Cœur du Réseau et Backbone MPLS

• CCR (Cloud Core Router) Séries (CCR2004, CCR2116) : Ces routeurs multicœurs constituent les piliers du cœur de réseau. Le CCR2004 avec ses ports 10G/25G et le CCR2116 (équipé d'un processeur AL73400 et de ports 10G/25G/100G selon les modèles) offrent une capacité de traitement de paquets et un débit de commutation exceptionnels, essentiels pour le label switching et le routage intensif du backbone MPLS. Ils prennent en charge RouterOS v7, intégrant nativement MPLS, BGP (avec des fonctionnalités avancées comme Route Reflectors), OSPFv2/OSPFv3 (pour la distribution des routes IPv4/IPv6), VRF pour les L3VPN, QoS (avec des implémentations de queues et policing) et VPLS pour les services Ethernet de niveau 2.
• NetMetal ax : Ce dispositif sans fil puissant est envisagé pour des liaisons backhaul sans fil haute capacité et des points d'agrégation dans les zones où la fibre optique n'est pas encore déployée. Sa robustesse et sa performance en font un choix idéal pour des environnements extérieurs exigeants.
• FiberBox Plus (CRS326-24G-2S+RM) : Un switch d'agrégation fibre optique compact avec 24 ports Gigabit Ethernet et 2 ports SFP+ 10Gbps. Il est parfait pour les Points de Présence (POP) urbains, permettant l'agrégation de multiples liens fibres optiques clients et la connexion au backbone MPLS avec des liaisons 10Gbps.
• mANTBox ax 15s / mANT30 PA + Radome et LHGG : Ces solutions sont dédiées aux liaisons backhaul point-à-point longue portée.
  • Le mANTBox ax 15s combine une antenne sectorielle de 15 dBi avec un routeur MikroTik intégré, idéal pour des secteurs larges.
  • Le mANT30 PA + Radome est une antenne parabolique de 30 dBi avec une haute directivité, assurant des liaisons stables et à très longue distance pour relier des sites majeurs comme Bukavu, Goma, Kisangani, Butembo, et Bunia au cœur MPLS. Il peut être couplé avec des dispositifs comme le Wireless Wire Dish (pour du 60GHz ultra rapide sur courte distance) ou le SXT SA5 ac (pour des applications sectorielles 5GHz).
• Fonctionnalité : Ces équipements établissent le noyau MPLS, gèrent l'échange dynamique de routes via BGP et OSPF, et permettent la création de VRF pour isoler et sécuriser le trafic des clients entreprise (L3VPN).

Accès Client VPN et Mobilité LTE

• cAP LTE12 ax : Un point d'accès Wi-Fi 6 discret conçu pour être monté au plafond, idéal pour les petits bureaux distants ou agences. Il intègre un modem LTE CAT12 (jusqu'à 600 Mbps en DL grâce à l'agrégation de porteuses) et un CPU quad-core de 1.8 GHz. Sa puissance de traitement le rend parfait pour établir des tunnels VPN IPsec ou L2TP/IPsec sécurisés sur le réseau 4G, offrant une connectivité stable et performante même sans fibre optique.
• LtAP LTE6 kit & wAP ac LTE kit : Ces dispositifs robustes sont spécifiquement conçus pour des déploiements mobiles, comme dans les véhicules techniques d'Orange.
  • Le LtAP LTE6 kit offre une connectivité mobile abordable avec un modem LTE CAT6 (jusqu'à 300 Mbps en DL, support de l'agrégation de porteuses et bande B28) et deux ports Ethernet (PoE-in & PoE-out). Il garantit une connectivité fiable même dans les zones où la couverture téléphonique est faible.
  • Le wAP ac LTE kit est un point d'accès LTE compact et résistant aux intempéries, doté d'un GPS intégré, d'un module LTE rapide et de la connectivité sans fil 2.4 GHz. Sa polyvalence est renforcée par ses multiples options d'alimentation. Les deux LtAP et wAP prennent en charge les tunnels GRE, IPsec, et même MPLS L2 (VPLS) avec RouterOS, permettant une intégration sécurisée et transparente au backbone IP/MPLS. Un port console facilite la configuration sur le terrain.
• SXT LTE6 kit : Une unité CPE (Customer Provider Equipment) LTE longue distance conçue pour les zones rurales. Dotée d'un modem LTE CAT6 avec 2x2 MIMO DL et support de la bande B28, elle est utilisée comme CPE pour les clients entreprise en zones non fibrées ou comme relais de connectivité, étendant la portée du réseau 4G d'Orange RDC.
• SXT SA5 ac : Une antenne sectorielle 5GHz haute performance (802.11ac) pour des points d'accès sans fil ou pour des liaisons Point-to-Multipoint (PMP) dans des zones de densification, complétant les solutions LTE pour la "last mile".
• Fonctionnalité : Ces équipements fournissent un accès client VPN sécurisé dans les zones sans fibre, assurent la mobilité des équipes techniques d'Orange avec un accès sécurisé au backbone IP/MPLS, et gèrent la connectivité LTE multi-cartes SIM avec des fonctions de failover automatique et de roaming international pour une continuité de service maximale.

IoT & Smart Monitoring – LoRaWAN et M2M

• LtAP LR8G LTE6 kit : Ce dispositif est un concentrateur de données multifonctionnel intégrant LoRaWAN, LTE, GPS et Wi-Fi (Dual-chain 2.4 GHz). Sa conception robuste et industrielle le rend idéal pour des déploiements en environnements difficiles. Il se distingue par sa sensibilité de réception 868MHz améliorée pour une communication LoRa longue portée et un slot Mini SIM pour la connectivité mobile. Les options d'alimentation polyvalentes, y compris le support automobile, et un connecteur SMA femelle pour antennes externes, en font une solution parfaite pour la surveillance environnementale (barrages, sites miniers, pylônes) et la gestion énergétique des stations BTS.
• Fonctionnalité : Il permet de connecter des passerelles LoRaWAN directement au cœur IP/MPLS d'Orange RDC. La communication IoT est sécurisée via des tunnels VPN/MPLS ou IPsec, permettant une centralisation efficace des données des capteurs dans le datacenter d'Orange.

Intégration Réseau : Comment Fonctionne l’IP/MPLS chez Orange RDC ?

L'architecture MPLS d'Orange RDC est conçue autour d'une topologie Mesh avec une redondance intrinsèque pour garantir une haute disponibilité.

• Nœuds PE et Liaisons : Chaque Point de Présence (POP) majeur d'Orange est équipé de nœuds PE (Provider Edge) MikroTik (CCR, NetMetal ax) interconnectés par des liaisons fibres optiques de haute capacité (utilisant des FiberBox Plus) ou des liaisons sans fil point-à-point robustes (mANT30 PA, mANTBox ax 15s). Les CPE LTE (cAP LTE12 ax, LtAP LTE6 kit, SXT LTE6 kit) et les points d'accès Wi-Fi MikroTik sont configurés comme clients terminaux, s'authentifiant au réseau MPLS soit directement (via Label Distribution Protocol - LDP), soit via des tunnels IPsec encapsulant le trafic MPLS ou IP.
• Services Fournis via MPLS :
  • VPN L3/MPLS pour entreprises (VRF) : Chaque client entreprise dispose de son propre environnement de routage logique (VRF) sur les routeurs PE, assurant une isolation complète du trafic et une sécurité maximale. Les routes sont échangées entre les VRF via BGP Multiprotocol Extensions (MP-BGP) qui distribue les routes VPNv4/VPNv6 (incluant des Route Distinguishers et Route Targets pour l'unicité et le partage des VPNs).
  • VPLS (Virtual Private LAN Services) : Permet de relier plusieurs succursales d'une entreprise comme si elles faisaient partie du même LAN physique, créant ainsi une couche 2 transparente sur le backbone MPLS. Cela est implémenté via des pseudowires MPLS (Pw) qui émulent des liens Ethernet.
  • Traffic Engineering (TE) : Des LSPs explicitement routés peuvent être configurés pour acheminer des flux de trafic spécifiques (VoIP, vidéo en direct) sur des chemins optimaux en termes de latence et de gigue, garantissant une qualité d'expérience supérieure pour les services sensibles au temps. RSVP-TE (Resource Reservation Protocol - Traffic Engineering) est utilisé pour établir et maintenir ces LSPs.
  • QoS DiffServ / RSVP intégrée : La classification et le marquage des paquets sont effectués au niveau de l'entrée du réseau MPLS, permettant aux nœuds P du cœur de réseau de prioriser le trafic en fonction des classes de service définies, assurant ainsi le respect des SLA (Service Level Agreements) clients.

Sécurité Avancée

• Filtrage Firewall Avancé : RouterOS v7 offre un moteur de firewall puissant avec des règles basées sur la couche 7 (analyse des applications), le NAT (Network Address Translation) pour la dissimulation des adresses internes, et des règles RAW pour un contrôle granulaire des paquets avant le connection tracking. Cela permet de prévenir les attaques par déni de service et de contrôler l'accès aux ressources réseau de manière très fine.
• Tunnels IPsec avec IKEv2 : Pour la sécurisation des communications sur des réseaux non fiables (comme l'internet public pour les accès LTE distants), des tunnels IPsec sont établis, utilisant IKEv2 (Internet Key Exchange version 2) pour un établissement de session plus rapide, une meilleure résilience aux déconnexions et une gestion des clés plus robuste.
• BGP Route Filtering : Des politiques de filtrage de routes BGP (via prefix-lists, route-maps et communautés BGP) sont mises en œuvre pour éviter l'injection de routes malveillantes ou non désirées dans la table de routage globale, protégeant ainsi l'intégrité du backbone.

Fiabilité et Redondance

• Failover LTE ↔ Fibre Automatique : La redondance est assurée par des mécanismes de basculement automatique. Le Netwatch de RouterOS surveille la disponibilité des interfaces et des destinations (par ping ou HTTP). En cas de défaillance de la liaison fibre, les routes sont automatiquement redirigées vers la liaison LTE/4G de secours. L'utilisation d'ECMP (Equal-Cost Multi-Path) permet une répartition de charge active-active entre des liens de même coût, augmentant la bande passante agrégée et la résilience. Pour les sites distants, des configurations comme VRRP (Virtual Router Redundancy Protocol) sur les PE garantissent une haute disponibilité au niveau du premier saut.

Phase de Conception et Planification Stratégique

• Analyse Approfondie des Besoins : Identification précise des services à supporter, modélisation et estimation du trafic, et définition des exigences strictes en matière de performance, de fiabilité et de sécurité.
• Architecture de Haut Niveau (HLD) : Élaboration de la structure du réseau en couches distinctes (Cœur, Distribution, Accès), conception de la topologie globale, élaboration du plan d'adressage IP détaillé, et définition des VLANs/VRFs pour une segmentation logique.
• Sélection et Dimensionnement des Équipements MikroTik : Choix stratégique des séries CCR, CRS, RouterBoard et antennes les plus adaptées aux besoins spécifiques de chaque couche de l'architecture.

Phase de Configuration et Implémentation Technique

• Configuration de Base Sécurisée : Mise en place de l'accès sécurisé aux équipements, synchronisation horaire via NTP, et configuration des interfaces physiques et logiques.
• Configuration Avancée MPLS : Activation du protocole LDP (Label Distribution Protocol), configuration des protocoles IGP (OSPF) pour l'échange de routes internes, implémentation des MPLS L3VPN (avec VRF et BGP) et des L2VPN (VPLS/VPWS).
• Implémentation de la Qualité de Service (QoS) : Définition des règles de classification du trafic (via Mangle rules), configuration des files d'attente hiérarchiques (Tree Queues), et mise en œuvre de politiques de limitation de bande passante pour prioriser les flux critiques.
• Intégration des Réseaux Sans Fil : Mise en place des liaisons de backhaul PTP/PTMP et configuration de l'accès client via les antennes MikroTik.

Mécanismes de Redondance et Tests de Validation Rigoureux

• Redondance et Haute Disponibilité : Mise en œuvre de la redondance des liens (bonding, agrégation de liens), configuration des chemins multiples via OSPF/ISIS, et déploiement de protocoles de haute disponibilité comme VRRP et Fast Reroute (FRR) pour une tolérance aux pannes maximale.
• Tests Exhaustifs et Validation Fonctionnelle : Exécution de plans de tests rigoureux pour valider la connectivité de bout en bout, les performances sous charge, la correcte application des politiques de QoS, la résilience de l'architecture et la sécurité globale du réseau.

Supervision, Maintenance Opérationnelle et Documentation

• Intégration au Système de Gestion de Réseau (NMS) : Configuration des agents SNMP, centralisation des logs système (Syslog), et intégration avec les plateformes de supervision Zabbix/PRTG.
• Procédures de Maintenance et de Mise à Jour : Définition des routines de sauvegardes régulières, planification des mises à jour du RouterOS et surveillance proactive des ressources système.
• Documentation Technique Complète : Création et mise à jour continue des schémas réseau détaillés, du plan d'adressage, et des procédures opérationnelles standard.

Configuration de Base et Interfaces Réseau

• Définition d'une adresse IP sur une interface :

  /ip address add address=192.168.1.1/24 interface=ether1

• Ajout d'une passerelle par défaut pour le routage externe :

  /ip route add dst-address=0.0.0.0/0 gateway=192.168.1.254

• Création d'un VLAN pour la segmentation logique :

  /interface vlan add name=vlan100 vlan-id=100 interface=ether2

• Activation sécurisée du service SSH pour la gestion à distance :

  /ip service enable ssh

Configuration MPLS et Routage IGP/BGP Stratégique

• Activation du package MPLS sur le routeur :

  /system package enable mpls

• Activation du protocole LDP sur une interface dédiée MPLS :

  /mpls interface add interface=ether3-mpls-link enabled=yes

• Configuration OSPF (exemple simplifié pour l'IGP) :

  /routing ospf instance add name=default router-id=1.1.1.1
  /routing ospf network add network=10.0.0.0/8 area=backbone

• Configuration BGP (essentielle pour les L3VPN) :

  /routing bgp instance set default as=65000
  /routing bgp peer add name=PE2 remote-address=2.2.2.2 remote-as=65000 update-source=loopback0
  /routing bgp vpn add instance=default vrf=CustomerA route-distinguisher=65000:1 route-target=65000:1

Qualité de Service (QoS) et Implémentation VRF Avancée

• Création d'une règle Mangle pour la classification du trafic (VoIP prioritaire) :

  /ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=voip_traffic dscp=46 passthrough=no

• Création d'une Queue Tree pour la priorisation de la VoIP :

  /queue tree add parent=global queue=default name=VoIP_Queue packet-mark=voip_traffic limit-at=5M max-limit=10M priority=1

• Création d'une instance VRF pour l'isolement de services :

  /ip vrf add name=CustomerA routing-mark=CustomerA_VRF

• Association d'une interface réseau à une instance VRF spécifique :

  /ip route vrf add interface=ether4-customerA routing-mark=CustomerA_VRF

Configuration Sans Fil et Surveillance Réseau Essentielle

• Configuration d'une liaison sans fil Point-à-Point (Mode AP) :

  /interface wireless add name=wlan1 mode=ap-bridge band=5ghz-a/n/ac frequency=auto ssid=OrangeBackhaul

• Configuration d'une liaison sans fil Point-à-Point (Mode Station) :

  /interface wireless add name=wlan1 mode=station-bridge band=5ghz-a/n/ac ssid=OrangeBackhaul

• Activation de SNMP pour la supervision à distance :

  /snmp set enabled=yes community=public trap-target=10.0.0.1

• Configuration de l'envoi des logs système vers un serveur Syslog externe :

  /system logging add topics=info,debug action=remote remote=10.0.0.254