MPLS : quelle est cette tech­no­lo­gie ?

Il existe es­sen­tiel­le­ment deux types de trans­mis­sion de données : avec le transfert de données sans connexion, les données peuvent être envoyées au système cible depuis le terminal souhaité à tout moment et sans limite, sans que le chemin des paquets ne soit fixé à l’avance. Chaque nœud de réseau in­ter­mé­diaire (il s’agit ha­bi­tuel­le­ment d’un routeur) sait au­to­ma­ti­que­ment comment trans­fé­rer le flux des données. Le chemin de trans­mis­sion sans connexion offre lui une grande flexi­bi­lité, mais ne garantit pas la dis­po­ni­bi­lité des res­sources né­ces­saires.

En revanche, dans le cadre d’une trans­mis­sion orientée connexion, le chemin des paquets de données est déjà spécifié dès le début. Les nœuds de réseau impliqués (ha­bi­tuel­le­ment les com­mu­ta­teurs, en anglais switch), reçoivent les in­for­ma­tions ap­pro­priées pour trans­mettre les données de la station pré­cé­dente jusqu’à ce qu’à la fin du chemin, et les paquets arrivent sur l’or­di­na­teur cible. Ceci permet d’accélérer con­si­dé­ra­ble­ment le processus de routage long et fas­ti­dieux né­ces­saire à la trans­mis­sion sans connexion. De plus, les res­sources réseau dis­po­nibles peuvent être con­trô­lées de manière optimale et dis­tri­buées aux par­ti­ci­pants in­di­vi­duels. Le Mul­ti­pro­to­col Label Switching (MPLS) rend cela possible même pour les réseaux TCP/IP, bien que ceux-ci ap­par­tien­nent en fait à la catégorie des réseaux sans connexion.

Au milieu des années 1990, les grands réseaux de com­mu­ni­ca­tion étaient encore ca­rac­té­ri­sés par une pro­por­tion beaucoup plus élevée de com­mu­ni­ca­tions vocales (té­lé­pho­nie) que de com­mu­ni­ca­tions de données (Internet). À cette époque, les opé­ra­teurs de té­lé­com­mu­ni­ca­tions ex­ploi­taient encore des réseaux distincts pour les deux types de trans­mis­sion, mais d’une part cela coûtait cher, et d’autre part ne ga­ran­tis­sait pas une qualité de service (QDS, en l’anglais QoS Quality of Service) globale. Les réseaux vocaux de haute qualité, orientés connexion, con­tras­taient avec les réseaux de données sans connexion, qui ne dis­po­saient pas de la bande passante né­ces­saire. L’in­tro­duc­tion du protocole ATM (Asyn­chro­nous Transfer Mode) a largement résolu ce problème en per­met­tant la trans­mis­sion de la voix et des données via une in­fras­truc­ture commune. Toutefois, ce n’est qu’à la fin des années 1990, que le Mul­ti­pro­to­col Label Switching a apporté la solution pour utiliser ef­fi­ca­ce­ment les bandes passantes dis­po­nibles.

Pour ce faire, MPLS a fi­na­le­ment soulagé les systèmes de routage sur­char­gés : au lieu de définir le trajet optimal d’un paquet de données par les dif­fé­rentes stations in­ter­mé­diaires, comme c’était le cas au­pa­ra­vant, la nouvelle procédure offrait la pos­si­bi­lité de pré­dé­fi­nir des chemins qui dé­ter­mi­nent le trajet d’un paquet depuis le point d’entrée (ingress router) au point de départ (egress routeur). Les stations in­ter­mé­diaires (label switcher router) re­con­nais­sent ces chemins en évaluant les éti­quettes (les labels) qui con­tien­nent les in­for­ma­tions d’ache­mi­ne­ment et de service ap­pro­priées et qui sont affectées au paquet de données cor­res­pon­dant. L’éva­lua­tion s’effectue à l’aide du matériel approprié (par exemple un com­mu­ta­teur/switch) au-dessus de la couche de sécurité (layer 2), tandis que le routage fas­ti­dieux sur la couche de com­mu­ta­tion (layer 3) n’est plus né­ces­saire.

Grâce à l’extension Ge­ne­ra­li­zed MPLS, la tech­no­lo­gie dé­ve­lop­pée à l’origine uni­que­ment pour les réseaux IP, est désormais dis­po­nible pour d’autres types de réseaux comme SONET/SDH (Syn­chro­nous Optical Net­wor­king / Syn­chro­nous Digital Hierarchy) ou WSON (Wa­ve­length Switched Optical Netwoork).

L’uti­li­sa­tion de MPLS dans les réseaux IP nécessite une in­fras­truc­ture logique et physique composée de routeurs com­pa­tibles MPLS. La procédure d’éti­que­tage fonc­tionne prin­ci­pa­le­ment au sein d’un système autonome (AS), un ensemble de dif­fé­rents réseaux IP, qui sont gérés en tant qu’unité et qui sont connectés via au moins un Interior gateway protocol (IGP) commun. Les ges­tion­naires de ces systèmes sont gé­né­ra­le­ment des four­nis­seurs d’accès Internet, des uni­ver­si­tés ou des en­tre­prises in­ter­na­tio­nales. 

Avant que les chemins in­di­vi­duels puissent être con­fi­gu­rés, le protocole IGP utilisé doit s’assurer que tous les routeurs du système autonome peuvent se rejoindre. Les éléments es­sen­tiels des trajets, aussi appelés Label Switched Path (LSP), sont ensuite dé­ter­mi­nés. Ces routeurs men­tion­nés pré­cé­dem­ment (ingress router et egress router) sont gé­né­ra­le­ment situés aux entrées et sorties d’un système. Les LSP sont ensuite activés ma­nuel­le­ment, semi au­to­ma­ti­que­ment ou com­plè­te­ment au­to­ma­tique :

• Con­fi­gu­ra­tion manuelle : chaque nœud traversé par un LSP doit être configuré in­di­vi­duel­le­ment, cette procédure est inef­fi­cace pour les grands réseaux.
• Con­fi­gu­ra­tion semi-au­to­ma­tique : seules quelques stations in­ter­mé­diaires (par exemple, les trois premiers hops/sauts) doivent être con­fi­gu­rées ma­nuel­le­ment, tandis que les autres LSP reçoivent leurs in­for­ma­tions de l’Interior Gateway Protocol. 
• Con­fi­gu­ra­tion au­to­ma­tique : avec la variante en­tiè­re­ment au­to­ma­tique, le protocole IGP détermine le chemin en entier, mais cependant aucune op­ti­mi­sa­tion n’est réalisée. 

Les paquets de données envoyés dans un réseau MPLS configuré reçoivent du routeur d’entrée (ingress router) un en-tête MPLS sup­plé­men­taire. Ce dernier est inséré entre les in­for­ma­tions de la deuxième et de la troisième couche, c’est ce que l’on nomme aussi « Push Operation ». Sur le chemin de trans­mis­sion, les dif­fé­rents sauts (hops) impliqués échangent l’étiquette par une variante adaptée avec leurs propres in­for­ma­tions de connexion (latence, bande passante et hop cible), cette méthode est cou­ram­ment appelé « Swap Operation ». À la fin du chemin, le label dans le cadre de la « Pop Operation » est retiré de l’en-tête IP.

Les 32 bits sup­plé­men­taires du MPLS Label Stack Entry ajoutent quatre in­for­ma­tions à un paquet IP pour le prochain saut réseau (network hop) :

• Label : le label contient les in­for­ma­tions de base de l’entrée MPLS, c’est pourquoi il s’agit du composant le plus grand avec une longueur de 20 bits. Comme nous l’avons mentionné plus haut, un label sur le chemin est toujours unique et ne sert donc qu’a la médiation entre deux routeurs spé­ci­fiques. Il est ensuite adapté en con­sé­quence pour la trans­mis­sion des données à la station in­ter­mé­diaire suivante.
   
• Traffic Class (TC) : l’en-tête utilise le champ « Traffic-Class » pour trans­mettre des in­for­ma­tions sur les Dif­fe­ren­tia­ted Services (DiffServ). Ce schéma peut être utilisé pour clas­si­fier les paquets IP afin d’assurer le Quality of Service (QoS). Par exemple, les 3 bits peuvent indiquer au réseau Scheduler s’il doit prioriser un paquet de données ou le traiter comme su­bor­donné.
   
• Bottom of Stack (S) : ceci définit si le chemin de trans­mis­sion sous-jacent est un chemin simple ou si plusieurs LSP sont imbriqués. Dans ce dernier cas, un paquet peut aussi recevoir plusieurs labels qui sont combinés dans le Label Stack (pile de labels). Le Bottom of Stack-Flag informe alors le routeur que d’autres labels suivront, ou alors l’entrée contient le dernier label MPLS de la pile.
   
• Time to live (TTL) : les 8 derniers bits de l’entrée « MPLS Lable Stack » indiquent la durée de vie du paquet de données. À cette fin, ils con­trô­lent le nombre de routeurs que le paquet peut encore exécuter sur le chemin (la limite est de 255 routeurs).

Dans les années 1990, MPLS a aidé les four­nis­seurs d’accès à dé­ve­lop­per ra­pi­de­ment leurs réseaux. Cependant, l’avantage de la vitesse initiale pour le transfert de données a été relégué au second plan grâce à la nouvelle gé­né­ra­tion de routeurs haute per­for­mance avec pro­ces­seurs réseau intégrés. Cependant, en tant que procédure qui peut garantir la qualité de service (QoS), elle est encore utilisée aujourd’hui par de nombreux four­nis­seurs. Il s’agit de ce que l’on nomme l’in­gé­nie­rie de trafic (ou Traffic En­gi­nee­ring) : un processus de contrôle et d’op­ti­mi­sa­tion des flux de données. Outre la clas­si­fi­ca­tion des con­nexions de données in­di­vi­duelles, une analyse des bandes passantes et des capacités des dif­fé­rents éléments du réseau est également effectuée. Sur la base des résultats, la charge de données peut alors être répartie de manière optimale pour renforcer l’ensemble du réseau.

Un autre domaine d’ap­pli­ca­tion important est celui des réseaux privés virtuels, à savoir les réseaux de com­mu­ni­ca­tion autonomes et virtuels qui utilisent des in­fras­truc­tures de réseaux publics comme Internet comme moyen de transport. De cette façon, les appareils peuvent fusionner dans un réseau sans se connecter phy­si­que­ment les uns aux autres. Il existe prin­ci­pa­le­ment deux types dif­fé­rents de tels réseaux MPLS :

• VPN de couche 2 : les réseaux privés virtuels sur la couche de liaison de données peuvent être conçus pour des con­nexions point à point ou pour l’accès à distance. La couche 2 sert lo­gi­que­ment en tant qu’interface à l’uti­li­sa­teur d’un tel VPN pour con­fi­gu­rer la connexion. Le protocole PPTP (Point-to-point tunneling protocol) ou le protocole L2TP (Layer 2 Tunneling Protocol) servent de pro­to­coles de base. Ceci permet aux four­nis­seurs la pos­si­bi­lité de proposer à leurs clients des services de type SDH et Ethernet.   
   
• VPN de couche 3 : les VPN de couche 3 basés sur le réseau re­pré­sen­tent une solution simple pour les four­nis­seurs afin d’offrir à dif­fé­rents clients des struc­tures de réseau en­tiè­re­ment routées basées sur une in­fras­truc­ture IP unique (in­dé­pen­dam­ment de leurs plages d’adresses IP privées). La qualité de service est garantie par la gestion séparée des clients par des labels MPLS in­di­vi­duels et des chemins de paquets pré­dé­fi­nis. En même temps, les sauts (hops) de réseau sont aussi épargnés du routage.

Les opé­ra­teurs de larges réseaux étendus (Wide Area Network) bé­né­fi­cient d’offres de four­nis­seurs basées sur le Mul­ti­pro­to­col Label Switching, les LSP (Label Switeched Paths) cor­rec­te­ment con­fi­gu­rés op­ti­mi­sent le trafic de données et ga­ran­tis­sent dans la mesure du possible, que tous les uti­li­sa­teurs disposent à tout moment de la bande passante né­ces­saire, tout en mi­ni­mi­sant leurs propres efforts. La procédure est donc aussi une solution adaptée aux réseaux des ad­mi­nis­tra­tions, uni­ver­si­tés et d’en­tre­prises, à condition que le budget né­ces­saire soit dis­po­nible.

Mul­ti­pro­to­col Label Switching, en tant que tech­no­lo­gie pour les réseaux virtuels, est notamment en con­cur­rence avec l’extension de la pile de protocole IP IPsec. L’amé­lio­ra­tion de la sécurité du protocole Internet se ca­rac­té­rise en par­ti­cu­lier par son propre mécanisme de cryptage et son faible coût. Con­trai­re­ment à la méthode MPLS, la mise en œuvre de l’in­fras­truc­ture par IPsec n’est cependant pas la res­pon­sa­bi­lité du four­nis­seur, mais plutôt de l’uti­li­sa­teur. Cela demande un niveau d’effort plus élevé, ce qui donne un avantage à la méthode MPLS. Mais comme l’indique la liste ci-dessous, il n’est pas le seul avantage des réseaux « Label » :

• Faible effort d’ex­ploi­ta­tion : comme la con­fi­gu­ra­tion IP et le routage, l’ex­ploi­ta­tion du réseau MPLS relève de la res­pon­sa­bi­lité du four­nis­seur. En tant que client, vous bé­né­fi­ciez ainsi d’une in­fras­truc­ture prête à l’emploi et vous éco­no­mi­sez beaucoup d’efforts qui seraient autrement né­ces­saires par la mise en place de votre propre réseau.
   
• Per­for­mances de premier ordre : les chemins de données pré­dé­fi­nis ga­ran­tis­sent des vitesses de trans­mis­sion très rapides et soumises à de faibles fluc­tua­tions. Les Service Level Agree­ments (SLA) ou accords de niveau de service, conclus entre le four­nis­seur de service et le client ga­ran­tis­sent la bande passante souhaitée et une as­sis­tance rapide en cas de dys­fonc­tion­ne­ment.
   
• Grande flexi­bi­lité : les VPN basés sur le Mul­ti­pro­to­col Label Switching donnent aux four­nis­seurs d’accès Internet une grande marge de manœuvre dans la dis­tri­bu­tion des res­sources, ce qui est aussi rentable pour les clients. De cette façon, des offres de services très spé­ci­fiques peuvent être convenues et les réseaux peuvent être étendus sans problème et cela à tout moment.
   
• Pos­si­bi­lité de prioriser les services : grâce à l’in­fras­truc­ture MPLS, les four­nis­seurs peuvent offrir dif­fé­rents niveaux de qualité de service. La bande passante louée n’est en aucun cas statique, mais aussi clas­si­fiable (Class of Service). De cette manière, les services souhaités comme la voix sur IP (VoIP) peuvent être priorisés afin de garantir une trans­mis­sion stable.

Les avantages de MPLS et de la tech­no­lo­gie basée sur les réseaux privés virtuels (VPN) sont par­ti­cu­liè­re­ment in­té­res­sants pour les en­tre­prises et les ins­ti­tu­tions qui sont réparties sur plusieurs sites et sou­hai­tent permettre à leurs clients d’accéder à leur réseau. Par con­sé­quent, ces réseaux virtuels sont souvent le premier choix lors de la mise en place d’une in­fras­truc­ture in­for­ma­tique. De cette façon, cela permet aux uti­li­sa­teurs de se regrouper en un seul réseau sans avoir besoin d’une connexion physique et routée sur Internet.

En principe, un Mul­ti­pro­to­col Label Switching VPN n’est dis­po­nible que pour les uti­li­sa­teurs disposant des données cor­res­pon­dantes pour établir une connexion. Cependant, ce seul fait ne rend pas les réseaux virtuels im­per­méables aux accès non autorisés. L’attribut « privé » dans ce type de réseau ne signifie pas la con­fi­den­tia­lité ou le cryptage, mais sim­ple­ment que l’on ne peut accéder aux adresses IP qu’en interne. Sans cryptage sup­plé­men­taire, toutes les in­for­ma­tions sont donc trans­mises en clair. Mais une cer­ti­fi­ca­tion cor­res­pon­dante n’offre pas une pro­tec­tion à 100%, même si le trafic Internet normal via le routeur de transfert (aussi appelé « Provider Edge » PE router), passe entre le réseau MPLS et le LAN de client. Certains risques possibles associés à l’uti­li­sa­tion des in­fras­truc­tures MPLS sont énumérés ci-dessous :

• Les paquets MPLS se re­trou­vent dans le mauvais VPN : les erreurs lo­gi­cielles et de con­fi­gu­ra­tion sont souvent la raison pour laquelle les paquets IP avec des éti­quettes MPLS quittent le VPN et de­vien­nent visibles dans un autre réseau. Dans ce cas, le routeur transmet par erreur les paquets à un système non digne de confiance vers lequel existe un chemin IP. En outre, il est possible que des paquets de données avec des labels modifiés (MPLS label spoofing) puissent être bouclés dans un VPN externe si le Provider Edge Router accepte les paquets cor­res­pon­dants.
   
• Connexion d’un routeur PE non autorisé : si dif­fé­rents VPN sont connectés à l’in­fras­truc­ture MPLS, il y a aussi le risque qu’un Provider Edge non autorisé soit intégré dans le VPN d’un autre client. Ceci peut être causé par une mauvaise con­fi­gu­ra­tion in­vo­lon­taire ou une attaque ciblée. Par con­sé­quent, d’autres attaques basées sur le réseau peuvent être ef­fec­tuées fa­ci­le­ment pour l’uti­li­sa­teur étranger.
   
• La structure logique du réseau du four­nis­seur est visible : si un hackeur obtient un aperçu de la structure logique du réseau MPLS que le four­nis­seur de services a construit, alors les attaques sur le routeur PE sont fortement probables notamment si leurs adresses sont visibles.
   
• Attaque par déni de service sur le routeur : en tant que nœud important pour les réseaux concernés, le Provider Edge Router est une cible par­ti­cu­liè­re­ment vul­né­rable des attaques par déni de service (DoS attack) qui com­pro­met­tent la dis­po­ni­bi­lité du service VPN. Dans ce cas, les mises à jour de routage en continu, par exemple via EIGRP (Enhanced Interior Gateway Routing Protocol) ou OSPF (Open Shortest Path First), peuvent provoquer la surcharge du routeur par le dé­bor­de­ment délibéré de petits paquets de données.

En plus du cryptage, chaque VPN devrait donc disposer de mé­ca­nismes de pro­tec­tion sup­plé­men­taires pour protéger le ou les Provider Edge Router contre les accès et attaques externes. Nous re­com­man­dons la création d’une zone dé­mi­li­ta­ri­sée entre deux pare-feu et l’uti­li­sa­tion de systèmes de sur­veil­lance du réseau. En outre, des mises à jour ré­gu­lières des logiciels et du matériel ainsi que des mesures de sécurité contre l’accès physique non autorisé aux pas­se­relles devraient aussi être la norme.