memoire karamoko mss
Post on 21-Jun-2015
4.288 Views
Preview:
TRANSCRIPT
GEE22GEE22
GEE22GEE22
Pour ll’’oobbtteennttiioonn dduu
DDiippllôômmee dd’’iinnggéénniieeuurr ddee ccoonncceeppttiioonn eenn ttééllééccoommmmuunniiccaattiioonnss eett rréésseeaauuxx
EEccoollee SSuuppéérriieeuurree dd’’IInndduussttrriiee
N° d’ordre : 06/11/ESI ING TLC /2010
MMEEMMOOIIRREE DDEE FFIINN DDEE CCYYCCLLEE
SSééccuurriissaattiioonn ddeess RRéésseeaauuxx NNGGNN ::
CCaass ddee OORRAANNGGEE CCôôttee DD’’IIvvooiirree
((OOCCII))
PPéérriiooddee ddee ssttaaggee :: 0066 AAvvrriill –– 0055 JJuuiilllleett 22001100
KKAARRAAMMOOKKOO MMAAMMAADDOOUU EEllèèvvee iinnggéénniieeuurr eenn ttééllééccoommmmuunniiccaattiioonnss eett
rréésseeaauuxx
Présenté par
Professeur HABA Cissé Théodore
Enseignant Chercheur à l’INPHB de
Yamoussoukro
Encadreur Pédagogique
M. N’DA Jean Marie Dominique
Chargé de projet au service
Core Network & Platform ORANGE-CI
Maître de Stage
Ministère de l’Enseignement
Supérieur et de la Recherche Scientifique
République de Côte d’Ivoire
Union – Discipline - Travail
Institut National Polytechnique
Félix HOUPHOUET BOIGNY
Génie Electrique & Electronique
GEE22GEE22
GEE22GEE22
Pour ll’’oobbtteennttiioonn dduu
DDiippllôômmee dd’’iinnggéénniieeuurr ddee ccoonncceeppttiioonn eenn ttééllééccoommmmuunniiccaattiioonnss eett rréésseeaauuxx
EEccoollee SSuuppéérriieeuurree dd’’IInndduussttrriiee
N° d’ordre : 06/11/ESI ING TLC /2010
MMEEMMOOIIRREE DDEE FFIINN DDEE CCYYCCLLEE
SSééccuurriissaattiioonn ddeess RRéésseeaauuxx NNGGNN ::
CCaass ddee OORRAANNGGEE CCôôttee DD’’IIvvooiirree
((OOCCII))
PPéérriiooddee ddee ssttaaggee :: 0066 AAvvrriill –– 0055 JJuuiilllleett 22001100
KKAARRAAMMOOKKOO MMAAMMAADDOOUU EEllèèvvee iinnggéénniieeuurr eenn ttééllééccoommmmuunniiccaattiioonnss eett
rréésseeaauuxx
Présenté par
Professeur HABA Cissé Théodore
Enseignant Chercheur à l’INPHB de
Yamoussoukro
Encadreur Pédagogique
M. N’DA Jean Marie Dominique
Chargé de projet au service
Core Network & Platform ORANGE-CI
Maître de Stage
Ministère de l’Enseignement
Supérieur et de la Recherche Scientifique
République de Côte d’Ivoire
Union – Discipline - Travail
Institut National Polytechnique
Félix HOUPHOUET BOIGNY
Génie Electrique & Electronique
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
1
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Un réseau peut être vu comme un ensemble de ressources mises en place pour offrir
des services. C’est l’évolution des services et des trafics offerts qui a piloté, dans les dernières
années, l’évolution technologique permettant d’augmenter la capacité et les fonctionnalités
des ressources des opérateurs de téléphonie mobile. Les réseaux de la prochaine génération
(NGN ou Next Generation Networks en anglais), avec leur architecture répartie, exploitent
pleinement des technologies de pointe pour offrir de nouveaux services sophistiqués et
augmenter les recettes des opérateurs tout en réduisant leurs dépenses d’investissement et
leurs coûts d’exploitation [2]. Un point essentiel dans l’augmentation de l’offre de services
concerne la capacité à regrouper l’ensemble des services dont le client a besoin et de les lui
offrir, si possible de manière fidèle. Dans cette situation, le terme "sécurité" est largement
utilisé pour caractériser le niveau de confiance dans un réseau. De la sécurité découle la
nécessité de disposer d'architectures, de réseaux, d'équipements et de techniques permettant
de répondre aux besoins des consommateurs, en ce qui concerne les services proposés.
Depuis la première phase de migration de son réseau cœur vers le NGN, ORANGE-CI
n’a cessé de déployer de gros investissements en vue d’effectuer une migration totale.
Cependant après cette migration totale il faudra mettre en place une politique de sécurisation
fiable permettant d'optimiser la distribution de l'intelligence de bout en bout de son réseau
NGN. C’est justement ce travail qui nous a été confié et qui consiste en fait en la mise en
place d’une technique de sécurisation du réseau NGN de ORANGE-CI. Il renferme l’étude
des différentes techniques de sécurisation des réseaux NGN, la proposition d’une politique de
sécurité du réseau NGN de ORANGE-CI et l’architecture du réseau NGN cible sécurisée.
Le travail s’articulera autour de trois grands axes. Tout d’abord une approche
technique de la notion de sécurité dans les réseaux NGN. Ensuite, avec l’analyse du réseau
existant, nous passerons au choix de la sécurisation puis nous proposerons une architecture
prenant en compte la sécurité du réseau cible.
Mais avant d’aborder le travail proprement dit, nous allons présenter le cadre et le
contexte de notre stage.
IINNTTRROODDUUCCTTIIOONN
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
2
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
CCHHAAPPIITTRREE 11 ::
CCAADDRREE EETT CCOONNTTEEXXTTEE
DDUU SSTTAAGGEE
Nous allons décrire l’environnement de travail
dans lequel nous avons évolué durant nos trois
mois de stage, puis nous présenterons le thème
étudié, et la méthodologie de travail adoptée.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
3
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
I.1. CADRE DU STAGE
Notre stage s’est déroulé du 06 Avril au 05 Juillet 2010 au sein de l’équipe Core
Network & Platform de ORANGE-CI.
I.1.1 Création de ORANGE-CI [14]
Orange CI a été créée sous l’appellation, Société Ivoirienne de Mobile (SIM) et sous la
marque Ivoiris. Elle est détenue à 85% par France Télécom et à 15% par le groupe
COMAFRIQUE. Ses activités commerciales ont débuté le 28 octobre 1996. Suite à la création
de la holding de droit français, Orange SA, France Télécom décide de dénommer « Orange »
toutes ses filiales mobiles, dans lesquelles elle est majoritaire, afin de leur faire bénéficier de
l’expertise commerciale et de la notoriété dont jouit la marque.
C’est ainsi que le 18 mars 2002, la Société Ivoirienne de Mobile change de
dénomination sociale et commerciale et devient Orange Côte d’Ivoire SA (OCI SA).
Conformément à la politique du groupe, le statut de franchise d’Orange Côte d’Ivoire SA se
traduit le 29 mai 2002 par l’adoption de la marque, de ses valeurs et de sa vision du futur. Elle
est à cette date, la première représentation de la marque Orange en Afrique.
Orange Côte d'Ivoire, société anonyme au capital de 4,136 milliards, a pour siège
l'immeuble "le Quartz" situé sur le Boulevard Valery Giscard d'Estaing à Abidjan.
Le Groupe France Telecom a initié depuis 2004, une synergie entre ses filiales en
Côte d’Ivoire : Orange CI (OCI) et Côte d’Ivoire Telecom (CIT). Les activités du Groupe en
Côte d’Ivoire concernent les télécommunications à travers les univers fixe-mobile-internet.
Le numéro de licence d’orange est de 01/CEL/2/96/ATCI ; elle a été accordée le 02
Avril 1996 et court jusqu’au 02 Avril 2016.
I.1.2 Missions
Les résultats probants obtenus par la qualité des services, des produits et l’accueil
client ont fait d’Orange CI, l’opérateur de référence en Côte d’ Ivoire. Elle s’est donné pour
objectifs de :
Fournir des services spécialisés aux abonnées
Satisfaire les besoins de la clientèle
Permettre une communication fiable à des tarifs moindres
Elle souhaite que chaque client puisse communiquer et interagir, à tout moment, de
n’importe où et de la manière qu’il souhaite. Aussi, elle ambitionne de devenir la première
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
4
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
marque globale de téléphonie mobile. C'est-à-dire être premier dans les services, dans la
qualité, dans l’innovation et ainsi être le premier choix.
I.1.3 L’organigramme
Pour atteindre ces différents objectifs, OCIT a axé sa politique de gestion sur une
organisation composée de plusieurs directions, départements et services.
Figure 1 : Organigramme simplifié d’Orange Côte d’Ivoire
Direction des études et
Développement (DED)
Service CoreNetwork et
Platform (CN&PF)
Direction Adjointe
Réseau structurant
(DARS)
Direction du Réseau et du
Système d’information
(DRSI)
Direction de l’Audit et de la
Qualité (DAQ)
Direction Juridique et de
la réglementation (DJR) Direction des
Ressources Humaines
(DRH)
DIRECTION
GENERAL
DG
Direction financière
(DF) Direction Marketing et de la Communication (DMC)
(DMC)
Direction des Moyens
Généraux (DMG) Direction Commerciale
(DC)
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
5
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
I.2. CONTEXTE DU STAGE
I.2.1 Le service Core Network & platform (CN&PF)
Notre projet de fin d’études au sein de ORANGE-CI, a été supervisé par le service Core
Network & Platform (CN&PF). Elle regroupe toutes les activités d’études et de
développement. Les fonctions de ce service sont :
Réaliser les études
Définir les Roadmap IT et Network
Elaborer le budget de CAPEX
Etre à l’écoute des besoins des directions d’OCIT et trouver la meilleure solution
technique pour y répondre
Assurer l’ingénierie et la gestion de projets lors de la mise en œuvre de :
L’évolution du réseau par l’ajout de nouveaux équipements dans le cœur
réseau
L’extension de capacité des équipements du cœur réseau
De nouvelles fonctionnalités
Assurer la gestion des projets de la DED
I.2.2 Présentation du thème de l’étude
La volonté de passage à une architecture NGN au niveau du cœur de réseau de
ORANGE-CI, s’inscrit avant tout dans une logique d’optimisation du trafic du fait de la
commutation de paquet et d’évolution vers le concept « tout IP » du réseau existant. Le
passage à la phase 3 de la migration vers le NGN prévu pour fin juin 2010 de ORANGE-CI se
caractérise par l’ajout de nouveaux équipements NGN dans le réseau cœur et une
augmentation des capacités des serveurs existants en termes d’abonnés. Par ailleurs avec cette
évolution, il paraît nécessaire d’identifier les faiblesses potentielles du réseau NGN et de
proposer une architecture sécurisée du réseau cible. C'est la raison pour laquelle l’on doit
définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon
les étapes suivantes :
Identifier les besoins en termes de sécurité, les risques pesant sur les équipements et
les conséquences.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
6
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Proposer une architecture qui prend en compte la haute disponibilité du réseau pour
améliorer la QoS.
Afin d’anticiper en terme de sécurisation totale du réseau NGN cible, le thème
« SECURISATION DES RESEAUX NGN : CAS DE ORANGE-CI » nous a été confié.
I.2.3 Intérêt du thème de l’étude
La stratégie de migration de ORANGE-CI vers le NGN consiste en l’ajout de
nouveaux équipements dans le réseau cœur et l’augmentation des charges au niveau des
équipements existants. Cela soulève un certain nombre d’interrogations : les équipements
ajoutés sont-ils capables de prendre la charge du réseau ? Si oui jusqu'à quel niveau ? Le
réseau est-il disponible en cas de dysfonctionnement au niveau d’un nœud ? C’est entre autre,
dans ce paysage disparate de questions que ce travail vient à point nommé, afin de permettre à
ORANGE-CI de réduire les risques d’indisponibilités considérables du réseau.
I.2.4 Méthodologie du travail
La méthode de travail a consisté à relever les risques afférents aux réseaux NGN, les
techniques utilisées pour aboutir à une sécurisation, le choix et la mise en œuvre d’une
solution qui tienne compte du réseau NGN cible de ORANGE-CI.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
7
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
CCHHAAPPIITTRREE 22 ::
CCOONNCCEEPPTT DDEE
SSEECCUURRIITTEE DDAANNSS LLEESS
RREESSEEAAUUXX NNGGNN
Ici, nous allons présenter les caractéristiques des réseaux
de nouvelles générations (NGN), puis procéder à l’étude
prospective des concepts nouveaux des réseaux NGN.
Après cette étude globale des réseaux NGN, nous
décrirons les limites essentielles en termes de non garantie
de la sécurité et aborderons les politiques de sécurisation
liées aux NGN.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
8
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
II.1. GENERALITES SUR LE RESEAU NGN
II.1.1 Présentation du réseau NGN
Les NGN1
sont des réseaux en mode paquet capable d'assurer des services de
télécommunications et d'utiliser de multiples technologies de transport à large bande à qualité
de service imposée et dans lesquels les fonctions liées aux services sont indépendantes des
technologies liées au transport[1]. Afin de s’adapter aux grandes tendances qui sont la
recherche de souplesse d’évolution de réseau, la distribution de l’intelligence dans le réseau,
et l’ouverture à des services tiers, les NGN sont basés sur une évolution progressive vers le «
tout IP » et sont modélisés en couches indépendantes dialoguant via des interfaces ouvertes et
normalisées.
La couche « Accès », qui permet l’accès de l’utilisateur aux services via des supports
de transmission et de collecte divers : câble, cuivre, fibre optique, boucle locale radio,
xDSL, réseaux mobiles.
La couche « Transport », qui gère l’acheminement du trafic vers sa destination. En
bordure du réseau de transport, des « Media Gateways » et des « Signalling
Gateways» gèrent respectivement la conversion des flux de données et de signalisation
aux interfaces avec les autres ensembles réseau ou les réseaux tiers interconnectés.
La couche « Contrôle », qui se compose de serveurs dits « Softswitch » gérant d’une
part les mécanismes de contrôle d’appel (pilotage de la couche transport, gestion des
adresses), et d’autre part l’accès aux services (profils d’abonnés, accès aux
plateformes de services à valeur ajoutée).
La couche « Services », qui regroupe les plates-formes d’exécution de services et de
diffusion de contenus. Elle communique avec la couche contrôle du cœur de réseau via
des interfaces ouvertes et normalisées, indépendantes de la nature du réseau d’accès
utilisé. Les services et contenus eux-mêmes sont par ailleurs développés avec des
langages convergents et unifiés.
La figure suivante présente le principe général d'architecture d'un réseau NGN.
1 Il existe globalement deux types de réseau NGN : le NGN Téléphonie et le NGN Multimédia. Les
NGN Téléphonie sont des architectures de réseau offrant uniquement les services de téléphonie. Le
NGN Multimédia est une architecture offrant les services multimédia (messagerie vocale/vidéo,
conférence audio/vidéo, Ring-back tone voix/vidéo) puisque l'usager a un terminal IP multimédia.
Dans ce mémoire nous n’aborderons que le NGN Téléphonie qui est adopté par ORANGE-CI.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
9
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 2 : Principe général d’architecture d’un réseau NGN
II.1.2. Les familles de protocoles d’un réseau NGN [2]
La convergence des réseaux voix/données ainsi que le fait d’utiliser un réseau en mode
paquet pour transporter des flux multimédia, ayant des contraintes de « temps réel », a
nécessité l’adaptation de la couche contrôle. En effet ces réseaux en mode paquet étaient
généralement utilisés comme réseau de transport mais n’offraient pas de services permettant
la gestion des appels et des communications multimédia. Cette évolution a conduit à
l’apparition de nouveaux protocoles, principalement concernant la gestion des flux
multimédia, au sein de la couche Contrôle.
II.1.2.1 Les protocoles de contrôle d’appel
Les protocoles de contrôle d’appel permettant l’établissement, généralement à
l’initiative d’un utilisateur, d’une communication entre deux terminaux ou entre un terminal et
un serveur. Les principaux sont :
Couche Service
(Opérateur et tiers)
Couche Contrôle
Couche Transport
(Mode paquet)
Réseau d’Accès
Multiples
Terminaux
Interfaces ouvertes
Et normalisées
Interfaces ouvertes
Et normalisées
Réseau cœur
Paramètre
NGN
Connexe au
NGN
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
10
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
II.1.2.1.1 Le protocole historique : H.323
Développé par l’Union Internationale des Télécommunications (UIT-T), le protocole
H.323 est le protocole de contrôle d’appel sur IP le plus ancien. Nous observons une mutation
de la norme H.323 vers les NGN. La version 4 de H.323 permet une dissociation des couches
Transport et Contrôle : c’est une mutation de la norme H.323 vers les NGN. Cela apporte au
protocole H.323 la capacité d’être utilisable sur des réseaux opérateurs, alors qu’il avait été
conçu à l’origine pour des réseaux locaux. Il assure la gestion de la qualité de service de bout
en bout grâce à l’utilisation des protocoles RTP et RTCP. Les protocoles RTP et RTCP
garantissent la qualité des communications multimédia en mode paquets (gestion et contrôle
des flux temps réel). Pouvant être mis en œuvre au dessus d’IP ou d’ATM.
En outre il apporte des services supplémentaires qui ont été normalisés :
les appels en attente (H.450.4)
le « parquage d’appels » (H.450.5)
le signal d’appel (H.450.6)
le service d’identification (H.450.8)
le renvoi d’appel (H.450.9)
la tarification d’appel (H.450.10)
le service d’intrusion (H.450.11)
Il est établi que la signalisation des appels et la synchronisation (H.225) se passent
entre MSC-Server; par contre le protocole utilisé pour l’échange des capacités entre les
terminaux, la négociation de canal et le contrôle de flux média entre les terminaux H.323
(H.245) peut s’effectuer entre MGW ou MSC-Server. Il établi la correspondance entre les
messages ISUP et H.323 pour les appels IP-RTC et RTCIP.
II.1.2.1.2 Le protocole SIP-T : Session Initiation Protocol for Telephone
Défini par le RFC 3261, l’Internet Draft SIP-T (SIP pour la téléphonie) de l’IETF
définit la gestion de la téléphonie par le protocole SIP ainsi que l’interconnexion avec le RTC.
Cependant uniquement avec le protocole SS7/ISUP. SIP-T préconise :
L’encapsulation des messages ISUP à l’intérieur de messages SIP, permettant la
transmission de façon transparente de la signalisation ISUP dans le cas de transit par
un réseau IP.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
11
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Le renseignement de l’en-tête du message SIP par les informations contenues dans le
message ISUP, permettant d’acheminer le message correctement à travers le réseau IP
et de terminer les appels sur un terminal SIP.
C’est un protocole de signalisation pour l’établissement d’appel et de conférences temps
réel sur des réseaux IP. Il utilise aussi les protocoles RTP et RTCP pour gérer la qualité de
service de bout en bout.
II.1.2.1.3 Le protocole BICC : Bearer Independant Call control [12]
Le 3GPP suggère l'utilisation du protocole BICC défini par l'ITU-T. Le protocole
BICC est une extension du protocole ISUP pour permettre la commande d'appel et de services
téléphoniques sur un réseau de transport IP ou ATM. Le protocole BICC a pour objectif la
gestion de la communication entre serveurs d'appel, indépendamment du type de support,
permettant aux opérateurs de réaliser une migration de leurs réseaux RTC/RNIS/GSM vers
des réseaux en mode paquet. Il encapsule les messages ISUP à l’intérieur de messages IP.
Le protocole BICC est donc (ou sera à court terme) compatible aussi bien avec les
protocoles de contrôle d’appel SIP et H.323 qu’avec un transport en mode IP ou ATM.
Cependant au vu des tendances à moyen/long terme concernant le choix du protocole
de contrôle d’appel (plutôt SIP au détriment de H.323) et au vu du support important de BICC
dans le domaine télécoms, le choix du protocole de signalisation entre serveurs d’appel NGN
se fera vraisemblablement entre BICC et SIP-T.
II.1.2.2 Les protocoles de commande de Media Gateway
Les protocoles de commande de Media Gateway sont issus de la séparation entre les
couches Transport et Contrôle et permettent au Softswitch ou Media Gateway Controller de
gérer les passerelles de transport ou Media Gateway. MGCP (Media Gateway Control
Protocol) de l’IETF et H.248/MEGACO, développé conjointement par l’UIT et l’IETF, sont
actuellement les protocoles prédominants.
II.1.2.2.1 Le protocole historique : MGCP [12]
Le Media Gateway Control Protocol (MGCP, RFC 2705), protocole défini par l’IETF,
a été conçu pour des réseaux de téléphonie IP utilisant des passerelles VoIP. Il gère la
communication entre les Media Gateway et les Media Gateway Controller. Ce protocole traite
la signalisation et le contrôle des appels, d’une part, et les flux média d’autre part.
Les différents éléments qui utilisent MGCP sont :
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
12
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
La Signalling Gateway qui réalise l’interface entre le réseau de téléphonie
(Signalisation SS7) et le réseau IP. Elle termine les connexions des couches basses de
SS7 et transmet les messages ISUP à la MGC.
Le Media Gateway Controller (MGC) ou Call Agent qui opère l’enregistrement, la
gestion et les contrôles des ressources des Media Gateway. Elle coordonne
l’établissement, le contrôle et la fin des flux média qui transitent par la Media
Gateway.
La Media Gateway (MG) qui est le point d’entrée ou de sortie des flux média à
l’interface avec les réseaux IP et téléphoniques. Elle effectue la conversion des
médias entre le mode circuit (téléphonique) en le mode paquet (IP).
II.1.2.2.2 Le protocole alternatif : MEGACO/H.248
Le groupe de travail MEGACO (MEdia GAteway COntrol) a été constitué en 1998
pour compléter les travaux sur le protocole MGCP au sein de l’IETF.
Depuis 1999, l’UIT et l’IETF travaillent conjointement sur le développement du
protocole MEGACO/H.248 ; c’est un standard permettant la communication entre les Media
Gateway Controller (MGC) et les Media Gateway (MG). Il est dérivé de MGCP et possède
des améliorations par rapport à celui-ci :
Support de services multimédia et de vidéoconférence.
Possibilité d’utiliser UDP ou TCP.
Utilise le codage en mode texte ou binaire.
II.1.2.3 Le Protocole de signalisation sur IP
La signalisation SIGTRAN permet l’adaptation et le transport de la signalisation SS7
sur les réseaux IP. Il est aussi appelé SCTP par abus de langage. Il définit le protocole de
contrôle entre :
Les Signalling Gateways (SG), qui reçoivent la signalisation SS7 sur TDM, et la
convertissent en SS7 sur IP.
Les MSC-Servers, qui interprètent la signalisation SS7 sur IP.
Et les « signalling points » du réseau IP (serveurs de contrôle d’appel).
Les couches d’adaptation définies par SIGTRAN ont toutes des objectifs communs :
Le transport des protocoles de signalisation des couches supérieures, basé sur un
protocole de transport fiable sur IP qui est le protocole SCTP.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
13
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
La garantie d’une offre de services équivalente à celle proposée par les interfaces des
réseaux TDM.
La transparence du transport de la signalisation2 sur un réseau IP : l’utilisateur final ne
se rend pas compte de la nature du réseau de transport.
La possibilité de pouvoir supprimer dès que possible les couches basses du protocole
SS7.
La figure 3 montre la pile de protocoles de la signalisation SIGTRAN telle que
définie par le RFC 2719.
Figure 3: Pile de protocole SIGTRAN
II.1.3 Les Entités fonctionnelles du cœur du réseau NGN
Les réseaux mobiles dont l’essentiel du trafic est la voix sont longtemps restés en
marge de l’évolution de la commutation jusqu’à ce que l’on ait la possibilité de transporter la
voix sous forme paquets. En effet, Mise sous forme paquet, la voix peut transiter par un
réseau utilisé pour [1]:
Remplacer uniquement le réseau d’accès jusqu’au commutateur.
Remplacer uniquement le cœur du réseau.
Remplacer les deux derniers.
Remplacer l’ensemble du réseau, voire construire un nouveau réseau.
2 La signalisation est l’ensemble des informations de service nécessaires à l’établissement et au
déroulement d’une communication sur un réseau (prise en ligne, mise en attente, libération…)
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
14
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Des changements plus profonds peuvent avoir lieu dans l’architecture du réseau. Un
commutateur téléphonique est constitué de deux parties principales. Une partie matérielle
(hardware) qui se charge de l’acheminement des octets de voix entre la source et la
destination. Une partie logicielle (software) qui se charge de gérer la signalisation et les
services. Les deux parties sont historiquement logées dans le même équipement appelé MSC.
Le concept de séparation de la signalisation et la commutation permet de centraliser la
partie intelligente dans un serveur (appelé MSC-Serveur, ou encore MGC : Mediagateway
Controller) qui contrôlera les divers dispositifs responsables du transcodage (appelés MGW :
Mediagateway) qui eux ne peuvent pas être centralisés ; ils peuvent se trouver à chaque point
d’interconnexion entre la partie radio BSS ou le réseau RTC et le réseau paquets. En effet, le
MSC server contrôle une ou plusieurs MGW. De plus, la fonction réalisée par la MGW, c'est-
à-dire l’acheminent des flux, peut être fournie par un réseau en mode paquet, ce qui mène vers
la convergence voix-données. C’est ce type d’architecture que les NGN proposent.
L’association physique du MSC server et la MGW forme logiquement le MSC. Le MSC
server peut implémenter des services autres que les services de voix, on a donc une évolution
naturelle vers la convergence des services.En effet, les clients accèdent au MSC server, pour
demander l’accès aux services. Par exemple quand un client demande une communication
vers un correspondant au MSC server, ce dernier lui indique l’adresse destinataire dans le
réseau de paquets et la source émet les paquets transportant la voix vers cette destination. Les
flux d’informations, la voix notamment, sont véhiculés directement sur le réseau de paquets
(IP) de bout en bout. La figure 4 nous donne une architecture claire du commutateur dans le
réseau NGN.
Figure 4: Architecture de la commutation NGN
MGW
BSS/UTRAN Réseau IP ou
ATM Circuits de paroles
ou canaux
AAL2/ATM
MSC server
MSC
Protocole ISUP vers RTC
Protocole BICC ou SIP-T vers MSC server
Protocole de contrôle
MEGACO/H.248
Media Media
Signalisation
BSSAP/RANAP
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
15
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
II.1.3.1 Le MSC server
Le MSC server [13] est un serveur d’appel qui contient l’intelligence liée au contrôle
de l’appel et pour ce faire possède un modèle d’appel complet. Il est associé à un VLR afin de
prendre en compte les données des usagers mobiles. Le MSC server identifie les usagers,
détermine le niveau de service pour chaque usager et achemine de trafic. Par ailleurs, il
fournit toutes les informations permettant la taxation des appels et la mesure des performances
du réseau. Aussi, le MSC server s’interface aux serveurs d’applications. Le MSC server peut
jouer les rôles suivants :
II.1.3.1.1 Le GMSC server
Si un réseau établi un appel vers un PLMN qui ne communique pas avec le HLR,
l’appel sera routé vers un MSC. Ce MSC sera en mesure d’interroger le HLR approprié afin
d'obtenir un numéro de MSRN et par la suite router l’appel vers le MSC où l’abonné est
localisé. Ce MSC qui est appelé Gateway MSC (GMSC) [5]. Le GMSC server sera
responsable des fonctions de contrôle d’appel et de gestion de la mobilité par rapport à un
GMSC. . Un transcodage de la parole doit aussi avoir lieu au niveau de la MGW pour
convertir la parole reçue et qui est encodée à l'aide du codec G.711 en parole encodée en
utilisant le codec AMR (UMTS) ou à l'aide du codec GSM, avant de router le trafic audio à
l'autre MGW qui interface les nœuds BSC et RNC.
II.1.3.1.2 Le TMSC server [5]
Dans les applications, une structure en couche est utilisée dans les réseaux de grande
étendue. Étant un office de liaison, le TMSC server assure les fonctions suivantes :
Analyse du routage
Acheminement des appels intra réseau
II.1.3.2 La Media Gateway (MGW) [13]
La Media Gateway reçoit un trafic de parole du BSC ou du RNC et le route sur un
réseau IP ou ATM. L'interface Iu-CS (Interface entre RNC et MSC) ou l'interface A (Interface
entre BSC et MSC) se connecte dorénavant sur l'entité MGW afin que le trafic audio puisse
être transporté sur IP ou ATM. Une fois la connexion établie, la MGW convertira les signaux
audio transportés dans les circuits de parole (terminaison circuit) en paquets IP qui seront
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
16
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
transportés dans le réseau IP (terminaison IP) ou en cellules ATM dans le cas d’un transport
ATM.
II.1.4 Architecture du réseau NGN
Les principales caractéristiques des réseaux NGN sont l’utilisation d’un unique réseau
de transport en mode paquet (IP, ATM,…) ainsi que la séparation des couches de transport
des flux et de contrôle des communications, qui sont implémentées dans un même équipement
pour un commutateur traditionnel.
Ces grands principes et concernant les équipements actifs du cœur de réseau NGN
Téléphonie se déclinent techniquement comme suit [2] :
Remplacement des commutateurs traditionnels par deux équipements distincts :
D’une part des serveurs de contrôle d’appel dits Softswitch ou Media Gateway
Controller (correspondant schématiquement aux ressources processeur et
mémoire des commutateurs voix traditionnels).
D’autre part des équipements de médiation et de routage dits Media Gateway
(correspondant schématiquement aux cartes d’interfaces et de signalisation et
aux matrices de commutation des commutateurs voix traditionnels), qui
s’appuient sur le réseau de transport mutualisé NGN.
Apparition de nouveaux protocoles de contrôle d’appel et de signalisation entre ces
équipements (de serveur à serveur, et de serveur à Media Gateway).
La figure 5 [15] présente la structure physique d’un réseau NGN Téléphonie. Les
équipements existants (exemple : commutateur d’accès téléphonique ou BTS/BSC du réseau
GSM) sont reliés à une couche de transport IP ou ATM par le biais de Media Gateway
(couche transport). L’établissement des canaux de communication IP ou ATM entre les Media
Gateway est la responsabilité du MSC server appartenant à la couche contrôle. Dans
l’architecture NGN Téléphonie, le protocole de contrôle tel que MGCP ou MEGACO ne fait
que décrire les interactions entre le MSC server et la MGW. Si un MSC server doit contrôler
une MGW qui est sous la responsabilité d’un autre MSC server, il est nécessaire que les MSC
server communiquent en s’échangeant de la signalisation.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
17
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 5: Architecture d'un réseau NGN Téléphonie
Conclusion
La séparation des fonctions Transport et Contrôle du cœur de réseau est très déterminant
dans le réseau NGN. En effet, la notion de réseau de transport, au sens NGN, est plus large
qu’au sens traditionnel. Elle inclut, en complément des liaisons physiques et de
l’infrastructure « passive » de transport, l’apparition des fonctions Media Gateway et
Signalling Gateway, qui effectuent la conversion et l’acheminement du trafic et de la
signalisation sous le contrôle des serveurs d’appel.
Dans un monde dominé par le service temps réel, la nouvelle génération d’équipements
NGN qui est largement orientée autour de l’IP peut présenter des limites en termes de capacité
de tolérance aux pannes.
L'objectif de la partie suivante est justement l’évaluation des risques dans les réseaux
NGN.
BACKBONE
IP
RTCP/PLMN
BSC/Node B
BSC/Node B
MGW
MGW
MGW
ISUP
BSSAP
BICC
SCP
SIP INAP
Application
Contrôle
Transport
Adaptation
Accès
Class 5
Switch
Trafic
Signalisation
Commande MGW : H.248
MSC server MSC server
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
18
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
II.2. LES FAILLES DU RESEAU NGN
II.2.1 Evaluation des risques
La problématique de la sécurité est très présente dans les réseaux NGN. En effet les
services téléphoniques ont de fortes contraintes temps réel, exigences renforcées dans le cas
de services interactifs (communications multimédia). Pour offrir les services temps réels sur
des réseaux en mode cœur paquet tels que les NGN, des paramètres quantifiables, directement
liés à la qualité de service de bout en bout, sont utilisés:
Le temps de latence, qui correspond au temps écoulé entre le moment où le serveur
d’appel établit la connexion entre un appel émis et le moment où le destinataire
final le reçoit.
La gigue qui est la variation du temps de latence des paquets émis pour une même
« conversation ».
La perte de paquets qui représente l’information n’arrivant pas à destination dans
un délai compatible avec les flux temps réel. Elle se matérialise par la mauvaise
qualité d’écoute et une perte considérable des appels.
Dans le réseau NGN Téléphonie la séparation des fonctions Transport et Contrôle du cœur
de réseau se caractérise par l’introduction de deux équipements distincts : MSC server et la
MGW. Ces équipements sont hébergés et sous contrôle permanent de l’opérateur. Ils doivent
êtres protégés par diverses mesures, par exemple: sécurisation physique des infrastructures
existantes, durcissement des systèmes visant à réduire les vulnérabilités et à diminuer les
risques opérationnels. La gestion de la qualité de service par la seule couche transport, basée
sur les MSC servers et les MGW, n’offre pas de garantie de qualité de service ni de gestion de
la qualité de service de bout en bout. Les risques de dysfonctionnement se caractérisent par
une congestion au niveau des équipements NGN. On distingue : la congestion globale et
partielle du réseau.
II.2.2 La Congestion globale du réseau [1]
La congestion globale est caractérisée par une interruption considérable de tous les
services. Ce dysfonctionnement généralisé est causée par une défaillance matérielle ou une
surcharge au niveau du MSC server qui gère l’essentiel du trafic. Chez les opérateurs, les
situations suivantes peuvent se présenter :
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
19
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Toutes les MGW sont hors de contrôle, par exemple la perte de tous les liens entre
un MSC server et toutes les MGW qu’il contrôle.
Tous les trafics gérés par un MSC server sont interrompus, par exemple l’échec
des MOC (appels entrants), des MTC (appels sortants), des handovers et des
mises à jour de localisation.
La perte énorme des données des MSC servers et des MGW
La congestion globale du réseau introduit la charge des MSC servers dans le réseau.
II.2.3 La Congestion partielle du réseau [1]
Lorsqu’une MGW est congestionnée, l’essentiel du trafic qu’elle gère est perdu. On
parle de congestion partielle quand certains trafics sont momentanément interrompus. Dans ce
cas :
Certaines MGW sont hors de contrôle.
Les trafics gérés par une MGW sont interrompus, par exemple l’échec des MOC
(appels entrants), des MTC (appels sortants).
La congestion partielle du réseau introduit la charge des MGW dans le réseau.
Conclusion
Les réseaux NGN présentent de nombreuses limites car un facteur clé de la téléphonie
est prépondérant, c’est celui lié à la notion du « temps réel » et donc la disponibilité.
Puisqu’il est impossible d’empêcher totalement les pannes matérielles, il est nécessaire
de prévoir les moyens et mesures permettant d’éviter ou de rétablir en temps réel tout
incident. La partie suivante aborde la politique de sécurisation des réseaux de façon générale.
II.3. POLITIQUES DE SECURISATION DES RESEAUX
II.3.1 La haute disponibilité [7]
La haute disponibilité désigne une architecture réseau, ou un service, disposant d'un
taux de disponibilité convenable. On entend par disponible le fait d'être accessible et rendre le
service demandé.
La disponibilité est aujourd'hui un enjeu très important et qu'en cas d'indisponibilité,
les répercussions en termes de coûts et de production peuvent avoir un effet catastrophique.
Par exemple une disponibilité de 99 % indique que le service ne sera pas disponible pendant
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
20
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
3,65 jours par an maximum (un tableau en dessous est fourni pour les différents taux de
disponibilité). On atteint la haute disponibilité à partir de 99,9 %. La haute disponibilité
nécessite donc une architecture adaptée.
Le tableau suivant montre la durée d’indisponibilité du réseau en fonction du taux de
disponibilité.
Tableau 1: Durée d’indisponibilité par taux de disponibilité
Taux de disponibilité Durée d’indisponibilité
97 % 11 Jours
98 % 7 Jours
99 % 3 Jours et 15 Heures
99,9 % 8 Heures et 48 Minutes
99,99 % 53 Minutes
99,999 % 5 Minutes
99,9999 % 32 secondes
Il est nécessaire par exemple d'alimenter les composants par une alimentation
stabilisée, d'installer une climatisation efficace afin de maintenir les conditions d'utilisations
optimum et minimiser les risques de coupures et donc d'arrêt des équipements du réseau cœur.
Les risques d'incendies doivent aussi être pris en compte ainsi que la protection des câbles.
Ces précautions de base sont des critères à prendre en compte des le début de l'installation des
équipements.
Ces précautions d'ordre externe à l'architecture sont très importantes mais ne suffisent
pas à garantir une haute disponibilité. Afin de pouvoir l'atteindre, il est nécessaire de mettre
en place une architecture matérielle complémentaire par la redondance des matériels. La
sécurisation des données est aussi une solution indispensable pour mettre en place la haute
disponibilité sur le long terme.
II.3.1.1 La redondance matérielle
La redondance est comme son nom l'indique une duplication partielle ou totale des
ressources du réseau. Il existe plusieurs types de redondance :
La redondance symétrique
La redondance asymétrique
La redondance évolutive
La redondance modulaire
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
21
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
La redondance symétrique repose sur le principe de dupliquer deux choses
semblables à l'identique point par point.
La redondance asymétrique permet de basculer d'un type de matériel à un
autre, il n'est pas forcément identique mais assure les mêmes fonctionnalités
avec si possible des performances similaires.
La redondance évolutive est comparable à l'asymétrique mais on isole le
système défaillant lors d'une panne pour utiliser une autre partie du système.
La redondance modulaire est une technique qui permet de dévier une panne
d'un système sur un autre.
Dans tous les cas on ne parle de redondance seulement que si les composants exercent
les mêmes fonctions et ce sans dépendre les uns des autres. Leur influence mutuelle se limite
en général à se répartir la charge de travail ou des données. Des interactions comme la
consommation électrique ou la dissipation de chaleur existent quand même. Certains
composants effectuent des contrôles sur l'activité de leur voisin afin de se substituer à celui ci
s'ils sont manifestement hors d'usage, ou relancer le service si cela est possible.
Dans le cas de systèmes complexes, on peut dupliquer différents sous-ensemble. On
travail successivement sur chaque sous-ensemble en commençant par ceux jugés les moins
fiables ou étant le plus critique. Une fois dupliqué on se concentre sur le prochain sous-
ensemble jugé le plus sensible ou fragile et ainsi de suite. On poursuivra ce processus jusqu'à
avoir atteint le niveau de capacité, de performance et de fiabilité requis et aussi tant que le
surcoût de l'installation est jugé rentable.
II.3.1.2 La sécurisation des données
La mise en place d'une architecture redondante ne permet que de s'assurer de la
disponibilité des données mais elle ne permet pas de se protéger contre les mauvaises
interactions entre équipements ou contre des catastrophes naturelles (incendie, inondations,
tremblement de terre). Il est nécessaire de sécuriser les données et donc de prévoir des
mécanismes de sauvegardes afin de garantir la pérennité de celles ci. Cette fonction est double
car elle permet d'archiver en même temps ces données. Il existe plusieurs types de
sauvegarde, voici les principaux :
Sauvegarde totale
Sauvegarde différentielle
Sauvegarde incrémentale
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
22
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Sauvegarde à delta
La sauvegarde totale (en anglais on parle de full backup) réalise une copie conforme
des données à sauvegarder sur un support séparé. Ce qui peut poser des problèmes en
cas de gros volume en terme de lenteur et donc de disponibilité si les données sont
modifiées en cours de sauvegarde. Elle permet toutefois d'obtenir une image fidèle des
données à un instant t.
La sauvegarde différentielle (en anglais on parle de differential backup) se focalise
uniquement sur les données modifiées depuis la dernière sauvegarde complète. Par
rapport à la sauvegarde incrémentale (vu après), ce type de sauvegarde est plus lent et
aussi plus coûteux en espace de stockage mais elle est plus fiable car seule la
sauvegarde complète est nécessaire pour reconstituer les données sauvegardées.
La sauvegarde incrémentale (en anglais on parle d’incremental backup) copie tous les
éléments modifiés depuis la dernière sauvegarde. Plus performante qu'une sauvegarde
totale car elle ne sauvegarde que les éléments modifiés avec un espace de stockage
plus faible mais nécessite en contrepartie de posséder les sauvegardes précédentes
pour reconstituer la sauvegarde complète.
La sauvegarde à delta (en anglais delta backup) est une sauvegarde incrémentale sur
des éléments de données à granularité plus fine, c'est à dire au niveau de chaque bloc
de données.
II.3.2 Mode de reprise après sinistre
II.3.2.1 La réplication
Dans cette technique deux (ou plus) serveurs (1 et 2) assurent le même service mais
seul le serveur 1 est actif. Le serveur 2 (passif) est une parfaite copie en temps réel du serveur
1. Ainsi, en cas d'interruption, le serveur 2 est prêt à remplacer le serveur 1. Il faut s'assurer
que la somme des ressources passives est égale aux ressources actives (ex. pour deux serveurs
actifs et un passif les serveurs actifs ne doivent pas dépasser une charge de 50%) pour éviter
les débordements. Cependant cette solution demande une grande quantité de ressources
"inutilisées" en fonctionnement normal.
II.3.2.2 La répartition des charges
Elle est aussi appelé l'équilibrage de charge (Load Balancing en anglais). Ce processus
consiste à distribuer le trafic sur un ensemble de machines [5]. L'objectif est de :
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
23
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Lisser le trafic réseau et ainsi mieux répartir la charge globale sur les différents
équipements)
Pouvoir assurer la disponibilité des équipements en envoyant des données
adaptées aux équipements. Seuls ceux pouvant répondre à la demande seront
sollicités, on gagne aussi en temps de réponse.
II.3.2.3 Le mode dégradé
La fonctionnalité en mode dégradé est de permettre le fonctionnement des installations
de manière partielle ou ralentie. C'est tenter de fournir le service jugé indispensable, en
manquant de ressources complètes ou fiables. Une organisation particulière permet de
poursuivre l'exploitation des services jugés indispensables tout en préparant le dépannage.
Conclusion
La haute disponibilité du réseau est indispensable mais difficile à atteindre. Elle
nécessite de mettre en œuvre une architecture prenant en compte la redondance des
équipements et la sécurité des données.
Dans la partie suivante nous verrons en quoi consiste la sécurisation des réseaux NGN
II.4. LES TECHNIQUES DE SECURISATION DANS LES RESEAUX NGN
La sécurité dans un réseau NGN consiste à garantir l’accès aux services et aux
ressources afin de permettre la disponibilité totale du réseau.
Dans cette partie, nous décrivons les mécanismes de sécurité habituels, utilisés pour
assurer la redondance en cas de problème. L’ensemble de ces mécanismes représente ce que
l’on est en droit d’attendre d’une architecture de réseau NGN sécurisée.
II.4.1 Le MGW Load sharing [4]
II.4.1.1 Description du mode
Dans ce mode, un BSC/RNC peut être connecté à plusieurs MGW afin de sécuriser
l’accès aux services à travers les MGW. Les MGW s’échangent des ressources de telle sorte
que lorsqu’une MGW est défaillante, la charge du trafic du BSC/RNC est gérée
automatiquement par un autre sans interruption du trafic. Le schéma ci-dessous montre le
principe :
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
24
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 6: Architecture mode MGW Load sharing
II.4.1.2 Avantages et inconvénients
Cette technique est moins coûteuse et assure une redondance des MGW. Par contre
elle se limite à la sécurité des MGW et donc évite la congestion partielle. Le risque de
congestion globale est important car les MSC servers ne sont pas redondants.
II.4.2 Le Dual Homing [5]
Cette technique basée sur la réplication permet de mettre en place une politique de
gestion de la sécurité des MGW. Dans cette technique, le MSC server fonctionnant dans le
réseau (appelé MSC server actif) peut être configuré avec un second MSC server backup
(appelé MSC server standby). Dans les conditions normales le MSC server actif opère la
signalisation et offre les autres services. Quand celui-ci est défaillant, le MSC server standby
utilise des liens de relai de charges existants entre les deux MSC server pour détecter les
failles sur le MSC server actif afin de prendre le contrôle des MGW. Cette technique
comprend quatre modes de connexion des MSC Servers.
MSC server
BSC
MGW 1 MGW 2
RNC
BTS Node B
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
25
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
II.4.2.1 Le mode 1+1 backup (master/slave)
II.4.2.1.1 Description du mode
Dans ce mode un MSC server est configuré en actif ou master et l’autre
s’interconnecte en backup aux MGW du master. Seul le master est actif et en cas de surcharge
ou de chute du master, le second appelé slave prend immédiatement le contrôle de toutes les
MGW. Le schéma suivant est une illustration de ce mode
Figure 7: Architecture mode 1+1 backup (master/slave)
II.4.2.1.2 Avantages et inconvénients
Cette technique est très facile à déployer. Elle permet un fonctionnement du réseau en
mode dégradé. Elle peut être efficace si le trafic est moins dense.
Néanmoins, en cas de dysfonctionnement d’un MSC-Server, il faut que le second soit
capable de supporter toutes les charges du réseau ; ce qui ne résout pas forcement le problème
car les charges sont sur un autre MSC server qui risque de se congestionner à son tour.
II.4.2.2 Le mode 1+1 backup avec assistance mutuelle (Load sharing)
II.4.2.2.1 Description du mode
Dans ce mode chaque MSC server est configuré en actif et en standby. Chacun des
MSC servers contrôle ses MGW, mais en cas de congestion ou de chute de l’un, les MGW
MSC server
Master
MSC server
Slave
MGW 1 MGW 2 MGW 3 MGW 4 Lien de contrôle actif
Lien de contrôle standby
Lien de relai Région A Région B
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
26
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
sont automatiquement gérés par l’autre en plus de ses MGW. La figure 8 nous montre ce
mode
Figure 8: Architecture mode 1+1 avec assistance mutuelle (Load sharing)
II.4.2.2.2 Avantages et inconvénients
Cette technique assure une mutualisation des charges du réseau donc présente une
bonne tolérance aux pannes. Elle permet ainsi de réduire les risques de congestion globale du
réseau.
En revanche, elle ne prend en compte que la défaillance d’un MSC-Server. Donc si
une MGW chute les trafics gérés par celle-ci sont interrompus ; ce qui n’évite pas la
congestion partielle du réseau.
II.4.2.3 Le mode N+1 backup (master/slave)
II.4.2.3.1 Description du mode
Ce mode présente un système avec N MSC server actifs et un MSC Server
supplémentaire configuré en standby pour la sécurité de contrôle des MGW.
En cas de surcharge ou de chute d’un MSC server actif, le standby prend
immédiatement le contrôle de ses MGW. L’architecture montre un mode backup avec N=2
MGW 1 MGW 2 MGW 3 MGW 4
Lien de contrôle actif
Lien de contrôle standby
Lien de relai
MSC server
Actif et
Standby
MSC server
Actif et
Standby
Région A Région B
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
27
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 9: Architecture mode N+1 backup (master/slave)
II.4.2.3.2 Avantages et inconvénients
Cette technique permet de sécuriser les MSC serveurs par l’ajout d’un serveur backup
dans le réseau. Elle peut être efficace si tous les MSC serveurs ne chutent pas au même
moment. Néanmoins sa mise en place nécessite qu’en cas de fonctionnement normal du
réseau, un MSC server soit inutilisé dans le réseau, ce qui présente un coût considérable.
Aussi, un inconvénient majeur réside dans la limite de gestion des charges du réseau
en cas de congestion globale.
II.4.2.4 Le mode N+1 backup avec assistance mutuelle (Load sharing)
II.4.2.4.1 Description du mode
Dans ce mode, N + 1 MSC server sont actifs et parmi eux un MSC Server est
configuré en standby pour les autres. En cas de surcharge ou de chute d’un MSC server actif,
le standby prend immédiatement le contrôle de ses MGW. Le standby permet le contrôle du
trafic d’un MSC server à un instant donné mais ne peut gérer deux MSC servers au même
instant.
MGW 1 MGW 2 MGW 3 MGW 4
Lien de contrôle actif
Lien de contrôle standby
Lien de relai
MSC server
Actif
Région A Région B MGW 5 MGW 6
Région C
MSC server
Actif
MSC server
Standby
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
28
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 10: Architecture mode N+1 avec assistance mutuelle (Load sharing)
II.4.2.4.2 Avantages et inconvénients
Cette technique permet d’avoir des ressources disponibles en cas de chute d’un MSC
server. Le risque de surcharge du MSC server est minime, ce qui est bénéfique pour
l’opérateur. Elle présente des avantages intéressants pour les réseaux en perpétuelle évolution
car si chaque composant, à son tour, peut continuer à fonctionner lorsque l'un de ses sous-
composants est en panne, alors le système entier pourra continuer à fonctionner.
Mais comme dans les autres situations les MGW ne sont pas hors de danger. En effet
la centralisation de la redondance au niveau des MSC servers reste l’inconvénient majeur.
II.4.2.5 Le Virtual Server
Cette technique appelée également Virtual Server Node, permet la gestion de tous les
MSC servers actifs par le standby MSC server configuré sur le même MSC server.
C’est un partitionnement logique du MSC server afin qu’il soit actif et standby au
même instant. Chaque Virtual Server est identifié par un numéro et le Virtual Server 0 est
utilisé par le MSC server en actif et les autres sont configurés en actifs ou en standby.
MGW 1 MGW 2 MGW 3 MGW 4
Lien de contrôle actif
Lien de contrôle standby
Lien de relai
MSC server
Actif
Région A Région B MGW 5 MGW 6
Région C
MSC server
Actif et
Standby MSC server
Actif
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
29
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Les Virtual MSC servers permettent au MSC server de s’interconnecté à plusieurs
MGW par des liens de contrôle standby et à plusieurs MSC servers par des liens de relais.
Ils ont deux états :
DESACTIVE : Le lien de contrôle standby est inactif et en cas de problème sur
la MGW, le MSC server standby n’est pas sollicité.
ACTIVE : Le lien de contrôle standby est actif et en cas de problème sur la
MGW, le MSC server standby peut être sollicité pour éviter l’indisponibilité
du réseau. La figure 11 est une illustration du Virtual Server
MSC server
Actif et Passif
Figure 11: Le principe du Virtual Server dans le Dual Homing
II.4.3 Le MSC Pool
Les méthodes de sécurisation dans les réseaux sont orientées aujourd’hui vers les
applications distribuées d’autocorrection basée sur un modèle de partage de ressource. Cette
structure distribuée protège le réseau entier d’un incident éventuel si toutefois le mécanisme
de partage de ressource permet une distribution équitable des charges du réseau entier. Ainsi
l'efficacité de réseau est maximisée.
Considéré comme une technique de sécurisation évoluée du réseau cœur, le MSC Pool
est basée sur le principe de réseau distribué. En effet il permet de relier plusieurs MSC pour
MSC server actif MSC server actif
MGW 1 MGW 2
MGW 3
Virtual Server 1
Virtual Server 2
Virtual Server 0
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
30
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
former un ensemble de MSC appelé MSC pool, dans lequel les équipements partagent des
ressources. Le MSC pool est fondé sur deux principes essentiels [9]:
La commutation en temps réel (Load Sharing): en cas de problème, la
correction doit se faire automatiquement pour assurer la communication. La
technique du MSC Pool s'assure que les services sur le MSC endommagé ou
surchargé soient commutés immédiatement sur d'autres MSC.
La distribution équitable des charges (Load Balancing): Etant donné que la
capacité totale du réseau est équivalente à la capacité de tous les commutateurs
dans le pool, la fonction de sécurisation du MSC Pool permet un partage
équitable de toutes les charges dans le Pool. Ainsi toutes les MSC sont
redondantes et la capacité du trafic est améliorée.
Dans cette technique toutes les BSC/RNC sont connectés aux MSC de sorte à former
une zone entièrement sécurisée appelée MSC pool area3. Tous les MSC dans un pool sont
informés en temps réel de la charge de trafic supportée par leur voisin, ce qui favorise la
distribution de charge. Les figures 12 et 13 montrent respectivement le principe général du
MSC pool et un pool area constitué de cinq(5) LA (Location Area) [12].
Figure 12: Principe général du MSC pool
3
Un Pool Area est une collection de BSC/RNC géré par un ou plusieurs MSC partageant les
charges de trafic. Tous les MSC relié à un pool area gèrent les LA (Location Area) qui s’y trouvent.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
31
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 13: Pool Area avec cinq(5) Location Areas
II.4.3.1 Concept du Roaming intra Pool [5]
Dans le MSC pool les MSC s’échangent les informations des abonnés en activité les
uns des autres. Afin de réduire les messages de signalisation concernant les mises à jour de
localisation des MS/UE d’un MSC à un autre, le NRI (Network Identifier Ressource) est
introduit dans le TMSI. En effet ce paramètre permet d’identifier un MSC qui gère un
MS/UE. Quand un MS/UE s’enregistre dans le VLR d’un MSC qui se trouve dans un MSC
pool pour une première fois, un TMSI4 contenant un NRI lui est alloué pour identifier un
unique MSC. Lorsque le MS/UE initie une demande de service, le NRI est contenue dans la
requête et le BSC/RNC l’utilise pour router la requête vers le même MSC.
Avec le NRI toutes les requêtes du MS/UE dans un MSC pool area peuvent êtres
routées vers le même MSC correspondant. Ce qui permet de conserver le MSC de départ
même en cas de changement de paramètres de localisation du MS/UE. Le Roaming intra pool
permet de réduire considérablement la charge de signalisation sur l’interface C/D.
Un MSC dans un MSC pool est identifié par un seul NRI. La capacité en termes
d’abonné augmente lorsque le MSC reçoit un nouveau NRI.
Tous les NRI utilisé par les MSC dans le pool doivent êtres différents. Le NRI a une
longueur configurable par l’opérateur entre 0 et 10 bits.
4 Le TMSI (Temporary Mobile Subscriber Identifer) est utilisé pour augmenter la confidentialité en
évitant l’utilisation de l’IMSI sur l’interface air.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
32
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Dans la structure du TMSI le NRI commence à partir du 23ème
octet et une valeur 0
pour le NRI signifie que le NRI n’est pas utilisé et le « MSC pool » n’est pas configuré dans
le réseau.
La figure 14 montre la structure du TMSI dans un MSC pool et NRI de longueur 10
bits.
Bits 31–30 CS/PS service indicator
Bit 29 VLR restart count
Bits 23–14 NRI
Other bits User IDs
Figure 14: Structure du TMSI avec NRI
II.4.3.1.1 La Fonction NNSF
La fonction NNSF (NAS Node Selection Function) définie dans le 3GPP Intra Domain
Connection of RAN Nodes to Multiple CN Nodes (TS 23.236) [10] est utilisée pour effectuer le
roaming intra pool. En effet le BSC/RNC utilisé pour router la requête de mise à jour de
localisation vers le MSC sélectionné utilise cette fonction. La fonction NNSF peut être
configurée sur une MGW. Dans ce cas, la MGW est utilisée pour sélectionner le MSC server
disponible pour effectuer le Load Balancing entre les MSC servers. Le principe de la fonction
NNSF est décrit comme suit :
Le MS/UE envoi une demande de mise à jour de localisation (Location Update
Request) au NNSF node5
Le NNSF Node sélectionne un MSC disponible par un algorithme de routage
prenant en compte la charge du trafic.
Le MSC alloue un TMSI au MS/UE contenant le NRI.
Le MSC choisi envoi une confirmation de mise à jour de localisation (Location
Update Complete) au MS/UE avec le TMSI
Le NNSF Node route effectue le routage vers le CN Node6 correspondant.
5 Le NNSF Node est une BSC/RNC qui supporte la fonction NNSF.
6 Le CN Node peut être un MSC (partie CS) ou un SGSN (partie PS).
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
33
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
La Figure 15 [16] suivante illustre l’utilisation du mécanisme de la fonction NNSF
Figure 15: Mécanisme d’activation du NRI par le NNSF
Le Pool area n’a aucune influence sur le routage, donc un BSC/RNC hors d’un Pool
area peut utiliser le NNSF si toutefois le MSC qui le gère est dans un pool. Dans le MSC
Pool, la fonction NNSF peur être implémentée sur le BSC/RNC ou la MGW mais pas les
deux à la fois. Cela évite les upgrades lourds des nœuds réseaux (BSC/RNC, MGW).
II.4.3.1.2 La fonction A-Flex
Cette fonction permet aux BSC/RNC d’être connectés à plusieurs CN Node. Elle
permet une sécurisation physique de la partie accès du réseau. Le principe de la fonction A-
Flex est décrit comme suit :
Un BSC/RNC peut être connecté à plusieurs MGW. Le MSC server
sélectionne le circuit de la MGW correspondant basé sur des critères.
Les BSC/RNC sont connectés à plusieurs MGW qui supportent la fonction
A-Flex pour former un Pool Area. Ceci permet de former un MSC Pool sans
mise à jour des BSC/RNC si toutefois la fonction NNSF est implémentée
dans les MGW.
II.4.3.1.3 Le Load Balancing
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
34
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Quand un MS/UE demande un service en utilisant un TMSI, le BSC/RNC
sélectionne le MSC server disponible pour le MS/UE selon sa table de correspondance entre
NRI et MSC server dans le MSC Pool.
Lorsque le MSC server sélectionné n'est pas disponible ou il n'existe pas de
correspondance avec le NRI, le BSC/RNC suit le principe de l'équilibrage de charge ou Load
Balancing. Il choisit un MSC server disponible pour servir le MS/UE en fonction de la
capacité d’abonnés qu’il peut supporter dans le MSC Pool.
Le MSC server sélectionné alloue un TMSI contenant son NRI au MS/UE pour
pallier d’éventuels changements de MSC server.
II.4.3.2 Le Virtual Media Gateway
Une MGW est normalement connectée à un seul MSC server. Une MGW peut être
scindée logiquement en plusieurs MGW appelés Virtual MGW (VMGW), qui sont reliés à
plusieurs MSC servers. Chaque VMGW est identifié par un identifiant unique appelé VMGW
ID. Le Virtual MGW permet également le partage de ressources dans le pool et réduit le les
liens multiples entre MSC server et MGW.
La figure 16 illustre de façon simple le concept de Virtual Media Gateway.
Figure 16: Concept du Virtual Media Gateway
MGW A
VMGW 1
VMGW 2
VMGW 3
VMGW 4
MSC server
MSC server MSC server
MSC server
MGW B
VMGW 1
VMGW 2
VMGW 3
VMGW 4
MSC pool
BSC/RNC BSC/RNC BSC/RNC BSC/RNC
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
35
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
II.4.3.3 Les caractéristiques de planification du MSC Pool [5]
Les tableaux 2 et 3 montrent les caractéristiques pour la mise en place du MSC pool ;
Tableau 2: Caractéristiques du MSC Pool
Capacité supportée Connexion Valeur
Capacité maximum supportée
par un MSC Pool
Nombre de MSC
servers
32
Nombre de MGW 300
Nombre de RNC/BSC 128
Nombre de LA/cellules 30,000
Capacité maximum supportée
par une MGW
Nombre de virtual
MGW
32 (Une MGW peut être connectée
simultanément à 32 MSC servers)
Nombre de RNC
connecté
(mode IP/ATM)
50
Nombre de BSC
connectée (mode TDM)
50
Capacité maximum supportée
par un RNC
Nombre de MSC
servers connecté
32
Nombre de MGW
connecté
(mode IP/ATM)
5
Capacité maximum supportée
par une BSC
Nombre de MSC
servers connecté
32
Nombre de MGW
connectée (mode TDM)
5
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
36
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Tableau 3: Planification des NRI
Longueur NRI Nombre de NRIs Nombre maximum d’abonnés
<=6 bits 1 3,200,000
7 bits 1 1,600,000
7 bits 2 3,200,000
8 bits 1 800,000
8 bits 2 1,600,000
8 bits 3 2,400,000
8 bits 4 3,200,000
9 bits 1 400,000
9 bits 2 800,000
9 bits 3 1,200,000
9 bits 4 1,600,000
9 bits 5 2,000,000
9 bits 6 2,400,000
9 bits 7 2,800,000
9 bits 8 3,200,000
10 bits N 20 x N x 10,000
II.4.3.4 Avantages et Inconvénient
Le MSC pool présente de nombreux avantages dont :
L’amélioration de la technique du Load Sharing
L’augmentation de la disponibilité du réseau car lorsqu’un MSC est en
défaut, tous le trafic qu’il gère est routé sur plusieurs MSC par un puissant
algorithme de routage (NNSF ou A-Flex/Iu-Flex)
La réduction de la signalisation dans le réseau cœur grâce au NRI.
L’utilisation efficace des ressources du réseau
Déploiement sans mise à jour des BSC/RAN
La distribution de charge par la partie radio (BSS/RAN)
Néanmoins le MSC pool est limité par :
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
37
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Tous les MSC servers et les MGW sont interconnectés, ce qui nécessite un
maillage important au niveau du cœur réseau NGN.
Conclusion
Dans un milieu très compétitif, les techniques d’amélioration de la qualité du réseau
NGN deviennent de plus en plus puissantes. Plusieurs techniques sont utilisées pour atteindre
la haute disponibilité du réseau.
Mais toutes ces techniques ont leurs forces et faiblesses qu’il convient de souligner
pour adopter la meilleure méthode qui prend en compte les capacités du réseau.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
38
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
CCHHAAPPIITTRREE 33
EETTUUDDEE DDUU RREESSEEAAUU
EEXXIISSTTAANNTT
Cette partie se propose de présenter, d’entrée de
jeu, l’essentiel des équipements NGN de
ORANGE-CI. Suivra ensuite, la structure du
réseau cœur.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
39
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
III.1. PRESENTATION DES EQUIPEMENTS NGN DE ORANGE-CI
Depuis la migration de son réseau cœur vers la plateforme NGN, l’opérateur
ORANGE-CI s’est doté d’équipements NGN issus du constructeur Chinois HUAWEI.
Dans la solution NGN de HUAWEI, la fonction de commutation du MSC est assurée
par deux équipements distincts : le MSOFT X3000 qui joue le rôle de MSC server et l’UMG
8900 qui représente la MGW et qui est pilotée par le MSOFT X3000.
Le MSOFT X3000 et l’UMG 8900 sont essentiellement les équipements de la
commutation NGN dans le réseau cœur d’ORANGE-CI.
III.1.1 La commutation NGN HUAWEI
III.1.1.1 Le MSOFT X3000 [1]
Le MSOFT X3000 (Mobile Softswitch X3000) fonctionne comme MSC-Server au
niveau de la couche contrôle du réseau cœur dans les NGN. Il est compatible TDM, c'est-à-
dire peut fournir la fonction MSC des réseaux TDM. Il supporte les protocoles CAP, CAMEL
1, 2, 3 et 4 et également à la fois les réseaux 2G et 3G ; et fait la signalisation SIGTRAN et
SS7. Il est chargé de :
La gestion de la Mobilité
La gestion de la Sécurité
La contrôle des Handovers Intra-MSC et Inter-MSC
Le traitement des Appels : gestion de la mobilité, établissement, libération d'appel.
Taxation : gestion des CDR et redirection vers le BC pour la taxation,
communication avec l’IN ou l’IMS pour la taxation des services.
La fonction de Point de Commutation de Service (SSP7) dans le cas des réseaux
TDM : allocation, ordre de connexion et libération de canaux RTP ou de circuits
de communication en cas d’utilisation TDM.
Il contient aussi un VLR pour le contrôle des données relatives aux abonnés et les
données relatives au CAMEL. Lors de la connexion avec la MGW, le MSOFTX3000
fonctionne comme contrôleur du MGW (MGCF). Il assure l’interconnexion entre l’IP
multimedia subsystem (IMS) et le domaine CS.
7 Le SSP assure toutes les fonctions de base de la commutation pour le réseau mobile. Dans la
solution Alcatel, la fonction de commutation du MSC est assurée par deux équipements distincts : le
SSP (SSP : Service Switching Pont) et le RCP (Radio Commande Point). Le SSP est piloté par le
RCP qui joue aussi le rôle de VLR. La solution Alcatel permet d’avoir un seul SSP et plusieurs RCP,
ce qui permet à l’opérateur d’augmenter la capacité d’abonnés sans devoir ajouter de SSP.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
40
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Le MSOFT X3000 est composé de bâtis à l’intérieur desquels on trouve des châssis
contenant des slots pour l’emplacement de cartes. Il peut être configuré avec un maximum de
trois bâtis numérotés de 0 à 2. Le bâti avec le châssis de base est le bâti à configuration
intégrale, ayant le numéro 0, et incluant deux châssis, le BAM et l’iGWB. Le bâti de service
peut contenir 4 châssis de services. Le numéro du bâti doit correspondre avec la position du
bâti lors de la configuration, pour que le système puisse générer des informations d’alarmes
correctes si un problème a eu lieu lors de l’opération. Ainsi la configuration maximale
contient-elle un châssis de base et 9 châssis d’extension. Le châssis de base a le numéro 0 et
les autres sont numérotés de 1 à 9 du bas vers le haut suivant les numéros des bâtis.
Un châssis contenant 21 slots peut donc accueillir 21 cartes numérotées de 0 à 20.
Les cartes de face sont numérotées de gauche à droite et les cartes dorsales sont numérotées
de droite à gauche. Les cartes sont rangées dans les slots selon leur type :
Les WSMUs (et les cartes dorsales WSIUs) sont insérées dans les slots 6 et 8.
La carte WALU est insérée dans le slot de face numéro 16.
La carte WHSC est insérée dans les slots dorsales numéros 7 et 9, et pas de cartes
présentes dans les slots de face correspondants.
Chaque UPWR occupe deux slots, et il y a deux cartes UPWR de face et deux cartes
UPWR dorsales. Les numéros des slots désignés sont 17 et 19.
Les autres slots (0–5, 10–15) correspondent aux cartes de traitement des services
(incluant le WCCU, WCSU, WBSG, WIFM, WAFM, WCDB, WVDB, et WMGC).
Les caractéristiques du MSOFT X3000 et ses capacités sont présentées
respectivement dans les tableaux 4 et 5.
Tableau 4: Caractéristiques du MSOFT X3000
Paramètres Spécification
Disponibilité du système (A) ≥ 99.99953%
Temps moyen de réparation (MTTR: Mean Time To Repair) ≤ 1 h (seulement temps de
réparation)
Durée du basculement entre cartes < 6 secondes
Durée pour le démarrage d’un système à un seul Châssis < 6 minutes
Durée pour le démarrage d’un système à configuration
maximale < 30 minutes
Durée du basculement en cas du mode Dual-homing < 3 minutes
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
41
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Tableau 5: Capacités du MSOFT X3000
Paramètres Spécification
Nombre maximal de MGW contrôlées 300
Nombre maximal de RNC accessibles 128
Nombre maximal de BSC accessibles 128
Bande maximal pour la signalisation SIGTRAN sur IP 4 × 100 Mbit/s
Nombre maximal de liens TDM à 64-kbit/s 1728
Nombre maximal de liens TDM à 2-Mbit/s 108
Nombre Maximal de liens SCTP 2304
La figure 16 ci-dessous montre un exemple de configuration matérielle du bâti
principal du MSOFT X3000.
Figure 17: Exemple de configuration matérielle du MSOFT X3000
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
42
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
III.1.1.2 L’UMG 8900
L’UMG 8900 (Universal Media Gateway 8900) joue le rôle de MGW. Il fonctionne
avec le MSOFT X3000. Son fonctionnement supporte tous les services voix et données de
faible débit que peut fournir un réseau GSM. Il permet aussi la transmission en mode IP donc
une transition progressive du réseau TDM vers le ‘tout IP’.
En effet le hardware de l’UMG 8900 a été conçu pour supporter à la fois les services à
commutation de circuit et de paquet : Une plateforme de commutation Paquet/TDM intégrée
qui peut facilement évoluer vers le tout IP par mise à jour logicielle.
Il fonctionne comme une entité de transport pour la voix et données au niveau du
réseau cœur. Il assure la transmission les flux de services et transforme les flux de média dans
un même réseau et entre réseau mobile et réseau fixe Il peut aussi jouer le rôle de passerelle
de signalisation (Signaling Gateway SG).
Ainsi, Son architecture fonctionnelle est composée de plusieurs sous systèmes qui
sont :
Le sous système de Contrôle du Gateway
Le sous Système de Traitement Paquet
Le sous Système de Traitement TDM
Le sous Système de Ressources des Services
Le sous Système de Transfert de la Signalisation
Les capacités de l’UMG 8900 sont présentées dans le tableau 6 ci-dessous
Tableau 6: Capacités de l’UMG 8900
Type d’interface Nombre Maximum
E1/T1 7168
E3/T3 504
STM-1 SDH / OC-3 SONET 112
Fast Ethernet (trafic) 112
Fast Ethernet (H.248 : contrôle) 10
Fast Ethernet (SIGTRAN) 2
Gigabit Ethernet (trafic) 14
STM-1 POS 54
Fast Ethernet (OSS) 2
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
43
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
III.1.2 Etude du réseau coeur existant
III.1.2.1 La répartition des équipements NGN
Dans ce mémoire, seule l’étude des équipements de commutation dans le réseau cœur
est abordée.
Les équipements de commutation et de routages de trafic se repartissent sur différents
sites. Après étude, nous constatons que le réseau cœur ORANGE-CI est concentré à Abidjan.
L’essentiel de la commutation est réalisé dans la ville d’Abidjan. ORANGE-CI dispose d’un
réseau cœur composé de RCP/SSP du constructeur ALCATEL et d’équipements NGN du
constructeur chinois HUAWEI.
Pour des raisons de confidentialités nous ne donnerons pas le nombre total des
équipements NGN du réseau cœur de ORANGE-CI.
III.1.2.2 Couverture des équipements de commutations
ORANGE-CI dispose d’un vaste réseau de plusieurs zones de localisations. La zone
de couverture actuelle du réseau est composée de plusieurs BSC reparties à Abidjan,
banlieues et à l’intérieur du pays. Pour des raisons de confidentialités, nous ne présenterons
pas les configurations et les capacités actuelles des BSC dans les zones de localisation.
III.1.2.3 Le réseau de signalisation
ORANGE-CI dispose d’un réseau sémaphore (réseau de signalisation) composé de Points
de Transfert Sémaphores (PTS) compatibles SS7 et SIGTRAN. Ainsi, les différents
équipements NGN du réseau et les plateformes de service communiquent via les PTS par la
signalisation SS7. Chacun est relié aux deux PTS. Il faut cependant noter que les RCP sont
connectés aux PTS par l’intermédiaire des SSP (liaisons de données).
Cette architecture sémaphore assouplie le réseau et facilite l’ajout de nouveaux
équipements.
III.1.2.4 Points de la situation
Selon le cahier de charges dans l’architecture du réseau cible sécurisé, les MSC/VLR
Alcatel sont remplacés par des UMG 8900 interconnectées à une nouvelle MSOFT X3000
pour une migration totale du réseau cœur NGN.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
44
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Conclusion
ORANGE-CI dispose actuellement d’un réseau cœur hybride constitué d’équipements
NGN et de commutateurs MSC/VLR d’ALCATEL.
L’architecture de son réseau cœur NGN est centralisée autour de MSOFT X3000 et
UMG 8900 du constructeur HUAWEI et de PTS pour la signalisation. Pour évoluer vers un
réseau cœur full NGN, ORANGE-CI envisage remplacer les commutateurs Alcatel par des
MGW qui seront pilotés par un nouveau MSOFT X3000.
Ce qui nécessite une architecture sécurisée. C’est justement ce travail qui nous a été
confié.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
45
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
CCHHAAPPIITTRREE 44 ::
CCHHOOIIXX DDEE LLAA
SSEECCUURRIISSAATTIIOONN EETT
AARRCCHHIITTEECCTTUURREE
RREESSEEAAUU CCIIBBLLEE
Nous allons faire l’étude du choix d’une solution
de sécurisation qui tienne compte des besoins et
contraintes du réseau existant, puis nous
proposerons le déploiement de la solution de
sécurisation et l’architecture du réseau cible
sécurisé.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
46
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
IV.1. BESOINS ET CONTRAINTES DE L’ENTREPRISE
Ces dernières années, Les réseaux de radiotéléphonie mobile en Côte d’Ivoire ont été
vulgarisés. Le nombre croissant d’abonnés, les clients de plus en plus exigeants et la
concurrence accrue amènent les opérateurs télécom à adopter de nouvelles stratégies pour
conserver et accroître leur clientèle en devenant plus compétitifs.
ORANGE-CI s’est fixé des objectifs pour mettre en place une architecture de son
réseau cœur NGN sécurisé. Cependant, au vu des besoins de ORANGE-CI et des contraintes
ressorties de l’étude du cahier de charges :
La proposition d’une solution technique de sécurisation qui tienne compte des
équipements NGN existants.
La mise en place d’une architecture cible du réseau NGN sécurisé.
La mise en place d’une architecture permettant d'optimiser la distribution de
l'intelligence de bout en bout de son réseau NGN.
La garantie de la haute disponibilité du réseau.
La problématique est alors de proposer une architecture NGN répondant aux exigences
en termes de redondance des équipements afin de prévenir toute forme de congestion du
réseau ; en d’autres termes, comment garantir la haute disponibilité du réseau NGN de
ORANGE-CI ?
IV.2. CHOIX DE LA SOLUTION DE SECURISATION DU RESEAU
CIBLE
IV.2.1 Etude d’une solution de sécurisation
Plusieurs approches ont été proposées précédemment pour la résolution du problème
de la sécurité des réseaux NGN. Toutes ces solutions ont bien sûr leurs avantages et
inconvénients. Cependant, le choix de notre solution tiendra compte de la haute disponibilité
du réseau à travers une redondance totale des équipements NGN imposés dans le cahier des
charges.
Le tableau 7 présente une comparaison des solutions proposées en termes de
sécurisation.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
47
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Tableau 7: Comparaison des solutions proposées
Technique Redondance matérielle Mode de reprise
après sinistre
Sécurisation des
données
Durée
d’indisponibilité
Le MSC Pool Redondance symétrique
entre les MSC servers
Redondance asymétrique
entre les MGW et les
BSS/RAN
Redondance modulaire entre
les MSC servers, les MGW
et les BSS/RAN
Réplication
Load sharing
Load distribution
Sauvegarde totale
Environ
32 secondes
(Taux 99,9999%)
MGW Load
sharing
Redondance symétrique entre
les MGW
Mode degradé
Sauvegarde totale
< 3mn
Mode 1+1 backup
(master/slave)
Redondance symétrique entre
deux MSC servers
Réplication Sauvegarde totale Environ 10 mn
Mode 1+1 backup
avec assistance
mutuelle
(Load sharing)
Redondance symétrique
entre deux MSC servers
Redondance modulaire entre
deux MSC servers
Réplication
Load sharing
Sauvegarde totale
Environ 10 mn
Mode N+1 backup
(master/slave)
Redondance symétrique entre N
MSC servers et un MSC server
Réplication Sauvegarde totale Environ 10 mn
N+1 backup avec
assistance
mutuelle
(Load sharing)
Redondance symétrique
entre les N+1 MSC servers
Redondance modulaire les
N+1 MSC servers
Réplication
Load sharing
Sauvegarde totale Environ 10 mn
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
48
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
IV.2.2 Choix de la solution de sécurisation
L’étude de la solution de sécurisation montre qu’en termes de redondance matérielle,
de reprise après sinistre et de durée d’indisponibilité, la technique du MSC Pool est plus
avantageuse. De toutes les solutions proposées, notre choix s’est donc porté sur la technique
du MSC Pool. Ce choix se justifie par plusieurs raisons. Premièrement, c’est une solution qui
répond entièrement à toutes les exigences de sécurité en permettant une distribution équitable
des charges du réseau entier en temps réel prévenant toute forme de congestion du réseau, et
donnant une haute disponibilité du réseau puis une flexibilité.
Aussi, avons-nous toujours à l’esprit l’évolution du réseau cœur, notamment celle qui
consiste à l’ajout de MSC servers et l’augmentation des capacités des MSC servers existants
en termes d’abonnés, et justement ces MSC servers combinées offrent une solution complète
de sécurisation basée sur le MSC Pool en permettant la redondance des équipements et la
haute disponibilité du réseau cœur.
Dans la section qui suit, il s’agira de mettre en œuvre cette solution avec les
recommandations nécessaires pour atteindre l’objectif final.
IV.3. DEPLOIEMENT DE LA SOLUTION DE SECURISATION
IV.3.1 Proposition d’une architecture cible sécurisée
IV.3.1.1 Les Objectifs de l’architecture cible sécurisée
Compte ténu des contraintes liée aux choix technologique des équipements NGN
existants, il est plus intéressant d’adopter une solution MSC Pool qui tienne compte du réseau
cœur existant.
Dans la solution MSC Pool, les MGW et les BSC peuvent supporter la fonction A-
Flex. Pour optimiser le réseau en termes de coût de déploiement, il serait plus viable
d’intégrer la fonction A-Flex aux MGW et non aux BSC. Cela permet une facilité de
déploiement du MSC Pool car les BSC sont en nombre important.
IV.3.1.2 Etude des différents modes de signalisation
Une BSC dans le réseau existant peut être connectée à un seul serveur MSC (un seul
point de signalisation SPC8). Pour permettre à une BSC d’être connectée au MSC Pool, la
MGW doit fournir à la BSC un point de signalisation unique de sorte que la gestion de la
8 SPC : Signaling Point Code ou code de signalisation permet d’identifier un lien de signalisation
dans le réseau cœur
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
49
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
BSC par un MSC server lui soit transparente. Pour atteindre ce but, les deux modes suivants
de réseaux de signalisation peuvent être utilisés:
Le mode Agent
Le mode transfert
IV.3.1.2.1 Le mode Agent [5]
Ce mode présente les caractéristiques suivantes:
Les MSC servers dans un MSC Pool établissent des connexions de signalisation
avec les BSC en utilisant les mêmes SPC. Ils établissent des connexions de
signalisation avec les autres éléments du réseau cœur réseau en utilisant différents
SPC.
La MGW adopte le mode Agent. Il partage les mêmes SPC avec les MSC serveurs.
La MGW est divisée en plusieurs MGW virtuel (VMGW) dont le nombre est le
même que le nombre de MSC servers. Chaque VMGW est enregistrée dans un MSC
server. La division de la MGW est transparente pour les BSC.
Une BSC peut être connectée à plusieurs MGW. (Une BSC peut être connecté à un
maximum de cinq MGW en même temps. Si l'interface A est basée sur du TDM, il
est recommandé de connecter un BSC à un seul MGW.) Si une BSC est reliée à
plusieurs MGW, la BSC choisit une MGW pour mettre en place un lien de
signalisation selon le principe de distribution de liens. Le MSC server choisit une
MGW pour mettre en place un canal de voix selon le principe de l'équilibrage de
charge et fonction de la priorité du canal voix.
Avec la fonction NNSF, la MGW utilise le NRI du TMSI, puis achemine l'appel
vers le MSC server correspondant.
Le point de signalisation de destination (DPC9) configuré sur le BSC pour la
connexion avec le MSC serveur est identique au SPC des MGW et des MSC
servers.
La figure 18 suivante illustre le mode Agent avec le SPC AA configuré sur les MSC
servers pour les MGW et les BSC et les SPC XX ou YY pour d’autres équipements du réseau
cœur.
9 DPC : Destination Point Code permet à la BSC d’établir un lien avec le MSC server
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
50
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 18: Mode Agent
IV.3.1.2.2 Le mode Transfert [5]
Ce mode présente les caractéristiques suivantes.
Les MSC servers dans un MSC Pool établissent des connexions de signalisation
avec les BSC en utilisant différents SPC.
La MGW adopte le mode transfert. Elle utilise différents SPC pour les MSC
servers et le même SPC pour les BSC.
La MGW est divisée en plusieurs MGW virtuel (VMGW) dont le nombre est le
même que le nombre de MSC servers. Chaque VMGW est enregistrée dans un
MSC server. La division de la MGW est transparente pour les BSC.
Le SPC configuré sur le BSC pour la connexion avec le MSC serveur est identique
au SPC commun des MGW.
Avec la fonction NNSF, la MGW utilise le NRI du TMSI, puis achemine l'appel
vers le MSC server correspondant.
La figure 19 montre le mode transfert. Les MGW et les BSC utilisent le SPC AA
pour établir les liens de signalisation.
MSOFT
X3000
BSC 1
MGW 1 MGW 2
BSC 3
MSOFT
X3000
SPC AA
SPC XX
SPC AA
SPC YY
SPC AA SPC AA
BSC 2 BSC 4
DPC AA DPC AA
DPC AA DPC AA
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
51
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Figure 19: Mode Transfert
Le mode Transfert est préféré au mode Agent car elle permet d’éviter la
configuration des points de signalisation dans le réseau cœur et accès mais de réutiliser les
mêmes SPC entre les MGW et les BSC pour la signalisation. Pour optimiser ainsi le réseau
cible de ORANGE-CI en terme de signalisation, il serait plus viable d’employer le mode
Transfert pour la signalisation.
IV.3.1.3 Planification des sites et disposition des équipements NGN
Pour pouvoir élaborer une architecture efficace, il convient de répartir les charges au
niveau du réseau cœur. Après un audit en bonne et due forme des répartitions des charges des
différentes BSC du réseau existant, dans les différents sites, on disposera du remplacement
progressif en commençant par les RCP/SSP les plus chargés.
Nous prendrons le cas de trois(3) MSOFT X3000 et six(6) UMG 8900. La répartition
se fera comme suit :
Le MSOFT 1 est interconnecté à la MGW1 et à la MGW2
Le MSOFT 2 est interconnecté à la MGW3 et à la MGW4
Le MSOFT 1 est interconnecté à la MGW5 et à la MGW6
Les tableaux 8 et 9 nous montrent le plan de configuration des MSC servers et des
MGW pour la sécurisation.
MSOFT
X3000
BSC 1
MGW 1 MGW 2
BSC 3
MSOFT
X3000
BSC 2 BSC 4
SPC BB
SPC XX
SPC CC
SPC YY
SPC AA
SPC DD
SPC AA
SPC EE
DPC AA
DPC AA
DPC AA
DPC AA
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
52
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Tableau 8: Configuration des MSC servers dans le MSC Pool
Nom MSOFT 1 MSOFT 2 MSOFT 3
SPC pour les MGW A80001 A80002 A80003
Nombre de virtual
server
6 6 6
Longueur du NRI 6 bits 6 bits 6 bits
Nombre de NRI 1 2 3
MSC par défaut pour le
Load Sharing
Tous les MSC servers sont configurés comme MSC server par défaut dans le
MSC Pool.
VMSOFTID=0
VMSOFTID=1 actif
VMSOFTID=0
VMSOFTID=1 actif
VMSOFTID=0
VMSOFTID=1 actif
Solution de partage de
charge
Partage de charge est basé sur le Virtual server et le Virtual MGW pour
l’échange des liens de charge actifs et standby.
Capacité des MSC
servers
2 million d’abonnés
Tableau 9: Configuration des MGW dans le MSC Pool
Nom MGW 1 MGW 2
MGW 3
MGW 4
MGW 5 MGW 6
SPC Pour les
MSOFT:
2A0001
Pour les
MSOFT:
2B0001
Pour les
MSOFT:
2C0001
Pour les
MSOFT:
2D0001
Pour les
MSOFT:
2E0001
Pour les
MSOFT:
2F0001
Pour les
BSC:
902
Pour les
BSC:
902
Pour les
BSC:
902
Pour les
BSC:
902
Pour les
BSC:
902
Pour les
BSC:
902
Nombre de
Virtual MGW 3 3 3 3 3 3
Correspondance
entre les
VMGW ID et
les MSOFT
Msoft 1:
VMGWID=0
Msoft 2:
VMGWID=1
Msoft 3:
VMGWID=2
Msoft 1:
VMGWID=1
Msoft 2:
VMGWID=0
Msoft 3:
VMGWID=2
Msoft 1:
VMGWID=1
Msoft 2:
VMGWID=0
Msoft 3:
VMGWID=2
Msoft 1:
VMGWID=0
Msoft 2:
VMGWID=1
Msoft 3:
VMGWID=2
Msoft 1:
VMGWID=1
Msoft 2:
VMGWID=2
Msoft 3:
VMGWID=0
Msoft 1:
VMGWID=0
Msoft 2:
VMGWID=2
Msoft 3:
VMGWID=1
Nombre de
BSC en charge 10 6 9 5 5 10
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
53
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Toutes les BSC auront des SPC 902. Les MSC servers établissent de la signalisation
avec les autres équipements (PTS, HLR, SMSC…) avec d’autres SPC via les PTS.
IV.3.1.4 Architecture globale sécurisée
Dans la nouvelle architecture sécurisée, les différents MSC servers sont en partage de
charge via le réseau de signalisation et les MGW. Les MGW utilisent la fonction NNSF pour
activer les NRI au niveau des MSC servers correspondants. Ainsi, toutes les BSC sont
connectés logiquement à toutes les MSC servers via les MGW. Le déploiement devra se faire
par un swap progressif des RCP pour déplacer les charges des BSC. La figure 20 suivante
représente le modèle d’architecture sécurisée qui pourrait être adopté.
Figure 20: Architecture NGN cible sécurisée proposée
Réseau
Sémaphore
MSOFT
X3000
1 2 3
MGW 1
MSOFT
X3000 MSOFT
X3000
Backbone
IP/MPLS Pool
Lien de contrôle MGW actif /standby par MSOFT Villa,
MSOFT Km4, MSOFT Banco dans le pool
Lien de signalisation dans le pool
Lien de trafic TDM
10 BSCs 6 BSCs 9 BSCs 5 BSCs 5 BSCs 10 BSCs
MGW 2 MGW 3 MGW 4 MGW 5 MGW 6
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
54
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
Dans cette architecture l’interface Nb entre les MGW est basée sur du IP. Toutes les MGW
sont interconnectées entre elles via des routeurs existants déjà sur chaque site et passent par
un backbone IP. En outre, il faut noter que cette phase sera plus facile d’autant plus que
ORANGE-CI dispose déjà d’un réseau IP/MPLS, celui de Côte d’Ivoire Télécom (CIT).
IV.3.2 Configuration des données pour le MSC Pool
IV.3.2.1 Présentation de l’outil de configuration
La configuration du MSC Pool se fait à l’aide d’un logiciel client du constructeur
HUAWEI. Ce logiciel nommé iManager 2000 ou M2000 [5] est fourni avec les équipements
NGN pour l’assistance via un ordinateur. Il se connecte au software des équipements NGN et
envoie les commandes saisis pour exécution via un réseau LAN (IP). Son interface est facile
d’utilisation et possède un onglet avec saisie de commande assistée.
La figure 21 ci-dessous nous donne l’interface de configuration et de supervision des
équipements dans le MSC Pool.
Figure 21: Interface de l’outil de configuration du MSC Pool
15/06/2010 15/06/2010
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
55
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
IV.3.2.2 Configuration des équipements pour la sécurisation
Pour la configuration proprement dite, le processus général est présenté dans le
diagramme de la figure 22 ci-après. Les commandes pour l’ajout des différents équipements
et la configuration sont données par le constructeur.
Figure 22: Organigramme de configuration du MSC Pool
Préparation du réseau:
Le projet a commencé par une phase préparatoire du réseau. Cette phase a consisté à
l’organisation de Project Meeting NGN phase 3 avec la participation de plusieurs services
(CN&PF, NSS, OMC-R, Transmission, Radio) et de l’équipementier (HUAWEI). Lors de
cette phase, il s’agissait:
Pour le service déploiement, de disposer les sites devant accueillir les
nouveaux équipements en s’appuyant sur leurs dimensions fournies par
l’équipementier, et d’assurer le transport des équipements jusqu’au site
d’installation.
Pour notre service, de collecter toutes les données des équipements à swaper,
de fournir les paramètres relatifs à la configuration de la solution de
Sécurisation
Réseau
Cœur
Sécurisation
Réseau
D’accès
Début
Préparation du réseau
Ajout des MSC servers
dans le MSC Pool
Ajout des MGW dans le
MSC Pool
Ajout des BSC dans le
MSC Pool
Fin
Tests de mise en œuvre
du MSC Pool
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
56
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
sécurisation, de contrôler la configuration des équipements fournis en fonction
des besoins du réseau.
Pour le service transmission, d’établir les liaisons de transmission requises
pour le projet afin d’assurer la fiabilité du support de trafic.
Pour l’équipementier, d’installer et de configurer les équipements sous le
contrôle du Core Network & Platform et du NSS.
Pour le service énergie, de mettre en place les sources d’alimentation des
équipements.
Ajout des MSC servers dans le MSC Pool:
La configuration des MSC servers se fait à partir de l’outil M2000. Elle à la charge du
constructeur. Notre rôle sera de superviser le déploiement, de contrôler la configuration
matérielle, de fournir les informations nécessaires pour la configuration logique et de la
contrôler en analysant les scripts exécutés. Lors de cette phase, il s’agira:
De configurer la fonction A-Flex sur chaque MSC server pour le MSC Pool.
De mettre en place des liaisons H.248 sur chaque Virtual MSC Server.
Créer les NRI sur chaque MSC servers pour assurer le Roaming intra Pool.
Chaque MSC server est configuré en MSC server par défaut pour le Load
Sharing.
Configurer les signalisations (COC) et les circuits de trafic (CIC) entre les
MSC servers, les MGW et les BSC.
Ajout des MGW dans le MSC Pool:
La configuration logicielle des MGW est assez similaire à celle des MSC servers. Elle
à la charge du constructeur. Lors de cette phase, il s’agira essentiellement de configurer la
fonction A-Flex sur les MGW et les SPC pour assurer le balancement du trafic des BSC.
Ajout des BSC dans le MSC Pool:
L’ajout des MGW se fait également à l’aide de l’outil M2000. Elle à la charge du
constructeur. Lors de cette phase, il s’agira essentiellement d’ajouter chaque BSC
logiquement à chaque MSC server par la modification des DPC des BSC.
Tests de mise en œuvre du MSC Pool:
La distribution de charge est fonction essentielle du MSC Pool. Quand un MSC
server est surchargé ou en défaut, cette fonction permet de redistribuer l’ensemble ou une
partie des trafics dans le MSC Pool. Dans tous les cas, la MGW doit ajuster dynamiquement
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
57
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
les charges en fonction de la distribution. La figure 23 et le tableau 10 montrent
respectivement l’interface de mise en œuvre des tests et quelques tests relatifs à cette fonction
pour la solution de sécurisation.
Figure 23: Interface de mise en œuvre des tests
Tableau 10: Tests relatifs à la distribution des charges des MSOFT
Action à mener Observation
Balancer la charge du trafic de MSOFT
1sur MSOFT 2
Balancer une partie de la charge du trafic
de MSOFT 1 sur MSOFT 3
Balancer 60% des charges du trafic de
MSOFT 1 sur MSOFT 2 et MSOFT 3
Balancer les abonnés connectés à une des
BSC de MSOFT 1 sur MSOFT 2
Balancer spécifiquement le trafic d’un
abonné de MSOFT 1
Idem pour MSOFT 2 et MSOFT 3
Les abonnés doivent effectuer les actions suivantes :
Effectuer périodiquement des mises à jour de
localisation.
Emettre ou recevoir des appels.
Envoyer ou recevoir des messages courts.
Utilisation des services supplémentaires.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
58
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
IV.3.2.4 Les opérations de moves des BSC sur les MGW
Cette opération consiste à déplacer à tour de rôle les liaisons des BSC initialement
connectés aux RCP. C’est une opération nocturne de sorte à ce que les perturbations du trafic
quotidien des abonnés soient minimes. Elle nécessite des configurations complexes tant sur
les anciens équipements que sur les équipements NGN, et la participation de plusieurs
services (NSS, OMCR, Transmission, Radio) et de l’équipementier (HUAWEI); c’est
pourquoi un seul BSC est traité durant une nuit. Il s’agira :
Pour l’équipementier de déplacer la configuration logique du BSC (déclaration du
BSC, création de cellules avec les différents paramètres), de créer les circuits de
signalisation (COC) et les circuits de trafic (CIC)…
Pour le NSS, de superviser et de contrôler le travail de l’équipementier en analysant
toutes les commandes exécutées, de permettre à l’OMCR d’avoir la supervision du
BSC migré, de vérifier l’état des liaisons déplacées, de mettre à jour les anciens
équipements sur la nouvelle configuration du BSC et des cellules, d’effectuer des
tests.
Pour la transmission, de définir les liaisons physiques entre les BSC et les MGW en
s’assurant d’une protection totale.
IV.4. QUELQUES RECOMMANDATIONS A L’ENDROIT DE ORANGE-CI
La sécurisation du réseau NGN prise en compte par les constructeurs se focalise
principalement sur la charge gérée par les équipements en termes de trafics ou de signalisation
afin de proposer une qualité de service optimale et limiter les arrêts des équipements. Cette
sécurisation est donc logique et adaptée au bon fonctionnement du réseau.
L’interconnexion des équipements et leur alimentation étant à la charge de
l’opérateur, l'émergence de toute une série de nouvelles questions doit être réglée par les
opérateurs. Ainsi les recommandations relatives à la sécurisation totale couvrent tous les
aspects de la transmission (fibre optique, E1), depuis la partie radio jusqu'au réseau cœur
NGN et du backbone IP utilisé pour réaliser le MSC Pool. Il est donc recommandé que
ORANGE-CI :
Mette en place un réseau de transmission adéquat qui tienne compte de la
redondance des équipements car la majeure partie des problèmes est :
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
59
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
La coupure des fibres optiques reliant les différents sites due généralement
aux actes de vandalisme (vols de câble en cuivre).
Panne des équipements de transmission due aux travaux d’intervention qui
tardent souvent.
Pour l’interconnexion des équipements du réseau, implémente des mécanismes de
secours ou de reroutage sur un autre chemin en autorisant les pannes simultanées sur
les câbles, la protection d’une panne totale d’un nœud pour fiabiliser
l’interconnexion. Ainsi lorsqu’un des équipements intermédiaires de transmission ou
même le site entier tombe en panne, la liaison est encore secourue.
Implémente des mécanismes pour le démarrage automatique des GE installés qui, à
l’heure du délestage, sont incontournables.
S’assure de la fiabilité du backbone IP/MPLS de côte d’ivoire Télécom en termes de
bande passante pour éviter les congestions du trafic IP.
Poursuivent l’installation de la fibre optique du réseau cœur NGN jusqu’à la partie
radio BSS pour pouvoir fournir un débit maximal et faciliter les interventions des
équipes de la transmission.
S’oriente vers la technologie WDM offrant un réseau de transmission fibre optique
très sécurisé pour l’interconnexion des sites ultra sensibles.
Conclusion
La sécurisation du réseau NGN proposée à ORANGE-CI est le MSC Pool. Considéré
comme une technique de sécurisation évoluée du réseau cœur, le MSC Pool est basée sur le
principe de réseau distribué. En effet il permet de relier plusieurs MSC pour former un
ensemble de MSC appelé MSC pool, dans lequel les équipements partagent des ressources.
Cette technique permet une sécurisation totale du réseau NGN allant du réseau cœur à la
partie BSS. Le début de la phase 3 commencé de façon sous notre supervision, nous a permit
de comprendre les étapes de la migration vers le concept ‘tout NGN’ et de superviser des
tests sur les différents services ciblés.
La phase 3 entamée, ORANGE-CI pourra donc poursuivre son déploiement jusqu’à
atteindre l’architecture cible sécurisée. Cela lui permettra après quelques réaménagements
dans la partie cœur du réseau de fournir une qualité de service optimale.
Mémoire de fin de cycle
Sécurisation des réseaux NGN : Cas de Orange-CI (OCI)
60
Présenté par KARAMOKO Mamadou – Elève ingénieur en Télécommunications & Réseaux
L’étude sur la sécurisation du réseau NGN de ORANGE-CI a permis une solution de
sécurisation de l’opérateur et des recommandations relatives à cette sécurisation. Ces
recommandations ont pour but d’élaborer une stratégie élégante d’amélioration du réseau
NGN cible de ORANGE-CI en tenant compte de l’évolution du réseau existant. Par
conséquent, elle doit être suivie d’une application de sorte à relever les défis des nouvelles
technologies en Côte d’Ivoire.
Ce stage nous a permis d’accroître considérablement notre compréhension d’un
certain nombre d’aspects dont les réseaux de prochaine génération et le concept de
sécurisation des réseaux NGN. En outre, Nous espérons avec modestie que toutes les
préoccupations ont été largement satisfaites dans ce stage que nous avons trouvé passionnant
et à maints égards, instructifs.
L’application de la solution de sécurisation consignée dans ce rapport, requerra les
services de personnes pointues en sécurité NGN, en plus le parc des équipements NGN du
constructeur HUAWEI devient important ; pourquoi ne pas envisager la montée en expertise
d’analyse d’un niveau supérieur des exploitants du Core Network ?
En effet, la sécurisation des réseaux NGN étant un domaine crucial et à la fois
complexe, seul ne s’y intéressent que de rares ingénieurs ; toutefois, les trois mois que nous
avons passés à Orange nous ont permis d’en cerner les fondements.
Aussi, à court ou moyen terme, vu la pénurie criarde des liaisons MIC et STM1, il
serait opportun d’épouser une nouvelle technologie offrant une plus grande capacité en STM
avec un multiplexage de la capacité de la fibre optique. Cette idée est en cours
d’implémentation, nous a-t-on dit avec le WDM et aboutira à l’adoption prochaine d’un
réseau de transmission ultra sécurisé qui offre des débits très élevés.
Par ailleurs, la sécurisation du réseau NGN pourra s’étendre à l’introduction de la 3G
afin de disposer d’une optimisation en termes de qualité de service et permettre à ORANGE-
CI de maintenir sa position de leader sous la pression concurrentielle. Néanmoins pour mener
à bien cette étude, la maîtrise du présent rapport est requise.
CCOONNCCLLUUSSIIOONN
top related