protocoles de routage pris en charge par les fournisseurs ?
• La plate-forme SD-WAN nécessite-t-elle des périphériques de pointe spécialisés ?
• Quelles sont les capacités de surveillance et de gestion ?

19. 19
2.2.1 Cisco Intelligente WAN
Le WAN intelligent (IWAN) fonctionne sur les routeurs Cisco avec les licences
appropriées. IWAN est une collection de technologies Cisco qui travaillent ensemble
pour choisir le chemin de transfert dynamiquement. Par exemple, IWAN utilise DMVPN
en superposition et PfRv3 pour surveiller la qualité du chemin, gérée par un
arrangement hiérarchique des routeurs de distribution de règles et NBAR / Netflow pour
une reconnaissance détaillée des applications. Les opérateurs de réseau gèreront le
système via le contrôleur APIC-EM
2.2.2 Aryaka’s global SD-WAN
Aryaka’s global SD-WAN est utilisé par plus de 500 entreprises internationales pour
remplacer leur ancienne connectivité MPLS. Le cœur du SD-WAN d'Aryaka est un réseau
privé mondial avec 26 points de présence (POP) sur six continents, à moins de 30
millisecondes de 95% des utilisateurs professionnels dans le monde. Ces POPs sont
interconnectés par une colonne vertébrale de connexions réseau privées fournies par les
principaux fournisseurs de services. Les entreprises utilisent Internet pour la
connectivité de dernier kilomètre à Aryaka, mais le réseau fédérateur mondial d'Aryaka
offre un réseau de transport nettement supérieur à Internet et MPLS, avec une
connectivité cloud et SaaS intégrée. En plus ce réseau mondial, Aryaka intègre la
technologie SD-WAN, l'optimisation WAN, la fonctionnalité CDN (Content Delivery
Network), l'accélération des applications mobiles et la connectivité aux plates-formes
cloud.
La solution Aryaka’s global SD-WAN est Fourni en tant que service, réduisant les coûts
de plus de 50% par rapport aux solutions existantes telles que MPLS. Le déploiement de
la solution Aryaka sur un site client prend des heures par rapport aux mois nécessaires à
la configuration de MPLS.

20. 20
2.2.3 Citrix NetScaler SD-WAN
NetScaler SD-WAN est une solution SD-WAN axée sur l'optimisation des flux de trafic
entre un bureau local et des applications hébergées dans le cloud. Des appareils sont
déployés sur chaque site distant et dans le centre de données de l'entreprise.
L’appliance relie logiquement plusieurs connexions, y compris MPLS, large bande,
mobile et satellite, en une seule liaison virtuelle. Les connexions entre les appliance
peuvent être cryptées à l'aide d'IPSec.
NetScaler (anciennement CloudBridge) mesure chaque paquet pour surveiller les
performances de la liaison. Si les performances sur un lien sont dégradées, l'appliance
peut déplacer le flux vers un autre lien. L'appliance inclut également des fonctionnalités
d'optimisation WAN, notamment la terminaison TCP, la décompression et la
déduplication des données, ainsi que la mise en cache pour le streaming vidéo.
Un contrôleur gère le réseau, met à jour le logiciel et permet aux administrateurs de
définir des stratégies. Les clients peuvent hiérarchiser les applications en fonction des
besoins de l'entreprise. Par exemple, les appels VoIP peuvent obtenir la plus haute
priorité, alors que la navigation sur le Web obtient le meilleur effort. Les administrateurs
peuvent également hiérarchiser les types de liens ; par exemple, la 3G ne peut être
utilisée comme sauvegarde que si les autres connexions tombent en panne.

21. 21
2.3.4 Talari network SD-WAN
Talari network SD-WAN est une autre entreprise SD-WAN avec des appareils ainsi
qu'un contrôleur. Sa proposition de valeur est pour vous de mélanger et assortir vos
liens WAN tout en garantissant une expérience utilisateur particulière que vous
définissez. Talari est remarquable dans la mesure où la société existe depuis un certain
temps, offrant une solution SD-WAN avant que SD-WAN soit un mot à la mode. Même si
vous n'avez jamais entendu parler de Talari auparavant.
2.4 Comparaison des solutions
Plusieurs fournisseurs SD-WAN prennent sa place sur le marché avec une croissance
rapide. Bien que la technologie n’été disponible que depuis quelques années, le cabinet
d'études IDC estime que les revenus d'infrastructure et de la services SD-WAN mondiaux
estiment un taux de croissance annuel composé (TCAC) de 69,6%. Il est difficile de
choisir un fournisseur mais voici quelques-uns des principaux concurrents sur le marché
pour offrir une certaine familiarité avec l'industrie

22. 22
Solution SD-
WAN
Aryaka’s global SD-
WAN
Cisco Intelligente
WAN
Citrix NetScaler
SD-WAN
Talari network SD-
WAN
Options de
déploiement
Un contrôleur basé sur
le cloud multi-
locataires déploie et
fournit araka SD-WAN
Le contrôleur APIC-
EM s'exécute en
tant qu'appareil ou
machine virtuelle
Le contrôleur
NetScaler SD-WAN
s'exécute en tant
qu'appareil ou
logiciel ; peut être
basé sur le cloud
Toute appliance Talari
peut être désignée
comme contrôleur qui
s'exécute en tant
qu'appliance Talari
dédiée ou logiciel qui
s'exécute sur tous les
hyperviseurs courants ;
peut être basé sur le
nuage
Extension
cloud
Peut s'étendre à
plusieurs fournisseurs
de cloud
AWS et Azure AWS, AZURE et
Equinix
AWS et Azure
Sécurité
Pare-feu à états, prend
en charge l'intégration
de pare-feu ; sécurité
IPsec de bout en bout
Serveur PKI intégré
pour provisionner
DMVPN ; suivre les
points de
terminaison
utilisateur
Cryptage au niveau
du chemin, pare-feu
à état, marquage
d'identité
Pare-feu à état basé sur
une zone, marquage de
paquets sécurisé,
duplication de paquets
sélective, IPsec
Optimisation
WAN
Inclus l’optimisation
du WAN
Peut inclure des
fonctionnalités
d'optimisation WAN
-- WAAS et Akamai
Aonnect
Combiné avec
l'appliance
d'optimisation WAN
inclus l’optimisation
Du WAN
Cout Le prix dépend de
l’architecture de
l’entreprise
A partir de 3000$
Basé sur la capacité
requise
Tableau 1 comparaison des solution SD-WAN

23. 23
2.5 Choix du Solution adéquate
Depuis sa création, la CNSS a choisi le leader mondial des technologies des réseaux
informatique Cisco pour équiper son réseau WAN. Donc la solution IWAN du Cisco est
notre premier choix pour essayer une solution SD-WAN avec un cout relativement faible.
D’autre part, les autres solutions nécessitent l’achat des périphériques de pointe spécialisées
et dédier seulement à elles-mêmes et ce n’est pas le cas d’IWAN où il suffit de bien choisir
l’équipement réseaux qui va l’exécuter avec la configuration correcte.
Les solutions SD-WAN utilisent des équipements de sécurité traditionnelles pour sécuriser le
trafic entre les déférentes sites et le centre de donnée, or ce n’est pas le cas pour la solution
IWAN où les données sont envoyées totalement cryptés dans un tunnel créer dynamiquement à
la demande.
En effet, L'architecture WAN intelligent de Cisco (IWAN) permet une utilisation plus
élevée de la bande passante de WAN à moindre coût sans sacrifier les performances, la
sécurité ou la fiabilité. On peut représenter l’architecture d’IWAN par la figure suivante :
Figure 3 Architecture de WAN intelligent de Cisco

24. 24
Cisco IWAN repose sur quatre piliers : l'indépendance du transport, le contrôle
intelligent du chemin, l'optimisation des applications et la connectivité sécurisée.
2.5.1 l'indépendance du transport
IWAN utilise le VPN multipoint dynamique (DMVPN) pour fournir des capacités de
multi hébergement facile au-dessus de n'importe quel fournisseur, y compris la
Commutation multi protocole par étiquette (MPLS), la Large bande, et le 3G/4G/LTE
cellulaire. L'indépendance des transports facilite la combinaison des options de
transport ou la modification des fournisseurs de services pour répondre aux besoins de
l'entreprise.
2.5.2 Contrôle intelligent de chemin
Les routeurs acheminent les paquets en fonction de l'adresse de destination, et la
méthodologie de calcul du chemin varie selon le protocole de routage. Les protocoles de
routage ne prennent pas en compte la perte, le délai, la gigue ou l'utilisation de la liaison
lors du calcul du chemin, ce qui peut conduire à l'utilisation d'un chemin inapproprié
pour une application critique.
Le routage de performance (PfR) fournit un contrôle intelligent de chemin selon
l'application. Il surveille les performances des applications sur la base du trafic et
transfère les paquets sur le meilleur chemin. Dans le cas où un chemin devient
inacceptable, PfR peut changer le chemin pour cette application jusqu'à que le chemin
d'origine répondra aux exigences définies pour cette application.
2.5.3 Optimisation d'application
La plupart des applications ne tiennent pas compte des caractéristiques du réseau et
s'appuient sur des protocoles TCP pour communiquer entre les ordinateurs. Les
applications sont généralement conçues pour les environnements LAN qui fournissent
des liaisons haut débit sans encombrement et « bavardes ». Les applications « bavardes

25. 25
» ou gourmandes en bande passante transmettent plusieurs paquets d'une manière
aller-retour, ce qui nécessite un accusé de réception dans chaque direction
Les technologies WAAS (Wide Area Application Service) de Cisco et Akamai Connect
offrent une solution complète pour surmonter les variables qui affectent les
performances des applications sur un circuit WAN. Ils sont transparents pour les
terminaux (clients et serveurs) ainsi que les périphériques WAAS / Akamai Connect.
2.5.4 Connectivité sécurisée
Le VPN multipoint dynamique (DMVPN) est une solution Cisco qui fournit une
architecture VPN évolutive. En effet, DMVPN utilise l'encapsulation de routage
générique (GRE) pour le tunneling, le protocole NHRP (Next Hop Resolution Protocol)
pour les informations de transfert et de transfert à la demande, et IPsec pour fournir un
réseau de recouvrement sécurisé pour pallier les insuffisances des tunnels VPN de site à
site.
Conclusion
Finalement, on conclut que la solution SD-WAN du Cisco est la meilleure des solutions
à déployer pour le réseau CNSS, par la suite on va étudier l’architecture existante pour
monter l’importance et l’utilité de la solution choisie.

26. 26
Chapitre 3 : Etude conceptionnel du
solution IWAN
Introduction
Ce chapitre est dédié d’une part pour étudier et critiquer le réseau WAN de la CNSS, et
d’autre part pour expliquer les notions théoriques des déférents composants de cette
solution.
3.1 l’architecture réseaux du CNSS
Le réseau informatique de la CNSS est compté parmi les réseaux les plus développés en
Tunisie. Il s’agit d’un réseau en étoile où toutes les ressources de données sont
centralisées dans la DCI. Jusqu’à présent au sein de la CNSS, la seule façon d’obtenir une
connectivité fiable avec des performances prévisibles est l’utilisation de Multi Protocol
Label Switching (MPLS) comme le montre la figure ci-dessous
Figure 4 Architecture existante du CNSS

27. 27
La figure d´écrit une partie de l’architecture réseau mis en place actuellement au CNSS,
c’est un réseau en étoile Disposant de 4 sites(branches) qui sont :
• DCI (notre société)
• Nabeul
• Sousse
• Arianna
Ces branches sont interconnectées entre eux par l’intermédiaire d’un réseau MPLS
backbone (le cœur), noté bien (Tunisie Telecom TT).
3.2 les restrictions du réseaux WAN de la CNSS
Le WAN de la CNSS présente plusieurs limites :
En effet, Le service MPLS offert par l’opérateur téléphonique peuvent être coûteux et
n’est pas toujours rentable pour une entreprise utilisant le réseau WAN. A fin de
répondre aux besoins croissants de la bande passante pour transporter les données
entre de sites distants, la CNSS cherche des moyens pour sécuriser les communications
et réduire le cout.
En 2018 la CNSS dispose plus de 45 bureaux locaux et régionaux dans tout le territoire
tunisien. Ils sont tous connectés à travers un seul réseau MPLS, donc on a besoin de
trouver un autre WAN avec un cout faible si le premier tombe en panne comme
INETNET.
Notre réseau transporte des informations du LAN au WAN et vice versa, certaines sont
critiques et d’autres ne le sont pas, de coup, il aurait un encombrement dans le réseau.
Dans des nombreux cas, en tant qu’administrateur réseau, nous n’avons pas la visibilité
nécessaire pour les distinguer et les classer selon leurs priorités cela impose
l’augmentation de la bande passante.

28. 28
Pour la sécurisation de ces données, la CNSS investi dans l’acquisition de solutions de
sécurité telles que les pares-feux, les IPS, passerelle antivirale, permettant ainsi la
protection partiellement de l’information de tout accès externe pouvant représenter un
risque éventuel. Cette structure a pour but la protection des données critiques
hébergées dans les systèmes de bases de données au sein de la DCI. Ces données sont
confidentielles et ont une très grande importance, mais cette structure adoptée ne
répond pas encore aux besoins demandes côté sécurité lors de transfert de données
entre les sites du CNSS.
En effet, le MPLS offre des services adéquats, au niveau de garantir le transfert et la
disponibilité de la bande passante, la gestion des flux de trafic, l’optimisation de
l’acheminement des paquets, mais la garantie de la bande passante nécessite des
améliorations régulières, en plus le réseau (MPLS) assure une interconnexion totalement
non sécurisée pour les entreprises réparties sur des sites distants et n’offre aucune
protection des données lors de transfert.
3.3 WAN Intelligent de Cisco
Le*WAN*intelligent*de*Cisco*(IWAN)* est un système qui améliore la performance
des applications de Collaboration et de nuage tout en réduisant le coût d'exploitation du
WAN. La solution d'IWAN fournit des conseils de conception et de réalisation pour des
organismes en déployant un WAN indépendant de transport avec le contrôle intelligent
de chemin, l'optimisation d'application, et la connectivité sécurisée vers l'Internet et les
filiales tout en réduisant le coût d'exploitation du WAN.
IWAN profite pleinement le WAN avec une meilleure qualité et rendre le services
Internet plus rentables pour augmenter la capacité de la bande passante sans
compromettre la fiabilité, ou la Sécurité de la Collaboration ou des applications basées
sur nuage.
Les organismes peuvent utiliser IWAN pour accroître l'Internet comme un support de
transport, aussi bien que, pour l'accès direct aux applications publiques de nuage.

29. 29
3.3.1 l'indépendance du transport
Cisco IWAN utilise le réseau multipoint virtuel dynamique (DMVPN) pour fournir une
indépendance de transport via le routage de superposition. Il fournit un niveau
d'abstraction qui simplifie le plan de contrôle pour tout transport WAN, permettant aux
entreprises de déployer une conception de routage cohérente sur tout type de transport
et facilitant le contrôle du trafic et le partage de charge. Le routage par superposition
offre une indépendance de transport permettant à un client de sélectionner n'importe
quelle technologie WAN : VPN MPLS, Ethernet métro, Internet direct, large bande, 3G /
4G / LTE cellulaire ou radios haute vitesse. L'indépendance des transports facilite la
combinaison des options de transport ou la modification des fournisseurs de services
pour répondre aux besoins de l'entreprise.
la figure ci-dessous montre n’importe qu’elles fournisseur de service peut transporte
les données entre les sites distant.
Figure 5 L’indépendance du transport

30. 30
3.3.2 Avantage de l'indépendance du transport
Par exemple, un nouveau site nécessite une connectivité réseau , l'installation d'un
circuit physique peut prendre de six à douze semaines pour être provisionnée après la
commande. Si la commande n'est pas placée suffisamment tôt ou si des complications
sont rencontrées, la connectivité WAN du site est retardée. L'indépendance du transport
de Cisco IWAN permet l'utilisation temporaire d'un modem cellulaire jusqu'à ce que le
circuit physique soit installé sans nécessiter de modifier la configuration du protocole de
routage du routeur, car DMVPN réside au-dessus du transport cellulaire. La modification
des transports n'a aucune incidence sur la conception du routage de superposition.
3.3.3 Contrôle intelligent du chemin
Les routeurs acheminent les paquets en fonction de l'adresse de destination, et la
méthodologie de calcul du chemin varie selon le protocole de routage. Les protocoles de
routage ne prennent pas en compte la perte, le délai, la gigue ou l'utilisation de la liaison
lors du calcul du chemin, ce qui peut conduire à l'utilisation d'un chemin inapproprié
pour une application. Des technologies telles que les SLA IP peuvent mesurer les
caractéristiques de bout en bout du chemin, mais ne modifient pas le chemin
sélectionné par le protocole de routage.
Une fois la connectivité de routage établie, PfR entre dans l'image et fournit le contrôle
de chemin avancé dans IWAN. PfR ne remplace pas le protocole de routage et ne le sera
jamais. En tant que complément, PfR utilise les informations du saut suivant du
protocole de routage et les remplace en fonction des performances en temps réel et du
taux d'utilisation de la liaison. Ce préfixe d'information de prochain saut par destination
est essentiel pour que PfR fonctionne correctement et constitue un élément critique
dans la conception de routage. Avoir un seul domaine de routage et une exigence de
service de mappage très basique a grandement simplifié l'interaction PfR avec le
protocole de routage.

31. 31
Les Routeurs de cadre collectent des informations du trafic et de chemin et les
envoient au contrôleur principal, qui détecte et impose les stratégies de service pour
apparier la condition requise d'application. Cisco PfR peut sélectionner un chemin
BLÊME de sortie pour équilibrer la charge intelligemment le trafic basé sur des coûts de
circuit, pour réduire les dépenses globales des transmissions d'une société. Le contrôle
de chemin intelligent d'IWAN est la clé à fournir un WAN de classe affaires au-dessus du
transport d'Internet.
La figure ci-dessous résume l’acheminement intelligent des paquets :
Figure 6 Acheminement contrôlé avec PfR
3.3.4 Déférence entre l’Acheminement contrôlé et normale
A. Acheminement normale
La Figure illustre le concept où R31 (branche) envoie du trafic à R11 (siège).
Lorsque le lien vers le fournisseur MPLS de R31 échoue, le trafic est envoyé via Internet.

32. 32
Figure 7 Flux de trafic sur les liens principaux et de sauvegarde
Cette approche présente deux inconvénients principaux :
• Le trafic est transmis sur un seul chemin, quel que soit le type d'application, les
performances ou les problèmes de bande passante.
• Le chemin de sauvegarde est utilisé uniquement lorsque le lien principal tombe
en panne et non en cas de dégradation des performances ou de baisse de
tension sur le chemin principal car les homologues du protocole de routage sont
toujours actifs et ne détectent pas ces problèmes de performances
La figure ci-dessous illustre la situation où R31 (branche) envoie du trafic à R11 (siège).
Lorsque le chemin de R31 rencontre des problèmes de performances à travers le
fournisseur MPLS, le trafic continue d'être envoyé via le backbone MPLS. Un mécanisme
supplémentaire est nécessaire pour détecter des événements comme ceux-ci, tels que
l'utilisation de sondes SLA IP.

33. 33
Figure 8 Incapacité du PBR à détecter les liens problématiques
B. Acheminement contrôlé
Cette figure illustre la situation où R31 envoie du trafic à R11. Lorsque le chemin de
R31 rencontre des problèmes de performances à travers le fournisseur MPLS, seul le
trafic affecté est envoyé au chemin Internet. Le choix du trafic à replier est basé sur des
politiques définies. Par exemple, les flux d'applications vocales de d'entreprise sont
transmis sur le chemin secondaire, alors que le trafic de meilleur effort reste sur le
chemin MPLS.

34. 34
Figure 9 Flux de trafic sur plusieurs liaisons avec le contrôle de chemin intelligent Cisco
Comme expliqué précédemment, PfR ne remplace pas les protocoles de routage mais
les exécute pour glaner le prochain saut par préfixe de destination. PfR a des API avec
NHRP, BGP, EIGRP et la table de routage pour demander des informations. Il peut
surveiller puis modifier le chemin sélectionné pour chaque application en fonction de
critères avancés, tels que l'accessibilité, le retard, la perte et la gigue. PfR répartit
intelligemment le reste du trafic entre les chemins disponibles en fonction du taux
d'utilisation de la bande passante du tunnel.

35. 35
3.3.5 architecture PfR
Un domaine IWAN comprend un site pivot obligatoire, des sites de transit
optionnels, ainsi que des sites de succursales. Chaque site possède un identifiant unique
appelé ID de site dérivé de l'adresse de bouclage du contrôleur de gestion local.
A. Les sites IWAN
Les sites centraux et les sièges sociaux jouent un rôle important dans la PfR et
s'appellent les points de présence IWAN (POPs). Chaque site a un identifiant unique
appelé un identifiant POP. Ces sites hébergent les routeurs hub DMVPN et fournissent
donc les flux de trafic suivants :
• Connectivité DMVPN traditionnelle avec un concentrateur.
• Connectivité Spoke-to-hub-to-spoke jusqu'à l'établissement de tunnels DMVPN.
• Connectivité via le chaînage NHS jusqu'à l'établissement de tunnels DMVPN.
• Connectivité de transit à un autre site via un segment d'interconnexion de centre de
données (DCI)
B. Site de concentrateur
Un seul site concentrateur existe par domaine IWAN en raison de l'unicité de la présence
d’un contrôleur de domaine logique. En effet, Les fonctions du contrôleur de domaine
logique résident sur le contrôleur de gestion de ce site. En outre, Le MC de ce site est
connu sous le nom de Hub MC. Les contrôleurs de gestion de tous les autres sites (de
transit ou de succursale) se connectent au concentrateur MC pour obtenir la
configuration et les stratégies PfR. Un ID POP de 0 est automatiquement affecté à un site
concentrateur. Aussi, Un site hub peut contenir toutes les autres propriétés d'un site de

36. 36
transit tel qu’il est défini dans la figure 10.
C.Sites de succursales
Ce sont des sites qui intègre les tunnels DMVPN où le transit de trafic n'est pas autorisé.
Branch MC locaux est connecté avec le contrôleur de domaine logique (Hub MC) pour
obtenir ses règles de surveillance.
La Figure montre les sites IWAN dans un domaine avec deux sites centraux (l'un est
défini comme le site pivot et l'autre comme un site de transit). R10, R11 et R12
appartiennent au site pivot, et R20, R21 et R22 appartiennent à un site de transit. R31,
R41, R51 et R52 appartiennent à un site de branche. Les lignes pointillées représentent
le peering MC locale du site avec le Hub MC.
Figure 10 IWAN Domain Hub and Transit Sites
3.3.6 Optimisation d'application
Les utilisateurs d'Application d’optimisation supposent que la réactivité de l'application
sur un WAN est directement liée à la bande passante disponible sur le lien réseau. Cette
hypothèse est incorrecte car la réactivité des applications est directement liée aux
variables suivantes : bande passante, latence du chemin, encombrement et

37. 37
comportement des applications.
Les technologies WAAS (Wide Area Application Service) de Cisco et Akamai Connect
offrent une solution complète pour surmonter les variables qui affectent les
performances des applications sur un circuit WAN. Ils sont transparents pour les
terminaux (clients et serveurs) ainsi que les périphériques WAAS / Akamai Connect.
Cisco WAAS Architecture
La plate-forme Cisco Linux héberge une variété de services pour l'exécution de WAAS.
Elles comprennent le cryptage de disque, le CMS, le gestionnaire d'interface, les
fonctions de reporting, l'interception et le contournement de réseau, le moteur de
règles de trafic applicatif et les services de virtualisation intégrés au noyau, comme il est
illustré dans la Figure
Figure 11 Architecture WAAS de Cisco
3.4 VPN multipoint dynamique
Le VPN multipoint dynamique (DMVPN) est une solution Cisco qui fournit une
architecture VPN évolutive. DMVPN utilise l'encapsulation de routage générique (GRE)
pour le tunneling, le protocole NHRP (Next Hop Resolution Protocol) pour le transfert à
la demande, et IPsec pour fournir un réseau de recouvrement sécurisé pour pallier les
insuffisances des tunnels VPN de site à site.

38. 38
3.4.1 Pourquoi le DMVPN ?
DMVPN offre plusieurs avantages aux administrateurs réseau tel que :
• Provisionnement sans contact : les concentrateurs DMVPN ne nécessitent pas
de configuration supplémentaire lorsque des nouveaux sont ajoutés. Ces hubs
peuvent utiliser une configuration de tunnel modélisée.
• Déploiement évolutif : un peering minimal et un état permanent minimal sur les
routeurs permettent une mise à l'échelle massive. L'échelle du réseau n'est pas
limitée par les périphériques physiques, virtuels ou logiques.
• Tunnels de type "Spoke-to-spoke » : DMVPN fournit une connectivité "full-
mesh" tout en configurant uniquement le tunnel "spoke-to-hub" initial. Les
tunnels dynamiques de type « hub à hub » sont créés au besoin et détruits
lorsqu'ils ne sont plus nécessaires. Il n'y a pas de perte de paquets lors de la
construction de tunnels dynamiques à la demande à un hub après
l'établissement des tunnels initiaux. Un hub maintient les états d'acheminement
uniquement pour les hubs avec lesquels il communique.
• Topologies de réseau flexibles : l'opération DMVPN ne fait aucune hypothèse
rigide concernant les topologies de plan de contrôle ou de superposition de plan
de données. Le plan de contrôle DMVPN peut être utilisé dans un modèle
hautement distribué et résilient qui permet une échelle massive et évite un seul
point de défaillance ou d'encombrement. À l'autre extrême, il peut également
être utilisé dans un modèle centralisé pour un seul point de contrôle.
3.4.2 Principe de fonctionnement de DMVPN
3.4.2.1. Tunnels génériques d'encapsulation de routage (GRE)
Un tunnel GRE fournit la connectivité avec une grande variété de protocoles de couche
réseau en encapsulant et en transférant ces paquets sur un réseau IP. L'utilisation
originale des tunnels GRE était de fournir un mécanisme de transport pour les
protocoles hérités non routables tels que DECnet, l'architecture de réseau de systèmes
(SNA), ou IPX.

39. 39
Les tunnels GRE ont été utilisés comme une solution de contournement rapide pour les
conceptions de routage incorrect, ou comme une méthode pour passer le trafic à travers
un pare-feu ou une liste de contrôle d'accès. DMVPN utilise l'encapsulation multipoint
GRE (mGRE) et prend en charge les protocoles de routage dynamique, ce qui élimine la
plupart des problèmes de support associés aux autres technologies VPN. Les tunnels
GRE sont classés comme réseau de superposition car ils sont situés au-dessus d'un
réseau de transport existant, également connu sous le nom de réseau sous-jacent.
Des informations d'en-tête supplémentaires sont ajoutées au paquet lorsque le
routeur encapsule le paquet pour le tunnel GRE. Les nouvelles informations d'en-tête
contiennent l'adresse IP du destination. Les nouveaux en-têtes IP permettent au paquet
d'être acheminé entre les deux extrémités du tunnel sans inspection de la charge utile
du paquet. Une fois que le paquet atteint le point de terminaison distant, les en-têtes
GRE seront supprimés et le paquet d'origine sera transféré entre les routeurs du LAN
comme indique La figure 12 représente la création du tunnel
Figure 12 Les tunnels hub-et-spoke et les tunnels spoke-à-spoke
3.4.2.2 Protocole de résolution du prochain saut (NHRP)
Le protocole de résolution du prochain saut (NHRP) est une extension du mécanisme
de routage ATM ARP qui est parfois utilisé pour améliorer l'efficacité du routage du trafic
informatique sur les réseaux NBMA (Non-Broadcast, Multiple Access. Il peut être utilisé
par un expéditeur pour déterminer un itinéraire avec le plus petit nombre de sauts à un
récepteur.

40. 40
Ce protocole diffère des protocoles de type ARP ce qu'il permet l'optimisation du
routage sur plusieurs sous-réseaux IP. NHRP est implémenté au moyen de serveurs de
saut suivant dans les sous-réseaux IP.
NHRP est un protocole client-serveur qui permet aux périphériques de s'enregistrer sur
des réseaux directement connectés. Les serveurs NHRP (Next-Hop Servers) sont chargés
d'enregistrer les adresses ou les réseaux, de maintenir un référentiel NHRP et de
répondre aux requêtes reçues par les clients du prochain saut (NHC). Le NHC et le NHS
sont de nature transactionnelle.
DMVPN utilise des tunnels GRE multipoint, ce qui nécessite une méthode de mappage
entre les adresses IP de tunnel et l'adresse IP physique. Les hubs DMVPN (NHC) sont
configurés de manière statique avec l'adresse IP des concentrateurs (NHS) afin qu'ils
puissent enregistrer leur adresse IP de tunnel et de NBMA (transport) avec les hubs
(NHS). Lorsqu'un tunnel de hub à hub est établi, les messages NHRP fournissent les
informations nécessaires pour que les hubs se localisent afin qu'ils puissent construire
un tunnel DMVPN de hub à hub. Les messages NHRP permettent également à un hub de
localiser un réseau distant.
Dans la figure ci-dessous le routeur R2 envoie une requête NHRP de type NHRP request
au serveur NHS pour demander l’adresse physique de tunnel désiré afin de créer un
tunnel mGRE

41. 41
Figure 13 : les paquets NJRP
3.4.3 Sécurisation des tunnels DMVPN
Les tunnels DMVPN ne sont pas cryptés par défaut, mais ils peuvent être cryptés par
IPsec. Lorsque IPsec est intégré, les tunnels DMVPN cryptés fournissent un transfert
totalement sécurisé sur tout le WAN avec les fonctions suivantes :
• Authentification de l’origine : l'authentification de l'origine est effectuée par la
clé pré-partagée (statique) ou par authentification basée sur une certificat
(dynamique).
• Confidentialité des données : Une variété d'algorithmes de cryptage sont utilisés
pour préserver la confidentialité.
• Intégrité des données : les algorithmes de hachage garantissent que les paquets
ne sont pas modifiés lors de son transmet.
• Détection de relecture : elle offre une protection contre les pirates tentant de
capturer et d'insérer du trafic réseau.
• Réinitialisation périodique : de nouvelles clés de sécurité sont créées entre les
points de terminaison à chaque intervalle de temps spécifié ou dans un volume
de trafic spécifique.

42. 42
La figure ci-dessous montre les déférentes entêtes ajoutés à chaque phase de transfert
Figure 14 Entête de paquet DMVPN
Conclusion
Après avoir expliqué les notions théoriques dans ce chapitre, on va décrir avec plus de
détail la partie pratique tout en expliquant brièvement la configuration de chaque
routeur.

43. 43
Chapitre 4 : Réalisation
Introduction
Dans ce chapitre nous allons mettre en évidence la partie pratique après avoir présenté la
partie théorique tout au long de chapitre conception. Nous allons vous présenter les différentes
taches réalisées ainsi que la configuration des différents éléments de notre solution pour
atteindre notre objectif.
4.1 L’environnement de travail
4.1.1 GNS3
Comme en d´développement d’applications, l’implémentation des architectures de
systèmes et réseaux n´nécessite de le simuler avant le lancement en production. Pour cela,
on a choisi de travailler avec le simulateur GNS3 (Graphical Network Simulator). Cet outil
simple et intuitif et permet d'installer les équipements réseaux et les configurer, tester nos
travails. En effet, le simulateur GNS3 permet également de connecter un superviseur de
machines virtuelles depuis Vmware ou virtualbox.
4.1.2 VMware Workstation
VMware Workstation est une plate-forme de virtualisation qui permet de faire cohabiter
différents systèmes d’exploitation sur une machine physique. Nous nous sommes servis de
VMware pour gérer notre équipements réseau à partir d'un serveur GNS VM dont le but de
virtualiser nos équipements du travail tel que les machines, les routeurs, etc.

44. 44
Virtualisez un appareil sur GNS3 avec GNS3 VM
Il s’agit d’un serveur GNS3 installé sur une machine Linux (Ubuntu). Nous avons installé GNS3
sur VM pour plusieurs raisons :
• GNS3 utilise des fonctions issues du monde de Linux. Sous Windows ou Mac, ses
fonctions peuvent être mal interprétées. Le serveur étant sous Ubuntu, cela
permet à GNS3 d’exécuter ses fonctions avec plus de performance
• Il utilise la puissance des logiciels de VMware et Oracle VirtualBox. Son rendement
est élevé à la simple émulation.
• Le cloisonnement offert par VMware ou VirtualBox évite les risques de fuites
mémoire ce qui n’est pas le cas de l’émulation.
Simplement GNS3 VM est une méthode utilisée par les développeurs de GNS3 pour
contourner quelques problèmes (de gestion de RAM entre autres) inévitables lorsque l’on
veut simuler une architecture réseau sur un PC qui n’a pas été conçu pour ça.
4.2 Plan prévu
Le tableau suivant représente le plan prévu définie dans le but de l´implémentation de la
technologie IWAN de Cisco et l'optimisation du trafic en appliquant la technique PfR Aussi que la
phase de la rédaction du rapport.

45. 45
Tableau 2 plan prévu
4.3 la configuration du l’architecture existante
Tout d’abord nous allons commencer par configurer le backbone manuellement et affecter les
adresses aux routeurs (qui sont généralement élaborées par Tunisie télécom TT, et près d'être
utilisé automatiquement sans modification ou configuration). La construction de la topologie
MPLS simple ci-dessous consiste en un noyau MPLS à 3 routeurs et quatre sites distants dans le
même VRF exécutant OSPF que le protocole de routage entre les routeurs PE et les routeurs CE.
Figure 15 architecture MPLS existante
4.3.1 Adressage IP de MPLS Core et OSPF

46. 46
Nous avons configuré les routeurs et activer le protocole de routage OSPF en utilisant le
numéro de processus 100 et area 0 sur tous les interfaces pour assurer une connectivité entre
PE1, PE2 et PE3 et aussi sur les interfaces de loopback car une interface de bouclage est très utile
dans une situation où vous voulez l’utiliser comme ID de routeur dans le routage OSPF. C’est-à-
dire, lorsque l’interface réelle est en panne, on peut tester la connectivité avec l’interface de
bouclage. Maintenant nous avons une connectivité IP complète entre les trois routeurs PE pour
vérifier on exécute la commande ping dans les routeurs PE ou bien afficher la table de routage,
mais le fait que nous pouvons effectuer un ping entre les boucles est suffisante. la table de
routage de PE1 qui vérifie la connectivité ci-dessous :
Figure 16 Table de routage de routeur de PE1
4.3.2 Configurer LDP/mpls sur toutes les interfaces du backbone MPLS
Pour lancer MPLS, vous devez l’activer, il y a deux façons de le faire :
• A chaque interface, entrez la commande mpls ip
• Sous le processus OSPF, utilisez la commande mpls ldp autoconfig mpls
Nous avons utilisé la première option, cela permettra la distribution de protocole
d’étiquettes MPLS sur chaque interface. On résumé, on a affecté les adresses IP de chaque
interface dans le noyau MPLS et activer OSPF pour assurer la connectivité IP complète entre tous
les routeurs.
L’étape suivante consiste à configurer BGP entre les routeurs PE.

47. 47
4.3.3 Configuration MPLS/BGP entre les PE
Une session BGP a été établi entre les routeurs PE1, PE2 et PE3, en configurant une famille
d’adresses VPNV4. Pour vérifier la session BGP, il faut taper : sh bgp vpnv4 unicast all summary
sur un des routeurs PE. Vous pouvez voir ici que nous avons un bgp vpnv4 peering à PE3 et PE2.
La même chose pourra être faite sur les routeurs PE3 et PE2
Figure 17 la table de routage de BGP
4.3.4 configuration des routeurs CE et création des VRF
Nous avons ajouté quatre routeurs à la topologie, qu’ils sont connectés comme suit :
• CE1 est connecté à PE1 avec une plage d’adresse (192.168.1.0/24).
• CE2 est connecté à PE3(192.168.100/24).
• CE3 et CE4 sont connectés à PE2 avec les adresses respectives (192.168.46.0/24) et
(192.168.16.0/24).
Figure 18 Le backbone MPS avec les sites distants

48. 48
Les routeurs CE1(DCI), CE2(ARIANA), CE3(SOUSSA), CE4(NABEUL) seront configurés avec OSPF en
utilisant le numéro de processus 2. Ils sont aussi connectés aux sites distants avec les adresses
suivantes comme indique la figure 18:
• DCI (10.20.255.0/24)
• ARIANA (172.30.10.0/24)
• SOUSSA (172.30.46.0/24)
• NABEUL (172.30.16.0/24)
La configuration du VRF a été établi comme suit :
• Configuration du VRF sur les routeurs PE.
•Mettre l’interface extérieur des routeurs PE qui sont connectés avec les routeurs CE
dans ce VRF en utilisant la commande ip vrf forwarding CNSS
• Activer OSPF sur cette interface avec un numéro de processus 2 et area 0 pour
connecter les réseaux LAN avec le WAN MPLS
4.3.5 La configuration des sites distants
Cette étape consiste a activé le protocole OSPF dans les différents sites distants de CNSS pour
assurer une connectivité totale
Finalement la figure ci-dessous représente notre architecture existant de CNSS qui sera
modifié selon nos besoins dans la deuxième partie manque de contrôle de trafic,de sécurité et
de confidentialité .
Figure 19 L’architecture WAN existant dans le CNSS

49. 49
4.4 Configuration et implémentation du solution IWAN
Après l'installation du GNS3 et VMWARE Workstation, il faut bien choisir l'équipements
réseaux qui support Cisco IWAN. Le routeur Cisco ISR 1K ou 4K est recommandé par Cisco pour
notre solution.
Figure 20 Routeur ISR et ses couches
Les caractéristiques minimales requises pour la machine virtuelle qui déploie la plate-forme
ISR sont :
• Mémoire vive de 4 GB
• Mémoire disque de 200 GB
• 4 processeurs (CPUs)
• Deux cartes réseaux (2 NIC)

50. 50
4.4.1 Protocole de routage
Enhanced Interior Gateway Routing Protocol (EIGRP) est un protocole de routage développé par
Cisco pour optimiser l’instabilité de routage à cause de changement de topologie, l'utilisation de
la bande passante et la puissance du processeur du routeur. EIGRP est plus performant que
l’OSPF comme le montre le tableau suivant :
OSPF EIGRP
interior gateway protocol (IGP)/ External
gateway protocol (EGP)
IGP IGP
Famille Etat de
lien
Vecteur de distance
Distance administrative 110
90
(Routes internes)
170
(Routes externes)
Métrique (La métrique est utilisée pour
sélectionner le meilleur itinéraire pour
atteindre un sous-réseau, et la métrique
inferieure est considérée comme meilleure.)
Cout
-Bande passante
-délai
-fiabilité
-charge
Algorithme SPF DUAL
Décomposition du réseau Notions d’aires
(area)
Notion de AS
Temps de mise `a jour Notions d’aires (area) Seulement s’il y a de
changement
Convergence Seulement s’il y a de
changement
Très Rapide
Tableau 3 La Différence entre EIGRP et OSPF

51. 51
4.4.2 la configuration du DMVPN
Nous commençons par la configuration du DMVPN sur le réseau pour avoir des tunnels
connectés directement entre les routeurs du sites distants (Hub-spokes) et (spoke-spoke).
La technologie DMVPN réduit le besoin de configurer une maille pleine des tunnels
statiques, nous avons qu’un seul tunnel mGRE sur le Hub. Les tunnels sont ensuite montés à
la demande entre les diésèrent nœuds, selon le trafic, entre les spokes.
Pour configurer les routeurs on doit :
1. Activer l’interface tunnel et lui attribuer une adresse IP.
2. Définir l’interface source que l’interface du tunnel utilisera pour le tunneling
3. Définir le mode d’encapsulation sur GRE multipoint, pour permettant la création
d’un trafic dynamique
4. Désactiver le split horizon concentrateur pour éviter les collisions (les boucles)
5. Associe à l’interface du tunnel un profil IPSec pour l’utiliser à la phase de cryptage
des données. Il faut créer le profil IPsec avant l’attribuer à l’interface tunnel.
Alors, nous avons créé un tunnel 1 du DCIHUB1 avec une adresse 10.1.1.1 et un tunnel2 du
DCIHUB2 avec une addresse 172.16.1.1 qui sont reliées dynamiquement vers les spokes
comme vous voyez dans la figure ci-dessous et même configuration pour les tunnels des
spokes mais en spécifiant l’adresse source du hub et l’adresse de tunnel du HUB :

52. 52
La figure ci-dessous montre Les tunnels du Hub de DCI avec les tunnels de succursale qui sont
configurés statiquement
Figure 21 Les tunnels de la DCIHUB1
La figure ci-dessous indique que le spoke ARIANA demande le mapping NBMA-to-VPN de
SOUSSE avec le Hub afin de construire un tunnel spoke-to-spoke.
Figure 22 Le message nhrp Resolution request entre ARIANA et SOUSSA

53. 53
La figure ci-dessous indique le chemin du traffic entre PC8 (Ariana) et PC6 (Sousse) à travers le
DMVPN de DCIHUB2 sans avoir compte de l’architecture WAN
Figure 23 Le trace du paquet de Ariana vers Sousse à travers le tunnel 2
4.4.2 La configuration de DMVPN/IPESEC
L’objectif principal du IPsec est le chiffrement des données et le garanti de la
confidentialité, l’intégrité et l’authenticité des données en chiffrant les paquets IP
transmis sur le réseau.
Afin d’assurer la s´sécurité du traffic transféré sur le réseau WAN de la CNSS et de
garantit qu’il n’est pas envoyé en texte clair, il faut configurer les routeurs pour crypter
les données avant de transmettre dans les tunnels en activant la stratégie ISAKMP
(Internet Security Association and Key Management Protocol)
Après cette étape, tout le trafic sera crypté et seulement les hubs peuvent les
déchiffrer pour voir son contenu. Les paquets sont envoyer avec le protocole ESP
(Encapsulating Security Payload) comme l’indique la figure 24 :

54. 54
Figure 24 trafic crypté entre les spokes
4.4.3 Implémentation du PfR
PfR est un mécanisme de contrôle de chemin intelligent pour améliorer la livraison des
applications et l’éfficacité du WAN. Dans la première phase, il faut affecter à chaque
routeur son rôle dans le réseau et lui indiquer son routeur maitre. Ensuite, on doit
définir les stratégies de contrôle que tous les routeurs doivent l’appliquer.
A. Configuration des routeurs et leurs rôles
Il existe quatre rôles diésèrent qu’un routeur peut jouer dans la configuration PfR :
• Hub-master controller (MC) :
Contrôleur maitre sur le site concentrateur, qui peut être un centre de données ou
un quartier général. Toutes les stratégies sont configurées sur le contrôleur hub-
master. Il agit en tant qu’un contrôleur principal pour les déférents sites.
• Hub-border router (BR) :
Ils sont dans le chemin de transmission de données. Les BR collectent les données à
partir de leur cache Performance Monitor et les résultats de la sonde intelligente, en
fournissant un certain degré d'agrégation de ces informations de plus ils influencent
le chemin des paquets comme est indiqué par le contrôleur de gestion local du site .

55. 55
• Branch-master controller (BMC) :
Le contrôleur de dérivation-maitre est le contrôleur maitre dans le site de la
succursale. Il n’y a pas de configuration de stratégie sur cet appareil. Il reçoit la
stratégie via le contrôleur hub-master. Cet appareil agit comme un contrôleur
principal dans le site de la succursale et prend les décisions d’optimisations.
• Branch- border router :
Le périphérique frontalier sur le site de la succursale. Il n’y a pas de configuration
autre que l’activation du contrôleur frontalier PfRv3 sur l’appareil. L’interface WAN
qui se termine sur l’appareil est détectée automatiquement.
Noté bien que les routeurs des succursales peuvent jouer deux rôles en même temps, en
combinaison avec les rôles de le Branch-master controller et Branch- border router comme ce
qu’on a fait dans notre projet ceci est représenté dans cette figure
Figure 25 les composant du PfR

56. 56
B. Définir Les stratégies de domaine
Les stratégies de domaine sont définies uniquement sur le contrôleur hub master,
puis envoyées via une infrastructure de peering à tous les contrôleurs de branche.
Les politiques peuvent être définies selon l’application ou par point de code de
service déférencié (DSCP). Vous ne pouvez pas mélanger et associer DSCP et des
stratégies basées sur des applications dans le même groupe de classes. Le trafic qui
ne correspond pas à aucun classements est compté dans un groupe par défaut.
Le tableau suivant représente un exemple de modèles de stratégie de domaine pour
optimiser le trafic selon notre besoin comme la voie, streaming, e-mail, etc.
Figure 26 Exemple de Stratégies de domaine

57. 57
Conclusion
Tout au long de ce chapitre nous nous sommes concentrés sur la partie pratique de
notre travail en essayant de vous expliquer de manière claire et simple toutes les
approches et les configuration les plus importantes que nous avons exécuté afin d
atteindre notre objectif en alternant entre la citation des principes de fonctionnement et
celle des configuration appliquées, tout en illustrant avec les figures explicatives.

58. 58
Conclusion Générale
Au cours de ce projet qui a été réalisé au sein de la Caisse Nationale de S´sécurité
Sociale(CNSS), et pour répondre aux besoins de sécuriser et protéger les ressources vitales et
critiques, d’une manière continue et optimisée, nous avons mis en place une solution
d’optimisation et d’amélioration des performances et de la sécurité.
Pour atteindre l’objectif de ce projet nous avons choisi la solution IWAN. Dans un premier lieu,
nous avons fait une étude sur les technologies d’optimisation de WAN existant sur le marché et
nous avons choisi la solution adéquate pour l’implémenter. Ensuite, nous avons critiquer
l’architecture existant de la CNSS et on a analyser notre besoin pour l’améliorer.
Parmi les difficultés que nous avons rencontré face à l’implémentation de notre solution sont les
limitations des performances des ressources en mémoire car le gns3 et les équipements simulés
sont très gourment coté ressources physiques. Aussi à cause du manque du temps nous avons
rencontré assez des problèmes qui nous a empêchée de terminer les dernières parties de la
réalisation du projet.
Ce projet a été très enrichissant puisqu’il nous permet de découvrir de nouvelles méthodes et
technologies et approfondir nos connaissances des systèmes de sécurité et d’optimisation et de
contrôle.

59. 59
Bibliographie
[1] Intelligent WAN Technology Design Guide,
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVDIWANDesignGuide-
JAN15.pdf
[2] Cisco IOS DMVPN Overview,
https://www.cisco.com/c/dam/en/us/products/collateral/security/dynamic -multipoint-vpn-
dmvpn/DMVPN-Overview.pdf
[3] Dynamic Multipoint VPN Configuration Guide Cisco IOS Release 15M&T,
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec-conn-dmvpn/configuration/15-mt/sec-
conn-dmvpn-15-mt-book.pdf
[4] Cisco Dynamic Multipoint VPN : Simple and Secure Branch-to-Branch Communications Data
Sheet, https://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipointvpn-
dmvpn/data-sheet -c78-468520.html
[5] Performance Routing Version 3 Configuration Guide,
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/pfrv3/configuration/xe-3s/pfrv3-xe-3s-
book/pfrv3.html
[6] Performance Routing Version 3 Workflow and Operation Guide,
https://www.cisco.com/c/dam/en/us/td/docs/ios-xml/ios/pfrv3/configuration/workflow/pfrv3-
work-flow-guide.PDF
[7] Introduction a` IWAN et a` PfRv3, https://www.cisco.com/c/fr-ca/support/docs/ios-nx-os-
software/performance-routing-pfr/200281-Introduction-To-IWAN-And-PfRv3.pdf
[8] Enterprise Pursuit of Secure MPLS Networks,
https://www.business.att.com/content/whitepaper/MPLSandSecurity.pdf
[9] Intelligent WAN Design Summary,
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Sep2017/CVD-IWANDesign-
SEP2017.pdf
[10] Transport-Independent Design: Virtualize Your WAN Infrastructure for Any Transport
Service,
https://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/intelligent

60. 60

61. 22080:71 706 164:71 706 698:ISI@isim.rnu.tn
Tél. 71 706 164 Fax : 71 706 698 Email : ISI@isi.rnu.tnAbou Raihane Bayrouni 2080 l'Ariana
‫تلخيص‬
‫الجامعية‬ ‫للسنة‬ ‫لإلعالمية‬ ‫ي‬‫العال‬ ‫بالمعهد‬ ‫الدروس‬ ‫ختم‬ ‫تربص‬ ‫ضمن‬ ‫وع‬ ‫ر‬‫المش‬ ‫هذا‬ ‫يندرج‬
2017/2018.‫والحماية‬ ‫الشبكات‬ ‫إدارة‬ ‫ي‬‫ف‬ ‫التطبيقية‬ ‫االجازة‬ ‫عىل‬ ‫للتحصل‬ ‫وذلك‬‫هذا‬ ‫أنجز‬ ‫وقد‬
‫ب‬ ‫وع‬ ‫ر‬‫المش‬‫ي‬‫االجتماع‬ ‫للضمان‬ ‫ي‬‫الوطن‬ ‫الصندوق‬‫طريق‬ ‫عن‬ ‫كة‬ ‫ر‬‫للش‬ ‫اإلعالمية‬ ‫الشبكة‬ ‫تحسي‬ ‫هدفه‬
‫ي‬‫الذك‬ ‫الوان‬ ‫حل‬ ‫تثبيت‬‫قد‬‫و‬‫لسيسكو‬‫س‬.‫ن‬.‫ج‬ ‫ي‬‫محاك‬ ‫طريق‬ ‫عن‬ ‫وع‬ ‫ر‬‫المش‬ ‫هذا‬‫أنجز‬3
‫كلمات‬‫مفاتيح‬:‫س‬.‫ن‬.‫ج‬ ‫ي‬‫محاك‬3,‫لسيسكو‬ ‫ي‬‫الذك‬ ‫الوان‬
Résumé:
Ce travail s’inscrit dans le cadre de l’accomplissement de notre Projet de Fin d’Études à
l’Institut Supérieur d’Informatique pour l’année universitaire 2017-2018 dont le but
d’obtenir la License appliqué en administration des réseaux et sécurité. Ce stage a eu
lieu a la CNSS ayant comme objectif l’implémentation de la solution WAN intelligent de
Cisco pour optimiser l’architecture WAN . Ce projet est réalisé en utilisant la simulateur
GNS3
Mots clès: WAN intelligent de Cisco , GNS3
Abstract:
This work is a part of the accomplishment of our End of Studies Project at
the Higher Institute of Computer Science for the academic year 2017-2018
in order to have the applied License in network administration and security.
This project has been realized at CNSS having as an objective the
implementation of the solution Intelligent WAN to optimize the
architecture of WAN. This project is realized using the GNS3 simulator
Keywords: Intelligent WAN , GNS3 , IWAN