« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON...
of 106
/106
-
Upload
godard-mary -
Category
Documents
-
view
112 -
download
4
Embed Size (px)
Transcript of « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON...
« Architecture des Réseaux »
Architecture des Réseaux
Architectures étendues
- Partie II -
page 3
Agenda (deuxième journée)
Interconnexion de réseaux
Architectures étendues
Solutions de réseaux d’accès
Solutions de réseaux fédérateurs
Notions de réseaux privés virtuels
Réseaux de mobiles
page 4
Interconnexion de réseaux
Objectifs
Connaître les différentes technologies des réseaux d'entreprise
Comprendre avantage & inconvénients des solutions du marché
Plan
Solutions de réseaux d’accès
Solutions de réseaux fédérateurs
Notions de réseaux privés virtuels
Réseaux de mobiles
Notions de réseaux privés virtuelsNotions de réseaux privés virtuels
page 5
Solutions d’interconnexion IP
Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs :
Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service
Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures)
Le « packaging » des offres opérateurs s’orientent vers les RRéseaux PPrivés VVirtuels IPIP (RPV-IP ou VPN-IP)
Proposer des « prises IP »
Agrémenter les accès de garanties en termes de :
Qualité de Service (VPN-IP CoS)
Sécurité (VPN-IP IPSec)
page 6
Définition d’un VPN
Un VPNVPN (VVirtual PPrivate NNetwork) ou RPV (Réseau Privé Virtuel) est un réseau qui…
… utilise et/ou partage des infrastructures publiques ou privées
… met en œuvre des mécanismes de sécuritésécurité et de Qualité de ServiceQualité de Service
Comparatif VPN / Réseau Privé
VPNVPN Réseau PrivéRéseau Privé
++ Coût
++ Flexibilité
++ Externalisation
++ Maîtrise
++ Sécurité
-- Moins de Maîtrise -- Mobilisation ressources humaines importantes
-- Investissements lourds
page 7
Définition d’un VPN Frame Relay
VPN basé sur des infrastructures Frame Relay
VPN Frame Relay (offre traditionnelle opérateur)
Notion de CVP et de point-à-point
Maillage complet
Gestion par l’opérateur complexe
Manque de flexibilité
page 8
Définition d’un VPN IP
De nouvelles offres : VPN IP (apparues il y a un an)
IP
Protocole universel au niveau des applications
Extension au niveau du transport pour les offres de service réseau
De nouveaux protocoles de gestion
Qualité de Service
MPLS : toujours en normalisation (essentiellement équipements)
DiffServ : normalisé
Sécurité
IPSec
Réseau constitué de routeurs IP
Transport des flux IP de façon « native » (routage dynamique)
page 9
Constitution d’un VPN IP (1)
page 10
Constitution d’un VPN IP (2)
Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission.
A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution
page 11
Constitution d’un VPN IP (3)
ComposantesRéseau de transport : infrastructure « backbone » ou Internet
Moyens d’accès
CPE (Customer Premises Equipment) : routeur, modem
Connexion au réseau de transport via réseau d’accès
Moyens de sécurisation
Technologies propres au réseau de transport (ex. : CVP Frame Relay)
Déploiement d’équipements et logiciels spécifiques
Pare-feux
Serveurs d’authentification/autorisation
Plate-formes de services (hébergement)
Messagerie, accès Web, etc.
Infogérance
Moyens de supervision
page 12
Différents types de VPN IP
VPN IP « Internet »
Infrastructure entièrement publique
Utilisation des réseaux ISP
VPN IP « Opérateur »
Infrastructure fournie par un prestataire
MPLS ou non
IPSec ou non
VPN Frame Relay & IP
Avantages & inconvénients
Comparatifs
page 13
Définition VPN IP Internet (1)
VPN IP Internet
Utilisation des infrastructures Internet
« Intelligence » gérée au niveau des extrémités (CPE)
Création de tunnelstunnels LAN/LAN ou LAN/PC
Site A Site B
Internet
Création d'untunnel
page 14
Définition VPN IP Internet (2)
VPN IP Internet
Utilisation de protocoles de tunneling
PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol)
Utilisés dans le cadre d’accès commutés
Environnement multi-protocoles
L2TP (Layer 2 Tunneling Protocol)
Rassemble les avantages de PPTP et L2F
Nombreuses solutions constructeurs
IPSec (IP Secured)
Norme IETF initialisée en 1992, normalisée en 2000
Sécurité supérieure
Associé à IP
Intégré dans IPv6
page 15
Définition VPN IP Internet (3)
VPN IP Internet
Utilisation d’algorithmes de chiffrement
DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation)
Différents types de passerelle VPN IP
Passerelle dédiée : équipement situé entre le routeur du LAN et Internet
Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP)
Passerelle intégrée au firewall
Utilisation d’un serveur de sécurité (authentification/autorisation)
Serveur Radius, etc.
page 16
Sécurité des VPN IP Internet
FonctionsFonctions SolutionsSolutions
• Authentification
• Contrôle d’accès
• Login & password
• Calculette (jetons « secure-id »)
• Signature électronique
• Confidentialité
• Intégrité des données
• Tunneling
• Chiffrement des données
page 17
Les applications VPN IP Internet
Applications non critiques, non temps-réel
Internet : « best effort »
Pas de qualité de service
Création structure Extranet / Intranet
Accès à distance à un Intranet / Extranet
… depuis des sites de petite taille, ou situés à l’étranger
… de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)
page 18
Définition VPN IP Opérateur (1)
VPN IP Opérateur
Réseau privatif sur infrastructure IP managée
Réseau constitué de routeurs IP
CE : Customer Equipment
PE : Provider Edge
P : Provider
Site A Site BVirtual Path
CE CE
PEPEPE
PEPE
PE
P P
P
page 19
Définition VPN IP Opérateur (2)
VPN IP Opérateur
Offres récentes
Correspond à une logique d’externalisation (outsourcing)
Service & gestion des équipements (y compris les CPE) par l’opérateur
Deux stratégies d’opérateurs : gestion du protocole MPLS ou non
Évolution du marché : MPLSMPLS
page 20
VPN IP Opérateur MPLS : généralités
Gestion de MPLS associé à DiffServ = QS et sécurité sous IP
Priorisation des flux avec plusieurs classes de service disponibles
Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence…
Critique : ERP, SQL, transactionnel…
Standard : Messagerie, consultation Web, …
Entre 3 et 5 classes selon les offres opérateurs
Optimisation de la bande passante
MPLS assure l’étanchéité des flux (sécurité)
Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec
Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante
page 21
VPN IP Opérateur MPLS : QS et Applications
Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles
1. Disponibilité de services
2. Délai de transmission
3. Gigue : variation du délai de transmission
4. Débit garanti
5. Taux des paquets perdus
Les SLA sont associés aux classes de service
L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité
page 22
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1)
MPLS
Développé par l’organisme IETF
Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau
Performances et sécurité sous IP
Pas encore tout à fait mature
Solutions différentes pour les équipementiers
page 23
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2)
DiffServ
Développé par l’organisme IETF
Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique)
Se combine à MPLS pour délivrer une Qualité de Service de bout en bout
Intégré dans IPv6
Normalisé
page 24
VPN IP Opérateur non MPLS : VPN IP IPSec
Pas de gestion de MPLS
L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné
Mélanges fréquents avec des flux Internet
Pas de classes de service (sauf recours à DiffServ)
SLA
perte de paquet, temps de transit…
moins d’engagements qu’avec des offres MPLS
Sécurité
Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement
Solutions VPN IP IPSec
page 25
VPN IP Opérateur : applications
Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication
Offres bien adaptées aux structures et aux applications distribuées
Offres adaptées à toutes les applications existantes et à venir
Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…
page 26
AvantagesMaturité
Qualité de Service
Sécurité (CVP)
Multi-protocoles
Adaptés aux structures en étoiles
InconvénientsManque de flexibilité (CVP)
Peu adapté aux accès à distance, aux Extranets, et aux structures maillées
Technologie plutôt en fin de vie
VPN Frame Relay : avantages & inconvénients
page 27
VPN IP InternetAvantages
Simplicité
Coût
Sécurité
Capillarité
Flexibilité
Inconvénients
Best effort
Problèmes d’interopérabilité
Mise en œuvre délicate
VPN IP Opérateur Avantages
Idem « VPN IP Internet »
Qualité de Service
Sécurité
Aspect « any-to-any »
Classes de service
Évolutivité
Visibilité sur le réseau
Bien adapté aux nouvelles technologies d’accès
Bien adapté aux applications temps réel
Inconvénients
Technologie récente et encore peu mature (MPLS)
Offres encore incomplètes
VPN IP : avantages & inconvénients
page 28
Comparatif Frame Relay et IP
VPN InternetVPN Internet VPN Frame RelayVPN Frame Relay VPN IP (MPLS)VPN IP (MPLS) Réseau IP privéRéseau IP privé
Intranet point-à-Intranet point-à-pointpoint
Possible mais problème de fiabilité
Bien adapté et économique
Bien adapté et très souple
Solution très coûteuse
Intranet mailléIntranet maillé Possible mais problème de fiabilité
Moyen, manque de souplesse (gestion de CVP)
Réseau nativement maillé (any-to-any)
Solution très coûteuse. Le maillage est possible mais doit être géré au niveau des routeurs d’accès.
Accès distantAccès distant Solution la plus simple et la moins coûteuse
Peu d’offres existantes
Peu d’offres existantes (via VPN Internet)
Coût important mais solution la plus souple
ExtranetsExtranets Solution la plus souple pour des échanges ponctuels mais problème de fiabilité
Peu adapté (délais, coûts, …)
Bien adapté, surtout pour des volumes échangés importants
Solution souple et fiable mais coûts importants
page 29
Comparatif VPN IP et réseau privé IP
VPN IP InternetVPN IP Internet+ Capillarité
+ Coût- QS aléatoire
VPN IP OpérateurVPN IP Opérateur+ Évolutivité
+ QS+ Coût
Réseau Privé IPRéseau Privé IP+ Sécurité, Maîtrise
- Coût- Forte implication
de l’entreprise
CoûtCoût
QualitéQualité
page 30
Solutions VPN
Trois types de VPN IP
VPN IP Internet
VPN IP Opérateur IPSec
VPN IP Opérateur MPLS
Les offres VPN IP Opérateur cumulent…
… les avantages du protocole IP (flexibilité, « any-to-any », coût)
… les avantages des offres VPN Frame Relay (QS et sécurité)
Évolution du marché vers les offres VPN IP MPLS
Les offres VPN Frame Relay restent attractives pour certains besoins
page 31
Migration vers un VPN IP (1)
Réseau privé géré par l’entrepriseLocation de Liaisons Spécialisées à un
opérateur
Gestion des flux et de la QS par l’entreprise
Solution VPN IPL’infrastructure réseau local des sites
ne change pas
Gestion des flux et de la QS par l’opérateur VPN
Externalisation des coûts de gestion
page 32
Migration vers un VPN IP (2)
Concentration des communications sur une plate-forme centraleGestion des serveurs d'accès distant
par l'entreprise.
Communications au tarif local, national voire international
Solution VPN IPConnexion des nomades via
l'infrastructure d'accès du prestataire.
Communications au tarif local
Optimisation des coûts de communication
page 33
Migration vers un VPN (3)
La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines
Infrastructure physique
Sécurité logique
Services applicatifs
page 34
Différentes catégories d’acteurs
Carrier to Carrier to CarrierCarrier
Carrier to Carrier to CarrierCarrier
Fournisseurs Fournisseurs d’Accès d’Accès InternetInternet
Fournisseurs Fournisseurs d’Accès d’Accès InternetInternet
Opérateurs IPOpérateurs IPOpérateurs IPOpérateurs IP
Opérateurs Opérateurs de Boucle de Boucle
LocaleLocale
Opérateurs Opérateurs de Boucle de Boucle
LocaleLocaleOpérateurs Opérateurs historiqueshistoriques
Opérateurs Opérateurs historiqueshistoriques
Opérateurs Opérateurs Télécom Télécom
NationauxNationaux
Opérateurs Opérateurs Télécom Télécom
NationauxNationaux
page 35
Différents niveaux de VPN IP
page 36
Différents positionnements (1)
Classes de
ServicesOutil de
reporting
FR ATMIP avec MPLS
IP sans MPLS
Accès Internet IP
Sec Nombre En ligne
9 Telecom x x x 4 xBelgacom x x ? ? ?Cable & Wireless x x x x 1 en optionCegetel x x en projet 3 à l'étudeColt x en projet x x 3 xCompletel x x 1 xEasynet x x x 3 xFrance Telecom Equant x x x x 3 xGlobal Crossing x x x en projet 3 xKaptech x x 3 xKPN Qwest x x x x 1 à venirLambdanet x x 3 xMaiaah ! x x 5 xSiris x en projet x 4 xSprint x x 1 xTelia x x ? ?WorldCom x x en cours x 3 ? x
Types de VPN
Acteurs
Choix de protocoles (fin 2001)
page 37
Différents positionnements (2)
ATM FR IP natif IP MPLSFT EquantMaiaah !Cegetel9 TelecomBelgacomGlobal CrossingSiris en projetColt en projetWorldcom en coursKPN Qwest en projetCable & WirelessSprintKaptechEasynet
Technologie absenteTechnologie présente
Opérateurs VPN IPProtocoles de backbone supportant une offre VPN
Convergence vers MPLS
page 38
Uniformisation des prestations (1)
Prestations techniques (liées à l’implémentation du VPN IP)Raccordement des sites
Gestion des accès
Gestion des routeurs
Gestion de la sécurité
Transport Connexion au backbone
Routage VPN client
Traitement différencié des flux
Accès à Internet Adresses IP
Dépôt de noms de domaines
Gestion de la sécurité
Services d’accompagnement client Tuning, conseil, optimisation du VPN
page 39
Uniformisation des prestations (2)
Services proposés aux gestionnaires
Gestion des modifications
Fonctionnalités de reporting
Services transverses
Services de support
Services de facturation
SLA & contrats
Mais encore beaucoup d’offres sur mesures
page 40
Différents positionnements (3)
RTC/RNIS LS DSL BLR FO GSM9 Telecom x x x à l'étudeBelgacom x x x x xCable & Wireless x x x x xCegetel x x x x xColt x x x xCompletel x x x à l'étude xEasynet x x xFrance Telecom Equant x x x x xGlobal Crossing x à l'étudeKaptech x x x xKPN Qwest xLambdanet x xMaiaah ! x x x xSiris x x x xSprint x à l'étude à l'étudeTelia xWorldCom x x x
ActeursTypes d'accès VPN IP
Enrichissement des offres sur les types d’accès
page 41
Sécurité dans les VPN
L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…… l’écoute des communications
… la falsification des données échangées
… l’usurpation d’identité
Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux :Assurer la confidentialitéconfidentialité des
données
Assurer l’intégritéintégrité des données pendant le transport
Assurer l’authentificationauthentification certaine des parties en relations
Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographiecryptographie
page 42
Crypto-systèmes
Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement
Fonction de Chiffrement
Fonction de Déchiffrement
Ensemble des clés utilisables
Crypto-système
page 43
Crypto-systèmes symétriques
Pour chiffrer / déchiffrer le message, on utilise une clef unique
Cette clef est appelée clef secrèteclef secrète
Une clef différente donne un résultat différent
Bonjour
Fonction de Chiffrement
Fonction de Déchiffrement
Clef secrèteClef secrète 8964K9X
page 44
Crypto-systèmes asymétriques (1)
Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes
La clef de chiffrement est appelée clef publiqueclef publique
La clef de déchiffrement est appelée clef privéeclef privée
Bonjour Fonction de Chiffrement
Fonction de Déchiffrement
Clef publiqueClef publique
8964K9X Bonjour
Clef privéeClef privée
page 45
La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés
La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus
Crypto-systèmes asymétriques (2)
page 46
Mise en œuvre de la sécurité (1)
La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels
Son objectif est de créer un tunnel chiffré et authentifiétunnel chiffré et authentifié entre deux points
Le chiffrement et l’authentification des parties font appel à la cryptographie
page 47
Mise en œuvre de la sécurité (2)
Le protocole IP ne dispose nativement d’aucune fonction cryptographique
Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie
Extension du protocole IP nommée IPSecIPSec (IP Sécurisé ou IP Secured)
IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS)
page 48
Protocole IPSec (1)
IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatileclef volatile (mise à jour à intervalle régulier)
Cette clef est appelée clef de session
L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique
page 49
Protocole IPSec (2)
IPSec introduit deux nouveaux protocoles IP
AHAH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification
ESPESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur
IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKEIKE (Internet Key Exchange)
page 50
Protocole IPSec (3)
IPSec ajoute quelques fonctions intéressantes
Perfect Forward SecrecyPerfect Forward Secrecy
Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session
La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session
Back Traffic ProtectionBack Traffic Protection
Chaque clef de session est générée indépendamment des autres
La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir
page 51
Points délicats de la sécurité (1)
A quoi faire attention ?…
Interopérabilité des équipements
IPSec norme IETF
(http://www.ietf.org/html.charters/ipsec-charter.html)
Implémentation de la norme différente selon les équipementiers et éditeurs
Certains équipements refusent obstinément de communiquer ensemble
Amélioration progressive à prévoir
Translation d’adresse (NAT)
Les mécanismes de NAT réécrivent les paquets IP
La translation d’adresse casse l’authentification
Solutions
NAT et VPN IPSec sur le même équipement
Translation avant chiffrement
page 52
Points délicats de la sécurité (2)
A quoi faire attention ?…
Postes nomades
Quid en cas de vol d’un poste nomade ?
Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple identifiant/authentifiant
Envisager un mécanisme d’authentification forte
page 53
L’avenir de la sécurité VPN
La tendance est à l’implémentation native des fonctions IPSec dans les systèmes d’exploitation (ex. : Linux, Windows 2000, Windows XP, …)
IPv6 intégrera la sécurité de façon native
page 54
Concepts de Qualité de Service (1)
Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots
Mécanismes de priorisation
Règles de gestion de la congestion (politiques de files d’attente)
Mise en forme de trafic (lissage, shaping)
Au sein d’un réseau, les liaisons n’ayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS
page 55
Concepts de Qualité de Service (2)
L’architecture orientée QS se compose de trois méthodes d’implémentation :
Implémentation de bout-en-bout
Techniques d’identification et de marquage
Coordination de la QS entre deux équipements terminaux
Implémentation locale à un équipement
Mécanismes de files d’attente
Outils de lissage de trafic
Fonctions de contrôle et de gestion de la QS
Compteurs
Administration
page 56
Concepts de Qualité de Service (3)
page 57
Identification et marquage (1)
Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifiéidentifié
Listes d’accès
CAR (Committed Access Rate)
NBAR (Network-Based Application Recognition)
Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marquésmarqués ou non
Le processus d’identification/marquage est appelé classificationclassification
page 58
Identification et marquage (2)
Identification sans marquage : classification locale
L’équipement identifie des paquets appartenant à un flot
Il met en œuvre une politique locale
La classification « disparaît » et n’est pas transmise ou nœud suivant sur le chemin
Exemples :
Priority Queuing (PQ)
Custom Queuing (CQ)
Identification et marquage : classification globale
Les paquets sont marqués pour l’ensemble du chemin
Utilisation possible des bits de précédence IP
Exemple : DiffServ (Differentiated Service)
page 59
Implémentation locale de la QS (1)
Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés
Gestion de la congestion
Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ?
Stockage dans une file, plusieurs files
Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing)
Gestion des files d’attente
Les buffers étant de taille limitée, ils peuvent « déborder »
Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ?
Exemple : WRED (Weighted Random Early Detect)
page 60
Implémentation locale de la QS (2)
Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés
Efficacité des liens
Les liens à bas débits posent le problème du délai de transmission (sérialisation)
Exemple : un paquet de 1500 octets nécessite 214ms
Les petits paquets sont pénalisés
Solutions :
Fragmentation & entrelacement
Compression des en-têtes
Mise en forme du trafic
Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un lien bas-débit
Exemple : trafic retour backbone vers accès
Possibilité de « jeter » les trafics excessifs (CAR)
page 61
Mise en œuvre de la QS
La gestion de la QS sous-entend une méthodologie permettant d’évaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre :
1. Utilisation de sondes RMON
a.Caractérisation du trafic
b.Estimation des temps de réponse pour les applications critiques
2. Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques
3. Contrôle des effets de ces mécanismes
a.Outils d’administration
b.Tests de temps de réponse, de charge, etc.
page 62
Niveaux de QS (1)
Les niveauxniveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau d’un bout à l’autre
Service « Best Effort »
Aucune garantie de QS
Connectivité simple, pas de différentiation de flots
Files FIFO
Service différencié
Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible)
Garantie « statistique »
Classification + PQ, CQ, WFQ et WRED
Service garanti
Réservation absolue de ressources réseaux pour certains trafics
RSVP, CBWFQ
page 63
Niveaux de QS (2)
Best EffortBest Effort
GarantiGaranti
DifférenciéDifférencié
Best EffortBest Effort(IP, IPX, AppleTalk)(IP, IPX, AppleTalk)
Simple connectivité IP(Internet)
DifférenciéDifférencié(Class First,(Class First,
Business, Coach)Business, Coach)
Certains trafics sont plus importants
que les autres
GarantiGaranti(Bande passante,(Bande passante,
Délai, Gigue)Délai, Gigue)
Certaines applications requièrent des ressources
réseau spécifiques
page 64
Classification
Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués
IdentificationListes d’accès (ACL)
Identification pour priorisation locale (PQ, CQ, CBWFQ)
Pas de marquage des paquets
Affectation d’une précédence IP (champ TOS étendu) Routage stratégique (PBR : Policy-Based Routing)
Associé à une identification via ACL
Déploiement en périphérie du réseau (ou de la zone de routage)
Autres méthodes d’affectation de précédence CAR : marquage des paquets excédentaires
NBAR : identification fine (niveau 4 à 7) Exemple : niveau 4 HTTP
Exemple : niveau 7 URL http://www.iae-aix.com
page 65
PBR (Policy – Based Routing)
Le routage stratégique PBR permet…
… de classifier le trafic à partir de listes d’accès étendues
… de fixer les bits de précédence IP au sein des paquets identifiés
… de router ces paquets sur des chemins spécifiques
L’utilisation conjointe de PBR et des mécanismes de files d’attente permet de créer une différenciation des services
PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP.
page 66
CAR (Committed Access Rate)
La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant l’allocation nominale de bande passante
Élimination des paquets excédentaires
Marquage (bits de précédence) des paquets excédentaires
CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis d’un débit alloué
Utilisation du mécanisme de « leaky bucket » (jetons)
Similaire à l’algorithme de GCRA pour ATM (test du PCR)
ConformeConformePrec = 6
ExcédentaireExcédentairePrec = 2Bande
passante
Débitalloué
page 67
NBAR : Network – Based Application Recognition
NBAR effectue une identification dynamique des flots…
… à un niveau supérieur
Exemple : applications orientées Web (HTTP)
URL
MIME
Contrôle des dialogues fixant les ports dynamiques
… autorisant un marquage ultérieur plus fin
page 68
QS différenciée
Le marquage des paquets IP permettant d’appliquer des mécanismes de priorisation est réalisé à l’aide du champ Type Of Service (TOSTOS) de l’en-tête IPv4
3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau)
Extension à 6 bits (RFC 2475) pour DiffServDiffServ
Utilisation du champ « Priority » en IPv6
page 69
Gestion de la congestion (1)
En cas de congestion (surcharge d’un équipement ou d’un lien), les routeurs doivent stocker les paquets dans des buffers
Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files d’attente
Tri du trafic
Méthodes de priorisation
Les algorithmes les plus couramment utilisés sont :
FIFO (First-In, First-Out)
PQ (Priority Queuing)
CQ (Custom Queuing)
WFQ (Weighted Fair Queuing)
CBWFQ (Class – Based WFQ)
page 70
Gestion de la congestion (2)
FIFO
Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée lorsque la congestion disparaît
Algorithme par défaut
Aucune décision de priorité
Aucune protection contre les sources excessives
Lors du débordement, la perte s’effectue par la queue, sans distinction
inin outout
Priorité forte
Priorité moyenne
Priorité faible
perteperte
page 71
Gestion de la congestion (3)
PQ
Définition de niveaux de priorité
Chaque niveau de priorité se voit assigner une file de taille égale
Préemption totale des files prioritaires
inin outout
Priorité forte
Priorité moyenne
Priorité faible
perteperte Pas d’indication depriorité
page 72
Gestion de la congestion (4)
CQ
Classification du trafic
L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur aux différentes classes de trafic
Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin)
inin outout
Priorité forte
Priorité moyenne
Priorité faible
perteperte Pas d’indication depriorité
page 73
Gestion de la congestion (5)
WFQ
Définition de niveaux de priorité
Chaque niveau de priorité se voit assigner une file de taille égale
Le service est ordonnancé
La pondération (Weight) est directement calculée à partir de la valeur de précédence
Par défaut, sans priorisation, WFQ utilise le volume comme poids
inin outout
Priorité forte
Priorité moyenne
Priorité faible
perteperte
66
33
11
6/106/10
3/103/10
1/101/10
page 74
Gestion de la congestion (6)
CBWFQ
Définition de niveaux de priorité
Chaque niveau de priorité se voit assigner une file de taille égale
Le service est ordonnancé
La pondération est décidée par l’administrateur
Les poids sont calculés à partir de la part de bande passante allouée
inin outout
Priorité forte
Priorité moyenne
Priorité faible
perteperte
1024 kb/s1024 kb/s
768kb/s768kb/s
256 kb/s256 kb/s
2Mb/s2Mb/s
page 75
Gestion des files d’attente (1)
WRED
Principe
Dérivation de RED (Random Early Detect) avec application des précédences IP
Refuser des paquets entrants pour éviter la congestion et la perte
Objectifs
Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue »
Refus des paquets entrants en fonction de leur priorité
La décision de refus d’un paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file)
page 76
Gestion des files d’attente (2)
0
0,2
0,4
0,6
0,8
1
0 5 10 15 20 25
Taille de la file
Pro
bab
ilité
de
refu
s
Faible
Moyenne
Forte
WRED Exemple :
Capacité nominale de la file : 20 paquets Seuil pour les paquets de priorité forte : 20 Seuil pour les paquets de priorité moyenne : 15 Seuil pour les paquets de priorité faible : 10
page 77
Efficacité des liens (1)
Problèmes
Taille relative des paquets de données IP
Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP)
Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés
Taille absolue des paquets de données IP
L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue l’overheadoverhead
Les petits paquets ont une plus forte part d’overhead que les gros paquets
Exemples (TCP/UDP + IP = 40 octets minimum)
FTP : 1500 octets utiles ~ 2.6%
SQL : 256 octets utiles ~ 13.5%
VoIP : 20 octets utiles ~ 66.7%
page 78
Efficacité des liens (2)
LFI (Link Fragmentation & Interleaving)
Fragmentation des grands datagrammes (« jumbogrammes »)
Entrelacement des fragments et des petits datagrammes
Normalisation IETF en cours
Fondée sur l’utilisation de PPP sur les liens bas-débits
MCML (MultiClass extensions to Multilink PPP)
inin outout
Grands datagrammes
Petits datagrammes
Fragments
WFQWFQ(Entrelacement)(Entrelacement)
FragmentationFragmentation
page 79
Efficacité des liens (3)
Compression des en-têtes
Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-à-point
Paquets RTP/UDP/IP
40 octets d’en-tête (20 IP, 8 UDP, 12 RTP)
Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo)
Paquets TCP/IP
40 octets d’en-tête (20 IP, 20 TCP)
Typiquement 500 à 1500 octets d’informations (FTP, e-mail, etc.)
Compression des en-têtes
Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)
page 80
Efficacité des liens (4)
Compression des en-têtes
Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)
Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le routage
En-tête compressé : 2 à 5 octets
Diminution de l’overhead
Diminution du temps de sérialisation (insertion sur le support, transmission)
Exemples de gains sur un lien à 64 kb/s ~ 4.5 ms
FTP : réduction de 2.3%
SQL : réduction de 11.8%
VoIP : réduction de 58.3%
page 81
Mise en œuvre de la QS
ClassificationClassification
Gestion de la congestionGestion de la congestion(files d’attente)(files d’attente)
Efficacité des Efficacité des liensliens
AdministrationAdministrationComptabilisationComptabilisation
page 82
Interconnexion de réseaux
Objectifs
Connaître les différentes technologies des réseaux d'entreprise
Comprendre avantage & inconvénients des solutions du marché
Plan
Solutions de réseaux d’accès
Solutions de réseaux fédérateurs
Notions de réseaux privés virtuels
Réseaux de mobilesRéseaux de mobilesRéseaux de mobiles
page 83
Boucle locale IP
page 84
Mobilité & débit
page 85
Spectre radio
page 86
Réseau ad hoc
page 87
WPAN & WLAN
Complexité
page 88
Bluetooth
Technologie pour remplacer les câbles
Débit inférieur à 1Mb/s
Une dizaine de mètres
Faible puissance
Coût très bas
page 89
Piconet
Piconet de 8 utilisateurs
– 1 maître et 7 esclaves (technique de polling)
Débit 433,9 Kbit/s dans une communication
full duplex
723,2 Kbit/s et 57,6 dans l’autre sens dans une communication déséquilibrée
64 Kbit/s en synchrone
page 90
Scatternet
page 91
Format du paquet Bluetooth
Code d’accès
Synchronisation.
Identification.
En-tête
AM-ADDR: MAC-address
Type: payload type
Flow: flow control
ARQ: fast retransmit
HEC
page 92
IEEE 802.11 (1)
Réseau d'infrastructure
page 93
IEEE 802.11 (2)
Réseau en mode ad hoc
page 94
Équipements : carte 802.11
page 95
Équipements : cartes Wi-Fi
Prix
Carte Wi-Fi au format compact flash : 170 €
Carte Wi-Fi pour Palm : 150 €
Carte Wi-Fi pour Visor : 150 €
page 96
Wi-Fi embarqué
D’ici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués
A partir de 2003, les PDA seront équipés de Wi-Fi embarqués
page 97
Équipements : points d'accès
page 98
Équipements : antennes
page 99
Architecture détaillée
page 100
Réglementation française
A l’intérieur des bâtiments Aucune demande d’autorisation
Dans 38 départements : Bande 2,400 – 2,4835 GHz, puissance 100 mW
Dans les autres départements Bande 2,4465 – 2,4835 GHz, puissance 100 mW
Bande 2,400 – 2,4835 GHz, puissance 10 mW
A l’extérieur des bâtiments (Hotspots) Dans 38 départements :
Bande 2,400 – 2,454 GHz, puissance 100 mW
Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation)
Dans les autres départements Bande 2,400 – 2,4465 GHz : impossible
Bande 2,4465 – 2,4835 GHz, puissance 100 mW
page 101
Sécurité dans le Wi-Fi
Accès au réseau
Service Set ID (SSID) : équivalent au nom de réseau
Access Control List (ACL) : basé sur les adresses MAC
Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4
Nouvelle sécurité: TKIP, 802.1x et carte à puce
page 102
La mobilité (1)
page 103
La mobilité (2)
page 104
Mobilité IP
Objectifs
1. Un mobile doit être capable de communiquer avec d’autres machines après avoir changé son point d’attachement sur l’Internet
2. Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur l’Internet
3. Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP
4. Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet
page 105
Mobilité IPv4
RFC 2002
Mobile NodeMobile Node : Nœud IPv4 qui peut changer de points d’attachement sur l’Internet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale)
Home AgentHome Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère)
Foreign AgentForeign Agent : Routeur IPv4 situé dans le réseau visité par le mobile
page 106
Scénario simplifié
![Architecture VoLTE/IMS · 2014. 2. 21. · Architecture VoLTE/IMS [SE17] Participants Architectes réseaux, Ingénierie réseaux, R&D. PA1 PA3 AC8 AC11 AC12 AC13 AC14 CO8 CO9 SE1](https://static.fdocuments.fr/doc/165x107/6128b13f0ea3ba2f6a0fd605/architecture-volte-2014-2-21-architecture-volteims-se17-participants-architectes.jpg?t=1701387026)
