1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)
-
Upload
raymonde-fort -
Category
Documents
-
view
105 -
download
0
Transcript of 1 SIIEE :Architectures, réseaux et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)
1
SIIEE :Architectures, réseaux et sécurité dans l’EPLE
EOLE (Ensemble Ouvert Libre Evolutif)
2
Remerciements à
• P. Danel - directeur du CRDP d’auvergne - CTICE de l’académie de clermont-Fd.
• D. Busson - directeur du Centre Informatique Académique de Clermont-Fd.
• L. Bourdot - Chef de projet EOLE - CTIAD de Dijon.
• M.Affre - Chef du bureau DA A3. Ministère de l’Education Nationale.
• Pour leur soutien et leur confiance.
• F. Alcaraz - Conseil Régional d’Auvergne
• et le groupe technique “resauv” chargé de la mise en place du réseau régional d’Auvergne (coopération enseignement supérieur , santé, recherche, enseignement secondaire …)
• Pour le partenariat qu’ils ont contribué à instaurer.
• Les auteurs : AM Bondi- responsable informatique CRDP d’auvergne - DATICE G Chaideyrou - responsable équipe réseaux - CIA Clermont-Fd
3
SIIEE :Architectures, réseaux et sécurité dans l’EPLE
EOLE (Ensemble Ouvert Libre Evolutif)
Textes de références :
- lettre conjointe DA / DT adressée aux recteurs le 5 Avril 2002 : “SIIEE”- comprenant une annexe “recommendations en terme de sécurité - SIIEE”- comprenant une note de cadrage “SIIEE”.
la présentation suivante s’appuie sur ces textes, et utilise EOLE (AMON) à titre d’exemple.
4
préambule
• Le contexte en EPLE:• critères “ethniques” : diverses communautés.
• Critères “topologiques” : contraintes géographiques.
• Les “réticences”:sécuriser = “empécher de travailler ?” = “espionner ?” = “niveller ?” attitudes “nombrilistes” , syndrome de la “bonbonnière” , syndrome du “mécanicien” …
• Le résultat attendu: un extranet EPLE qui :• réponde à tous les besoins … et prévoit l’imprévisible !!!
5
EOLE : préambule
Module AMON : pare-feu.Module AMON : pare-feu.
* Module VPN (chiffrement)* Module messagerie* ...
Cette présentation concerne principalement le module AMON (… et VPN…)
EOLE est un concept organisé autour de “modules”:
6
Plan de la présentation
• EPLE: l’existant.
• Politique de sécurité / zones de confiance.
• Architecture EOLE (AMON).
• principes de migration.
• Les règles de communication inter-zones.
• EOLE : l’approche technique - adresses.
• Bilan provisoire / discussion
7
EPLE : l’existant.
8
10.xx.yy.0(24/8)
10.xx.1yy.0(24/8)
Réseauxpédagogiques
Réseauadministratif
Fournisseurd’accèsInternet
Réseau régional?
Problèmatique :
¤ Migration vers des nouvelles technologies (BLR, ADSL, RR ...). Evolutions en respectant l’existant
¤ garantir la sécurité de l’EPLE
¤ aider au respect de la loi pour la
protection des mineurs ¤ rendre un meilleur service(optimisation BP, mutualisation …)
Réseauacadémique
Numeris 1 Numeris 2
Mais devant:
9
Qu’apporte EOLE (AMON) ?
• Intégrer de nouvelles solutions (BLR, ADSL, RR ...)
• garantir la sécurité de l’EPLE - responsabilités
juridiques ?• rendre un meilleur service
(optimisation BP, mutualisation …)
• respect de l’existant
• Banaliser la méthode de raccordement de l’EPLE vers l’exterieur.
• Pare-feu , logiciels de protection des mineurs …
• services réseaux cache (DNS, proxy FTP, HTTP …)
• intégration sur mesure
10
EOLE (pare-feu AMON)
Une approche de la sécurité de l’EPLE par définition de zones de
confiance
11
EOLE : zones et niveaux de sécurité“la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres.
“la cour” : lieu protégé de la rue, c ’est un lieu de partage et d’échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non.
“Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité.Dans chaque maison, on se sent en sécurité.
12
EOLE : zones et niveaux de sécurité
“la cour”“maison”
ADM
“la rue”
“maison”PEDAGOGIUE
Autre “maison”
“la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres.
“la cour” : lieu protégé de la rue, c ’est un lieu de passage, partage et échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non.
“Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité.Dans chaque maison, on se sent en sécurité.
Eole est le garant de l’application de cette “POLITIQUE de SECURITE conformement aux “recommendations en terme de sécurité - SIIEE” du 5 Avril 2002
13
EOLE : zones et niveaux de sécurité
“la cour”“maison”
ADM
“la rue”
“maison”PEDAGOGIUE
Autre “maison”
Mettre en place des zones et niveaux de sécurité n’a pas pour but d’empecher le dialogue entre des partenaires.
Mais au contraire, de permettre à des partenaires dedialoguer en toute confiance.
14
EOLE : un concept évolutif
• une réponse homogène pour l’académie qui répond aux besoins d’aujourd’hui.
• un concept générique, mais qui sait s’adapter aux cas particulier
• Une architecture qui peut s’étendre par adjonction de nouveaux boitiers EOLE
15
1 EOLE ou 2 EOLEs ?
“La cour”
“maison”ADM
L’administration,l’intendance ...
“maison”PEDAGOGIQUE
Les salles de classe
“La rue”
RéseauADM
Réseau(x) pédagogique(s)
“maison”Greta
ou autres reseaux
“maison”greta
ADM
Visible par l’Education Nationale
Visible uniquement dans l’établissement
Visible du mode entier
16
1 EOLE ou 2 EOLEs ?
Par adjonction de nouveaux EOLE , on traite propementla cohabition d’un établissement avec :
- l’eventuel GRETA hebergé … et éclaté entre etablissements.- l’eventuel réseau d’un IEN localisé dans l’etablissement...- l’eventuelle présence d’un CDDP …- l’eventuelle présence d’un reseau issu du projet d’une collectivité- un établissement “éclaté” sur plusieurs sites.
17
EOLE (pare-feu AMON)
Approche par les flux de communication:
Quelles sont les règles de passage d’une zone à l’autre ?
18
1 etablissement “éclaté”
“La cour”
“maison”ADM
L’administration,...
“maison”PEDAGOGIQUE
Les salles de classe
“La rue”
RéseauADM
Réseau(x) pédagogique(s)
“maison”PEDAGOGIQUE
“maison”ADM
autre batiment
ADM
Visible par l’Education Nationale
Visible uniquement dans l’établissement
Visible du mode entier
Communication chiffrée
19
Ou bien :
“La cour”
“maison”ADM
L’administration,...
“maison”PEDAGOGIQUE
Les salles de classe
“La rue”
RéseauADM
Réseau(x) pédagogique(s)
“maison”PEDAGOGIQUE
“maison”ADM
autre batiment
ADM
Visible par l’Education Nationale
Visible uniquement dans l’établissement
Visible du mode entier “La rue”
“La cour”
+ chiffrement éventuel(voir AGRIATES)
20
Où installer EOLE ?
- Dans un local sûr, au point d’interconnexion de tous les réseaux
de l’etablissement.
- Dans une armoire informatique
- avec une alimentation secourue.
21
EOLE (pare-feu AMON)
Comment passer de la situation actuelle
à
l’architecture EOLE ?
22
10.xx.yy.0(24/8)
10.xx.1yy.0(24/8)
Réseauxpédagogiques
Réseauadministratif
Fournisseurd’accèsInternet
Réseau régional?
Réseauacadémique
Numeris 1 Numeris 2
Avant EOLE
Site partagé avec :
GRETA ?
IEN ?
CIO ?
CDDP ?
Projets de Collectivités ?
23
“La rue”Zone d’accueil(non sécurisée)
“la cour”
Zone de partageet d’échangesécurisée
EOLE
“Maison”autres réseaux
Autres réseauxpédagogiques(greta, collectivité…)
“maison”greta
“Maison”ADM
“Maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional?
Réseauxpédagogiques
Réseauadministratif
Après EOLE
24
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional?
“la cour”
“la rue”
EOLE
“maison”Autres réseaux
“maison”greta
Teleac ,GEP ,etc …
Web etablissement (adm + pédagogie),BCDI, RLR , messageries , serveurs FTP,etc ...
Micros élèves et enseignants,serveurs de fichiers, authentification et droitsd’accès, etc ...
Après EOLE
25
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour”
“la rue”
Depuis réseaux Pedago
AccesInternet
Acces sitesdisciplinaires
Acces BCDI, RLR, webserveur antivirus généralisé, etc ...
26
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour”
“la rue”
Depuis réseau Adm
Acces Internet,courrier,teleac,etc ...
Acces BCDI, RLR, web etc ...
27
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour
“la rue”
Depuis zone de partage“la cour”
Pas de “remontée” = protection des utilisateurs
28
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“La cour”
“la rue”Depuis l’exterieur
Acces tres reglementé.Telemaintenances ...
Acces reglementé.Professeurs depuis l’exterieurconsultations depuis l’exterieur
Pas de “remontée” = protection des utilisateurs
29
EOLE: Que fait-il ?
- garant de l’application d’une politique de sécurité.
(Qui peut faire quoi ? Comment?)
- garant des chemins empruntés par une communication.
(données confidentielles / données publiques)
-> tout en optimisant les coûts
30
EOLE: Que fait-il ?
Exemple (très simplifié ) de décisions prises par EOLE.
- le cas d’un “proxy”
31
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseur d’accès
Internet 2
“La cour”
“la rue”
ques
tion
N’aurais-je pas déjà répondu à la même question ?
(syndrome de Rantanplan )
OUI ! Je sais !(c’est lucky luke !)
réponse
Que dit la politique de sécurité ?Si c’est autorisé, je traite.
Sinon, je préviens que c’est pas autorisé.
32
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Fournisseur d’accès
Internet 2
“La cour”
“la rue”
ques
tion
N’aurais-je pas déjà répondu à la même question ?
(syndrome de Rantanplan)
NON !Tant pis, je ferai mieux
la prochaine fois
33
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
ques
tion
A qui vais-je poser la question ?
Ça s’adresse à un autre établissement
ques
tion
34
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
ques
tion
A qui vais-je poser la question ?
Ça s’adresse à un serveur sur Internet
ques
tion
35
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
ques
tion
A qui vais-je poser la question ?
Ça mérite une certaine confidentialité
(par exemple : mail)
ques
tion
36
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
ques
tion
ques
tion
ré po n se
OK, merci. Je le note. Comme ça, je saurai répondre
si quelqu’un me pose à nouveau cette question.
EOLE a une mémoire d’éléphant !
réponseTiens ! Voilà ce que
tu as demandé
si 10 élèves demandent la même page,Eole n’ira la chercher qu’une seule fois.
37
EOLE: stratégie pour un réseau régional
Exemple de situation actuelle :- 1 réseau type privatif- 1 réseau “provider”
Exemple de situation cible:
- 1 réseau régional
38
Exemple:- un mail entre le chef d’etablissementet le rectorat, citant un nom d’élève mineur.- Un fichier type GEP- acces à une ressource d’un autre EPLE
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
“la cour”
“la rue”
Exemple:- consultation web SNCF- acces forum publicetc …
Données “grand public”.Accès Internet.
Données “sensibles”Accès Extranet EN
39
“maison”ADM
“maison”PEDAGOGIQUE
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour”
“la rue”
Données “grand public”.Accès Internet.
Données “sensibles”Accès Extranet EN
“tuyau” chiffré entre lespartenaires E.N.
40
“maison”ADM
“maison”PEDAGOGIQUE
Réseau régional
“la cour”
“la rue”
Données “grand public”.Accès Internet.
Données “sensibles”Accès Extranet EN
“tuyau” chiffré entre lespartenaires E.N.
41
EOLE (pare-feu AMON)
Approche technique :
les zones d’adresses
-
les translations d’adresses
-
l’adressage IP
42
Zone ExtranetE.N.(adresses privéesRFC 1918 nationales)
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
greta
Zonepédagogique(adressesprivées locales EPLE)
Zone Internet
TranslationPAT
TranslationNAT
ouPAT
43
Zone ExtranetE.N.(adresses privéesRFC 1918 nationales)
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional(MPLS / VPN)
greta
Zonepédagogique(adressesprivées locales EPLE)
Zone Internet
TranslationPAT
TranslationNAT
ouPAT
Autre alternative
44
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
greta
Zone Internet
TranslationPAT
TranslationNAT
ouPAT
Adresses IPpubliques(uniques)
Adresses IPvisibles nationalement:
2 EPLE différents =
2 zones d’adresses différentes.
Adresses IPlocales:
identiques dans
tous les EPLE
45
EOLE (pare-feu AMON)
Proposition d’adressage IP:
chaque académie est propriétaire des adresses
10.N°dep.x.0
10.100+N°dep.x.0chaque académie peut découper cet espace au
mieux de ses intérêts.Pour les plus grosses académies, si cet espace ne suffit
vraiment pas, une “rallonge” peut etre accordée.
192.168.220.0 à 192.168.239.0 est libre pour les établissements.
46
EOLE (pare-feu AMON)
Chaque académie est libre du découpage optimal de ces adresses.
Exemples d’affectation d’adresses :
- pour des EPLE
(politique “généreuse” / “économe”)
47
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
greta
Zone Internet
TranslationPAT
TranslationNAT
ouPAT
Adresses IPpubliques(uniques)
Adresses IPvisibles nationalement:
2 EPLE différents =
2 zones d’adresses différentes.
Adresses IPlocales:
identiques dans
tous les EPLE
48
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régionalZone Internet
TranslationPAT
TranslationNAT
ouPAT
ADM10.xx.yy.0
(25/7)126 “la cour”
10.1xx.yy.0(25/7)
126
246 (251 …)
“la rue”10.1xx.yy.192
(26/6)
250245 247 (248,249)
( + 192.168.220.0à192.168.223.0 )
192.168.224.0à
192.168.231.0(21/11)
231.
246
Greta10.xx.yy.128
(28/4)143
192.168.232.0à
192.168.239.0
239.246
Réserve: (non affectée)
de 10.1xx.yy.128 à 191 : 64 @de 10.xx.yy.144 à 255 : 112 @
Etablissementscolaire(politique généreuse)
49
Réserve: (non affectée)
de 10.1xx.yy.128 à 191 : 64 @de 10.xx.yy.144 à 255 : 112 @
“maison”ADM
10.xx.yy.0(25/7)
“maison” PEDAGOGIQUE
192.168.224.0à
192.168.231.0(21/11)
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour”10.1xx.yy.0
(25/7)
“la rue”10.1xx.yy.192
(26/6)
Autre “maison”
192.168.232.0à
192.168.239.0
Greta10.xx.yy.128
(28/4)
Zone Internet
TranslationPAT
TranslationNAT
ouPAT
( + 192.168.220.0à192.168.223.0 )
128 @16 @
64 @
128 @
2048 @512 @
Env 1700 @
Etablissementscolaire(politique généreuse512 @)
50
Réserve: (non affectée)
de 10.xx.yy.160 à 255 : 96 @
“maison”ADM
10.xx.yy.0(26/6)
“maison” PEDAGOGIQUE
192.168.224.0à
192.168.231.0(21/11)
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour”10.xx.yy.64
(26/6)
“la rue”10.xx.yy.128
(28/4)
Autre “maison”
192.168.232.0à
192.168.239.0
Greta10.xx.yy.144
(28/4)
Zone Internet
TranslationPAT
TranslationNAT
ouPAT
( + 192.168.220.0à192.168.223.0 )
64 @16 @
16 @
64 @
2048 @512 @
Env 1700 @
Etablissementscolaire(politique restrictive256 @)
51
EOLE : adresses de la “rue”
2 cas de figure :
- l’académie possède des adresses publiques pour ses EPLE -> OK
- l’académie n’utilise pas d’adresses publiques pour ses EPLE. -> 10.x.y.z
52
EOLE : l’insécurité dans la “rue” ;-)
Attention : notre responsabilité peut être engagée dans la rue !!!
=> appliquer des règles strictes sur tous les équipements de la rue :
- seul interlocuteur physique: les passerelles EOLE (AMON).
- pas de rebond possible.
- pas d’altération des tables de routage possible.
53
EOLE : l’insécurité dans la “rue” ;-)
=> nécessité d’écrire (nationalement?) les règles à
respecter par tout équipement de FAI intégré à la “rue”.
=> nécessité d’imposer la “politique de sécurité E.N. de la rue” à tous les
FAI d’un EPLE
54
EOLE (pare-feu AMON)
Exemples d’affectation d’adresses :
- pour des petits sites (IEN)en travail administratif uniquement.
55
EOLE (pare-feu AMON)
prévoir 16 (ou 32 ?) adresses 10.x.y.z partagées en deux : la rue + maison
administrative.
EOLE obligatoire pour la confidentialité !!!
56
“maison”ADM
10.xx.yy.zz(29/3)
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la rue”10.1xx.yy.zz
(29/3)
Zone Internet
TranslationNAT
ouPAT
8 @
8 @
IEN
57
EOLE (pare-feu AMON)
Exemples d’affectation d’adresses :
- pour des petits sites (CIO)en travail administratif + accueil de
public.
58
“maison”ADM
10.xx.yy.zz(29/3)
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la rue”10.1xx.yy.zz
(29/3)
Zone Internet
TranslationNAT
ouPAT
8 @
8 @
CIO
public192.168.224.0
à192.168.231.0
(21/11)
2048 @
TranslationPAT
59
EOLE (pare-feu AMON)
Exemples d’affectation d’adresses :
- un EPLE + un CDDP
sur le même site géographique.
60
2 EOLEs (AMON)
“La cour”
“maison”ADM
L’administration,l’intendance ...
“maison”PEDAGOGIQUE
Les salles de classe
“La rue”
RéseauADM
Réseau(x) pédagogique(s)
“maison”CDDP
pedagogique
“maison”CDDPadmin.
Visible par l’Education Nationale
Visible uniquement dans l’établissement
Visible du mode entier
61
2 EOLEs (AMON)
10.1xx.yy.0(25/7)
10.xx.yy.0(25/7)
192.168.224.0à
192.168.231.0
10.1xx.yy.192(26/6)
RéseauADM
Réseau(x) pédagogique(s)
192.168.224.0à
192.168.231.0
10.xx.yy.128(27/5)
Visible par l’Education Nationale
Visible uniquement dans l’établissement
Visible du mode entier
CDDP
62
EOLE : souplesse de l’adressage
S’adapte aux particularités du site:
- contraintes géographiques.
- cohabitation EPLE / IEN /CIO /CDDP...
- habitudes de travail de l’EPLE.
(voir exemples d’organisations des zones pédagogiques)
63
EOLE : souplesse de l’adressage
En résumé:- les pages precedentes donnent un exemple
d’organisation par zone.
- d’autres découpages pourraient être viables (exemple : “apprenants” , “enseignants”, “encadrement”
“partenaires”).
-mais tous doivent s’accorder sur un point:
10.x.y.0 et 10.100+x.y.0 sont propres à un site.
192.168.220.0 à 239.0 sont libres pour l’etablissement.
64
Organisation de zones pédagogiques
• l’architecture type.
• une variante plus élaborée.
• Une organisation calquant l’existant.
• le cas particulier de SLIS
65
“maison”ADM
“maison”PEDAGOGIQUE
“la cour”
“la rue”
Le réseau pédagogique forme un ensemble :
192.168.224.0 : enseignement tertiaire192.168.225.0 : enseignement général192.168.226.0 : enseignement techniqueServeurs
(authentification, logiciels et espaces de travail)
IACA, etc ... Stations de travail enseignants, elèves
l’architecture type.
66
“maison”ADM
“maison”PEDAGOGIQUE
“la cour publique”
“la rue”
Serveurs (authentification, logiciels et espaces de travail)
IACA, etc ... Stations de travail enseignants, elèves
Une variante plus élaborée.
“la cour privée”
Visible de la rue
Exemple: serveurde saisie des notes,absences,
Visible par l’administration et la pédagogie.
Ex: serveurde consultationde notes,absences
67
tertiaire
Une architecture calquantl’existant
général
...
“réseau partagéeacces à Internet”
INTERNET
“maison”ADM
68
“maison”ADM
tertiaire
cour publique
“la rue”Une architecture calquantl’existant
général
...
“réseau partagéeacces à Internet”
Devient une “cour privée”
69
Le cas particulier de SLIS / SLAES ...
• Certaines fonctions de SLIS font double emploi avec celles d’EOLE.-> éviter de faire 2 fois la même chose par le même type de moyen.
• Par nature, SLIS gère un plan d’adresses qui lui est propre.-> SLIS et EOLE vont “co-exister” plutot que “cohabiter”
70
“maison”ADM
“maison”PEDAGOGIQUE
eventuelle
Réseauacadémique
Fournisseurd’accèsInternet
Réseau régional
“la cour”
“la rue”
AccesInternet
Le monde PEDAGOGIQUE
selon SLIS
SLIS
Responsabilité académique(politique nationale / académique / locale de sécurité )
Responsabilité établissement
71
Le cas particulier de SLIS / SLAES ...
• Le transparent précédent présente une architecture cible vers laquelle il faut tendre si l’objectif est d’obtenir un extranet établissement.
• Pour les académies largement utilisatrices de SLIS, rien ne presse réellement.
72
EOLE (pare-feu AMON)
Approche technique :
-
EOLE et la QoS IP
73
“maison”ADM
“maison”PEDAGOGIQUE
Réseau régional
“la cour”
“la rue” Données “grand public”.Accès Internet.
Données “sensibles”Accès Extranet EN
“tuyau” chiffré entre lespartenaires E.N.
74
Internet
Réseau régional
“la rue”
Données “grand public”.Accès Internet.
Données “sensibles”Accès Extranet EN
Applications de gestion EN
Voix / vidéo
Télé-assistance
Conditions de traficQualité de Services
75
EOLE et la QoS.
4 approches classiques possibles :
1° Policy Based Routing
2° “IntServ”
3° “Diffserv”
4°Approche hybride
76
EOLE: QoS PBR.
on définie une architecture de réseau telle qu’il soit possible d’agir sur les
conditions de traffic par altération des décisions de routage:
analyse basée sur @IP S, @IP D, n° ports.
“ip policy” en terminologie CISCO
77
EOLE: QoS PBR.
Pour aller vers un destinataire, il existe plusieurs routes disponible.Chaque route offre une qualité de
service différente.
78
Réseau régional avec QoS
TranslationPAT
ADM10.xx.yy.0
(25/7)
“la cour”10.1xx.yy.0
(25/7)
“la rue”10.1xx.yy.192
(26/6)
( + 192.168.220.0à192.168.223.0 )
192.168.224.0à
192.168.231.0(21/11)
Greta10.1xx.yy.128
(28/4)
192.168.232.0à
192.168.239.0
Exemple d’une politique PBRSi source = administratifalors suivre chemin x
Si source = pédagogiealors suivre chemin y
Si type trafic = webalors suivre chemin z
Si type trafic = téléphoniealors suivre chemin w
Si type trafic = télé-mntalors suivre chemin t
79
Réseau régional avec QoS
TranslationPAT
ADM10.xx.yy.0
(25/7)
“la cour”10.1xx.yy.0
(25/7)
“la rue”10.1xx.yy.192
(26/6)
( + 192.168.220.0à192.168.223.0 )
192.168.224.0à
192.168.231.0(21/11)
Greta10.1xx.yy.128
(28/4)
192.168.232.0à
192.168.239.0
Autre approche PBR
Si type trafic = crypté alors suivre chemin x
Si type trafic = non cryptéalors suivre chemin y
80
EOLE: QoS PBR: les avantages
- “relativement” simple.
- utilisable en général même sur des équipements d’entrée de gamme.
- a le mérite d’exister ! Seule solution sur un réseau n‘offrant pas de QoS
native.
- rien à prévoir dans EOLE, sauf le routage !!!
81
EOLE: QoS PBR: les limites
- programmation réalisée par l’équipement d’accès au réseau.
- pas de souplesse.
- peu évolutif.- possibilités limitées.
- résultats “approximatifs”.
82
EOLE: QoS “intserv”
approche flux par flux (RSVP) par reservation de ressources.
c’est à dire que l’utilisateur voit le réseau comme un fournisseur de ressources, et que la charge de la
réservation lui revient.
Possibililité de signalisation.
83
EOLE: QoS “intserv”
avis personnel :
-> assez mal adapté à EOLE.
84
EOLE: QoS “diffserv”(rfc2475)
Approche par le réseau : On classifie les flux, le réseau reconnaît chaque
flux comme appartenant à une classe et il provisionne en conséquence.
La gestion est locale , nœud par nœud.
-> visions propriétaires, + difficultés pour l’exhaustivité.
85
Réseau régional avec QoS
TranslationPAT
ADM10.xx.yy.0
(25/7)
“la cour”10.1xx.yy.0
(25/7)
“la rue”10.1xx.yy.192
(26/6)
( + 192.168.220.0à192.168.223.0 )
192.168.224.0à
192.168.231.0(21/11)
Greta10.1xx.yy.128
(28/4)
192.168.232.0à
192.168.239.0
Approche “diffserv” Entente préalable avec le fournisseur du RR
pour la définition de classes de serviceClasses traditionnelles:
“premium”“Gold”“Silver”“Bronze”
EOLE analyse le trafic et le place dansla bonne classe.
86
Diffserv : classes
Agit selon le Marquage du champ DSCP (ex TOS IPV4)
87
Diffserv : notions de SLA/TCA
Client Réseau Diffserv
Négociation et agrément d’un SLA / TCA
TCA : Traffic Conditioning Agreement : définit comment le trafic du client sera traité par Diffserv. (marquage, “shaping”, …) SLA : Service Level Agrement : contrat entre client et fournisseurqui spécifie le type de service que l’utilisateur DEVRAIT se voiroffrir . Un SLA peut contenir des règles définies dans un TCA.
88
DiffServ : architecture
clientproviderEOLE
Equipementdu fournisseur
Service Level Agrement
1) identifier et marquer les flux
2) adapter le trafic au contrat
3) vérifier le trafic + provisionner+ agréger les trafics
4) “Per Hop Behavior”
5) reformaterle flux selon le contrat
89
DiffServ : les classes
EF PHB (Expedit Forwarding - Per Hop Behavior)
RFC 2598
- prévu pour le trafic “temps réel”
- DSCP : 101110
-définie une bande passante maximum limitée, en controlant la latence, la gigue et les pertes , tout en évitant d’affamer les autres classes.
90
DiffServ : les classesAF PHB (Assured Forwarding - Per Hop Behavior)RFC 2597- 4 classes de services (AF1,AF2,AF3,AF4)- DSCP : AF1 : 001dd0AF2 : 010dd0AF3 : 011dd0AF4 : 100dd0
dd : 01 taux de perte accepté faibledd : 10 taux de perte accepté moyendd : 11 fort taux de perte accepté
91
EOLE: “Diffserv”: les avantages
- Très souple.- très évolutif.
- Eole participe activement à la QoS.
- semble être l’approche d’avenir.
92
EOLE: “Diffserv”: inconvénients
- négociation complexe avec le fournisseur (SLA - TCA)
- gestion du champ DSCP à prévoir dans EOLE.
93
EOLE: approche hybride de la QoS
- consiste à mélanger les 3 autres approches.
-> avis personnel : assez mal adapté à EOLE .
94
EOLE (pare-feu AMON)
Approche technique :
-
EOLE et VPN
95
EOLE et VPN
2 objectifs majeurs:
-
- offrir une continuité d’adressage à l’EN par application du RFC 1918.
- garantir la confidentialité des échanges
96
Qu’apporte le VPN à EOLE ?
• Permet des connexions point à point entre 2 EPLE de France (“extranet EN” permettant à un EPLE de consulter en toute sécurité des données situées dans un autre EPLE)
• permet d’assurer la confidentialité des échanges (et l’authentification)
• Transport d’un plan d’adresses client “au dessus d”un réseau public où d’un réseau construit sur un autre plan d’adresses.
• Par chiffrement des informations transmises.
97
“maison”ADM
“maison”PEDAGOGIQUE
Réseau régional
“la cour”
“la rue” Données “grand public”.Accès Internet.
Données “sensibles”Accès Extranet EN
“tuyau” chiffré entre lespartenaires E.N.
98
Pré-requis pour construire unréseau VPN : 1
Un plan d’adresses unique et cohérent !!!
Il a été élaboré des 1997 , et doit être accepté partout avant de pouvoir créer un réseau VPN entre EPLE
(projet AGRIATES)
99
Pré-requis pour construire unréseau VPN : 2
Le respect de la législation française et communautaire:
www.scssi.gouv.fr/fr/
c’est le cas pour RACINE.
C’est à faire pour AGRIATES.
100
Les réseaux VPN de l’education nationale
RACINE : relie depuis Mars 2001 les académies et sites centraux.
AGRIATES : basé sur EOLE, reliera les EPLE et l’académie.
AGRIATES + RACINE = réponse globale de l’Education Nationale
101
Réseau d’Accès et de Consolidation des INtranets de l’Education
AGRIATES
AGRIATES
AGRIATES
AGRIATESAGRIATES
Inter-operabilité confidentialité
Sécurité
PKI RACINE
+
PKI AGRIATES
102
EOLE : résumé
Le modèle théorique proposé :
- nous garantit l’indépendance vis à vis des FAI (RENATER y compris)
- nous garantit l’inter-opérabilité. (RACINE - AGRIATES)
- nous garantit l’évolutivité.
103
EOLE : résumé des résumés !
Sans un plan d’adresse unique et cohérent sur l’ensemble de l’E.N. ,
tout ceci devient caduc.
Ce plan était déjà officieusement employé par certaines académies.
=> nous devons donc l’enteriner pour continuer.
104“Donnez-moi un bon plan d’adresses, et j’interconnecterai le monde …”
EOLE : résumé des résumés !
105
EOLE : et les écoles ?
Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE.
- l’architecture décrite pour les EPLE reste pertinente (rue,cour, maisons)
- mais il ne sera pas possible de créer un “extranet” des écoles via VPN
106
EOLE : et les écoles ?
RACINE : un VPN pour tous les rectorats : COURAGEUX !!!
AGRIATES: un VPN pour tous les EPLE :TEMERAIRE !!!
XXXXX: un VPN pour toutes les écoles :SUICIDAIRE !!!
107
EOLE : et les écoles ?
Seul un VPN réduit à quelques écoles (une circonscription) pourrait être
techniquement envisageable.
Avec beaucoup de moyens !!!
108
EOLE : et si ça “coince” ?
Le plan d’adresses IP V4 (32 bits) n’est certes pas inépuisable.
Mais seule la téléphonie IP pourra vraisemblablement l’épuiser.
… et certainement nous contraindre à passer à IP V6 (128 bits) .
… un jour ...
109
exemples de migration vers EOLE
• EPLE connecté à l’intranet académique
• EPLE connecté à l’intranet académique + un fournisseur d’acces privé.
• EPLE “hétérogène” : plusieurs connexions vers des fournisseurs privés.
110
10.xx.yy.0(24/8)
10.1xx.yy.0(24/8)
Réseauxpédagogiques
Réseauadministratif
Avant EOLE Réseau
académique
Numeris 1 Numeris 2
Hypothèse 1:
Connexion adm via réseau académiqueConnexion ped via réseau académique
Fournisseurd’accèsInternet
+ eventuellement connexion via un provider
111
10.xx.yy.0(24/8)
Réseauxpédagogiques
Réseauadministratif
Réseauacadémique
Numeris 1 Numeris 2
Avec EOLE
“la rue”10.1xx.yy.192
(26/6)
“maison” PEDAGOGIQUE
192.168.224.0à
192.168.231.0(21/11)
Fournisseurd’accèsInternet
1) création de l’espace d’accueil
2) mise en place d’EOLE
3) paramétrage du (des) réseau(x)pédagogie
112
10.xx.yy.0(25/7)
Réseauxpédagogiques
Réseauadministratif
Réseauacadémique
Numeris 2
Avec EOLE
“la rue”10.1xx.yy.192
(26/6)
“maison” PEDAGOGIQUE
192.168.224.0à
192.168.231.0(21/11)
Fournisseurd’accèsInternet
4) on supprime un routeur et sa liaison (peu importe lequel …) et onre-paramètre le réseau administratif.
5) connexion du réseau administratifsur EOLE
113
10.xx.yy.0(24/8)
10.1xx.yy.0(24/8)
ouadressage non conforme
Réseauxpédagogiques
Réseauadministratif
Avant EOLE Réseau
académique
Numeris 1 Numeris ou ADSL
Hypothèse 2:
Connexion adm via réseau académiqueConnexion pedago via provider seul
Fournisseurd’accèsInternet
114
10.xx.yy.0(24/8)
10.1xx.yy.0(24/8)
ouadressage non conforme
Réseauxpédagogiques
Réseauadministratif
Avant EOLE Réseau
académique
Numeris 1 Numeris ou ADSL
Hypothèse 2:
Connexion adm via réseau académiqueConnexion pedago via provider seul
Fournisseurd’accèsInternet
“la rue”10.1xx.yy.192
(26/6) 1) création de l’espace d’accueil
2) mise en place d’EOLE
3) paramétrage du réseauadministratif
115
10.xx.yy.0(24/8)
“maison” PEDAGOGIQUE
192.168.224.0à
192.168.231.0(21/11)
Réseauxpédagogiques
Réseauadministratif
Avant EOLE Réseau
académique
Numeris 1 Numeris ou ADSL
Hypothèse 2:
Connexion adm via réseau académiqueConnexion pedago via provider seul
Fournisseurd’accèsInternet
“la rue”10.1xx.yy.192
(26/6) 4) raccorder le (s) provider (s)
5) re-paramétrage le(s) reseau(x)pédagogique(s)
116
10.xx.yy.0(24/8)
10.1xx.yy.0(24/8)
ouadressage non conforme
Réseauxpédagogiques
Réseauadministratif
Avant EOLE Réseau
académique
Numeris 1 Numeris ou ADSL
Hypothèse 3:
situation “hétérogène”
Fournisseurd’accèsInternet
10.1xx.yy.0(24/8)
ouadressage non conforme
10.1xx.yy.0(24/8)
ouadressage non conforme
1) Fédérer les arrivéesreseau en un point
2) Fédérer les réseauxinternes en un point
Ramener la situation à l’hypothèse 2.
117
EOLE: bilan provisoire
• Un enjeu majeur (une OBLIGATION) pour l’avenir.
• - à cause de l’évolution technologique des réseaux de communication.
• - à cause de l’implication des collectivités locales dans le choix des solutions.
• - pour éviter les solutions anarchiques et les gaspillages dans l’EPLE.
118
EOLE : état des déploiements
• L’ EOLE de référence en Auvergne: le CRDP d’auvergne (adm, ped + cour)
• > 200 stations , accès clients /serveurs avec la cour , Bases de données ORACLE, TSE, serveurs web visibles d’internet , photothèque, liaison extranet avec les CDDP ...
• => qualification du modèle en forte charge.
119
EOLE : état des déploiements
• 4 EOLE adm, ped + cour en EPLE
• => ont servi à la validation de la méthode d’audit préalable à l’installation.
120
EOLE : état des déploiements
• 1 réalisation intégrant un greta éclaté sur 3 sites en cours de finalisation.
• => sert à valider la pertinence générale du modèle d’interconnexion, au delà du clivage “administratif/pédagogie” traditionnel.
121
EOLE : état des déploiements
• 30 EOLEs prévus à court terme.
• => la robustesse du modèle est maintenant éprouvée.
122
EOLE : la suite ?
• pb : comment passer de la phase expérimentale à une généralisation:
• Quels objectifs ? -> Quel périmètre ?
• Quels moyens ?
123
ANNEXES
124
EOLE : Les pré-requis (d’ordre général)
• La sensibilisation de l’établissement.
• Une situation “saine” : administration clairement séparée de la pédagogie.
• Au besoin , accord avec d’autres partenaires pour assainer l’existant : Greta, ...
• Une étude “sur mesure” pour définir la méthode à employer pour la mise en oeuvre.
125
EOLE : Les pré-requis (d’ordre technique)
• Un cablage permettant de fédérer en un local commun sécurisé:- les arrivées de reseaux publics de l’etablissement. (NUMERIS, ADSL, etc…- le reseau administratif- le(s) réseau(x) pédagogique(s)
• armoire de brassage équipée:electricité, etc
126
EOLE : un exemple de chantier complexe.
• Impliquant 3 gros établissements :- Lycée Ambroise Brugiere - Clermont-Fd- Lycée Chamalières- Lycée La Fayette - Clermont-Fd
• traitant la problématique des GRETAs
127
EOLE : un exemple de chantier complexe.
• Incluant :• un réseau extranet existant E.N.
• des accès providers internet commerciaux
• des solutions locales existantes d’échange entre partenaires (GRETA)
• ménageant la mise à disposition d’un réseau régional.
128
Ped
Adm
Ped
Greta
RNIS
ADSL ADSL
ADSL
RNIS
Chamalières
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
Ambroise Brugière
RNIS
Greta
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
RNIS
Greta
La fayette
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?
+tout ce que l’on ignore !!!
129
RNIS
ADSL ADSL
ADSL
RNIS
RNIS
ADSL
ADSL
RNIS
RNIS
ADSL
ADSL
RNIS
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?Coût ?Sécurité ?Supervision ?Assistance ?
130
Ped
Adm
Ped
Greta
RNIS
ADSL ADSL
ADSL
RNIS
Chamalières
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
Ambroise Brugière
RNIS
Greta
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
RNIS
Greta
La fayette
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?
L’existant
131
Ped
Adm
Ped
Greta
RNIS ADSLADSL
Chamalières
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
Ambroise Brugière
RNIS
Greta
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
RNIS
Greta
La fayette
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?
Phase 1: “la rue”
“la rue”
ADSL
132
Ped
Adm
Ped
Greta
RNIS ADSLADSL
Chamalières
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
Ambroise Brugière
RNIS
Greta
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
RNIS
Greta
La fayette
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?
Phase 2 : “assainissement”
“la rue”
ADSL
133
Ped
Adm
Ped
Greta
RNIS ADSLADSL
Chamalières
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
Ambroise Brugière
RNIS
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
RNIS
La fayette
Phase 2: “simplification”
“la rue”
ADSL
134
Ped
Adm
Ped
Greta
RNIS ADSLADSL
Chamalières
Ped
Adm
Ped
PedRNIS
ADSL
ADSL
Ambroise Brugière
Ped
Adm
Ped
PedRNIS
ADSL
ADSL
La fayette
Phase 3: “toutes les rues”
“la rue”
ADSL
“la rue”
“la rue”
135
Ped
Adm
GretaPed
Gretaadm
RNIS ADSLADSL
Chamalières
Ped
Adm
GretaPed
GretaadmRNIS
ADSL
ADSL
Ambroise Brugière
Ped
Adm
GretaPed
Greta admRNIS
ADSL
ADSL
La fayette
Phase 4 : “les Gretas”
“la rue”
“la rue”
“la rue”
136
Chamalières
Ped
Adm
GretaPed
Gretaadm
Ambroise Brugière
Ped
Adm
GretaPed
Greta adm
La fayette
Phase 5: “champagne !!!”
“la rue”
“la rue”
Ped
Adm
GretaPed
Gretaadm
“la rue”
Réseau régional
137
Ped
Adm
Ped
Greta
RNIS
ADSL ADSL
ADSL
RNIS
Chamalières
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
Ambroise Brugière
RNIS
Greta
Ped
Adm
Ped
Ped
RNIS
ADSL
ADSL
RNIS
Greta
La fayette
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?
Résumé : comment passer du ...
138
RNIS
ADSL ADSL
ADSL
RNIS
RNIS
ADSL
ADSL
RNIS
RNIS
ADSL
ADSL
RNIS
RTC + RNIS + ?
RTC + RNIS + ?
RTC + RNIS + ?
Résumé : système D...
139
“la rue”
“la rue”
“la rue”
Réseau régional
Résumé : à une architecture mature …
140
EOLE : de l’utilité de la cour.Exemple : le CRDP d’auvergne.
• Incluant :
• un réseau extranet existant E.N.
• 5 sites : CRDP + 4 CDDP
• ménageant la mise à disposition d’un réseau régional.
141
EOLE AU CRDP D ’AUVERGNE
• LES RESEAUX / le découpage en zones.
• LES SERVEURS et leur localisation.
• LES FLUX sécurisés par EOLE.
142
“maison”ADMINISTRATIVE
“maison”PEDAGOGIQUE“La cour”
“la rue”
“maison”PEDAGOGIQUE
“maison”ADMINISTRATIVE
“La cour”
“la rue”
“maison”PEDAGOGIQUE
“maison”ADMINISTRATIVE
“La cour”
“la rue”
CDDP CDDP
CRDP
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
Réseau Académique
143
teln
et
ftp “maison”PEDAGOGIQUE
“maison”ADMINISTRATIVE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
HTT
P
HTTP Clie
nts T
SE
Cli
ents
TSE
HT
TP
HTTP
Messagerie M
essa
gerie
M
essa
gerie
CDDP
Age
nt a
ntiv
irus
Agent
antiv
irus
Agent antivirus
ftp
ftp
ftp te
lnet
144
“maison”PEDAGO
“maison”ADMINISTRATIF
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
INTE
RNET
IN
TE
RN
ET
INTERNET ge
stion
gestion
gestion M
essa
gerie
Messagerie
Messagerie
Messagerie H
TTP
HTTP
HTTP
HT
TP
auth
entif
icat
ion
auth
entif
icat
ion
Client
serv
eur
HTT
P
ftp
telnet
telnet
teln
et
ftp C
lients TSE
Clients TSE
ftp
Age
nt a
ntiv
irus
Age
nt a
ntiv
irus
Agent antivirus
CRDP
ftp
145
“maison”PEDAGO
“maison”ADMINISTRATIF
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
auth
entif
icat
ion
auth
entif
icat
ion
Client
serv
eur
CRDP
Serveur anti-virus(FSECURE)
HTTP
Recup régulière des signatures virales
HTTP
HTTP
Scrutation à l’initialisation puis toute les heures
146
“maison”PEDAGO
“maison”ADMINISTRATIF
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
auth
entif
icat
ion
auth
entif
icat
ion
Client
serv
eur
CRDP
Serveur mailNetscape
POP3/IMAP4/SMTP
POP3/IMAP4/SMTP
SMTP
147
“maison”PEDAGO
“maison”ADMINISTRATIF
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
auth
entif
icat
ion
auth
entif
icat
ion
Client
serv
eur
CRDP
BD comptaOracle+serveur TSE
Clients TSE
Clients TSE des CDDP
148
“maison”PEDAGOGIQUE
“maison”ADMINISTRATIVE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
Serveur de gestion Oracle
serveur TSE
serveur web photothèque nationale
serveur documentaire
serveur web crdp
serveur messagerie
serveur de màj Antivirus
Serveur d ’authentification
serveur démonstration IACA
Serveur d ’authentification
serveur photothèque
serveur commercialisationCRDP
149
“maison”PEDAGOGIQUE
“maison”ADMINISTRATIVE
Réseauacadémique
Fournisseurd’accès
Internet 1
Fournisseurd’accès
Internet 2
“La cour”
“la rue”
Serveur d ’authentification
serveur démonstration IACA
Serveur d ’authentification
clients TSE vers BD Oracle
CDDP
serveur de màj Antivirus
serveur ftp
serveur web
150
LA BOITE à OUTILS
… on ne peut pas ergoter et polémiquer quand on regarde une réalité technique et pratique. Ce qui n’est pas le cas lorsque l’on reste au niveau des idées: on se bouffe le nez. Par contre, Quand
vous allez sur le terrain, vous voyez la machine, vous rencontrez un “oeuvier”qui vous dit “c’est comme cela qu’il faut faire…”
Les faits et la vérité sont plus grands que nous. …
départ de François Michelin - 16 Mai 2002 - interview la Montagne
151
0 24
8 16 31
Type de service Longueur totale
Identification Offset fragment
Adresse IP Source
Adresse IP Destination
Options IP (eventuellement)
4
VERS HLEN
19
Flags
Durée de vie
Protocole Somme de contrôle Header
Padding
Données
. . .
Format d’un datagramme IP
152
Marquage des datagrammes
TOS DATA
153
Diff Serv Code Point (DSCP)
DSCP CU
TOS
Precedence
Réservé.(prévu pour lanotification decongestion