Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

VPN IP

publicité 
Architecture des Réseaux
Emmanuel BESSON
[email protected]
« Architecture des Réseaux »
Architecture des Réseaux
Architectures étendues
- Partie II -
« Architecture des Réseaux »
Agenda (deuxième journée)

Interconnexion de réseaux

Architectures étendues
 Solutions de réseaux d’accès
 Solutions de réseaux fédérateurs
 Notions de réseaux privés virtuels
 Réseaux de mobiles
page 3
Interconnexion de réseaux

Objectifs
Connaître les différentes technologies des réseaux d'entreprise
Comprendre avantage & inconvénients des solutions du marché

Plan
Solutions de réseaux d’accès
Solutions de réseaux fédérateurs
Notionsde
deréseaux
réseauxprivés
privésvirtuels
virtuels
Notions
Réseaux de mobiles
page 4
Solutions d’interconnexion IP

Les offres de services pour les entreprises veulent se
rapprocher des besoins utilisateurs :
Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service
Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire
aux couches supérieures)

Le « packaging » des offres opérateurs s’orientent vers les
Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP)
Proposer des « prises IP »
Agrémenter les accès de garanties en termes de :

Qualité de Service (VPN-IP CoS)

Sécurité (VPN-IP IPSec)
page 5
Définition d’un VPN

Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel)
est un réseau qui…
… utilise et/ou partage des infrastructures publiques ou privées
… met en œuvre des mécanismes de sécurité et de Qualité de Service

Comparatif VPN / Réseau Privé
VPN
Réseau Privé
+ Coût
+ Maîtrise
+ Flexibilité
+ Sécurité
+ Externalisation
- Moins de Maîtrise
- Mobilisation ressources humaines
importantes
- Investissements lourds
page 6
Définition d’un VPN Frame Relay

VPN basé sur des infrastructures Frame Relay
VPN Frame Relay (offre traditionnelle opérateur)
Notion de CVP et de point-à-point

Maillage complet

Gestion par l’opérateur complexe

Manque de flexibilité
page 7
Définition d’un VPN IP

De nouvelles offres : VPN IP (apparues il y a un an)
IP

Protocole universel au niveau des applications

Extension au niveau du transport pour les offres de service réseau
De nouveaux protocoles de gestion

Qualité de Service
 MPLS
: toujours en normalisation (essentiellement équipements)
 DiffServ

: normalisé
Sécurité
 IPSec
Réseau constitué de routeurs IP
Transport des flux IP de façon « native » (routage dynamique)
page 8
Constitution d’un VPN IP (1)
page 9
Constitution d’un VPN IP (2)

Comme tout réseau de transmission de données, un VPN est
composé d’équipements de communications et de liaisons de
transmission.

A la différence des réseaux privés, la plupart des équipements
et des liaisons appartiennent à un prestataire qui assure leur
maintenance et leur évolution
page 10
Constitution d’un VPN IP (3)

Composantes
Réseau de transport : infrastructure « backbone » ou Internet
Moyens d’accès

CPE (Customer Premises Equipment) : routeur, modem

Connexion au réseau de transport via réseau d’accès
Moyens de sécurisation

Technologies propres au réseau de transport (ex. : CVP Frame Relay)

Déploiement d’équipements et logiciels spécifiques
 Pare-feux
 Serveurs
d’authentification/autorisation
Plate-formes de services (hébergement)

Messagerie, accès Web, etc.

Infogérance
Moyens de supervision
page 11
Différents types de VPN IP

VPN IP « Internet »
Infrastructure entièrement publique
Utilisation des réseaux ISP

VPN IP « Opérateur »
Infrastructure fournie par un prestataire
MPLS ou non
IPSec ou non

VPN Frame Relay & IP
Avantages & inconvénients
Comparatifs
page 12
Définition VPN IP Internet (1)

VPN IP Internet
Utilisation des infrastructures Internet
« Intelligence » gérée au niveau des extrémités (CPE)
Création de tunnels LAN/LAN ou LAN/PC
Internet
Site A
Création d'un
tunnel
Site B
page 13
Définition VPN IP Internet (2)

VPN IP Internet
Utilisation de protocoles de tunneling

PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol)
 Utilisés
dans le cadre d’accès commutés
 Environnement

L2TP (Layer 2 Tunneling Protocol)
 Rassemble
les avantages de PPTP et L2F
 Nombreuses

multi-protocoles
solutions constructeurs
IPSec (IP Secured)
 Norme
IETF initialisée en 1992, normalisée en 2000
 Sécurité
supérieure
 Associé
à IP
 Intégré
dans IPv6
page 14
Définition VPN IP Internet (3)

VPN IP Internet
Utilisation d’algorithmes de chiffrement

DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation)
Différents types de passerelle VPN IP

Passerelle dédiée : équipement situé entre le routeur du LAN et Internet
Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer
la notion de VPN IP)


Passerelle intégrée au firewall
Utilisation d’un serveur de sécurité (authentification/autorisation)

Serveur Radius, etc.
page 15
Sécurité des VPN IP Internet
Fonctions
Solutions
•
Authentification
•
Login & password
•
Contrôle d’accès
•
Calculette (jetons « secure-id »)
•
Signature électronique
•
Confidentialité
•
Tunneling
•
Intégrité des données
•
Chiffrement des données
page 16
Les applications VPN IP Internet

Applications non critiques, non temps-réel
Internet : « best effort »
Pas de qualité de service

Création structure Extranet / Intranet

Accès à distance à un Intranet / Extranet
… depuis des sites de petite taille, ou situés à l’étranger
… de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)
page 17
Définition VPN IP Opérateur (1)

VPN IP Opérateur
Réseau privatif sur infrastructure IP managée
Réseau constitué de routeurs IP

CE : Customer Equipment

PE : Provider Edge

PE
PE
PE
P : Provider
P
P
PE
PE
PE
CE
Site A
P
CE
Virtual Path
Site B
page 18
Définition VPN IP Opérateur (2)

VPN IP Opérateur
Offres récentes
Correspond à une logique d’externalisation (outsourcing)
Service & gestion des équipements (y compris les CPE) par l’opérateur

Deux stratégies d’opérateurs : gestion du protocole MPLS ou
non

Évolution du marché : MPLS
page 19
VPN IP Opérateur MPLS : généralités

Gestion de MPLS associé à DiffServ = QS et sécurité sous IP
Priorisation des flux avec plusieurs classes de service disponibles
Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming,
vidéo/visioconférence…


Critique : ERP, SQL, transactionnel…

Standard : Messagerie, consultation Web, …
Entre 3 et 5 classes selon les offres opérateurs
Optimisation de la bande passante
MPLS assure l’étanchéité des flux (sécurité)

Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec

Problème : définir l’importance relative des différentes classes
pour obtenir une QS satisfaisante
page 20
VPN IP Opérateur MPLS : QS et Applications

Engagements de QS : SLA (Service Level Agreement) associés à
des pénalités contractuelles
1. Disponibilité de services
2. Délai de transmission
3. Gigue : variation du délai de transmission
4. Débit garanti
5. Taux des paquets perdus

Les SLA sont associés aux classes de service

L’entreprise doit classer (et connaître !) ses applications dans
les classes proposées par l’opérateur en fonction de leur
criticité
page 21
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1)

MPLS
Développé par l’organisme IETF
Optimise la désignation, le routage, l’envoi et la commutation des flux de
données à travers le réseau
Performances et sécurité sous IP
Pas encore tout à fait mature
Solutions différentes pour les équipementiers
page 22
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2)

DiffServ
Développé par l’organisme IETF
Permet de proposer plusieurs classes de services différenciées et garanties
(allocation dynamique)
Se combine à MPLS pour délivrer une Qualité de Service de bout en bout
Intégré dans IPv6
Normalisé
page 23
VPN IP Opérateur non MPLS : VPN IP IPSec

Pas de gestion de MPLS
L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné
Mélanges fréquents avec des flux Internet
Pas de classes de service (sauf recours à DiffServ)
SLA

perte de paquet, temps de transit…

moins d’engagements qu’avec des offres MPLS
Sécurité

Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement

Solutions VPN IP IPSec
page 24
VPN IP Opérateur : applications

Intranet + Extranet + Accès à distance : adaptés à l’ensemble
des besoins de communication

Offres bien adaptées aux structures et aux applications
distribuées

Offres adaptées à toutes les applications existantes et à venir

Services à valeur ajoutée associés : accès à Internet,
hébergement (Web, ASP, …), sécurité renforcée…
page 25
VPN Frame Relay : avantages & inconvénients

Avantages

Inconvénients
 Maturité
 Manque de flexibilité (CVP)
 Qualité de Service
 Peu adapté aux accès à distance, aux
Extranets, et aux structures maillées
 Sécurité (CVP)
 Multi-protocoles
 Technologie plutôt en fin de vie
 Adaptés aux structures en étoiles
page 26
VPN IP : avantages & inconvénients

VPN IP Internet
 Avantages

VPN IP Opérateur
 Avantages

Simplicité

Idem « VPN IP Internet »

Coût

Qualité de Service

Sécurité

Sécurité

Capillarité

Aspect « any-to-any »

Flexibilité

Classes de service

Évolutivité
Visibilité sur le réseau
 Inconvénients

Best effort


Problèmes d’interopérabilité


Mise en œuvre délicate
Bien adapté aux nouvelles technologies
d’accès

Bien adapté aux applications temps réel
 Inconvénients
Technologie récente et encore peu
mature (MPLS)


Offres encore incomplètes
page 27
Comparatif Frame Relay et IP
VPN Internet
VPN Frame Relay
VPN IP (MPLS)
Réseau IP privé
Intranet point-àpoint
Possible mais
problème de
fiabilité
Bien adapté et
économique
Bien adapté et très
souple
Solution très
coûteuse
Intranet maillé
Possible mais
problème de
fiabilité
Moyen, manque de
souplesse (gestion
de CVP)
Réseau nativement
maillé (any-to-any)
Solution très
coûteuse. Le
maillage est
possible mais doit
être géré au niveau
des routeurs
d’accès.
Accès distant
Solution la plus
simple et la moins
coûteuse
Peu d’offres
existantes
Peu d’offres
existantes (via VPN
Internet)
Coût important
mais solution la
plus souple
Extranets
Solution la plus
souple pour des
échanges
ponctuels mais
problème de
fiabilité
Peu adapté (délais,
coûts, …)
Bien adapté,
surtout pour des
volumes échangés
importants
Solution souple et
fiable mais coûts
importants
page 28
Comparatif VPN IP et réseau privé IP
Coût
VPN IP Opérateur
+ Évolutivité
+ QS
+ Coût
Réseau Privé IP
+ Sécurité, Maîtrise
- Coût
- Forte implication
de l’entreprise
Qualité
VPN IP Internet
+ Capillarité
+ Coût
- QS aléatoire
page 29
Solutions VPN

Trois types de VPN IP
VPN IP Internet
VPN IP Opérateur IPSec
VPN IP Opérateur MPLS

Les offres VPN IP Opérateur cumulent…
… les avantages du protocole IP (flexibilité, « any-to-any », coût)
… les avantages des offres VPN Frame Relay (QS et sécurité)

Évolution du marché vers les offres VPN IP MPLS

Les offres VPN Frame Relay restent attractives pour certains
besoins
page 30
Migration vers un VPN IP (1)

Réseau privé géré par
l’entreprise
 Location de Liaisons Spécialisées à un
opérateur
 Gestion des flux et de la QS par
l’entreprise

Solution VPN IP
 L’infrastructure réseau local des sites
ne change pas
 Gestion des flux et de la QS par
l’opérateur VPN

Externalisation des coûts de
gestion
page 31
Migration vers un VPN IP (2)

Concentration des
communications sur une plateforme centrale
 Gestion des serveurs d'accès distant
par l'entreprise.
 Communications au tarif local, national
voire international

Solution VPN IP
 Connexion
des
nomades
via
l'infrastructure d'accès du prestataire.
 Communications au tarif local

Optimisation des coûts de
communication
page 32
Migration vers un VPN (3)

La mise en place d’un VPN requiert de nombreuses
connaissances dans de nombreux domaines
Infrastructure physique
Sécurité logique
Services applicatifs
page 33
Différentes catégories d’acteurs
Carrier to
Carrier
Fournisseurs
d’Accès
Internet
Opérateurs IP
Opérateurs
Télécom
Nationaux
Opérateurs
historiques
Opérateurs
de Boucle
Locale
page 34
Différents niveaux de VPN IP
page 35
Différents positionnements (1)

Choix de protocoles (fin 2001)
Types de VPN
Acteurs
9 Telecom
Belgacom
Cable & Wireless
Cegetel
Colt
Completel
Easynet
France Telecom Equant
Global Crossing
Kaptech
KPN Qwest
Lambdanet
Maiaah !
Siris
Sprint
Telia
WorldCom
FR
x
x
x
x
ATM
x
x
x
x
x
x
x
x
x
x
x
x
Accès
IP avec IP sans Internet IP
MPLS
MPLS
Sec
x
x
x
?
x
x
x
en projet
en projet
x
x
x
x
x
x
x
x
x
en projet
x
x
x
x
x
x
x
x
en projet
x
x
x
x
x
en cours
x
Classes
de
Services
Outil de
reporting
Nombre
4
?
1
3
3
1
3
3
3
3
1
3
5
4
1
?
3?
En ligne
x
?
en option
à l'étude
x
x
x
x
x
x
à venir
x
x
x
x
?
x
page 36
Différents positionnements (2)

Convergence vers MPLS
Opérateurs VPN IP
FT Equant
Maiaah !
Cegetel
9 Telecom
Belgacom
Global Crossing
Siris
Colt
Worldcom
KPN Qwest
Cable & Wireless
Sprint
Kaptech
Easynet
Protocoles de backbone supportant une offre VPN
ATM
FR
IP natif
IP MPLS
en projet
en projet
en cours
en projet
Technologie absente
Technologie présente
page 37
Uniformisation des prestations (1)

Prestations techniques (liées à l’implémentation du VPN IP)
Raccordement des sites

Gestion des accès

Gestion des routeurs

Gestion de la sécurité
Transport

Connexion au backbone

Routage VPN client

Traitement différencié des flux
Accès à Internet

Adresses IP

Dépôt de noms de domaines

Gestion de la sécurité
Services d’accompagnement client

Tuning, conseil, optimisation du VPN
page 38
Uniformisation des prestations (2)

Services proposés aux gestionnaires
Gestion des modifications
Fonctionnalités de reporting

Services transverses
Services de support
Services de facturation
SLA & contrats

Mais encore beaucoup d’offres sur mesures
page 39
Différents positionnements (3)

Enrichissement des offres sur les types d’accès
Acteurs
RTC/RNIS
9 Telecom
x
Belgacom
x
Cable & Wireless
x
Cegetel
x
Colt
x
Completel
x
Easynet
x
France Telecom Equant
x
Global Crossing
Kaptech
x
KPN Qwest
Lambdanet
Maiaah !
x
Siris
x
Sprint
Telia
WorldCom
x
LS
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Types d'accès VPN IP
DSL
BLR
FO
x
à l'étude
x
x
x
x
x
x
x
x
x
x
x
à l'étude
x
x
x
x
à l'étude
x
x
GSM
x
x
x
x
x
x
x
à l'étude à l'étude
x
page 40
Sécurité dans les VPN

L’interconnexion des réseaux
d’entreprise impose la mise en
place d’architectures sécurisées
pour assurer un niveau de
sécurité efficace permettant de
contrer…

Pour répondre à ces besoins,
les solutions techniques
doivent répondre à plusieurs
enjeux :
 Assurer la
données
 … l’écoute des communications
confidentialité
des
 Assurer l’intégrité des données
pendant le transport
 … la falsification des données
échangées
 Assurer l’authentification certaine
des parties en relations
 … l’usurpation d’identité

Pour obtenir ces certitudes, il
est nécessaire de mettre en
œuvre des moyens de
cryptographie
page 41
Crypto-systèmes
Crypto-système
Fonction de
Chiffrement
Fonction de
Déchiffrement
Ensemble des clés utilisables

Certains algorithmes peuvent avoir une fonction de
déchiffrement identique à la fonction de chiffrement
page 42
Crypto-systèmes symétriques

Pour chiffrer / déchiffrer le message, on utilise une clef unique
Cette clef est appelée clef secrète
Une clef différente donne un résultat différent
Fonction de
Chiffrement
Bonjour
Clef secrète
8964K9X
Fonction de
Déchiffrement
page 43
Crypto-systèmes asymétriques

(1)
Pour chiffrer / déchiffrer le message, on utilise deux clefs
distinctes
La clef de chiffrement est appelée clef publique
La clef de déchiffrement est appelée clef privée
Clef publique
Bonjour
Fonction de
Chiffrement
8964K9X
Bonjour
Fonction de
Déchiffrement
Clef privée
page 44
Crypto-systèmes asymétriques
(2)

La clef publique peut être diffusée : elle servira aux
correspondants qui vous envoient des messages chiffrés

La clef privée doit être conservée secrètement : elle servira à
déchiffrer les messages reçus
page 45
Mise en œuvre de la sécurité (1)

La mise en œuvre de mécanismes cryptographiques pour
assurer la sécurité des échanges est réalisée par la technologie
des Réseaux Privés Virtuels

Son objectif est de créer un tunnel chiffré et authentifié entre
deux points

Le chiffrement et l’authentification des parties font appel à la
cryptographie
page 46
Mise en œuvre de la sécurité (2)

Le protocole IP ne dispose nativement d’aucune fonction
cryptographique

Il a fallu lui adjoindre un mécanisme de prise en compte de la
cryptographie
Extension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured)
IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN,
même si d’autres technologies existent (MPLS)
page 47
Protocole IPSec (1)

IPSec utilise la cryptographie symétrique pour le chiffrement
des données via une clef volatile (mise à jour à intervalle
régulier)

Cette clef est appelée clef de session

L’échange sécurisé de la clef de session est réalisée via la
cryptographie asymétrique
page 48
Protocole IPSec (2)

IPSec introduit deux nouveaux protocoles IP
 AH (IP Authentication Header) fournit les services d’intégrité sans connexion et
d’authentification
 ESP (Encapsulating Security Payload) fournit les services de confidentialité par
chiffrement, intégrité et authentification de l’émetteur

IPSec introduit aussi un protocole UDP pour faciliter l’échange
des clefs : IKE (Internet Key Exchange)
page 49
Protocole IPSec (3)

IPSec ajoute quelques fonctions intéressantes
 Perfect Forward Secrecy

Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets
concernant la communication en cours ne permettent pas de compromettre les clefs de
session

La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de
session
 Back Traffic Protection

Chaque clef de session est générée indépendamment des autres

La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir
page 50
Points délicats de la sécurité (1)

A quoi faire attention ?…
Interopérabilité des équipements

IPSec norme IETF
(http://www.ietf.org/html.charters/ipsec-charter.html)

Implémentation de la norme différente selon les équipementiers et éditeurs

Certains équipements refusent obstinément de communiquer ensemble

Amélioration progressive à prévoir
Translation d’adresse (NAT)

Les mécanismes de NAT réécrivent les paquets IP

La translation d’adresse casse l’authentification

Solutions
 NAT
et VPN IPSec sur le même équipement
 Translation
avant chiffrement
page 51
Points délicats de la sécurité (2)

A quoi faire attention ?…
Postes nomades

Quid en cas de vol d’un poste nomade ?
Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple
identifiant/authentifiant


Envisager un mécanisme d’authentification forte
page 52
L’avenir de la sécurité VPN

La tendance est à l’implémentation native des fonctions IPSec
dans les systèmes d’exploitation (ex. : Linux, Windows 2000,
Windows XP, …)

IPv6 intégrera la sécurité de façon native
page 53
Concepts de Qualité de Service (1)

Fondamentalement, la gestion de la Qualité de Service (QS,
QoS) permet de fournir un meilleur service à certains flots
Mécanismes de priorisation
Règles de gestion de la congestion (politiques de files d’attente)
Mise en forme de trafic (lissage, shaping)

Au sein d’un réseau, les liaisons n’ayant aucune réelle
intelligence propre, ce sont les équipements qui implémentent
les fonctions de mise en œuvre et de gestion de la QS
page 54
Concepts de Qualité de Service (2)

L’architecture orientée QS se compose de trois méthodes
d’implémentation :
Implémentation de bout-en-bout

Techniques d’identification et de marquage

Coordination de la QS entre deux équipements terminaux
Implémentation locale à un équipement

Mécanismes de files d’attente

Outils de lissage de trafic
Fonctions de contrôle et de gestion de la QS

Compteurs

Administration
page 55
Concepts de Qualité de Service (3)
page 56
Identification et marquage (1)

Afin de fournir un service préférentiel à un certain type de trafic,
il est nécessaire que celui-ci soit identifié
Listes d’accès
CAR (Committed Access Rate)
NBAR (Network-Based Application Recognition)

Une fois identifié, les paquets appartenant au flot requérant un
certain niveau de QS peuvent être marqués ou non

Le processus d’identification/marquage est appelé classification
page 57
Identification et marquage (2)

Identification sans marquage : classification locale
L’équipement identifie des paquets appartenant à un flot
Il met en œuvre une politique locale
La classification « disparaît » et n’est pas transmise ou nœud suivant sur le
chemin
Exemples :


Priority Queuing (PQ)

Custom Queuing (CQ)
Identification et marquage : classification globale
Les paquets sont marqués pour l’ensemble du chemin
Utilisation possible des bits de précédence IP

Exemple : DiffServ (Differentiated Service)
page 58
Implémentation locale de la QS (1)

Différents outils permettent à un équipement d’appliquer des
mécanismes de Qualité de Service aux paquets identifiés
Gestion de la congestion

Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien
?

Stockage dans une file, plusieurs files
Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted
Fair Queuing)

Gestion des files d’attente

Les buffers étant de taille limitée, ils peuvent « déborder »

Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ?

Exemple : WRED (Weighted Random Early Detect)
page 59
Implémentation locale de la QS (2)

Différents outils permettent à un équipement d’appliquer des
mécanismes de Qualité de Service aux paquets identifiés
Efficacité des liens

Les liens à bas débits posent le problème du délai de transmission (sérialisation)
 Exemple
: un paquet de 1500 octets nécessite 214ms

Les petits paquets sont pénalisés

Solutions :
 Fragmentation
 Compression
& entrelacement
des en-têtes
Mise en forme du trafic
Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un
lien bas-débit


Exemple : trafic retour backbone vers accès

Possibilité de « jeter » les trafics excessifs (CAR)
page 60
Mise en œuvre de la QS

La gestion de la QS sous-entend une méthodologie permettant
d’évaluer les besoins en QS, et de régler les différentes
politiques de mise en œuvre :
1. Utilisation de sondes RMON
a.
Caractérisation du trafic
b.
Estimation des temps de réponse pour les applications critiques
2. Mise en œuvre des mécanismes de QS dans les équipements sur les chemins
critiques
3. Contrôle des effets de ces mécanismes
a.
Outils d’administration
b.
Tests de temps de réponse, de charge, etc.
page 61
Niveaux de QS (1)

Les niveaux de QS représentent la capacité du réseau à délivrer
le service requis par un trafic réseau d’un bout à l’autre
Service « Best Effort »

Aucune garantie de QS

Connectivité simple, pas de différentiation de flots

Files FIFO
Service différencié
Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante
plus grande, taux de pertes plus faible)


Garantie « statistique »

Classification + PQ, CQ, WFQ et WRED
Service garanti

Réservation absolue de ressources réseaux pour certains trafics

RSVP, CBWFQ
page 62
Niveaux de QS (2)
Simple connectivité IP
(Internet)
Best Effort
(IP, IPX, AppleTalk)
Best Effort
Différencié
(Class First,
Business, Coach)
Différencié
Certains trafics
sont plus
importants
que les autres
Garanti
Garanti
(Bande passante,
Délai, Gigue)
Certaines applications
requièrent des ressources
réseau spécifiques
page 63
Classification

Pour affecter des priorités à certains flots, ceux-ci doivent
préalablement être identifiés et (éventuellement) marqués

Identification
Listes d’accès (ACL)

Identification pour priorisation locale (PQ, CQ, CBWFQ)

Pas de marquage des paquets
Affectation d’une précédence IP (champ TOS étendu)

Routage stratégique (PBR : Policy-Based Routing)

Associé à une identification via ACL

Déploiement en périphérie du réseau (ou de la zone de routage)
Autres méthodes d’affectation de précédence

CAR : marquage des paquets excédentaires

NBAR : identification fine (niveau 4 à 7)
 Exemple
: niveau 4  HTTP
 Exemple
: niveau 7  URL http://www.iae-aix.com
page 64
PBR (Policy – Based Routing)

Le routage stratégique PBR permet…
… de classifier le trafic à partir de listes d’accès étendues
… de fixer les bits de précédence IP au sein des paquets identifiés
… de router ces paquets sur des chemins spécifiques

L’utilisation conjointe de PBR et des mécanismes de files
d’attente permet de créer une différenciation des services

PBR est entièrement compatible avec les autres types de
routages stratégiques comme BGP.
page 65
CAR (Committed Access Rate)

La fonction CAR spécifie la politique de gestion à appliquer au
trafic excédant l’allocation nominale de bande passante
Élimination des paquets excédentaires
Marquage (bits de précédence) des paquets excédentaires

CAR a pour objectif originel de vérifier la conformité du trafic
vis-à-vis d’un débit alloué
Utilisation du mécanisme de « leaky bucket » (jetons)
Similaire à l’algorithme de GCRA pour ATM (test du PCR)
Bande
passante
Excédentaire
Prec = 2
Conforme
Prec = 6
Débit
alloué
page 66
NBAR : Network – Based Application Recognition

NBAR effectue une identification dynamique des flots…
… à un niveau supérieur

Exemple : applications orientées Web (HTTP)
 URL
 MIME

Contrôle des dialogues fixant les ports dynamiques
… autorisant un marquage ultérieur plus fin
page 67
QS différenciée

Le marquage des paquets IP permettant d’appliquer des
mécanismes de priorisation est réalisé à l’aide du champ Type
Of Service (TOS) de l’en-tête IPv4
3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation
interne au fonctionnement du réseau)
Extension à 6 bits (RFC 2475) pour DiffServ
Utilisation du champ « Priority » en IPv6
page 68
Gestion de la congestion (1)

En cas de congestion (surcharge d’un équipement ou d’un lien),
les routeurs doivent stocker les paquets dans des buffers

Pour traiter la congestion sous des aspects de QS, les routeurs
vont donc utiliser des algorithmes de files d’attente
Tri du trafic
Méthodes de priorisation

Les algorithmes les plus couramment utilisés sont :
FIFO (First-In, First-Out)
PQ (Priority Queuing)
CQ (Custom Queuing)
WFQ (Weighted Fair Queuing)
CBWFQ (Class – Based WFQ)
page 69
Gestion de la congestion (2)

FIFO
Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée
lorsque la congestion disparaît
Algorithme par défaut
Aucune décision de priorité
Aucune protection contre les sources excessives
Lors du débordement, la perte s’effectue par la queue, sans distinction
Priorité forte
out
in
Priorité moyenne
Priorité faible
perte
page 70
Gestion de la congestion (3)

PQ
Définition de niveaux de priorité
Chaque niveau de priorité se voit assigner une file de taille égale
Préemption totale des files prioritaires
Priorité forte
in
out
Priorité moyenne
Priorité faible
perte
Pas d’indication de
priorité
page 71
Gestion de la congestion (4)

CQ
Classification du trafic
L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur
aux différentes classes de trafic
Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin)
Priorité forte
in
out
Priorité moyenne
Priorité faible
perte
Pas d’indication de
priorité
page 72
Gestion de la congestion (5)

WFQ
Définition de niveaux de priorité
Chaque niveau de priorité se voit assigner une file de taille égale
Le service est ordonnancé

La pondération (Weight) est directement calculée à partir de la valeur de précédence

Par défaut, sans priorisation, WFQ utilise le volume comme poids
6/10
in
3/10
perte
out
6
Priorité forte
3
Priorité moyenne
1
Priorité faible
1/10
page 73
Gestion de la congestion (6)

CBWFQ
Définition de niveaux de priorité
Chaque niveau de priorité se voit assigner une file de taille égale
Le service est ordonnancé

La pondération est décidée par l’administrateur

Les poids sont calculés à partir de la part de bande passante allouée
1024 kb/s
in
768kb/s
Priorité forte
out
2Mb/s
perte
Priorité moyenne
Priorité faible
256 kb/s
page 74
Gestion des files d’attente (1)

WRED
Principe

Dérivation de RED (Random Early Detect) avec application des précédences IP

Refuser des paquets entrants pour éviter la congestion et la perte
Objectifs
Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en
queue »


Refus des paquets entrants en fonction de leur priorité
La décision de refus d’un paquet entrant est statistique (probabilité croissante en
fonction de la taille courante de la file)
page 75
Gestion des files d’attente (2)
WRED
 Exemple :

Capacité nominale de la file : 20 paquets

Seuil pour les paquets de priorité forte : 20

Seuil pour les paquets de priorité moyenne : 15

Seuil pour les paquets de priorité faible : 10
1
Probabilité de refus

0,8
Faible
0,6
Moyenne
Forte
0,4
0,2
0
0
5
10
15
20
25
Taille de la file
page 76
Efficacité des liens (1)

Problèmes
Taille relative des paquets de données IP
Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets
(transferts FTP)


Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés
Taille absolue des paquets de données IP
L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue
l’overhead


Les petits paquets ont une plus forte part d’overhead que les gros paquets

Exemples (TCP/UDP + IP = 40 octets minimum)
 FTP
: 1500 octets utiles  ~ 2.6%
 SQL
: 256 octets utiles  ~ 13.5%
 VoIP
: 20 octets utiles  ~ 66.7%
page 77
Efficacité des liens (2)

LFI (Link Fragmentation & Interleaving)
Fragmentation des grands datagrammes (« jumbogrammes »)
Entrelacement des fragments et des petits datagrammes
Normalisation IETF en cours

Fondée sur l’utilisation de PPP sur les liens bas-débits

MCML (MultiClass extensions to Multilink PPP)
Fragmentation
in
WFQ
(Entrelacement)
Grands datagrammes
out
Petits datagrammes
Fragments
page 78
Efficacité des liens (3)

Compression des en-têtes
Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport
Protocol) et UDP pour transporter des données audio/vidéo en mode point-àpoint
Paquets RTP/UDP/IP

40 octets d’en-tête (20 IP, 8 UDP, 12 RTP)

Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo)
Paquets TCP/IP

40 octets d’en-tête (20 IP, 20 TCP)

Typiquement 500 à 1500 octets d’informations (FTP, e-mail, etc.)
Compression des en-têtes
Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant
les informations inutiles (dues au mode point-à-point)

page 79
Efficacité des liens (4)

Compression des en-têtes
Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en
éliminant les informations inutiles (dues au mode point-à-point)
Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le
routage


En-tête compressé : 2 à 5 octets
Diminution de l’overhead
Diminution du temps de sérialisation (insertion sur le support, transmission)
Exemples de gains sur un lien à 64 kb/s  ~ 4.5 ms

FTP : réduction de 2.3%

SQL : réduction de 11.8%

VoIP : réduction de 58.3%
page 80
Mise en œuvre de la QS
Classification
Efficacité des liens
Administration
Comptabilisation
Gestion de la congestion
(files d’attente)
page 81
Interconnexion de réseaux

Objectifs
Connaître les différentes technologies des réseaux d'entreprise
Comprendre avantage & inconvénients des solutions du marché

Plan
Solutions de réseaux d’accès
Solutions de réseaux fédérateurs
Notions de réseaux privés virtuels
Réseaux
dede
mobiles
Réseaux
mobiles
page 82
Boucle locale IP
page 83
Mobilité & débit
page 84
Spectre radio
page 85
Réseau ad hoc
page 86
WPAN & WLAN
Complexité
page 87
Bluetooth

Technologie pour remplacer les câbles

Débit inférieur à 1Mb/s

Une dizaine de mètres

Faible puissance

Coût très bas
page 88
Piconet

Piconet de 8 utilisateurs

– 1 maître et 7 esclaves
(technique de polling)

Débit
 433,9 Kbit/s dans une communication
full duplex
 723,2 Kbit/s et 57,6 dans l’autre sens
dans une communication déséquilibrée
 64 Kbit/s en synchrone
page 89
Scatternet
page 90
Format du paquet Bluetooth

Code d’accès
 Synchronisation.
 Identification.

En-tête
 AM-ADDR: MAC-address
 Type: payload type
 Flow: flow control
 ARQ: fast retransmit
 HEC
page 91
IEEE 802.11 (1)

Réseau d'infrastructure
page 92
IEEE 802.11 (2)

Réseau en mode ad hoc
page 93
Équipements : carte 802.11
page 94
Équipements : cartes Wi-Fi

Prix
 Carte Wi-Fi au format compact flash : 170 €
 Carte Wi-Fi pour Palm : 150 €
 Carte Wi-Fi pour Visor : 150 €
page 95
Wi-Fi embarqué

D’ici 2004, plus de 80% du
marché des portables seront
équipés de cartes Wi-Fi
embarqués

A partir de 2003, les PDA seront
équipés de Wi-Fi embarqués
page 96
Équipements : points d'accès
page 97
Équipements : antennes
page 98
Architecture détaillée
page 99
Réglementation française

A l’intérieur des bâtiments
 Aucune demande d’autorisation
 Dans 38 départements :

Bande 2,400 – 2,4835 GHz, puissance 100 mW
 Dans les autres départements


Bande 2,4465 – 2,4835 GHz, puissance 100 mW

Bande 2,400 – 2,4835 GHz, puissance 10 mW
A l’extérieur des bâtiments (Hotspots)
 Dans 38 départements :

Bande 2,400 – 2,454 GHz, puissance 100 mW

Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation)
 Dans les autres départements

Bande 2,400 – 2,4465 GHz : impossible

Bande 2,4465 – 2,4835 GHz, puissance 100 mW
page 100
Sécurité dans le Wi-Fi

Accès au réseau
 Service Set ID (SSID) : équivalent au nom de réseau
 Access Control List (ACL) : basé sur les adresses MAC

Wired Encryption Privacy (WEP) : Mécanisme de chiffrement
basé sur le RC4

Nouvelle sécurité: TKIP, 802.1x et carte à puce
page 101
La mobilité (1)
page 102
La mobilité (2)
page 103
Mobilité IP

Objectifs
1. Un mobile doit être capable de communiquer avec d’autres machines après
avoir changé son point d’attachement sur l’Internet
2. Un mobile doit être capable de communiquer en utilisant uniquement son
adresse IP principale, indépendamment de sa localisation sur l’Internet
3. Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci
implémente le protocole Mobile IP
4. Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet
page 104
Mobilité IPv4

RFC 2002

Mobile Node : Nœud IPv4 qui peut changer de points
d’attachement sur l’Internet tout en maintenant les
communications en cours (et en utilisant uniquement son
adresse principale)

Home Agent : Routeur IPv4 avec une interface sur le même lien
que que le mobile (dans le réseau mère)

Foreign Agent : Routeur IPv4 situé dans le réseau visité par le
mobile
page 105
Scénario simplifié
page 106
Documents connexes
Bienvenue sur Edu4 ! L`installation d`Eduwan est très simple et s
Bienvenue sur Edu4 ! L`installation d`Eduwan est très simple et s
Capteur de tension CV 3-500 V = 350 V
Capteur de tension CV 3-500 V = 350 V
Capteur de tension CV 3-1200 V = 840 V
Capteur de tension CV 3-1200 V = 840 V
Informations relatives à l`accès aux ressources intranet hors
Informations relatives à l`accès aux ressources intranet hors
Les réseaux privés virtuels (Virtual Privacy Network) installent
Les réseaux privés virtuels (Virtual Privacy Network) installent
STEP 7 Professional V13.0 - Industry Support Siemens
STEP 7 Professional V13.0 - Industry Support Siemens
Télécharger
Télécharger
Capteur de tension CV 3
Capteur de tension CV 3
Télécharger la notice technique du capteur de tension LV 25-P
Télécharger la notice technique du capteur de tension LV 25-P
Examen final du 29 avril 2014
Examen final du 29 avril 2014
Téléchargement
publicité