Beruflich Dokumente
Kultur Dokumente
Ddicaces
2
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Remerciements
3
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Rsum
Jai effectu mon stage de fin dtude au grand sige informatique du Groupe Banque Populaire
Casablanca. Un stage dune dure de 4 mois allant de 17 Fvrier au 13 Juin 2014.
Mon projet intitul migration du rseau IV&D, Intgration Voix et Donnes, connu sous le nom
VoIP, vers la Tlphonie sur IP ToIP.
Afin de minimiser le cot de la tlphonie et donc des liaisons loues offrants le service de
tlphonie, la BP a pens de mettre en place la tlphonie sur IP - ToIP tout en gardant son
architecture de rseau de donnes.
Mon projet en question, consiste tudier, dans un premier temps, cette architecture actuelle, c'est-
-dire le rseau IV&D, en termes dquipements, normes, standards, protocoles utiliss, etc. Ensuite,
dfinir les besoins et les problmes rencontrs, et finalement proposer une nouvelle architecture
ToIP supportant les points cits en dfinissant un cahier de charge.
La BP a lanc un appel doffre et aprs une tude faite sur les solutions proposes, celle de Cisco
propose par la socit Intelcom a t retenue.
Larchitecture ToIP contenant le Cisco Call Manager, qui est solution videmment propritaire,
prsente la BP un grand souci de budget, dautre raisons se prsentent, comme lanciennet des
quipements ainsi la vision de la BP qui a pour but douvrir 100 nouvelles agences chaque annes.
Ces nouvelles agences sont mise en place directement dans la nouvelle architecture ToIP. Ainsi quun
nombre prdtermin dagences sont migres vers la nouvelle architecture chaque anne.
Le problme majeur, cest la communication et linteroprabilit entre deux les deux architectures
existantes, lIV&D et la ToIP. Le projet consiste mettre en place une architecture permettant la
communication entre le monde IV&D et ToIP.
4
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Abstract
I did my training period at the great computer headquarters of the Groupe Banque Populaire in
Casablanca for a period of 4 months from 17 February to June 13, 2014.
My project is about the migration of the network IV&D (integrated voice and data), known as VoIP to
the Telephony over IP - ToIP.
To minimize the cost of telephony and leased links Offerors phone service, BP was thought to
implement the Telephony over IP while keeping its data network architecture.
My project is to study, as a first step, this current architecture, i.e. the network IV&D, in terms of
equipment, norms, standards, protocols, etc. Then, define the needs and the problems encountered,
and finally propose a new architecture VoIP supporting the points cited by setting a charge book.
BP launched an appeal after a study on the proposed solutions and supply, of Cisco, proposed by
Intelcom society, was adopted.
ToIP architecture with Cisco CallManager, presents of BP a greatest budget, for other reasons arise,
such as the age of the equipment and the vision of BP which is designed to open 100 new agencies
every year. These new agencies are implemented directly in the new ToIP architecture. As a
predetermined agencies number are migrated to the new architecture every year.
The major problem is communication and interoperability between the two existing architectures,
the IV&D and the ToIP. The project is to implement an architecture for communication between the
world IV&D and ToIP.
5
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Sommaire
Table des figures ........................................................................................................................ 8
Introduction .............................................................................................................................. 10
3. CoDecs : ........................................................................................................................ 20
6
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
4. Scurit : ........................................................................................................................ 34
Conclusion ................................................................................................................................ 53
Bibliographie ........................................................................................................................... 54
Annexe ...................................................................................................................................... 55
7
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
8
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
CA Certificate Authority
QoSQuality of Service
9
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Introduction
Dans le cadre de mon projet de fin dtudes option Master Systme Microlectronique et
Tlcommunications et lInformatique Industrielle, jai eu loccasion deffectuer un stage au
sein de la Direction Tlcom et Gestion des Infrastructures (DTGI) plus prcisment au
Dpartement Tlcom (DT) de la Banque Centrale Populaire.
A travers ce rapport, je tiens vous prsenter dans un premier temps lorganisme Groupe Banque
Populaire, ainsi quun aperu global sur les quipements, les architectures et les protocoles
associs la Voix sur IP et la Tlphonie sur IP.
10
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
11
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
12
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
I. Prsentation du GBP
Le Groupe Banques Populaires occupe une place de leader dans le secteur bancaire national,
grce ses valeurs institutionnelles de citoyennet et de solidarit, et grce ses performances
renouveles qui justifient un haut niveau de professionnalisme et dthique de ses
comptences humaines et de la qualit de sa gouvernance.
1. Organisation du GBP :
La Banque Centrale Populaire BCP, est un organisme du Groupe Banque Populaire. Ce
dernier cre en vertu du dahir N 1-60-232 du 21 Fvrier 1961.
Sinspirant de lorganisation administrative de la BCP, larchitecture du rseau des
tlcommunications est structure en trois niveaux de ramification, savoir :
13
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Tout au long de mon stage, jtais affect la Division architecture et infrastructures, plus
prcisment au sein de la direction tlcoms et gestion des infrastructures au centre DIOURI
qui reprsente lun des principaux piliers du GBP.
Raison pour laquelle je tiens vous mentionner certains de ses missions :
14
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
15
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
LaVoIP signifie Voice over Internet Protocol ou Voix sur IP. Comme son nom lindique, la
VoIP est une technologie permettant de communiquer via la voix au travers dinternet ou
nimporte quel rseau bas sur le protocole TCP/IP.
Il devenait clair que dans le sillage de cette avance technologique, les oprateurs, entreprises
ou organisations et fournisseurs devaient, pour bnficier de l'avantage du transport unique IP,
introduire de nouveaux services voix et vido. Ce ft en 1996 la naissance de la premire
version voix sur IP appele H.323. Issu de l'organisation de standardisation europenne ITU-T
sur la base de la signalisation voix RNIS (Q.931), ce standard a maintenant donn suite de
nombreuses volutions, quelques nouveaux standards prenant d'autres orientations
technologiques.
Une zone H.323 [1] est un ensemble de terminaux, passerelles (Gateway), ponts de
confrence (Multipoint Control Unit) grs par un mme portier (Gatekeeper) formant ainsi
les entits constitutives du rseau H.323 comme lillustre la figure ci-dessous :
16
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Plus quun protocole, H.323 cre une association de plusieurs protocoles [2] diffrents qui
peuvent tre regroups en trois catgories :
La signalisation : Les messages de signalisation sont envoys pour demander la mise
en relation de deux clients, qui indique que la ligne est occupe ou que le tlphone
sonne, etc. En H.323, la signalisation sappuie sur le protocole RAS pour
lenregistrement et lauthentification, et le protocole Q.931 pour linitialisation et le
contrle dappel.
La ngociation de codec : est utilise pour se mettre daccord sur la faon de coder
les informations changer. Il est important que les tlphones (ou les systmes)
utilisent un langage commun sils veulent se comprendre. Il sagit du codec le moins
gourmand en bande passante ou de celui qui offre la meilleure qualit. Il serait aussi
prfrable davoir plusieurs alternatives de langages. Le protocole utilis pour la
ngociation de codec est le H.245.
Le transport de linformation : sappuie sur le protocole RTP qui transporte la voix,
la vido ou les donnes numrises par les Codecs. Les messages RTCP peuvent tre
17
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
En plus du protocole H.323 sur lequel est base la signalisation de la VoIP, il existe un autre
protocole qui intervient entre un routeur et PABX ou entre les autocommutateurs.
QSIG est un protocole de signalisation standard bas sur RNIS. Il est employ dans les
rseaux voix sur IP, les rseaux privs virtuels (VPNs) et les rseaux haut dbit, multi-
application pour des socits, etc
Il cre dynamiquement des connexions voix travers le rseau WAN. Il se base sur deux
concepts :
Lappel basique : dfinit le traitement dchange de communications entre 2 PBX ou
plus.
Fonctions gnriques : dfinit les autres services supplmentaires tels : transfert
dappel, identification ligne (connecte, appelante,), ngociation canaux, plan de
numrotation slectif, etc.
18
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
2. Protocoles de transport :
2.1- Transmission Control Protocol (TCP):
TCP transporte de bout en bout les donnes des applications. Il fonctionne en mode connect
et demande le cas chant la retransmission en cas derreur. TCP fragmente les paquets en
mission et les rassemble en rception. Chaque datagramme comporte le port source et le
port destination.
2.2- User Datagram Protocol (UDP):
UDP a pour but de fournir une communication par paquet entre deux applications. Cest un
protocole transactionnel, il ne garantit ni la dlivrance ni lventuelle duplication du message,
il fonctionne en mode non connect.
Cest un protocole minimaliste car non fiable, il ne squence ni nacquitte, ne contrle ni le
flux ni les erreurs ( la charge des couches suprieures).
Cest pour sa simplicit quUDP a t choisi pour le transport des flux Voix/Vido.
2.3- Real-time Transport Protocol (RTP) :
RTP permet de transporter des flots de donnes qui ont des proprits temps-rel, il est intgr
dans lapplication, est indpendant du rseau. Il ninterfre pas dans le processus de
transmission mais il fournit les informations ncessaires lapplication.
RTP ne rserve pas de ressources car il est un protocole de bout en bout.Il ne garantit aucun
dlai de livraison car il ne contrle pas les nuds du rseau.
RTCP permet de contrler des flots de donnes qui ont des proprits temps-rel. Bien
qu'autonome RTP est complt par RTCP. Ce dernier apporte un retour d'informations sur la
transmission et sur les lments destinataires.
Ce protocole de contrle permet de renvoyer la source des informations sur les rcepteurs et
ainsi lui permettre, par exemple, d'adapter un type de codage ou encore de modifier le dbit
des donnes.
RTP et RTCP sont des protocoles qui se situent au niveau application et utilisent les
protocoles sous-jacents de transport TCP ou UDP (gnralement, l'utilisation de RTP/RTCP
se fait au-dessus de UDP).
19
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
3. CoDecs :
Afin dtablir une communication audio/vido sur IP, le signal doit tre encod via des codecs
normaliss dfinies en normes H.323, savoir, H26x pour la vido et G7xx pour laudio.
La qualit dun codec audio dpend des caractristiques suivantes : bande passante, type de
codage, taux de compression, frquence dchantillonnage et le MOS (Mean Opinion Score),
est une note donne par une masse de population prise au hasard pour caractriser la qualit
de la restitution sonore sur une chelle allant de la valeur 1 reprsentant niveau mdiocre
trs mauvais au meilleur niveau trs bon reprsent par la valeur.
Le tableau ci-dessous illustre les spcifications propres diverses variantes de codecs audio
normaliss :
20
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
4. Communication H.323 :
Le terminal 1 envoie un message Setup son GateKeeper aprs avoir reu une
confirmation dadmission. Le GateKeeper renvoie au terminal 1 un message Call Proceeding
pour indiquer que le Setup a t bien reu ainsi que ltablissement dappel est en cours.
La figure suivante illustre les phases dtablissement dun appel H.323 travers un
Gatekeeper.
La VoIP prsente des limitations au niveau des services tels que la messagerie instantane, la
mobilit, la prsence, etc do vient la technologie ToIP pour palier ces besoins.
21
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
1. Protocole SIP :
Le protocole SIP (Session Initiation Protocol) [3] est un protocole de signalisation normalis
et standardis par IETF (Internet Engineering Task Force) qui a t conu pour tablir,
modifier et terminer des sessions multimdia. Il se charge de lauthentification et de la
localisation des multiples participants.
Par ailleurs, SIP nest pas un protocole de rservation de ressource, il ne peut donc pas assurer
la qualit de service (QoS). Il sagit dun protocole de signalisation. Une fois la session est
tablie, les participants de la session schangent directement leur trafic audio/vido via le
protocole RTP (Real-Time Transport Protocol). Il a t conu pour transmettre des messages
de signalisation courts afin dtablir, maintenir et librer des sessions multimdia.
Dans un systme SIP on trouve deux types de composantes, les agents utilisateurs (UAS,
UAC) et un rseau des serveurs (Registrar, Proxy).
22
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
c- Proxy Server:
Un Proxy SIP sert d'intermdiaire entre deux User Agents qui ne connaissent pas leurs
emplacements respectifs (adresse IP). En effet, l'association URI / Adresse IP a t stocke
pralablement dans une base de donnes par un Registrar. Le Proxy peut donc interroger
cette base de donnes pour diriger les messages vers le destinataire.
d- Redirect Server :
Quand un serveur de redirection reoit une requte, au lieu de la rediriger il renvoie ladresse
du prochain serveur au client qui devra le contacter directement.
Le protocole SIP repose sur un modle Requte/rponse. Les changes entre un terminal
appelant et un terminal appel se font par lintermdiaire de requtes. Les mthodes de base
sont :
INVITE :permet un client de demander une nouvelle session.Elle contient les
informations sur lappelant et lappel et sur le type de flux qui seront changs (voix,
vido, etc.). Lorsquun UA, ayant mis la mthode SIP INVITE, reoit une rponse
finale linvitation (200 OK).
ACK : confirme l'tablissement de la session.
CANCEL : annule un INVITE en suspens, mais na aucun effet sur un appel dj
accept.
BYE : permet la libration dune session pralablement tablie. Un message BYE peut
tre mis par lappelant ou lappel.
OPTIONS : permet de rcuprer les capacits de gestion des usagers, sans ouvrir de
session. Un message BYE peut tre mis par lappelant ou lappel.
REGISTER : permet de s'enregistrer auprs d'un serveur d'enregistrement, elle est
utilise par un UA afin dindiquer au Registrar la correspondance entre son adresse
SIP et son adresse de contact (adresse IP).
23
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Une rponse une requte est caractrise par un code et un motif, appels respectivement
code dtat et raison phrase. Un code dtat est un entier cod sur 3 digits indiquant un rsultat
lissue de la rception dune requte. Les codes de rponse sont similaires http :
Classe 1xx :Information, la requte a t reue, et est en cours de traitement.
Classe 2xx :Succs, la requte a t reue, comprise et accepte.
Classe 3xx :Redirection, lappel requiert dautres traitements avant de pouvoir
dterminer sil peut tre ralis.
Classe 4xx :Erreur requte client, la requte ne peut pas tre interprte ou servie par
le serveur. La requte doit tre modifie avant dtre renvoye.
Classe 5xx :Erreur serveur, le serveur choue dans le traitement dune requte
apparemment valide.
Classe 6xx :Echec global, la requte ne peut tre traite par aucun serveur.
Une mthode SIP INVITE est mise par le terminal SIP de l'appelant au Proxy Server. Ce
dernier achemine la demande d'initiation de session la destination.
La rponse 180 RINGING est retourne par le destinataire au terminal SIP de lappelant.
Lorsque l'appel accepte la session, la rponse 200 OK est mise par son terminal SIP et
achemine au terminal SIP de lappelant.
Le terminal SIP de lappelant retourne une mthode ACK au destinataire, relaye par l'entit
SIP Proxy. L'entit Proxy Server participe l'acheminement de la signalisation entre UAs
alors que les UAs tablissent directement des canaux RTP pour le transport de la voix ou de la
vido paqutise sans implication du Proxy Server dans ce transport.
Lorsque lappel raccroche, son terminal SIP envoie une requte BYE pour terminer la
session. Cette requte est dlivre au Proxy Server qui l'achemine au terminal SIP u
destinataire. Ce dernier retourne la rponse 200 OK.
24
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
2. Protocole SCCP :
Comme son sigle lindique, SCCP, Skinny Client Control Protocol est un protocole de
contrle permettant aux clients Skinny de communiquer avec le Cisco Call Manager ou le
Cisco Call Manager Express.
SCCP utilise le port TCP 2000 pour la signalisation et RTP over UDP pour le trafic
Temps-rel.
Remarque :
Le point fort du SCCP rside dans la bande passante trs rduite quil requiert.
Entits SCCP :
Le Cisco Call Manager est un logiciel de traitement dappels qui ajoute des fonctions de
tlphonie aux rseaux locaux dentreprise et aux priphriques rseau tels que les tlphones
25
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
IP, les passerelles voix sur IP (VoIP) et les applications multimdia. On peut grer environ
7500 tlphones IP par serveur Call Manager.
Le Call Manager peut oprer dans une architecture centralise ou distribue. Larchitecture
distribue est ralise par une construction dune grappe (cluster) afin dassurer la
disponibilit du Call Manager et dviter sa surcharge pour viter le blocage partiel ou total du
rseau tlphoniquede lentreprise.
2.2- Cisco Call Manager Express :
Cisco Call Manager Express est une solution intgre la plate-forme logicielle Cisco
IOS(Internetwork Operating System) et qui permet le traitement dappel sur les tlphones IP
deCisco. Grce elle, chaque routeur daccs multiservice de Cisco peut offrir des
fonctionnalits analogues celles dun combin multi lignes ou dun commutateur priv
(PBX) pour permettre le dploiement dune solution conomique de communication IP haute
fiabilit dans les petites et moyennes entreprises. Cisco Call Manager Express ralise une
solution peu coteuse, fiable et aux multiple fonctionnalits pour des dploiements allant
jusqu' 240 utilisateurs.
Le choix de la plate-forme matrielle dpend de deux critres, le nombre dutilisateur
connecter et les services assurer et celui de la version dpend de la version de Cisco IOS
durouteur.
2.3- IPPhone :
Le tlphone IP est un tlphone qui convertit la voix dans des paquets IP et vice versa pour
le service tlphonique de la voix sur IP. Le terme se rfre un tlphone avec des
protocoles de signalisation IP incorpors tel que H.323 ou SIP qui est utilise en accord avec
IP-BX dans une entreprise. Cependant, il peut aussi se rfrer un tlphone base de
logiciel qui est install sur la machine de lutilisateur.
26
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
CHAPITRE II : Migration du
rseau VoIP vers le rseau
ToIP
27
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Avant dentamer la phase de migration, il savre crucial et indispensable de mener une tude
approfondie de larchitecture existante VoIP, afin de relever ses points limites et dfinir donc
les besoins.
Ensuite, il faut dfinir un cahier de charge et tudier les diffrentes solutions existantes sur le
march qui rpondront au maximum aux besoins du groupe et finalement choisir la bonne.
Directory Gatekeeper est un Gatekeeper central qui peut tre configur dans les grands
rseaux et les grandes installations de VoIP. Il contient les enregistrements des diffrentes
zones. Il est utilis pour contrler les multiples Gateskeepers rgionaux qui lui sont rattachs.
Ce dernier est install au sein du POSI, secouru en cas de panne par un deuxime Directory
GateKeeper pour la gestion des appels extra zones.
Un GateKeeper install au niveau de chaque BPR/succursale pour les appels intra zones.
28
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Le PABX et la Gateway sont prsents dans chacun des sites (agences et BPR) connectant
plusieurs postes tlphoniques.
Des postes tlphoniques numriques.
Soucis doptimisation :la rcente stratgie des fournisseurs rseaux Leader sur
march est loptimisation des infrastructures rseaux ce qui permet une gestion
centralise ainsi quune rduction du cot maintenance.
Interoprabilit au sein du parc informatique :le GBP consiste en une palette
dquipements htrognes ce qui implique des soucis dinteroprabilit voir aussi des
frais supplmentaires de maintenance propre chaque fournisseur.
Limitation de services :cette infrastructure permet des services rduits et limits tels
que la mobilit des utilisateurs, la confrence qui ne dpasse pas 3 utilisateurs, etc.
Non-flexibilit :cette architecture ne permet pas la gestion de la mobilit malgr le
rle crucial quelle joue.
Diverses solutions de Tlphonie sur IP sont prsentes sur le march, titre dexemple des
fournisseurs : Alcatel Lucent, Cisco, Avaya, Aastra-Matra, Mitel, Nortel,
Cisco a bien tir profit de cet appel doffre et il a propos le meilleur rapport qualit/prix
rpondant ainsi aux exigences du Groupe.
29
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Cisco Call Manager (CCM) [4] est le composant de la solution de Tlphonie sur IP de Cisco
qui assure le traitement dappel, la signalisation et le contrle de la couche physique. Il se
prsente sous la forme dun logiciel sinstallant sur un serveur approuv par Cisco.
30
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Aprs avoir propos cette architecture. Il sest avr quil existe des contraintes au niveau
dinteroprabilit entre le monde IV&D et ToIP dune part, et dautre part la contrainte
budgtaire.
Linterconnexion entre les agences VoIP et les agences qui vont migrer vers la ToIP avec une
nouvelle plateforme dquipements, vu que la migration se fera sur plusieurs tapes pour
lensemble du rseau GBP qui stalera sur 3ans voire mme plus. Et la contrainte budgtaire,
le Call Manager ne peut tre acquis durant la premire phase du projet.
1. Contrainte dinteroprabilit :
Puisque la migration ne peut pas tre faite dun seul coup, parce quon ne peut pas suspendre
tous les services de lorganisme, afin de dployer la nouvelle architecture ToIP. Donc
linteroprabilit entre le rseau VoIP et ToIP est ncessaire.
Cela est possible en interconnectant, via le protocole H.323, les deux entits mres des deux
architectures : le Directory Gatekeeper et le CCM. Par la suite, la migration est entame pas
pas jusqu pouvoir migrer lensemble des agences. Cela prendra beaucoup temps, cependant
narrtera pas les activits de lorganisme.
31
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
2. Contrainte budgtaire :
Comme mentionn auparavant, la Call Manager ne peut tre acquis durant la premire tape
du projet vu la priorit de la rnovation des quipements obsoltes donc il sera prvu la fin
du projet.
En plus des contraintes mentionnes ci-dessus, ils existent dautres problmes tels que la
qualit de service et la scurit pour les flux voix et pour le rseau LAN qui nont pas t
adopts par la technologie VoIP.
32
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Perte de paquet : Quand les mmoires tampon (buffers) des diffrentes entits du
rseau IP sont congestionnes, leur libration dune proportion des paquets entrants est
automatiquement effectue en respectant les seuils prdfinis.
Pour la VoIP, il est inutile de retransmettre les paquets perdus cause la contrainte de temps
rel. Il est trop tard de reconstituer les paquets RTP retransmis, mais cette perte nest pas
grave car cela est traduit par un parasite sur la voix.
Il faut donc veiller ce que le flot soit le plus continu possible et que les variations restent
faibles. Il existe plusieurs mcanismes de garantie de la qualit de service adapts lIP :
Il sagit dun service minimaliste et non-garanti, offert par les rseaux IP classiques, il permet
aux routeurs de ne garder aucune information sur le trafic.
Dans ce modle, la notion contrle dadmission est absente, ce qui peut tre perturb le
rseau en cas de prsence des utilisateurs gourmands. Ainsi, vu que le protocole IP est en
mode non-connect, il se peut que la vitesse du flux dpasse celle des interfaces
dacheminement ce qui produira une congestion du rseau. Le trafic en excs sera loger dans
des files dattentes physiques et y restera jusquau leurs dbordement.
4.2- IntServ (Integrated services) :
Il sagit dun modle de QoS service garanti. Il est bas sur la dfinition de classes de
service et la rservation de ressources dans les diffrents lments du rseau. Ces ressources
permettent d'assurer une certaine qualit de service pour les flots identifis ayant requis cette
qualit de service.
La rservation de ressources destine permettre d'assurer la qualit de service sera associe
des flots. Elle peut se faire de faon statique (configuration manuelle) ou dynamique. Dans ce
dernier cas, on devra utiliser un protocole de rservation de ressources, gnralement le
RSVP.
Le protocole RSVP :
33
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
RSVP est utilis par une application pour demander au rseau d'assurer une certaine qualit de
service pour un flot donn. Ce mme protocole est utilis par les routeurs du rseau entre eux
pour tablir et maintenir les tables d'tats lies au flot.
RSVP comme IntServ identifie des flots unidirectionnels et il est conu pour supporter les
changes multicast aussi bien que unicast. La rservation de ressources est initialise par le
site destinataire du flot.
Modle de QoS service diffrenci, conu pour rsoudre le principal problme rencontr
par IntServ, celui de la difficult de la monte en puissance qui doit accompagner
l'accroissement de la taille du rseau envisag. La solution consiste implmenter dans les
routeurs situs aux frontires du rseau toutes les fonctions de classification de paquets
(marquage,"policing", vrification du respect du contrat par l'metteur) et de mise en forme de
trafic, tandis que les routeurs du cur du rseau n'auront qu' appliquer des comportements
prdfinis (Per-Hop Behaviour) des agrgats de flots marqus dans ce but par les routeurs de
frontire.
Dans le cur du rseau, tous les paquets sont marqus, ces marques sont utilises par des
routeurs pour dterminer le comportement qui doit leur tre appliqu. Les diffrents
comportements interviennent dans la gestion des files d'attente et dans les algorithmes de
slection de paquets rejeter en cas de congestion d'une file d'attente. Le choix faire par le
routeur du mode de comportement en fonction de la marque prsente dans le paquet est trs
rapide puisqu'il n'y a plus qu'un seul champ analyser dans l'en-tte du paquet.
5. Scurit :
5.1- Liste de Contrle daccs-ACL :
Une ACL est une liste de rgles permettant de filtrer du trafic sur un rseau en fonction de
certains critres (IP source, IP destination, port source, port destination, protocole, ). Les
listes de contrle daccs sont les objets les plus couramment utiliss dans le logiciel Cisco
IOS. Elles servent galement slectionner le type de trafic analyser, transmettre ou traiter
selon dautres mthodes et filtrer les paquets selon leur priorit.
Il existe deux types d'ACL :
Standard : permet simplement de crer des rgles dont les conditions ne prennent en
compte que les adresses IP source des datagrammes IP analyss.
Etendue : permet de crer des rgles de filtrage plus prcises, en utilisant des
conditions applicables sur dautres champs des en-ttes des divers protocoles.
5.2- DHCP Snooping :
Le protocole DHCP est utilis pour dlivrer dynamiquement une adresse IP unique pour
chaque machine le demandant sur le rseau interne. En clair, si un client interne veut obtenir
une adresse IP pour bnficier des services rseau, il envoie un message DHCP tout le
rseau (broadcast) pour trouver le serveur DHCP. Le serveur DHCP rpondra en lui envoyant
tous les paramtres de configuration rseau.
34
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Un bon moyen pour bloquer le fonctionnement dun rseau IP est de sassurer que le service
DHCP ne sera plus disponible. Pour cela il existe deux mthodes redoutables :
Serveur DHCP pirate : cette premire mthode arrive souvent accidentellement, il
suffit de dmarrer un second service DHCP sur le rseau. Ce nouveau serveur
rpondra dans certains cas la place du premier (selon sa proximit) et les utilisateurs
nauront pas ladresse quils attendaient. Do une impossibilit de communiquer sur
le rseau.
Dni de service DHCP : cette seconde technique consiste utiliser des outils de
hacking pour envoyer des milliers de requtes DHCP afin de remplir les plages
dadresses du serveur, lorsque le serveur naura plus dadresses fournir les nouveaux
utilisateurs nauront pas dadresse IP et donc pas de service.
Le protocole ARP permet de connatre l'adresse physique d'une carte rseau correspondant
une adresse IP, c'est pour cela qu'il s'appelle Protocole de rsolution d'adresse (en anglais
ARP signifie AddressResolution Protocol).
Ce protocole est trs facile dtourner et utiliser pour se faire passer pour un autre poste sur
un LAN de niveau 2. Lattaque correspondante, appele ARP spoofing.
La solution pour se protger contre ce type dattaque est dactiver sur le commutateur la
fonction DAI (Dynamic ARP Inspection). Cette fonction permet au commutateur de contrler
lensemble des requtes ARP (ARP query, reply, Gratuitious ARP) afin de vrifier leur
lgitimit. Pour cela, il doit au pralable avoir connaissance de toutes les correspondances
MAC / IP des postes directement connects laide de la fonction DHCP snooping prsente
prcdemment. Cette fonction analysant les requtes DHCP garde une trace de toutes les
affectations par DHCP des adresses IP et constitue une table MAC / IP rutilise par DAI.
5.4- TLS
TLS [8] est un protocole utilis pour assurer l'authentification et le chiffrement des donnes
entre clients et serveurs. Conu de telle sorte pouvoir scuris les donnes pour tout type
d'application dans le modle en couches OSI.
TLS est modulaire afin de permettre l'utilisation de nouveaux algorithmes sans devoir
standardiser un nouveau protocole. Une ngociation entre le client et le serveur est alors
opre afin de dterminer les algorithmes qui seront utiliss.
Le protocole TLS permet de crer un tunnel entre un ordinateur et un serveur. Ce tunnel
scuris permet un change d'informations en contournant les dispositifs de scurit installs
pour un serveur ou un ordinateur. Passant outre les systmes de protection il est alors possible
que des actions malveillantes soient menes au travers du point d'entre du tunnel. Afin de
35
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
limiter les risques, il est techniquement possible de filtrer les contenus d'un tunnel TLS par la
mise en place d'un dispositif qui authentifie le client et le serveur. Deux tunnels sont alors mis
en place, un depuis le client vers le dispositif d'authentification et le second du dispositif vers
le serveur. Ce systme permet alors une analyse et une scurisation transparente des contenus
transfrs par le tunnel TLS.
5.5- CAPF-CTL :
Les tlphones IP reoivent en fonction de leur modle un certificat MIC lors de leur
fabrication ou sils nen sont pas munis, ils devront recevoir un certificat LSC en vue
dutiliser les fonctions de chiffrement.
Les tapes suivre pour quun IP phone senregistre dune manire scurise au niveau du
CME sont les suivantes :
LIP phone tlcharge le fichier CTL [9] gnr par le client CTL. Aprs la validation
du fichier CTL, lIP phone tlcharge les configurations signes et les Firmwares.
LIP phone initie une session TLS sur le port 3804 au serveur CAPF spcifi au niveau
du fichier de configuration.
Le serveur CAPF transmet la requte dobtention dun certificat au CA. Aprs lavoir
gnr, le CAPF dlivre le certificat en question lIP phone demandeur.
LIP phone enregistre le certificat obtenu et tabli une session TLS sur le port 2443
pour senregistrer avec le CME.
36
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Cette architecture consiste dclarer les CMEs en tant que Gateway H.323 au niveau du
Gatekeeper de la rgion approprie (BPR). La signalisation entre ces derniers sera assure par
le protocole H.323.
37
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Certes, larchitecture ToIP finale prsente des avantages et des bnfices, mais aussi des
limitations au niveau de tout lorganisme GBP, tel que la mobilit au niveau du GBP, la
gestion de prsence, lamessagerieinstantane, Voice mail, etc
Aprs avoir dfini larchitecture qui rpond parfaitement aux exigences du cahier de charge et
aux contraintes du groupe. Une ralisation de maquette de test fera lobjet de la partie
suivante.
38
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
39
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
I. Descriptif de la maquette :
Cette maquette sagit de la simulation dune agence adoptant la solution CCME. La maquette
duprojet ToIP est compose dun Call Manager 2900, Switch 2960 et de deuxIPPhones 6921.
Le choix de la gamme Cisco 2900, a t bas sur loptimisation des quipements au sein de
lagence, la gestion centralise des quipements partir du centre Diouri et la haute
performance des composantes du CME(DRAM,FLASH,).
1. Configuration de la tlphonie :
Dans un premier temps, et avant dentamer la configuration des interfaces, jai configur le
nom du routeur via la commande suivante:
#hostname CME
Linterface gigatethernet 0/1 est utilise pour linterconnexion du CME avec le Switch (LAN
Agence), ainsi quune interface loopback 0 qui garantit linterfaage up/up faite pour les tests.
>enable
#configure terminal
#interface loopback 0
#ip address 10.0.0.129 255.255.255.255
#interface g0/1
#ip address 172.16.0.1 255.255.255.128
#no shutdown
#intgigabitethernet 0/0
#ipaddresse 192.168.0.1 255.255.255.0
40
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
#no shutdown
41
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Jai exclu deux adresses IP, notamment les passerelles du poolToIPet du Loopback afin
dviter leur attribution.
Le routeur Cisco 2900 joue le rle dun serveur DHCP dans notre cas. Pour cela, jai cr
deux Pools DHCP, un pour la voix (ToIP)et le deuxime pour les donnes par les commandes
suivantes :
42
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
La configuration des VLANs se fait au niveau du Switch, jai configur le VLAN 10 pour la
ToIP et gard le Vlan 1 par dfaut pour la Data, ainsi linterface gigabitethernet 0/1 afin
dactiver le mode trunk :
La mobilit [10] permet aux utilisateurs dutiliser nimporte quel tlphone (au sein du mme
site) en gardant ses paramtres, ses numros, ses services et ses habilitations comme sil
utilisait son propre tlphone.
Le Logout-profil est le profil par dfaut des tlphones o lextension Mobility est active :
#voicelogout-profile 1
#number 123410 type normal
#voivelogout-profile 2
#number 123411 type normal
Tous les tlphones utilisent maintenant le profil par dfaut, mais il faut galement crer un
profil pour chaque utilisateur qui souhaite se connecter sur un autre tlphone que le sien.
#voice user-profile 1
#user 123400 password 1234
#number 123400 type normal
43
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
#voice use-profile 2
#user 123401 password 1234
#number 123401 type normal
Pour une bonne gestion du routage des appels, on a pens lutilisation des Classes de
Restriction.
Les COR [11] sont utiliss pour spcifier les autorisations entre les appels entrant et sortant au
niveau de la passerelle VoIP. Cette fonction permet une souplesse dans le design dun rseau
de VoIP. Par exemple, je peux interdire une catgorie de personne les appels internationaux,
ou les appels vers les tlphones portables ou simplement les appels extrieurs.
Afin dacheminer les appels sortants, jai cr un pots dans lequel jai dfini lhabilit, laccs
BRI/PRI de sortie et le nombre de chiffres composer.
Pour le routage des appels en interne, jai crun voip dans lequel jai dfini une tonalit,
intgr une politique interne de numrotation de 6 chiffres, la signalisation RAS et le codec
G.729 pour les liaisons WAN.
44
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Dans cette tape, on accde au mode telephony-service afin de dfinir les caractristiques des
services tlphoniques savoir le nombre maximum des ephones, le nombre maximum des
confrences, etc.
On identifie les firmwares ncessaires afin que les ephones puissent senregistrer. Puis on
cre un fichier de configuration CNF pour forcer les ephones craser leur ancienne
configuration par celle existante au niveau CME.
#telephony-service
# max-ephones 5
# max-dn 5
#ip source-address 172.16.0.1 port 2000
#system message Groupe Banque Populaire
#cnf-file perphone
#user-locale FR
#network-locale FR
#load 7911 SCCP11.8-4-2S
#load 6921SCCP9.3.1.3
#time-format 24
#date-format dd-mm-yy
#max-conferences 8 gain -6
#moh flash:/music-on-hold.au
#multicast moh 230.0.0.1 port 2000
#transfer-system full-consult
#transfer-pattern .T
#create cnf-files
#reset all
Directory number :
Un directory number, ou ephone-dn dans le CME, reprsente la ligne connectant le tlphone
un canal vocal.Il peut tre associ un ou plusieurs numros de tlphones. Dans la plupart
des cas, un DN peut tre vu comme une ligne tlphonique.
#ephone-dn 1 dual-line
45
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
#number 123400
#label Standard
#description Connect 123400
#name Standard
#call-forward busy 123410
#corlist incoming National
#no huntstop
#ephone-dn 4 dual-line
# number123410
#label Logout Standard
#description Disconnect 123400
#name Standard
#corlist incoming No-Call
#corlist outgoing No-Call
#no huntstop
ephone :
Un Ephone (Ethernet Phone) est la reprsentation dun tlphone physique dans le CME.
Chaque tlphone physique doit tre configur en tant que Ephone pour pouvoir effectuer des
appels. Un tag ou numro de squence est utilis pour identifier chaque tlphone ; ceci
empche de confondre deux tlphones entre eux lors de la configuration.
Pour chaque ephone, il faut lui attribuer son adresse MAC, le type de lIP Phone et le Logout-
profile associe lutilisateur.
#ephone 1
#device-security-mode none
#mac-address F029.295A.9513
#type 6921
#logout-profile 1
46
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
#interface GigabitEthernet0/1
#ip address 192.168.0.1 255.255.255.0
#no shutdown
#h323-gateway voip interface
#h323-gateway voip id BCP ipaddr 10.254.1.200 1719
#h323-gateway voip h323-id CME@bcp.co.ma
#h323-gateway voip tech-prefix 1#
#h323-gateway voip bind srcaddr 10.1.7.118
Pour que le CME soit oprationnel, il faut quil soit enregistr au niveau Gatekeeper qui lui ai
associ. Pour ce faire, jai accd via Telnet au GK_BCP, et jai ajout la commande suivante
:
Une fois la gateway enregistr au niveau du GateKeeper, Cette dernire lui fournit
dynamiquement son ID et son adresse IP.
Aprs avoir redmarr les IP phones, ces derniers ont tlcharg les Firmwares ncessaires
pour leur fonctionnement et se sont enregistrs avec succs. A mentionner que la
configuration ci-dessus est sans cryptage ni scurit. La partie qui suit fera lobjet de ces deux
facteurs.
Aprs avoir tabli le filtrage il faut classifier les diffrents flux et les mettre dans des groupes
diffrents. Pour cela le systme de classe disponible dans l'IOS du routeur est mis en uvre.
47
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Maintenant le trafic est diffrenci, il faut partager la bande passante du routeur. C'est
pourquoi je dois utiliser des cartes de priorits (Policy-map).
policy-map TOIP
classtoip-data
priority 48
compress header iprtp
classtoip-sig
compress header iptcp
bandwidth 8
class class-default
fair-queue
compress header iptcp
Comme lutilisation des ACL est cruciale dans ce cas de figure afin de filtrer le trafic, la
configuration suivante nous sert davantage :
3. Configuration de la Scurit :
3.1- Cryptage du flux voix :
Dans la solution Cisco, les changes de signalisation entre les tlphones IP et leurs Call
Managers sont protgs par TLS (Transport Layer Security) avec change de certificats,
authentification mutuelle.
48
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
enrollmenturl http://172.16.0.161:80
revocation-checkcrl
rsakeypairCA_Server
!
cryptopki server CA_Server
nosh
Toip2014
Toip2014
!
cryptopkitrustpointcapf-server
enrollmenturl http:// 172.16.0.161:80
serial-number
revocation-check none
!
cryptopkiauthecapf-server
cryptopki enroll capf-server
!
Cette partie consiste dclarer les lments de confiance afin de gnrer les certifications.
ctl-client
servercapf 172.16.0.161 trustpointcapf-server
servertftp 172.16.0.161 trustpointtftp-server
servercme 172.16.0.161 trustpointcme-server
regenerate
Jai appliqu le mode secure au niveau du CME, TFTP et le mode encrypted au niveau
des IP phones pour en finir avec la cration du fichier de configuration qui est mis jour aprs
chaque changement de paramtre.
telephony-service
secure-signalingtrustpointcme-server
tftp-server-credentialstrustpointtftp-server
server-security-mode secure
device-security-mode encrypted
49
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
createcnf-files
Pour se protger contre toutes attaques du type DHCP Spoofing, on autorise le port qui pourra
mettre les requtes DHCP, et on contrle les autres ports par la mise en service de la
configuration du DHCP Snooping, voir ci-dessous :
50
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
4. Test et Validation :
Les tests en interne de lagence sont pratiquement tous russi part celui de laccs au rseau
RNIS/RTC cause de labsence de laccs PRI/BRI.
La maquette ToIP qui consistait mettre en place la technologie ToIP au sein du GBP, en
prenant compte la contrainte budgtaire et celle de linteroprabilit, a t test et valid par
la hirarchie du dpartement Rseaux Tlcoms.
51
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
En association avec la fonction DHCP Snooping, la fonction DAI permet de sassurer que
ladresse IP annonce dans le message ARP correspond ladresse IP qui a t attribu cette
adresse MAC sur ce port par le serveur DHCP :
52
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Conclusion et perspectives
Avoir une bonne organisation, un savoir-faire et un esprit ouvert sont les qualits dont on doit
faire preuve et cest ce que jai essay de mettre en uvre tout au long la priode de mon
stage mais tout en prtant attention aux conseils prcieux de mon encadrant qui ma soutenu
tout au long la dure de mon stage et qui jexprime ma gratitude.
Ce projet de fin dtudes a donn lieu une plateforme de ToIP qui sera dploye en premier
lieu sur un site pilote puis mise en uvre progressivement au niveau de tous les sites du GBP
tout en bnficiant de linteroprabilit avec les autres agences en VoIP durant la phase de
migration.
En effet, cette exprience de quatre mois prsente pour moi une relle approche au monde
professionnel, une riche exprience qui ma permis de prendre conscience de mes futures
responsabilits.
53
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Bibliographie
[1]http://www.efort.com/r_tutoriels/H323_EFORT.pdf
[3]http://www.efort.com/r_tutoriels/SIP_EFORT.pdf
[4]http://istacee.wordpress.com/2010/03/08/dhcp-snooping-defense-contre-le-dhcp-
spoofing/
[5]http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/config
uration/guide/snoodhcp.html
[6]http://www.cisco.com/web/EA/documents/pdfs/livres_blancs/ipc/Article_Migrating_To
_IP_Telephony.pdf
[7]http://www.scribd.com/doc/51182037/36/III-3-1-Service-Best-effort
[8]http://monge.univ-mlv.fr/~duris/NTREZO/20042005/Lamotte-Robert-Seigneurin_SSH-
TLS.pdf
[9]http://books.google.co.ma/books?id=RtatNTjwB-
4C&pg=PA188&lpg=PA188&dq=capf+cisco&source=bl&ots=SsBIw7zakR&sig=feHyw
dmJeYI9Wdy0Y5RYCXLjGnE&hl=fr&sa=X&ei=i6FxT9GCMIPB0QWhquQD&ved=0
CGQQ6AEwBw#v=onepage&q=capf%20cisco&f=true
[10]http://www.cisco.com/en/US/docs/voice_ip_comm/cucme/admin/configuration/guide/
cmesystm.html
[11]http://www.cisco.com/en/US/docs/ios/12_3/vvf_c/dial_peer/dp_confg.html
54
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
Annexe
Configuration complete:
CME#sh run
CME#sh running-config
Building configuration...
version 15.1
no service password-encryption
hostname CME
boot-start-marker
boot-end-marker
noaaa new-model
55
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
network-clock-participatewic 0
no ipv6 cef
ip source-route
ipcef
default-router 172.16.0.1
default-router 172.16.0.161
ip name-server 172.16.0.1
ctl-client
sast1trustpoint sast1
56
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
capf-server
auth-mode null-string
--More--
interface GigabitEthernet0/1
duplex auto
speed auto
interface GigabitEthernet0/1.10
description Voix
encapsulation dot1Q 10
interface BRI0/0/0
noip address
interface BRI0/0/1
noip address
interface BRI0/1/0
noip address
encapsulationhdlc
shutdown
interface Serial0/3/0
57
Projet de fin dtudes Migration du rseau VoIP vers le rseau ToIP
noip address
shutdown
ip forward-protocol nd
loggingesmconfig
tftp-server flash:admin_user.html
tftp-serverflash:admin_user.js
tftp-serverflash:CiscoLogo.gif
tftp-server flash:CME_GUI_README.TXT
58