Professional Documents
Culture Documents
Ministre de lEnseignement
Suprieur et de la Recherche Scientifique
G E
G
2E
Encadreur Pdagogique
Professeur HABA Ciss Thodore
Enseignant Chercheur lINPHB de
Yamoussoukro
Matre de Stage
M. NDA Jean Marie Dominique
Charg de projet au service
Core Network & Platform ORANGE-CI
Ministre de lEnseignement
Suprieur et de la Recherche Scientifique
G E
G
2E
Encadreur Pdagogique
Professeur HABA Ciss Thodore
Enseignant Chercheur lINPHB de
Yamoussoukro
Matre de Stage
M. NDA Jean Marie Dominique
Charg de projet au service
Core Network & Platform ORANGE-CI
INTRODUCTION
Un rseau peut tre vu comme un ensemble de ressources mises en place pour offrir
des services. Cest lvolution des services et des trafics offerts qui a pilot, dans les dernires
annes, lvolution technologique permettant daugmenter la capacit et les fonctionnalits
des ressources des oprateurs de tlphonie mobile. Les rseaux de la prochaine gnration
(NGN ou Next Generation Networks en anglais), avec leur architecture rpartie, exploitent
pleinement des technologies de pointe pour offrir de nouveaux services sophistiqus et
augmenter les recettes des oprateurs tout en rduisant leurs dpenses dinvestissement et
leurs cots dexploitation [2]. Un point essentiel dans laugmentation de loffre de services
concerne la capacit regrouper lensemble des services dont le client a besoin et de les lui
offrir, si possible de manire fidle. Dans cette situation, le terme "scurit" est largement
utilis pour caractriser le niveau de confiance dans un rseau. De la scurit dcoule la
ncessit de disposer d'architectures, de rseaux, d'quipements et de techniques permettant
de rpondre aux besoins des consommateurs, en ce qui concerne les services proposs.
Depuis la premire phase de migration de son rseau cur vers le NGN, ORANGE-CI
na cess de dployer de gros investissements en vue deffectuer une migration totale.
Cependant aprs cette migration totale il faudra mettre en place une politique de scurisation
fiable permettant d'optimiser la distribution de l'intelligence de bout en bout de son rseau
NGN. Cest justement ce travail qui nous a t confi et qui consiste en fait en la mise en
place dune technique de scurisation du rseau NGN de ORANGE-CI. Il renferme ltude
des diffrentes techniques de scurisation des rseaux NGN, la proposition dune politique de
scurit du rseau NGN de ORANGE-CI et larchitecture du rseau NGN cible scurise.
Le travail sarticulera
technique de la notion de scurit dans les rseaux NGN. Ensuite, avec lanalyse du rseau
existant, nous passerons au choix de la scurisation puis nous proposerons une architecture
prenant en compte la scurit du rseau cible.
Mais avant daborder le travail proprement dit, nous allons prsenter le cadre et le
contexte de notre stage.
CHAPITRE 1 :
CADRE ET CONTEXTE
DU STAGE
I.1.CADRE DU STAGE
Notre stage sest droul du 06 Avril au 05 Juillet 2010 au sein de lquipe Core
Network & Platform de ORANGE-CI.
I.1.1
Missions
Les rsultats probants obtenus par la qualit des services, des produits et laccueil
client ont fait dOrange CI, loprateur de rfrence en Cte d Ivoire. Elle sest donn pour
objectifs de :
Fournir des services spcialiss aux abonnes
Satisfaire les besoins de la clientle
Permettre une communication fiable des tarifs moindres
Elle souhaite que chaque client puisse communiquer et interagir, tout moment, de
nimporte o et de la manire quil souhaite. Aussi, elle ambitionne de devenir la premire
marque globale de tlphonie mobile. C'est--dire tre premier dans les services, dans la
qualit, dans linnovation et ainsi tre le premier choix.
I.1.3
Lorganigramme
Pour atteindre ces diffrents objectifs, OCIT a ax sa politique de gestion sur une
organisation compose de plusieurs directions, dpartements et services.
DIRECTION
GENERAL
DG
Direction financire
(DF)
Direction Juridique et de
la rglementation (DJR)
Direction du Rseau et du
Systme dinformation
Direction Commerciale
(DC)
Direction de lAudit et de la
Qualit (DAQ)
(DRSI)
Direction Marketing et de
la Communication (DMC)
(DMC)
Direction des
Ressources Humaines
(DRH)
Direction Adjointe
Rseau structurant
(DARS)
Service CoreNetwork et
Platform (CN&PF)
I.2.
CONTEXTE DU STAGE
I.2.1
Notre projet de fin dtudes au sein de ORANGE-CI, a t supervis par le service Core
Network & Platform (CN&PF). Elle regroupe toutes les activits dtudes et de
dveloppement. Les fonctions de ce service sont :
Raliser les tudes
Dfinir les Roadmap IT et Network
Elaborer le budget de CAPEX
Etre lcoute des besoins des directions dOCIT et trouver la meilleure solution
technique pour y rpondre
Assurer lingnierie et la gestion de projets lors de la mise en uvre de :
Lvolution du rseau par lajout de nouveaux quipements dans le cur
rseau
Lextension de capacit des quipements du cur rseau
De nouvelles fonctionnalits
Assurer la gestion des projets de la DED
I.2.2
Proposer une architecture qui prend en compte la haute disponibilit du rseau pour
amliorer la QoS.
Afin danticiper en terme de scurisation totale du rseau NGN cible, le thme
SECURISATION DES RESEAUX NGN : CAS DE ORANGE-CI nous a t confi.
I.2.3
I.2.4
Mthodologie du travail
La mthode de travail a consist relever les risques affrents aux rseaux NGN, les
techniques utilises pour aboutir une scurisation, le choix et la mise en uvre dune
solution qui tienne compte du rseau NGN cible de ORANGE-CI.
CHAPITRE 2 :
CONCEPT DE
SECURITE DANS LES
RESEAUX NGN
Ici, nous allons prsenter les caractristiques des rseaux
de nouvelles gnrations (NGN), puis procder ltude
prospective des concepts nouveaux des rseaux NGN.
Aprs cette tude globale des rseaux NGN, nous
dcrirons les limites essentielles en termes de non garantie
de la scurit et aborderons les politiques de scurisation
lies aux NGN.
Il existe globalement deux types de rseau NGN : le NGN Tlphonie et le NGN Multimdia. Les
NGN Tlphonie sont des architectures de rseau offrant uniquement les services de tlphonie. Le
NGN Multimdia est une architecture offrant les services multimdia (messagerie vocale/vido,
confrence audio/vido, Ring-back tone voix/vido) puisque l'usager a un terminal IP multimdia.
Dans ce mmoire nous naborderons que le NGN Tlphonie qui est adopt par ORANGE-CI.
Couche Service
(Oprateur et tiers)
Paramtre
NGN
Interfaces ouvertes
Et normalises
Rseau cur
Couche Contrle
Interfaces ouvertes
Et normalises
Couche Transport
(Mode paquet)
Rseau dAccs
Multiples
Connexe au
NGN
Terminaux
10
Les protocoles de commande de Media Gateway sont issus de la sparation entre les
couches Transport et Contrle et permettent au Softswitch ou Media Gateway Controller de
grer les passerelles de transport ou Media Gateway. MGCP (Media Gateway Control
Protocol) de lIETF et H.248/MEGACO, dvelopp conjointement par lUIT et lIETF, sont
actuellement les protocoles prdominants.
II.1.2.2.1 Le protocole historique : MGCP [12]
Le Media Gateway Control Protocol (MGCP, RFC 2705), protocole dfini par lIETF,
a t conu pour des rseaux de tlphonie IP utilisant des passerelles VoIP. Il gre la
communication entre les Media Gateway et les Media Gateway Controller. Ce protocole traite
la signalisation et le contrle des appels, dune part, et les flux mdia dautre part.
Les diffrents lments qui utilisent MGCP sont :
11
12
La garantie dune offre de services quivalente celle propose par les interfaces des
rseaux TDM.
La transparence du transport de la signalisation2 sur un rseau IP : lutilisateur final ne
se rend pas compte de la nature du rseau de transport.
La possibilit de pouvoir supprimer ds que possible les couches basses du protocole
SS7.
La figure 3 montre la pile de protocoles de la signalisation SIGTRAN telle que
dfinie par le RFC 2719.
droulement dune communication sur un rseau (prise en ligne, mise en attente, libration)
13
Des changements plus profonds peuvent avoir lieu dans larchitecture du rseau. Un
commutateur tlphonique est constitu de deux parties principales. Une partie matrielle
(hardware) qui se charge de lacheminement des octets de voix entre la source et la
destination. Une partie logicielle (software) qui se charge de grer la signalisation et les
services. Les deux parties sont historiquement loges dans le mme quipement appel MSC.
Le concept de sparation de la signalisation et la commutation permet de centraliser la
partie intelligente dans un serveur (appel MSC-Serveur, ou encore MGC : Mediagateway
Controller) qui contrlera les divers dispositifs responsables du transcodage (appels MGW :
Mediagateway) qui eux ne peuvent pas tre centraliss ; ils peuvent se trouver chaque point
dinterconnexion entre la partie radio BSS ou le rseau RTC et le rseau paquets. En effet, le
MSC server contrle une ou plusieurs MGW. De plus, la fonction ralise par la MGW, c'est-dire lacheminent des flux, peut tre fournie par un rseau en mode paquet, ce qui mne vers
la convergence voix-donnes. Cest ce type darchitecture que les NGN proposent.
Lassociation physique du MSC server et la MGW forme logiquement le MSC. Le MSC
server peut implmenter des services autres que les services de voix, on a donc une volution
naturelle vers la convergence des services.En effet, les clients accdent au MSC server, pour
demander laccs aux services. Par exemple quand un client demande une communication
vers un correspondant au MSC server, ce dernier lui indique ladresse destinataire dans le
rseau de paquets et la source met les paquets transportant la voix vers cette destination. Les
flux dinformations, la voix notamment, sont vhiculs directement sur le rseau de paquets
(IP) de bout en bout. La figure 4 nous donne une architecture claire du commutateur dans le
rseau NGN.
MSC
Protocole ISUP vers RTC
Protocole BICC ou SIP-T vers MSC server
MSC server
Signalisation
BSSAP/RANAP
Protocole de contrle
MEGACO/H.248
BSS/UTRAN
Media
Media
Circuits de paroles
ou canaux
AAL2/ATM
Rseau IP ou
ATM
MGW
14
II.1.3.1
Le MSC server
Le MSC server [13] est un serveur dappel qui contient lintelligence lie au contrle
de lappel et pour ce faire possde un modle dappel complet. Il est associ un VLR afin de
prendre en compte les donnes des usagers mobiles. Le MSC server identifie les usagers,
dtermine le niveau de service pour chaque usager et achemine de trafic. Par ailleurs, il
fournit toutes les informations permettant la taxation des appels et la mesure des performances
du rseau. Aussi, le MSC server sinterface aux serveurs dapplications. Le MSC server peut
jouer les rles suivants :
II.1.3.1.1 Le GMSC server
Si un rseau tabli un appel vers un PLMN qui ne communique pas avec le HLR,
lappel sera rout vers un MSC. Ce MSC sera en mesure dinterroger le HLR appropri afin
d'obtenir un numro de MSRN et par la suite router lappel vers le MSC o labonn est
localis. Ce MSC qui est appel Gateway MSC (GMSC) [5]. Le GMSC server sera
responsable des fonctions de contrle dappel et de gestion de la mobilit par rapport un
GMSC. . Un transcodage de la parole doit aussi avoir lieu au niveau de la MGW pour
convertir la parole reue et qui est encode l'aide du codec G.711 en parole encode en
utilisant le codec AMR (UMTS) ou l'aide du codec GSM, avant de router le trafic audio
l'autre MGW qui interface les nuds BSC et RNC.
II.1.3.1.2 Le TMSC server [5]
Dans les applications, une structure en couche est utilise dans les rseaux de grande
tendue. tant un office de liaison, le TMSC server assure les fonctions suivantes :
Analyse du routage
Acheminement des appels intra rseau
II.1.3.2
15
transports dans le rseau IP (terminaison IP) ou en cellules ATM dans le cas dun transport
ATM.
II.1.4
de transport en mode paquet (IP, ATM,) ainsi que la sparation des couches de transport
des flux et de contrle des communications, qui sont implmentes dans un mme quipement
pour un commutateur traditionnel.
Ces grands principes et concernant les quipements actifs du cur de rseau NGN
Tlphonie se dclinent techniquement comme suit [2] :
Remplacement des commutateurs traditionnels par deux quipements distincts :
Dune part des serveurs de contrle dappel dits Softswitch ou Media Gateway
Controller (correspondant schmatiquement aux ressources processeur et
mmoire des commutateurs voix traditionnels).
Dautre part des quipements de mdiation et de routage dits Media Gateway
(correspondant schmatiquement aux cartes dinterfaces et de signalisation et
aux matrices de commutation des commutateurs voix traditionnels), qui
sappuient sur le rseau de transport mutualis NGN.
Apparition de nouveaux protocoles de contrle dappel et de signalisation entre ces
quipements (de serveur serveur, et de serveur Media Gateway).
La figure 5 [15] prsente la structure physique dun rseau NGN Tlphonie. Les
quipements existants (exemple : commutateur daccs tlphonique ou BTS/BSC du rseau
GSM) sont relis une couche de transport IP ou ATM par le biais de Media Gateway
(couche transport). Ltablissement des canaux de communication IP ou ATM entre les Media
Gateway est la responsabilit du MSC server appartenant la couche contrle. Dans
larchitecture NGN Tlphonie, le protocole de contrle tel que MGCP ou MEGACO ne fait
que dcrire les interactions entre le MSC server et la MGW. Si un MSC server doit contrler
une MGW qui est sous la responsabilit dun autre MSC server, il est ncessaire que les MSC
server communiquent en schangeant de la signalisation.
16
SCP
Application
INAP
MSC server
SIP
BICC
MSC server
Contrle
BSSAP
ISUP
BSC/Node B
BACKBONE
IP
MGW
MGW
Transport
RTCP/PLMN
MGW
Adaptation
BSC/Node B
Class 5
Switch
Accs
Trafic
Signalisation
Commande MGW : H.248
17
18
Toutes les MGW sont hors de contrle, par exemple la perte de tous les liens entre
un MSC server et toutes les MGW quil contrle.
Tous les trafics grs par un MSC server sont interrompus, par exemple lchec
des MOC (appels entrants), des MTC (appels sortants), des handovers et des
mises jour de localisation.
La perte norme des donnes des MSC servers et des MGW
La congestion globale du rseau introduit la charge des MSC servers dans le rseau.
II.2.3 La Congestion partielle du rseau [1]
Lorsquune MGW est congestionne, lessentiel du trafic quelle gre est perdu. On
parle de congestion partielle quand certains trafics sont momentanment interrompus. Dans ce
cas :
Certaines MGW sont hors de contrle.
Les trafics grs par une MGW sont interrompus, par exemple lchec des MOC
(appels entrants), des MTC (appels sortants).
La congestion partielle du rseau introduit la charge des MGW dans le rseau.
Conclusion
Les rseaux NGN prsentent de nombreuses limites car un facteur cl de la tlphonie
est prpondrant, cest celui li la notion du temps rel et donc la disponibilit.
Puisquil est impossible dempcher totalement les pannes matrielles, il est ncessaire
de prvoir les moyens et mesures permettant dviter ou de rtablir en temps rel tout
incident. La partie suivante aborde la politique de scurisation des rseaux de faon gnrale.
19
3,65 jours par an maximum (un tableau en dessous est fourni pour les diffrents taux de
disponibilit). On atteint la haute disponibilit partir de 99,9 %. La haute disponibilit
ncessite donc une architecture adapte.
Le tableau suivant montre la dure dindisponibilit du rseau en fonction du taux de
disponibilit.
Tableau 1: Dure dindisponibilit par taux de disponibilit
Taux de disponibilit
Dure dindisponibilit
97 %
11 Jours
98 %
7 Jours
99 %
3 Jours et 15 Heures
99,9 %
8 Heures et 48 Minutes
99,99 %
53 Minutes
99,999 %
5 Minutes
99,9999 %
32 secondes
Il est ncessaire par exemple d'alimenter les composants par une alimentation
stabilise, d'installer une climatisation efficace afin de maintenir les conditions d'utilisations
optimum et minimiser les risques de coupures et donc d'arrt des quipements du rseau cur.
Les risques d'incendies doivent aussi tre pris en compte ainsi que la protection des cbles.
Ces prcautions de base sont des critres prendre en compte des le dbut de l'installation des
quipements.
Ces prcautions d'ordre externe l'architecture sont trs importantes mais ne suffisent
pas garantir une haute disponibilit. Afin de pouvoir l'atteindre, il est ncessaire de mettre
en place une architecture matrielle complmentaire par la redondance des matriels. La
scurisation des donnes est aussi une solution indispensable pour mettre en place la haute
disponibilit sur le long terme.
II.3.1.1
La redondance matrielle
La redondance est comme son nom l'indique une duplication partielle ou totale des
ressources du rseau. Il existe plusieurs types de redondance :
La redondance symtrique
La redondance asymtrique
La redondance volutive
La redondance modulaire
Prsent par KARAMOKO Mamadou Elve ingnieur en Tlcommunications & Rseaux
20
21
Sauvegarde delta
La sauvegarde totale (en anglais on parle de full backup) ralise une copie conforme
des donnes sauvegarder sur un support spar. Ce qui peut poser des problmes en
cas de gros volume en terme de lenteur et donc de disponibilit si les donnes sont
modifies en cours de sauvegarde. Elle permet toutefois d'obtenir une image fidle des
donnes un instant t.
La sauvegarde diffrentielle (en anglais on parle de differential backup) se focalise
uniquement sur les donnes modifies depuis la dernire sauvegarde complte. Par
rapport la sauvegarde incrmentale (vu aprs), ce type de sauvegarde est plus lent et
aussi plus coteux en espace de stockage mais elle est plus fiable car seule la
sauvegarde complte est ncessaire pour reconstituer les donnes sauvegardes.
La sauvegarde incrmentale (en anglais on parle dincremental backup) copie tous les
lments modifis depuis la dernire sauvegarde. Plus performante qu'une sauvegarde
totale car elle ne sauvegarde que les lments modifis avec un espace de stockage
plus faible mais ncessite en contrepartie de possder les sauvegardes prcdentes
pour reconstituer la sauvegarde complte.
La sauvegarde delta (en anglais delta backup) est une sauvegarde incrmentale sur
des lments de donnes granularit plus fine, c'est dire au niveau de chaque bloc
de donnes.
II.3.2 Mode de reprise aprs sinistre
II.3.2.1
La rplication
Dans cette technique deux (ou plus) serveurs (1 et 2) assurent le mme service mais
seul le serveur 1 est actif. Le serveur 2 (passif) est une parfaite copie en temps rel du serveur
1. Ainsi, en cas d'interruption, le serveur 2 est prt remplacer le serveur 1. Il faut s'assurer
que la somme des ressources passives est gale aux ressources actives (ex. pour deux serveurs
actifs et un passif les serveurs actifs ne doivent pas dpasser une charge de 50%) pour viter
les dbordements. Cependant cette solution demande une grande quantit de ressources
"inutilises" en fonctionnement normal.
II.3.2.2
Elle est aussi appel l'quilibrage de charge (Load Balancing en anglais). Ce processus
consiste distribuer le trafic sur un ensemble de machines [5]. L'objectif est de :
22
Lisser le trafic rseau et ainsi mieux rpartir la charge globale sur les diffrents
quipements)
Pouvoir assurer la disponibilit des quipements en envoyant des donnes
adaptes aux quipements. Seuls ceux pouvant rpondre la demande seront
sollicits, on gagne aussi en temps de rponse.
II.3.2.3
Le mode dgrad
Description du mode
Dans ce mode, un BSC/RNC peut tre connect plusieurs MGW afin de scuriser
laccs aux services travers les MGW. Les MGW schangent des ressources de telle sorte
que lorsquune MGW est dfaillante, la charge du trafic du BSC/RNC est gre
automatiquement par un autre sans interruption du trafic. Le schma ci-dessous montre le
principe :
23
MGW 1
BSC
MGW 2
RNC
BTS
Node B
Avantages et inconvnients
Cette technique est moins coteuse et assure une redondance des MGW. Par contre
elle se limite la scurit des MGW et donc vite la congestion partielle. Le risque de
congestion globale est important car les MSC servers ne sont pas redondants.
II.4.2 Le Dual Homing [5]
Cette technique base sur la rplication permet de mettre en place une politique de
gestion de la scurit des MGW. Dans cette technique, le MSC server fonctionnant dans le
rseau (appel MSC server actif) peut tre configur avec un second MSC server backup
(appel MSC server standby). Dans les conditions normales le MSC server actif opre la
signalisation et offre les autres services. Quand celui-ci est dfaillant, le MSC server standby
utilise des liens de relai de charges existants entre les deux MSC server pour dtecter les
failles sur le MSC server actif afin de prendre le contrle des MGW. Cette technique
comprend quatre modes de connexion des MSC Servers.
24
II.4.2.1
MSC server
Slave
MGW 1
MGW 2
MGW 4
MGW 3
Rgion A
Rgion B
II.4.2.2
25
sont automatiquement grs par lautre en plus de ses MGW. La figure 8 nous montre ce
mode
MSC server
Actif et
Standby
MSC server
Actif et
Standby
MGW 1
MGW 2
MGW 3
Rgion A
Rgion B
MGW 4
26
MSC server
Standby
MSC server
Actif
MGW 1
MGW 2
Rgion A
MGW 3
MGW 4
MSC server
Actif
MGW 5
Rgion B
MGW 6
Rgion C
27
MSC server
Actif et
Standby
MSC server
Actif
MGW 1
MGW 2
Rgion A
MGW 3
MGW 4
MSC server
Actif
MGW 5
Rgion B
MGW 6
Rgion C
Figure 10: Architecture mode N+1 avec assistance mutuelle (Load sharing)
II.4.2.4.2 Avantages et inconvnients
Cette technique permet davoir des ressources disponibles en cas de chute dun MSC
server. Le risque de surcharge du MSC server est minime, ce qui est bnfique pour
loprateur. Elle prsente des avantages intressants pour les rseaux en perptuelle volution
car si chaque composant, son tour, peut continuer fonctionner lorsque l'un de ses souscomposants est en panne, alors le systme entier pourra continuer fonctionner.
Mais comme dans les autres situations les MGW ne sont pas hors de danger. En effet
la centralisation de la redondance au niveau des MSC servers reste linconvnient majeur.
II.4.2.5
Le Virtual Server
Cette technique appele galement Virtual Server Node, permet la gestion de tous les
MSC servers actifs par le standby MSC server configur sur le mme MSC server.
Cest un partitionnement logique du MSC server afin quil soit actif et standby au
mme instant. Chaque Virtual Server est identifi par un numro et le Virtual Server 0 est
utilis par le MSC server en actif et les autres sont configurs en actifs ou en standby.
28
Virtual Server 1
Virtual Server 2
MGW 1
MGW 3
MGW 2
29
former un ensemble de MSC appel MSC pool, dans lequel les quipements partagent des
ressources. Le MSC pool est fond sur deux principes essentiels [9]:
La commutation en temps rel (Load Sharing): en cas de problme, la
correction doit se faire automatiquement pour assurer la communication. La
technique du MSC Pool s'assure que les services sur le MSC endommag ou
surcharg soient commuts immdiatement sur d'autres MSC.
La distribution quitable des charges (Load Balancing): Etant donn que la
capacit totale du rseau est quivalente la capacit de tous les commutateurs
dans le pool, la fonction de scurisation du MSC Pool permet un partage
quitable de toutes les charges dans le Pool. Ainsi toutes les MSC sont
redondantes et la capacit du trafic est amliore.
Dans cette technique toutes les BSC/RNC sont connects aux MSC de sorte former
une zone entirement scurise appele MSC pool area3. Tous les MSC dans un pool sont
informs en temps rel de la charge de trafic supporte par leur voisin, ce qui favorise la
distribution de charge. Les figures 12 et 13 montrent respectivement le principe gnral du
MSC pool et un pool area constitu de cinq(5) LA (Location Area) [12].
Un Pool Area est une collection de BSC/RNC gr par un ou plusieurs MSC partageant les
charges de trafic. Tous les MSC reli un pool area grent les LA (Location Area) qui sy trouvent.
30
Le TMSI (Temporary Mobile Subscriber Identifer) est utilis pour augmenter la confidentialit en
vitant lutilisation de lIMSI sur linterface air.
31
Dans la structure du TMSI le NRI commence partir du 23me octet et une valeur 0
pour le NRI signifie que le NRI nest pas utilis et le MSC pool nest pas configur dans
le rseau.
La figure 14 montre la structure du TMSI dans un MSC pool et NRI de longueur 10
bits.
Bits 3130
Bit 29
Bits 2314
Other bits
roaming intra pool. En effet le BSC/RNC utilis pour router la requte de mise jour de
localisation vers le MSC slectionn utilise cette fonction. La fonction NNSF peut tre
configure sur une MGW. Dans ce cas, la MGW est utilise pour slectionner le MSC server
disponible pour effectuer le Load Balancing entre les MSC servers. Le principe de la fonction
NNSF est dcrit comme suit :
Le MS/UE envoi une demande de mise jour de localisation (Location Update
Request) au NNSF node5
Le NNSF Node slectionne un MSC disponible par un algorithme de routage
prenant en compte la charge du trafic.
Le MSC alloue un TMSI au MS/UE contenant le NRI.
Le MSC choisi envoi une confirmation de mise jour de localisation (Location
Update Complete) au MS/UE avec le TMSI
Le NNSF Node route effectue le routage vers le CN Node6 correspondant.
5
6
32
33
MSC server
MSC server
MSC server
MSC server
MGW A
VMGW 1
VMGW 2
VMGW 3
VMGW 4
BSC/RNC BSC/RNC
MGW B
VMGW 1
VMGW 2
VMGW 3
VMGW 4
BSC/RNC BSC/RNC
34
Connexion
Valeur
Nombre de MSC
servers
32
Nombre de MGW
300
Nombre de RNC/BSC
128
Nombre de LA/cellules
30,000
Nombre de virtual
MGW
Nombre de RNC
connect
(mode IP/ATM)
50
Nombre de BSC
connecte (mode TDM)
50
Nombre de MSC
servers connect
32
Nombre de MGW
connect
(mode IP/ATM)
Nombre de MSC
servers connect
32
Nombre de MGW
connecte (mode TDM)
35
Nombre de NRIs
<=6 bits
3,200,000
7 bits
1,600,000
7 bits
3,200,000
8 bits
800,000
8 bits
1,600,000
8 bits
2,400,000
8 bits
3,200,000
9 bits
400,000
9 bits
800,000
9 bits
1,200,000
9 bits
1,600,000
9 bits
2,000,000
9 bits
2,400,000
9 bits
2,800,000
9 bits
3,200,000
10 bits
20 x N x 10,000
36
Tous les MSC servers et les MGW sont interconnects, ce qui ncessite un
maillage important au niveau du cur rseau NGN.
Conclusion
Dans un milieu trs comptitif, les techniques damlioration de la qualit du rseau
NGN deviennent de plus en plus puissantes. Plusieurs techniques sont utilises pour atteindre
la haute disponibilit du rseau.
Mais toutes ces techniques ont leurs forces et faiblesses quil convient de souligner
pour adopter la meilleure mthode qui prend en compte les capacits du rseau.
37
CHAPITRE 3
ETUDE DU RESEAU
EXISTANT
38
Le SSP assure toutes les fonctions de base de la commutation pour le rseau mobile. Dans la
solution Alcatel, la fonction de commutation du MSC est assure par deux quipements distincts : le
SSP (SSP : Service Switching Pont) et le RCP (Radio Commande Point). Le SSP est pilot par le
RCP qui joue aussi le rle de VLR. La solution Alcatel permet davoir un seul SSP et plusieurs RCP,
ce qui permet loprateur daugmenter la capacit dabonns sans devoir ajouter de SSP.
39
Le MSOFT X3000 est compos de btis lintrieur desquels on trouve des chssis
contenant des slots pour lemplacement de cartes. Il peut tre configur avec un maximum de
trois btis numrots de 0 2. Le bti avec le chssis de base est le bti configuration
intgrale, ayant le numro 0, et incluant deux chssis, le BAM et liGWB. Le bti de service
peut contenir 4 chssis de services. Le numro du bti doit correspondre avec la position du
bti lors de la configuration, pour que le systme puisse gnrer des informations dalarmes
correctes si un problme a eu lieu lors de lopration. Ainsi la configuration maximale
contient-elle un chssis de base et 9 chssis dextension. Le chssis de base a le numro 0 et
les autres sont numrots de 1 9 du bas vers le haut suivant les numros des btis.
Un chssis contenant 21 slots peut donc accueillir 21 cartes numrotes de 0 20.
Les cartes de face sont numrotes de gauche droite et les cartes dorsales sont numrotes
de droite gauche. Les cartes sont ranges dans les slots selon leur type :
Les WSMUs (et les cartes dorsales WSIUs) sont insres dans les slots 6 et 8.
La carte WALU est insre dans le slot de face numro 16.
La carte WHSC est insre dans les slots dorsales numros 7 et 9, et pas de cartes
prsentes dans les slots de face correspondants.
Chaque UPWR occupe deux slots, et il y a deux cartes UPWR de face et deux cartes
UPWR dorsales. Les numros des slots dsigns sont 17 et 19.
Les autres slots (05, 1015) correspondent aux cartes de traitement des services
(incluant le WCCU, WCSU, WBSG, WIFM, WAFM, WCDB, WVDB, et WMGC).
Les caractristiques du MSOFT X3000 et ses capacits sont prsentes
respectivement dans les tableaux 4 et 5.
Tableau 4: Caractristiques du MSOFT X3000
Paramtres
Spcification
99.99953%
1 h (seulement temps de
rparation)
< 6 secondes
< 6 minutes
< 30 minutes
< 3 minutes
40
Spcification
300
128
128
4 100 Mbit/s
1728
108
2304
41
III.1.1.2
LUMG 8900
LUMG 8900 (Universal Media Gateway 8900) joue le rle de MGW. Il fonctionne
avec le MSOFT X3000. Son fonctionnement supporte tous les services voix et donnes de
faible dbit que peut fournir un rseau GSM. Il permet aussi la transmission en mode IP donc
une transition progressive du rseau TDM vers le tout IP.
En effet le hardware de lUMG 8900 a t conu pour supporter la fois les services
commutation de circuit et de paquet : Une plateforme de commutation Paquet/TDM intgre
qui peut facilement voluer vers le tout IP par mise jour logicielle.
Il fonctionne comme une entit de transport pour la voix et donnes au niveau du
rseau cur. Il assure la transmission les flux de services et transforme les flux de mdia dans
un mme rseau et entre rseau mobile et rseau fixe Il peut aussi jouer le rle de passerelle
de signalisation (Signaling Gateway SG).
Ainsi, Son architecture fonctionnelle est compose de plusieurs sous systmes qui
sont :
Le sous systme de Contrle du Gateway
Le sous Systme de Traitement Paquet
Le sous Systme de Traitement TDM
Le sous Systme de Ressources des Services
Le sous Systme de Transfert de la Signalisation
Les capacits de lUMG 8900 sont prsentes dans le tableau 6 ci-dessous
Tableau 6: Capacits de lUMG 8900
Type dinterface
Nombre Maximum
E1/T1
7168
E3/T3
504
112
112
10
14
STM-1 POS
54
42
Dans ce mmoire, seule ltude des quipements de commutation dans le rseau cur
est aborde.
Les quipements de commutation et de routages de trafic se repartissent sur diffrents
sites. Aprs tude, nous constatons que le rseau cur ORANGE-CI est concentr Abidjan.
Lessentiel de la commutation est ralis dans la ville dAbidjan. ORANGE-CI dispose dun
rseau cur compos de RCP/SSP du constructeur ALCATEL et dquipements NGN du
constructeur chinois HUAWEI.
Pour des raisons de confidentialits nous ne donnerons pas le nombre total des
quipements NGN du rseau cur de ORANGE-CI.
III.1.2.2
Le rseau de signalisation
Points de la situation
Selon le cahier de charges dans larchitecture du rseau cible scuris, les MSC/VLR
Alcatel sont remplacs par des UMG 8900 interconnectes une nouvelle MSOFT X3000
pour une migration totale du rseau cur NGN.
43
Conclusion
ORANGE-CI dispose actuellement dun rseau cur hybride constitu dquipements
NGN et de commutateurs MSC/VLR dALCATEL.
Larchitecture de son rseau cur NGN est centralise autour de MSOFT X3000 et
UMG 8900 du constructeur HUAWEI et de PTS pour la signalisation. Pour voluer vers un
rseau cur full NGN, ORANGE-CI envisage remplacer les commutateurs Alcatel par des
MGW qui seront pilots par un nouveau MSOFT X3000.
Ce qui ncessite une architecture scurise. Cest justement ce travail qui nous a t
confi.
44
CHAPITRE 4 :
CHOIX DE LA
SECURISATION ET
ARCHITECTURE
RESEAU CIBLE
Nous allons faire ltude du choix dune solution
de scurisation qui tienne compte des besoins et
contraintes du rseau existant, puis nous
proposerons le dploiement de la solution de
scurisation et larchitecture du rseau cible
scuris.
45
46
Le MSC Pool
Redondance matrielle
Redondance symtrique
entre les MSC servers
Redondance asymtrique
Mode de reprise
Scurisation des
Dure
aprs sinistre
donnes
dindisponibilit
Rplication
Sauvegarde totale
Environ
Load sharing
32 secondes
Load distribution
(Taux 99,9999%)
sharing
les MGW
(master/slave)
Redondance symtrique
avec assistance
mutuelle
(Load sharing)
(master/slave)
Redondance symtrique
mutuelle
(Load sharing)
Sauvegarde totale
< 3mn
Rplication
Sauvegarde totale
Environ 10 mn
Rplication
Sauvegarde totale
Environ 10 mn
Rplication
Sauvegarde totale
Environ 10 mn
Rplication
Sauvegarde totale
Environ 10 mn
Load sharing
assistance
Mode degrad
Load sharing
47
SPC : Signaling Point Code ou code de signalisation permet didentifier un lien de signalisation
dans le rseau cur
48
BSC par un MSC server lui soit transparente. Pour atteindre ce but, les deux modes suivants
de rseaux de signalisation peuvent tre utiliss:
Le mode Agent
Le mode transfert
IV.3.1.2.1
DPC : Destination Point Code permet la BSC dtablir un lien avec le MSC server
49
SPC AA
SPC XX
MSOFT
X3000
MSOFT
X3000
SPC AA
SPC AA
MGW 1
SPC AA
SPC YY
MGW 2
DPC AA
DPC AA
DPC AA
DPC AA
BSC 1
BSC 2
BSC 3
BSC 4
50
MSOFT
X3000
MGW 1
SPC BB
SPC XX
MSOFT
X3000
SPC AA
SPC DD
MGW 2
SPC CC
SPC YY
SPC AA
SPC EE
DPC AA
DPC AA
DPC AA
BSC 1
BSC 2
DPC AA
BSC 3
BSC 4
51
MSOFT 1
MSOFT 2
MSOFT 3
A80001
A80002
A80003
Nombre de virtual
server
Longueur du NRI
6 bits
6 bits
6 bits
Nombre de NRI
Tous les MSC servers sont configurs comme MSC server par dfaut dans le
MSC Pool.
VMSOFTID=0
VMSOFTID=1 actif
VMSOFTID=0
VMSOFTID=1 actif
VMSOFTID=0
VMSOFTID=1 actif
Solution de partage de
charge
Partage de charge est bas sur le Virtual server et le Virtual MGW pour
lchange des liens de charge actifs et standby.
2 million dabonns
SPC
Nombre de
Virtual MGW
MGW 1
MGW 2
MGW 3
MGW 4
MGW 5
MGW 6
Pour les
MSOFT:
Pour les
MSOFT:
Pour les
MSOFT:
Pour les
MSOFT:
Pour les
MSOFT:
Pour les
MSOFT:
2A0001
2B0001
2C0001
2D0001
2E0001
2F0001
Pour les
BSC:
Pour les
BSC:
Pour les
BSC:
Pour les
BSC:
Pour les
BSC:
Pour les
BSC:
902
902
902
902
902
902
Msoft 1:
Msoft 1:
Msoft 1:
Msoft 1:
Msoft 1:
Msoft 1:
Msoft 3:
Msoft 3:
Msoft 3:
Msoft 3:
Msoft 3:
Msoft 3:
Correspondance
VMGWID=0 VMGWID=1 VMGWID=1 VMGWID=0 VMGWID=1 VMGWID=0
entre les
Msoft 2:
Msoft 2:
Msoft 2:
Msoft 2:
Msoft 2:
Msoft 2:
VMGW ID et
les MSOFT
VMGWID=1 VMGWID=0 VMGWID=0 VMGWID=1 VMGWID=2 VMGWID=2
VMGWID=2 VMGWID=2 VMGWID=2 VMGWID=2 VMGWID=0 VMGWID=1
Nombre de
BSC en charge
10
10
52
Toutes les BSC auront des SPC 902. Les MSC servers tablissent de la signalisation
avec les autres quipements (PTS, HLR, SMSC) avec dautres SPC via les PTS.
IV.3.1.4 Architecture globale scurise
Dans la nouvelle architecture scurise, les diffrents MSC servers sont en partage de
charge via le rseau de signalisation et les MGW. Les MGW utilisent la fonction NNSF pour
activer les NRI au niveau des MSC servers correspondants. Ainsi, toutes les BSC sont
connects logiquement toutes les MSC servers via les MGW. Le dploiement devra se faire
par un swap progressif des RCP pour dplacer les charges des BSC. La figure 20 suivante
reprsente le modle darchitecture scurise qui pourrait tre adopt.
Rseau
Smaphore
MSOFT
X3000
MSOFT
X3000
MSOFT
X3000
Backbone
IP/MPLS
Pool
MGW 1
MGW 2
10 BSCs
6 BSCs
MGW 3
9 BSCs
MGW 4
5 BSCs
MGW 5
5 BSCs
MGW 6
10 BSCs
53
Dans cette architecture linterface Nb entre les MGW est base sur du IP. Toutes les MGW
sont interconnectes entre elles via des routeurs existants dj sur chaque site et passent par
un backbone IP. En outre, il faut noter que cette phase sera plus facile dautant plus que
ORANGE-CI dispose dj dun rseau IP/MPLS, celui de Cte dIvoire Tlcom (CIT).
IV.3.2 Configuration des donnes pour le MSC Pool
IV.3.2.1 Prsentation de loutil de configuration
La configuration du MSC Pool se fait laide dun logiciel client du constructeur
HUAWEI. Ce logiciel nomm iManager 2000 ou M2000 [5] est fourni avec les quipements
NGN pour lassistance via un ordinateur. Il se connecte au software des quipements NGN et
envoie les commandes saisis pour excution via un rseau LAN (IP). Son interface est facile
dutilisation et possde un onglet avec saisie de commande assiste.
La figure 21 ci-dessous nous donne linterface de configuration et de supervision des
quipements dans le MSC Pool.
15/06/2010
15/06/2010
54
Scurisation
Rseau
Cur
Scurisation
Rseau
Daccs
Fin
Figure 22: Organigramme de configuration du MSC Pool
Prparation du rseau:
Le projet a commenc par une phase prparatoire du rseau. Cette phase a consist
lorganisation de Project Meeting NGN phase 3 avec la participation de plusieurs services
(CN&PF, NSS, OMC-R, Transmission, Radio) et de lquipementier (HUAWEI). Lors de
cette phase, il sagissait:
Pour le service dploiement, de disposer les sites devant accueillir les
nouveaux quipements en sappuyant sur leurs dimensions fournies par
lquipementier, et dassurer le transport des quipements jusquau site
dinstallation.
Pour notre service, de collecter toutes les donnes des quipements swaper,
de fournir les paramtres relatifs la configuration de la solution de
55
56
Observation
Les abonns doivent effectuer les actions suivantes :
57
58
La coupure des fibres optiques reliant les diffrents sites due gnralement
aux actes de vandalisme (vols de cble en cuivre).
59
CONCLUSION
Ltude sur la scurisation du rseau NGN de ORANGE-CI a permis une solution de
scurisation de loprateur et des recommandations relatives cette scurisation. Ces
recommandations ont pour but dlaborer une stratgie lgante damlioration du rseau
NGN cible de ORANGE-CI en tenant compte de lvolution du rseau existant. Par
consquent, elle doit tre suivie dune application de sorte relever les dfis des nouvelles
technologies en Cte dIvoire.
Ce stage nous a permis daccrotre considrablement notre comprhension dun
certain nombre daspects dont les rseaux de prochaine gnration et le concept de
scurisation des rseaux NGN. En outre, Nous esprons avec modestie que toutes les
proccupations ont t largement satisfaites dans ce stage que nous avons trouv passionnant
et maints gards, instructifs.
Lapplication de la solution de scurisation consigne dans ce rapport, requerra les
services de personnes pointues en scurit NGN, en plus le parc des quipements NGN du
constructeur HUAWEI devient important ; pourquoi ne pas envisager la monte en expertise
danalyse dun niveau suprieur des exploitants du Core Network ?
En effet, la scurisation des rseaux NGN tant un domaine crucial et la fois
complexe, seul ne sy intressent que de rares ingnieurs ; toutefois, les trois mois que nous
avons passs Orange nous ont permis den cerner les fondements.
Aussi, court ou moyen terme, vu la pnurie criarde des liaisons MIC et STM1, il
serait opportun dpouser une nouvelle technologie offrant une plus grande capacit en STM
avec un multiplexage de la capacit de la fibre optique. Cette ide est en
cours
dimplmentation, nous a-t-on dit avec le WDM et aboutira ladoption prochaine dun
rseau de transmission ultra scuris qui offre des dbits trs levs.
Par ailleurs, la scurisation du rseau NGN pourra stendre lintroduction de la 3G
afin de disposer dune optimisation en termes de qualit de service et permettre ORANGECI de maintenir sa position de leader sous la pression concurrentielle. Nanmoins pour mener
bien cette tude, la matrise du prsent rapport est requise.
60