Du GTP au MPLS : L'art du mapping VLAN/VRF sur l'interface SGi en 4G LTE

BBU configuration

1. Introduction : Le défi de la colocation des flux sur l'infrastructure d'un opérateur

Un opérateur mobile de taille nationale ou régionale (Airtel, Orange, MTN, etc.) a une contrainte structurelle :

  • La même infrastructure radio (eNodeB, backhaul, EPC) transporte à la fois :

    • le trafic grand public (smartphones, dongles 4G, IoT grand public),

    • et les flux critiques B2B (banques, compagnies minières, ONG, institutions publiques).


Les eNodeB, les backhauls IP et le cœur EPC sont donc mutualisés par conception. Pourtant, les attentes des clients corporate sont à l’opposé d’un réseau "best effort" :

  • Confidentialité stricte des flux (pas de fuite inter-client).

  • Prévisibilité et maîtrise du routage (topologie déterministe).

  • Intégration transparente avec l’architecture IP existante de l’entreprise (LAN, WAN MPLS, VPN IPsec, SOC, etc.).

La question opérationnelle est simple, mais exigeante techniquement :

Comment garantir une étanchéité quasi-absolue des flux IP d’une banque ou d’un client industriel, sur un réseau cellulaire intrinsèquement partagé, sans recréer un réseau physique dédié pour chaque client ?

La réponse, en 4G LTE, repose sur un point charnière : le mapping entre le monde GTP (cœur mobile) et le monde VLAN/MPLS (transport IP opérateur & réseaux d’entreprise), principalement au niveau du PGW et de l’interface SGi.

2. L’Architecture Cœur de Réseau : Le point de jonction entre la Radio et l’IT

Pour comprendre où se place le VLAN dans la 4G, il faut rappeler la logique de l’EPC (Evolved Packet Core), telle que définie par le 3GPP.

Les nœuds clés (simplifiés) :

  • eNodeB : Termine le plan radio LTE (OFDM) et transporte le plan utilisateur via GTP-U jusqu’au SGW.

  • SGW (Serving Gateway) : Point d’ancrage du plan utilisateur entre l’eNodeB et le PGW. Il gère la mobilité intra-EPC (changement d’eNodeB, handover intra-MME, etc.).

  • PGW (PDN Gateway) : Point de sortie vers les PDN externes (Internet, intranet entreprise, plateformes de services). Il assigne l’adresse IP UE (User Equipment), applique les politiques (PCC, QoS) et termine généralement le tunnel GTP-U du côté "vers l’IT".

Sur le plan utilisateur (S1-U / S5-S8) :

Entre l’eNodeB et le PGW, le trafic circule sous forme de tunnels GTP-U (GPRS Tunneling Protocol – User plane) :

  • Chaque bearer (EPS bearer) correspond à un tunnel GTP-U identifié par un TEID (Tunnel Endpoint Identifier).

  • L’IP utilisateur (IP assignée à l’UE sur un APN donné) est encapsulée dans un tunnel GTP-U transporté sur IP/UDP.

Résultat immédiat :

  • Dans la portion eNodeB → SGW → PGW, l’opérateur manipule des tunnels GTP-U, transportés sur IP (Layer 3), eux-mêmes encapsulés sur un transport IP/MPLS interne.

  • Le concept de VLAN (IEEE 802.1Q, Layer 2) ne s’applique pas à ce niveau. L’isolation est assurée par les TEID, la séparation APN, la logique de bearer et de QoS.

En d’autres termes, le cœur LTE est "L3+GTP-centric", alors que le monde IT entreprise (LAN, WAN, datacenter) reste très souvent "L2+VLAN/MPLS-centric".

Le point d’interconnexion entre ces deux paradigmes est l’interface SGi du PGW :

  • Interface SGi (3GPP) = interface entre le PGW et l’Internet public, les réseaux d’entreprise ou les services internes de l’opérateur.

  • C’est ici que se fait le passage de GTP-U encapsulé (côté LTE) vers du trafic IP/Ethernet "classique" pouvant être taggué en VLAN.

4G

3. Le Mécanisme Clé : Du Tunnel GTP au Tag VLAN sur l’Interface SGi

La clé pour intégrer proprement un client corporate dans le cœur 4G est le mapping APN privé → VLAN → VRF/MPLS.

3.1. Logique de base : l’APN comme identifiant de contexte

Chaque SIM se voit provisionner un ou plusieurs APN (Access Point Name) :

  • Exemple : APN "internet" pour le trafic data best effort grand public, ou APN "banque.airtel.cd" pour le trafic privé d’un client bancaire.

Au moment de l’établissement de la session PDN (attach + PDN connectivity request) :

  • L’UE (ou le routeur 4G CPE) demande l’accès à un APN donné.

  • Le MME et le PCRF (via le PGW) valident que cet APN est autorisé pour cette SIM (profil HSS/SPR) et définissent quelles politiques (QoS, routage, filtrage) doivent s’appliquer.

Sur le PGW, cet APN est associé à un contexte de sortie spécifique sur l’interface SGi :

  • APN → "service context" → interface / sous-interface SGi → VLAN / VRF / route-target MPLS.

3.2. Du point de vue du PGW : décapsulation et classification

Lorsqu’un paquet data issu de l’UE arrive au PGW :

  1. Le PGW reçoit un paquet GTP-U sur son interface S5/S8 (en provenance du SGW).

  2. Le PGW identifie le TEID, l'associe au bearer correspondant, et identifie précisément l'UE, l'APN utilisé et le profil de service rattaché.

  3. Il décapsules le tunnel : les en-têtes GTP-U / UDP / IP (transport) sont retirés. Il ne reste plus que le paquet IP "utilisateur" (UE → PDN).

  4. Sur la base du contexte APN, le PGW décide sur quelle interface SGi sortir et quel traitement L2/L3 appliquer (VLAN, NAT, routage dans une VRF spécifique, etc.).

3.3. Injection du tag VLAN 802.1Q

Sur l’interface SGi, côté "IT", le PGW est typiquement connecté à un switch L2/L3 opérateur, ou directement à un routeur PE MPLS (Provider Edge).

Pour un client entreprise, l’implémentation courante est la suivante :

  • L’interface physique SGi du PGW vers le réseau IP opérateur est configurée avec des sous-interfaces (sub-interfaces), chacune associée à un VLAN 802.1Q.

    • Exemple sur un routeur PE (syntaxe générique) : Gi0/0.450VLAN 450 → VRF BANQUE_X.

  • Le PGW mappe le contexte APN "banque.airtel.cd" vers une sous-interface SGi donnée configurée en 802.1Q tag = 450.

Concrètement, quand un paquet sort du PGW vers le réseau de transport pour ce client, le PGW l'envoie vers la sous-interface SGi dédiée qui ajoute le tag VLAN 802.1Q (par ex. VLAN 450). Le switch/routeur opérateur reçoit alors un paquet Ethernet 802.1Q taggé.

Ce mécanisme permet d'isoler logiquement les flux de chaque APN privé via des VLAN distincts et d'offrir une intégration H-QoS et VRF/MPLS côté réseau d’entreprise.

3.4. Intégration dans le cœur IP/MPLS : VRF et VPN L3

Le VLAN n’est souvent qu’un identifiant L2 local. Côté cœur IP opérateur, l’isolation est généralement renforcée via :

  • VRF (Virtual Routing and Forwarding) : Une VRF par client corporate (ou par groupe de clients). Le VLAN associé à l’APN du client est mappé sur une interface dans la VRF correspondante.

  • MPLS L3VPN : Chaque VRF est associée à des Route Targets spécifiques. Le backbone MPLS transporte les flux du client de PE en PE dans un VPN L3 dédié.

Pipeline logique pour un client banque :

APN privé → Contexte PGW → Sous-interface SGiVLAN 450VRF BANQUE_XVPN MPLS BANQUE_X.

Ainsi, le client bénéficie d’une étanchéité bout-en-bout (dans le monde mobile via GTP/APN/bearers, et dans le monde IP via VLAN/VRF/MPLS) ainsi que d’une topologie IP maîtrisée, totalement isolée du trafic Internet grand public.

4. Cas Pratique : Le parcours d’un paquet depuis un routeur 4G d’agence bancaire

Prenons un cas réel : une agence bancaire en région reliée au siège via un routeur 4G LTE (CPE) utilisant un APN privé de l’opérateur, comme par exemple : banque.airtel.cd.

4.1. Étape 1 : Le routeur 4G d’agence initie la session APN

  1. Le routeur 4G (CPE) de l’agence dispose d’une SIM M2M avec un profil autorisant l’APN banque.airtel.cd. Il établit la session LTE : Attach auprès du MME, puis PDN Connectivity Request vers l’APN.

  2. Dans le cœur EPC, le MME demande au PGW associé à cet APN de créer une session PDN. Le PGW assigne une adresse IP UE au routeur (par ex. 10.50.10.2/30), crée un default bearer (QCI adapté à l’usage bancaire) et informe le SGW des paramètres de tunnel GTP-U (TEID, endpoints).

Le routeur 4G d’agence possède désormais une IP "mobile" dans un sous-réseau dédié. Le trafic de l’agence vers le siège passera obligatoirement via ce bearer GTP-U lié à l’APN banque.airtel.cd.

4.2. Étape 2 : Transport sur le réseau radio et EPC (GTP-U)

Quand un poste de l’agence (LAN local) envoie un paquet IP vers le siège (ex : 10.100.0.10 au HQ) :

  1. Le paquet est routé localement par le routeur 4G (Source : IP interne agence 192.168.10.20 → Destination : IP du siège).

  2. Le routeur 4G encapsule ce trafic sur son interface WAN LTE et l'envoie vers le PGW en utilisant l’adresse IP UE fournie.

  3. Sur le chemin eNodeB → SGW → PGW, le trafic voyage encapsulé dans un tunnel GTP-U (Enveloppe : IP transport / UDP / GTP-U | Charge utile : paquet IP d’origine).

  4. Le backbone de l’opérateur transporte ce flux GTP-U sur son infrastructure IP/MPLS interne, sans avoir à analyser le contenu "banque" : l’isolation est ici purement GTP/APN.

4.3. Étape 3 : Siège du PGW et tag 802.1Q (VLAN 450)

Au niveau du PGW :

  1. Le PGW reçoit le paquet GTP-U provenant du SGW, identifie le TEID et l'associe à la session PDN de l’APN banque.airtel.cd.

  2. Il décapsule le GTP-U pour récupérer le paquet IP utile (routeur 4G → destination siège).

  3. Sur la base de l’APN, le PGW sait que ce trafic doit être émis sur l’interface SGi associée au VLAN 450, elle-même mappée à la VRF BANQUE_X.

  4. Le PGW pousse le paquet sur la sous-interface SGi correspondante sous forme d’une trame Ethernet encapsulée avec le tag IEEE 802.1Q VLAN 450.

Le switch ou routeur PE connecté au PGW reçoit ce flux taggé et l'injecte immédiatement dans l'interface de la VRF BANQUE_X.

4.4. Étape 4 : Acheminement via backbone MPLS jusqu’au siège

Une fois dans la VRF BANQUE_X :

  1. Le routeur PE proche du PGW redistribue les routes de la VRF via MP-BGP VPNv4/VPNv6 avec des Route Targets exclusifs à BANQUE_X.

  2. Le backbone MPLS de l’opérateur transporte les paquets sous forme de LSP (Label Switched Paths) entre les PE, en respectant l’isolation stricte de la VRF.

Depuis la perspective du routeur 4G d’agence, le transport ressemble à un VPN L3 privé opérateur transparent, étendant le WAN classique.

Au niveau du PE du siège de la banque, le flux arrive avec les labels MPLS de la VRF, est décapsulé, puis acheminé vers le routeur central de la banque (via liaison louée ou VPN dédié). L'agence est connectée de façon native et isolée, sans aucun risque de croisement avec le trafic Internet grand public.

5. Conclusion : De l’intégration VLAN au Network Slicing de la 5G

La capacité à mapper proprement le monde mobile (GTP/APN) sur le monde IP opérateur/entreprise (VLAN/VRF/MPLS) n’est pas un détail de configuration ; c’est une compétence cœur qui demande une double expertise :

  • En Ingénierie Core Network : Maîtrise fine des flux S1-U / S5 / SGi et couplage optimal avec le transport IP/MPLS.

  • En Solutions Entreprises (B2B) : Conception d’APN privés, ingénierie de schémas VLAN/VRF étanches et intégration transparente avec l'écosystème de sécurité client (Firewalls, SD-WAN, SOC).

Ce modèle APN privé → VLAN 802.1Q → VRF/MPLS est le précurseur direct du Network Slicing de la 5G.

Alors qu'en 4G, l’isolation s'appuie sur une superposition de configurations (contextes APN, QoS par bearer, VLAN et VRF), la 5G industrialise cette approche : chaque Slice devient un sous-réseau logique de bout-en-bout doté de ses propres ressources radio, fonctions virtualisées (UPF, SMF) et SLA dédiés.

La logique sous-jacente reste inchangée : construire une chaîne d'isolement totale depuis la SIM jusqu’au cœur de l'infrastructure IT de l'entreprise. Pour un opérateur, la valeur ajoutée réside dans la capacité à concevoir, opérer et dépanner ces architectures hybrides complexes. Maîtriser l’intégration VLAN au cœur de la 4G, c’est posséder les clés pour déployer les architectures cellulaires privées et critiques de demain.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Qu’est-ce que le démarrage réseau (PXE) et comment l’utiliser?

Image
I. Présentation Dans cet article, nous allons parler du boot PXE ainsi que du boot iPXE , deux notions essentielles à connaître en tant qu’administrateur système et réseau. Elles sont directement liées à un processus incontournable pour les entreprises : le déploiement de postes de travail . Traditionnellement, lorsqu'on souhaite installer un système d’exploitation sur un poste de travail, on utilise une clé USB sur laquelle on a préalablement copié l’image ISO du système. Une fois cela fait, on connecte physiquement la clé à l’ordinateur, qui charge son contenu afin de lancer l’installation. De manière similaire, bien que plus rare aujourd’hui, on peut également utiliser un CD ou un DVD d’installation, mais là encore, il faut disposer d’un support physique. Grâce au boot PXE ou iPXE , il est possible de s’affranchir de l’utilisation de ces supports physiques, car le démarrage se fait à travers le réseau . Si vous débutez en informatique et que vous souhaitez comprendre le fon...
Lire la suite

De la Maquette au Backbone : Immersion dans la Construction d’une Architecture Opérateur (ISP) sur Équipements Réels

Image
Le simulateur a ses limites ; la réalité du signal, de la fibre et de la convergence BGP sur du hardware physique forge l'expertise Introduction : L’adrénaline du "Bare Metal" Passer de la théorie à la gestion d’un réseau de production demande un changement de paradigme. Récemment, j’ai décidé de sortir des environnements virtualisés pour bâtir une infrastructure ISP (Internet Service Provider) multi-sites de A à Z. L'objectif ? Simuler la complexité d'un cœur de réseau opérateur en utilisant exclusivement du matériel physique. Entre le brassage des jarretières optiques et la montée des sessions BGP, voici le récit technique d'une architecture conçue pour la résilience et la performance. 1. Vision et Objectifs du Projet Ce projet n'était pas un simple exercice de connectivité, mais une démonstration d'ingénierie système appliquée aux télécoms : Design d'un Backbone robuste capable de supporter du routage dynamique haute performance. Interconnexio...
Lire la suite

RRU dans l'architecture GSM : Tout en détail

Image
Le RRU : Un composant clé de l’architecture GSM Aujourd’hui, nous abordons l’un des éléments essentiels de l’architecture GSM : le Remote Radio Unit (RRU) . Ce module joue un rôle fondamental dans la transmission radio entre les terminaux mobiles et le réseau, assurant la qualité et la fiabilité des communications mobiles. 1. Fonctionnement du RRU Le RRU agit comme une interface radio déportée du BTS (Base Transceiver Station) , située à proximité des antennes, et traite les signaux radio avec une grande précision. Son fonctionnement peut être résumé en plusieurs étapes techniques : 1.1. Réception du signal radio émis par le terminal mobile Le terminal mobile émet un signal radio modulé en fréquence ou amplitude selon la norme GSM. Ce signal est capté directement par l’antenne connectée au RRU. Le RRU amplifie le signal faible reçu via un Low Noise Amplifier (LNA) pour améliorer le rapport signal/bruit. Ensuite, le signal analogique est converti en signal numérique à l...
Lire la suite