Contrôle d’accès et qualité de service dans les réseaux basés sur ATM
description
Transcript of Contrôle d’accès et qualité de service dans les réseaux basés sur ATM
Contrôle d’accès et qualité de servicedans les réseaux basés sur ATM
Olivier Paul
Niveau ATM/AAL/SNAP non considéré. Quels paramètres prendre en compte ?
Niveau Réseau/Transport. Traitement simple mais concernant un grand nombre de paquets. Pas de notion de QoS.
Niveau Application. Traitements assez complexes. Pas de notion de QoS.
Pas de contrôle d’accès ATM.
Performances: Limité actuellement à 100 Mb/s.
Pas de QoS
Le Firewall, outil actuel de contrôle d’accès
Il se place entre un réseau à protéger et un réseau non contrôlé et examine les données échangées par les équipements situés de part et d’autre. Pour cela il reconstruit les PDU échangés et les bloque jusqu’à ce qu’il soit sûr ce ceux-ci sont inoffensifs.
Comment résoudre ces problèmes ?
Proxy Proxy
Niveau application
Niveau Transport
Niveau Réseau
Module deFiltrage des
Paquets
Niveau ATM/AAL/SNAP
Outil simple.
Outil facile à gérer.
Outil sûr.
Performant jusqu’à 100 Mb/s.
Outil riche en fonctionnalités.
Nombreux fabricants, prix faible.
Très répandu.
Amélioration des performances
Utilisation de Circuits spécialisés Distribution
Implémentation des mécanismes de contrôle d’accès de manière physique sous forme de circuits spécialisés et intégration de ceux-ci dans un équipement du réseau.
Performances (100 Mb/s ... qques Gb/s).
Facilité de gestion.
Solution unique au niveau cellule.
Fonctionnalités pauvres au niveau IP (limitation aux adresses IP et ports TCP/UDP).
Fonctionnalités très pauvres au niveau ATM (adresses ATM).
Distinction des mécanismes de contrôle d’accès et distribution dans les équipements du réseau.
Performances.
Meilleure sécurité.
Difficultés de gestion.
Modifications importantes.
Impact sur les performances des systèmes modifiés.
Limitation des perturbations
Asynchronisme
Utilisation de mécanismes de contrôle d’accès asynchrones. Contrôle sur une copie des flux ou à partir de variables d’état puis coupure de la connexion (soit TCP soit ATM) dans le cas où les flux sont dangereux.
Pas d’impact sur la QoS puisque le flux n’est pas stoppé.
Sécurité non assurée puisqu’il peut y avoir un intervalle de temps entre le passage du flux et son contrôle.
Les flux non connectés (i.e. cellules) ne peuvent être filtrés.
Classification des flux
On sépare les flux en différentes classes en fonction de leurs requètes en terme de QoS. Au moyen de cette classification on peut appliquer des traitements différenciés aux flux.
Limitation des impacts sur la QoS.
La multiplication des formes de traitement provoque la complexification du système.
Etude des paramètres de contrôle d’accès
On étudie les paramètres pouvant être pris en compte afin de réaliser un contrôle d’accès au niveau ATM (ATM/AAL/Signalisation). Pour cela on s’intéresse:
• Aux paramètres pouvant décrire les communications. Comparaison avec les paramètres utilisés dans outils de contrôle d’accès pour les réseaux existants.
• Aux paramètres utilisés par les applications/utilisations existantes. Comment est il possible de caractériser ces utilisations ?
A partir de ces informations on peut classifier les paramètres en fonction de leur importance et de la difficulté à implémenter un outil permettant de les contrôler.
Amélioration du contrôle d’accès au niveau ATM
Analyse des problèmes
Type de trafic/Couche protocolaire
ATM Cellule ATM Sig. Transport Application
Avec requète de QoS Classe 1 Classe 2 Classe 3 Classe 4Sans requète de QoS Classe 5 Classe 2 Classe 6 Classe 7
• Niveau de sécurité. • Amélioration en terme de performances.• Amélioration en terme de respect de la QoS.• Difficulté de gestion/utilisation.• Difficulté d’implémentation/coût.
Quels facteurs utiliser pour choisir ?
Pas d’outil Problèmes de performance Problèmes de performance et de QoS
Solutions en cours de réalisation
Classe RéalisationsClasse 1,2,5 Contrôleur d’accès ATM (Cellule/Signalisation) basé sur une carte d’analyse
de trafic à haut débit (CNET)Classe 3 Utilisation de modules distribués de contrôle d’accés de niveau transport.Classe 4 Agents distribués de contrôle d’accés asynchrone au niveau application pour
des applications ayant des requètes de QoS. Modification des applicationsafin qu’elles fournissent des informations aux agents.
Classe 6 Utilisation de modules distribués de contrôle d’accés de niveau transport.Classe 7 Utilisation de contrôleurs de niveau application (proxies)Hors Classe Développement de mécanismes de gestion efficace des éléments distribués
Classe/Technique Spécialisation Distribution Asynchronisme Classe 2 Outil Outil Classe 1,5 Outil Outil Classe 3 Performances et QoS (C.A. sur une
partie des paramètres de C.A.) Performances et QoS QoS
Classe 4 Performances QoS Classe 6 Performances (C.A. sur une partie
des paramètres de C.A.) Performances
Classe 7 Performances
Contrôleur d’accès ATM
Réseauexterne
Réseauinterne
Switch ATM
Carte d’analyse
pcContrôleur de sig.
Sig.
Niveau Cellule: carte d’analyse/filtrage:• Multi-bit trie. • 622Mb/s-2,5Gb/s.• Perturbation : 100aine ns.
Niveau Signalisation: logiciel de filtrage:• Dérivation au niveau du switch.• Analyse logicielle.• Configuration de la carte d’analyse.
Agents de contrôle d’accès asynchrones
Informations décrivant les applications
ApplicationApplicationApplication
Système d’exploitation
Agent de contrôle
Principe:• Utiliser les informations fournies à l’OS par les applications. • Etendre ces informations.
Développer un agent:• Contrôlant les informations fournies.• Interrompant les applications non conformes.
Gestion du contrôle d’accès
Assurer la gestion des éléments de contrôle d’accès distribués :• De manière automatique (la distribution des fonctions doit être transparente).• De manière performante. (les outils doivent être configurés de manière optimale).• De manière sûre (confidentialité, authentification et intégrité des données).
Politique de C.A.
Agents placés sur les équipements.Protocole de configuration: SNMPv2-v3.Utilisation de modèles des capacités des agents et de la topologie.Langage de configuration.