Architecture des Réseaux Emmanuel BESSON [email protected] « Architecture des Réseaux » Architecture des Réseaux Architectures étendues - Partie II - « Architecture des Réseaux » Agenda (deuxième journée) Interconnexion de réseaux Architectures étendues Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles page 3 Interconnexion de réseaux Objectifs Connaître les différentes technologies des réseaux d'entreprise Comprendre avantage & inconvénients des solutions du marché Plan Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notionsde deréseaux réseauxprivés privésvirtuels virtuels Notions Réseaux de mobiles page 4 Solutions d’interconnexion IP Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs : Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures) Le « packaging » des offres opérateurs s’orientent vers les Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP) Proposer des « prises IP » Agrémenter les accès de garanties en termes de : Qualité de Service (VPN-IP CoS) Sécurité (VPN-IP IPSec) page 5 Définition d’un VPN Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un réseau qui… … utilise et/ou partage des infrastructures publiques ou privées … met en œuvre des mécanismes de sécurité et de Qualité de Service Comparatif VPN / Réseau Privé VPN Réseau Privé + Coût + Maîtrise + Flexibilité + Sécurité + Externalisation - Moins de Maîtrise - Mobilisation ressources humaines importantes - Investissements lourds page 6 Définition d’un VPN Frame Relay VPN basé sur des infrastructures Frame Relay VPN Frame Relay (offre traditionnelle opérateur) Notion de CVP et de point-à-point Maillage complet Gestion par l’opérateur complexe Manque de flexibilité page 7 Définition d’un VPN IP De nouvelles offres : VPN IP (apparues il y a un an) IP Protocole universel au niveau des applications Extension au niveau du transport pour les offres de service réseau De nouveaux protocoles de gestion Qualité de Service MPLS : toujours en normalisation (essentiellement équipements) DiffServ : normalisé Sécurité IPSec Réseau constitué de routeurs IP Transport des flux IP de façon « native » (routage dynamique) page 8 Constitution d’un VPN IP (1) page 9 Constitution d’un VPN IP (2) Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission. A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution page 10 Constitution d’un VPN IP (3) Composantes Réseau de transport : infrastructure « backbone » ou Internet Moyens d’accès CPE (Customer Premises Equipment) : routeur, modem Connexion au réseau de transport via réseau d’accès Moyens de sécurisation Technologies propres au réseau de transport (ex. : CVP Frame Relay) Déploiement d’équipements et logiciels spécifiques Pare-feux Serveurs d’authentification/autorisation Plate-formes de services (hébergement) Messagerie, accès Web, etc. Infogérance Moyens de supervision page 11 Différents types de VPN IP VPN IP « Internet » Infrastructure entièrement publique Utilisation des réseaux ISP VPN IP « Opérateur » Infrastructure fournie par un prestataire MPLS ou non IPSec ou non VPN Frame Relay & IP Avantages & inconvénients Comparatifs page 12 Définition VPN IP Internet (1) VPN IP Internet Utilisation des infrastructures Internet « Intelligence » gérée au niveau des extrémités (CPE) Création de tunnels LAN/LAN ou LAN/PC Internet Site A Création d'un tunnel Site B page 13 Définition VPN IP Internet (2) VPN IP Internet Utilisation de protocoles de tunneling PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol) Utilisés dans le cadre d’accès commutés Environnement L2TP (Layer 2 Tunneling Protocol) Rassemble les avantages de PPTP et L2F Nombreuses multi-protocoles solutions constructeurs IPSec (IP Secured) Norme IETF initialisée en 1992, normalisée en 2000 Sécurité supérieure Associé à IP Intégré dans IPv6 page 14 Définition VPN IP Internet (3) VPN IP Internet Utilisation d’algorithmes de chiffrement DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation) Différents types de passerelle VPN IP Passerelle dédiée : équipement situé entre le routeur du LAN et Internet Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP) Passerelle intégrée au firewall Utilisation d’un serveur de sécurité (authentification/autorisation) Serveur Radius, etc. page 15 Sécurité des VPN IP Internet Fonctions Solutions • Authentification • Login & password • Contrôle d’accès • Calculette (jetons « secure-id ») • Signature électronique • Confidentialité • Tunneling • Intégrité des données • Chiffrement des données page 16 Les applications VPN IP Internet Applications non critiques, non temps-réel Internet : « best effort » Pas de qualité de service Création structure Extranet / Intranet Accès à distance à un Intranet / Extranet … depuis des sites de petite taille, ou situés à l’étranger … de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL) page 17 Définition VPN IP Opérateur (1) VPN IP Opérateur Réseau privatif sur infrastructure IP managée Réseau constitué de routeurs IP CE : Customer Equipment PE : Provider Edge PE PE PE P : Provider P P PE PE PE CE Site A P CE Virtual Path Site B page 18 Définition VPN IP Opérateur (2) VPN IP Opérateur Offres récentes Correspond à une logique d’externalisation (outsourcing) Service & gestion des équipements (y compris les CPE) par l’opérateur Deux stratégies d’opérateurs : gestion du protocole MPLS ou non Évolution du marché : MPLS page 19 VPN IP Opérateur MPLS : généralités Gestion de MPLS associé à DiffServ = QS et sécurité sous IP Priorisation des flux avec plusieurs classes de service disponibles Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence… Critique : ERP, SQL, transactionnel… Standard : Messagerie, consultation Web, … Entre 3 et 5 classes selon les offres opérateurs Optimisation de la bande passante MPLS assure l’étanchéité des flux (sécurité) Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante page 20 VPN IP Opérateur MPLS : QS et Applications Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles 1. Disponibilité de services 2. Délai de transmission 3. Gigue : variation du délai de transmission 4. Débit garanti 5. Taux des paquets perdus Les SLA sont associés aux classes de service L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité page 21 VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1) MPLS Développé par l’organisme IETF Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau Performances et sécurité sous IP Pas encore tout à fait mature Solutions différentes pour les équipementiers page 22 VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2) DiffServ Développé par l’organisme IETF Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique) Se combine à MPLS pour délivrer une Qualité de Service de bout en bout Intégré dans IPv6 Normalisé page 23 VPN IP Opérateur non MPLS : VPN IP IPSec Pas de gestion de MPLS L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné Mélanges fréquents avec des flux Internet Pas de classes de service (sauf recours à DiffServ) SLA perte de paquet, temps de transit… moins d’engagements qu’avec des offres MPLS Sécurité Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement Solutions VPN IP IPSec page 24 VPN IP Opérateur : applications Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication Offres bien adaptées aux structures et aux applications distribuées Offres adaptées à toutes les applications existantes et à venir Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée… page 25 VPN Frame Relay : avantages & inconvénients Avantages Inconvénients Maturité Manque de flexibilité (CVP) Qualité de Service Peu adapté aux accès à distance, aux Extranets, et aux structures maillées Sécurité (CVP) Multi-protocoles Technologie plutôt en fin de vie Adaptés aux structures en étoiles page 26 VPN IP : avantages & inconvénients VPN IP Internet Avantages VPN IP Opérateur Avantages Simplicité Idem « VPN IP Internet » Coût Qualité de Service Sécurité Sécurité Capillarité Aspect « any-to-any » Flexibilité Classes de service Évolutivité Visibilité sur le réseau Inconvénients Best effort Problèmes d’interopérabilité Mise en œuvre délicate Bien adapté aux nouvelles technologies d’accès Bien adapté aux applications temps réel Inconvénients Technologie récente et encore peu mature (MPLS) Offres encore incomplètes page 27 Comparatif Frame Relay et IP VPN Internet VPN Frame Relay VPN IP (MPLS) Réseau IP privé Intranet point-àpoint Possible mais problème de fiabilité Bien adapté et économique Bien adapté et très souple Solution très coûteuse Intranet maillé Possible mais problème de fiabilité Moyen, manque de souplesse (gestion de CVP) Réseau nativement maillé (any-to-any) Solution très coûteuse. Le maillage est possible mais doit être géré au niveau des routeurs d’accès. Accès distant Solution la plus simple et la moins coûteuse Peu d’offres existantes Peu d’offres existantes (via VPN Internet) Coût important mais solution la plus souple Extranets Solution la plus souple pour des échanges ponctuels mais problème de fiabilité Peu adapté (délais, coûts, …) Bien adapté, surtout pour des volumes échangés importants Solution souple et fiable mais coûts importants page 28 Comparatif VPN IP et réseau privé IP Coût VPN IP Opérateur + Évolutivité + QS + Coût Réseau Privé IP + Sécurité, Maîtrise - Coût - Forte implication de l’entreprise Qualité VPN IP Internet + Capillarité + Coût - QS aléatoire page 29 Solutions VPN Trois types de VPN IP VPN IP Internet VPN IP Opérateur IPSec VPN IP Opérateur MPLS Les offres VPN IP Opérateur cumulent… … les avantages du protocole IP (flexibilité, « any-to-any », coût) … les avantages des offres VPN Frame Relay (QS et sécurité) Évolution du marché vers les offres VPN IP MPLS Les offres VPN Frame Relay restent attractives pour certains besoins page 30 Migration vers un VPN IP (1) Réseau privé géré par l’entreprise Location de Liaisons Spécialisées à un opérateur Gestion des flux et de la QS par l’entreprise Solution VPN IP L’infrastructure réseau local des sites ne change pas Gestion des flux et de la QS par l’opérateur VPN Externalisation des coûts de gestion page 31 Migration vers un VPN IP (2) Concentration des communications sur une plateforme centrale Gestion des serveurs d'accès distant par l'entreprise. Communications au tarif local, national voire international Solution VPN IP Connexion des nomades via l'infrastructure d'accès du prestataire. Communications au tarif local Optimisation des coûts de communication page 32 Migration vers un VPN (3) La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines Infrastructure physique Sécurité logique Services applicatifs page 33 Différentes catégories d’acteurs Carrier to Carrier Fournisseurs d’Accès Internet Opérateurs IP Opérateurs Télécom Nationaux Opérateurs historiques Opérateurs de Boucle Locale page 34 Différents niveaux de VPN IP page 35 Différents positionnements (1) Choix de protocoles (fin 2001) Types de VPN Acteurs 9 Telecom Belgacom Cable & Wireless Cegetel Colt Completel Easynet France Telecom Equant Global Crossing Kaptech KPN Qwest Lambdanet Maiaah ! Siris Sprint Telia WorldCom FR x x x x ATM x x x x x x x x x x x x Accès IP avec IP sans Internet IP MPLS MPLS Sec x x x ? x x x en projet en projet x x x x x x x x x en projet x x x x x x x x en projet x x x x x en cours x Classes de Services Outil de reporting Nombre 4 ? 1 3 3 1 3 3 3 3 1 3 5 4 1 ? 3? En ligne x ? en option à l'étude x x x x x x à venir x x x x ? x page 36 Différents positionnements (2) Convergence vers MPLS Opérateurs VPN IP FT Equant Maiaah ! Cegetel 9 Telecom Belgacom Global Crossing Siris Colt Worldcom KPN Qwest Cable & Wireless Sprint Kaptech Easynet Protocoles de backbone supportant une offre VPN ATM FR IP natif IP MPLS en projet en projet en cours en projet Technologie absente Technologie présente page 37 Uniformisation des prestations (1) Prestations techniques (liées à l’implémentation du VPN IP) Raccordement des sites Gestion des accès Gestion des routeurs Gestion de la sécurité Transport Connexion au backbone Routage VPN client Traitement différencié des flux Accès à Internet Adresses IP Dépôt de noms de domaines Gestion de la sécurité Services d’accompagnement client Tuning, conseil, optimisation du VPN page 38 Uniformisation des prestations (2) Services proposés aux gestionnaires Gestion des modifications Fonctionnalités de reporting Services transverses Services de support Services de facturation SLA & contrats Mais encore beaucoup d’offres sur mesures page 39 Différents positionnements (3) Enrichissement des offres sur les types d’accès Acteurs RTC/RNIS 9 Telecom x Belgacom x Cable & Wireless x Cegetel x Colt x Completel x Easynet x France Telecom Equant x Global Crossing Kaptech x KPN Qwest Lambdanet Maiaah ! x Siris x Sprint Telia WorldCom x LS x x x x x x x x x x x x x x x x x Types d'accès VPN IP DSL BLR FO x à l'étude x x x x x x x x x x x à l'étude x x x x à l'étude x x GSM x x x x x x x à l'étude à l'étude x page 40 Sécurité dans les VPN L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer… Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux : Assurer la données … l’écoute des communications confidentialité des Assurer l’intégrité des données pendant le transport … la falsification des données échangées Assurer l’authentification certaine des parties en relations … l’usurpation d’identité Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographie page 41 Crypto-systèmes Crypto-système Fonction de Chiffrement Fonction de Déchiffrement Ensemble des clés utilisables Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement page 42 Crypto-systèmes symétriques Pour chiffrer / déchiffrer le message, on utilise une clef unique Cette clef est appelée clef secrète Une clef différente donne un résultat différent Fonction de Chiffrement Bonjour Clef secrète 8964K9X Fonction de Déchiffrement page 43 Crypto-systèmes asymétriques (1) Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes La clef de chiffrement est appelée clef publique La clef de déchiffrement est appelée clef privée Clef publique Bonjour Fonction de Chiffrement 8964K9X Bonjour Fonction de Déchiffrement Clef privée page 44 Crypto-systèmes asymétriques (2) La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus page 45 Mise en œuvre de la sécurité (1) La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels Son objectif est de créer un tunnel chiffré et authentifié entre deux points Le chiffrement et l’authentification des parties font appel à la cryptographie page 46 Mise en œuvre de la sécurité (2) Le protocole IP ne dispose nativement d’aucune fonction cryptographique Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie Extension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured) IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS) page 47 Protocole IPSec (1) IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatile (mise à jour à intervalle régulier) Cette clef est appelée clef de session L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique page 48 Protocole IPSec (2) IPSec introduit deux nouveaux protocoles IP AH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification ESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKE (Internet Key Exchange) page 49 Protocole IPSec (3) IPSec ajoute quelques fonctions intéressantes Perfect Forward Secrecy Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session Back Traffic Protection Chaque clef de session est générée indépendamment des autres La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir page 50 Points délicats de la sécurité (1) A quoi faire attention ?… Interopérabilité des équipements IPSec norme IETF (http://www.ietf.org/html.charters/ipsec-charter.html) Implémentation de la norme différente selon les équipementiers et éditeurs Certains équipements refusent obstinément de communiquer ensemble Amélioration progressive à prévoir Translation d’adresse (NAT) Les mécanismes de NAT réécrivent les paquets IP La translation d’adresse casse l’authentification Solutions NAT et VPN IPSec sur le même équipement Translation avant chiffrement page 51 Points délicats de la sécurité (2) A quoi faire attention ?… Postes nomades Quid en cas de vol d’un poste nomade ? Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple identifiant/authentifiant Envisager un mécanisme d’authentification forte page 52 L’avenir de la sécurité VPN La tendance est à l’implémentation native des fonctions IPSec dans les systèmes d’exploitation (ex. : Linux, Windows 2000, Windows XP, …) IPv6 intégrera la sécurité de façon native page 53 Concepts de Qualité de Service (1) Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots Mécanismes de priorisation Règles de gestion de la congestion (politiques de files d’attente) Mise en forme de trafic (lissage, shaping) Au sein d’un réseau, les liaisons n’ayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS page 54 Concepts de Qualité de Service (2) L’architecture orientée QS se compose de trois méthodes d’implémentation : Implémentation de bout-en-bout Techniques d’identification et de marquage Coordination de la QS entre deux équipements terminaux Implémentation locale à un équipement Mécanismes de files d’attente Outils de lissage de trafic Fonctions de contrôle et de gestion de la QS Compteurs Administration page 55 Concepts de Qualité de Service (3) page 56 Identification et marquage (1) Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifié Listes d’accès CAR (Committed Access Rate) NBAR (Network-Based Application Recognition) Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marqués ou non Le processus d’identification/marquage est appelé classification page 57 Identification et marquage (2) Identification sans marquage : classification locale L’équipement identifie des paquets appartenant à un flot Il met en œuvre une politique locale La classification « disparaît » et n’est pas transmise ou nœud suivant sur le chemin Exemples : Priority Queuing (PQ) Custom Queuing (CQ) Identification et marquage : classification globale Les paquets sont marqués pour l’ensemble du chemin Utilisation possible des bits de précédence IP Exemple : DiffServ (Differentiated Service) page 58 Implémentation locale de la QS (1) Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés Gestion de la congestion Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ? Stockage dans une file, plusieurs files Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing) Gestion des files d’attente Les buffers étant de taille limitée, ils peuvent « déborder » Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ? Exemple : WRED (Weighted Random Early Detect) page 59 Implémentation locale de la QS (2) Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés Efficacité des liens Les liens à bas débits posent le problème du délai de transmission (sérialisation) Exemple : un paquet de 1500 octets nécessite 214ms Les petits paquets sont pénalisés Solutions : Fragmentation Compression & entrelacement des en-têtes Mise en forme du trafic Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un lien bas-débit Exemple : trafic retour backbone vers accès Possibilité de « jeter » les trafics excessifs (CAR) page 60 Mise en œuvre de la QS La gestion de la QS sous-entend une méthodologie permettant d’évaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre : 1. Utilisation de sondes RMON a. Caractérisation du trafic b. Estimation des temps de réponse pour les applications critiques 2. Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques 3. Contrôle des effets de ces mécanismes a. Outils d’administration b. Tests de temps de réponse, de charge, etc. page 61 Niveaux de QS (1) Les niveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau d’un bout à l’autre Service « Best Effort » Aucune garantie de QS Connectivité simple, pas de différentiation de flots Files FIFO Service différencié Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible) Garantie « statistique » Classification + PQ, CQ, WFQ et WRED Service garanti Réservation absolue de ressources réseaux pour certains trafics RSVP, CBWFQ page 62 Niveaux de QS (2) Simple connectivité IP (Internet) Best Effort (IP, IPX, AppleTalk) Best Effort Différencié (Class First, Business, Coach) Différencié Certains trafics sont plus importants que les autres Garanti Garanti (Bande passante, Délai, Gigue) Certaines applications requièrent des ressources réseau spécifiques page 63 Classification Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués Identification Listes d’accès (ACL) Identification pour priorisation locale (PQ, CQ, CBWFQ) Pas de marquage des paquets Affectation d’une précédence IP (champ TOS étendu) Routage stratégique (PBR : Policy-Based Routing) Associé à une identification via ACL Déploiement en périphérie du réseau (ou de la zone de routage) Autres méthodes d’affectation de précédence CAR : marquage des paquets excédentaires NBAR : identification fine (niveau 4 à 7) Exemple : niveau 4 HTTP Exemple : niveau 7 URL http://www.iae-aix.com page 64 PBR (Policy – Based Routing) Le routage stratégique PBR permet… … de classifier le trafic à partir de listes d’accès étendues … de fixer les bits de précédence IP au sein des paquets identifiés … de router ces paquets sur des chemins spécifiques L’utilisation conjointe de PBR et des mécanismes de files d’attente permet de créer une différenciation des services PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP. page 65 CAR (Committed Access Rate) La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant l’allocation nominale de bande passante Élimination des paquets excédentaires Marquage (bits de précédence) des paquets excédentaires CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis d’un débit alloué Utilisation du mécanisme de « leaky bucket » (jetons) Similaire à l’algorithme de GCRA pour ATM (test du PCR) Bande passante Excédentaire Prec = 2 Conforme Prec = 6 Débit alloué page 66 NBAR : Network – Based Application Recognition NBAR effectue une identification dynamique des flots… … à un niveau supérieur Exemple : applications orientées Web (HTTP) URL MIME Contrôle des dialogues fixant les ports dynamiques … autorisant un marquage ultérieur plus fin page 67 QS différenciée Le marquage des paquets IP permettant d’appliquer des mécanismes de priorisation est réalisé à l’aide du champ Type Of Service (TOS) de l’en-tête IPv4 3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau) Extension à 6 bits (RFC 2475) pour DiffServ Utilisation du champ « Priority » en IPv6 page 68 Gestion de la congestion (1) En cas de congestion (surcharge d’un équipement ou d’un lien), les routeurs doivent stocker les paquets dans des buffers Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files d’attente Tri du trafic Méthodes de priorisation Les algorithmes les plus couramment utilisés sont : FIFO (First-In, First-Out) PQ (Priority Queuing) CQ (Custom Queuing) WFQ (Weighted Fair Queuing) CBWFQ (Class – Based WFQ) page 69 Gestion de la congestion (2) FIFO Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée lorsque la congestion disparaît Algorithme par défaut Aucune décision de priorité Aucune protection contre les sources excessives Lors du débordement, la perte s’effectue par la queue, sans distinction Priorité forte out in Priorité moyenne Priorité faible perte page 70 Gestion de la congestion (3) PQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Préemption totale des files prioritaires Priorité forte in out Priorité moyenne Priorité faible perte Pas d’indication de priorité page 71 Gestion de la congestion (4) CQ Classification du trafic L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur aux différentes classes de trafic Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin) Priorité forte in out Priorité moyenne Priorité faible perte Pas d’indication de priorité page 72 Gestion de la congestion (5) WFQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Le service est ordonnancé La pondération (Weight) est directement calculée à partir de la valeur de précédence Par défaut, sans priorisation, WFQ utilise le volume comme poids 6/10 in 3/10 perte out 6 Priorité forte 3 Priorité moyenne 1 Priorité faible 1/10 page 73 Gestion de la congestion (6) CBWFQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Le service est ordonnancé La pondération est décidée par l’administrateur Les poids sont calculés à partir de la part de bande passante allouée 1024 kb/s in 768kb/s Priorité forte out 2Mb/s perte Priorité moyenne Priorité faible 256 kb/s page 74 Gestion des files d’attente (1) WRED Principe Dérivation de RED (Random Early Detect) avec application des précédences IP Refuser des paquets entrants pour éviter la congestion et la perte Objectifs Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue » Refus des paquets entrants en fonction de leur priorité La décision de refus d’un paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file) page 75 Gestion des files d’attente (2) WRED Exemple : Capacité nominale de la file : 20 paquets Seuil pour les paquets de priorité forte : 20 Seuil pour les paquets de priorité moyenne : 15 Seuil pour les paquets de priorité faible : 10 1 Probabilité de refus 0,8 Faible 0,6 Moyenne Forte 0,4 0,2 0 0 5 10 15 20 25 Taille de la file page 76 Efficacité des liens (1) Problèmes Taille relative des paquets de données IP Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP) Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés Taille absolue des paquets de données IP L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue l’overhead Les petits paquets ont une plus forte part d’overhead que les gros paquets Exemples (TCP/UDP + IP = 40 octets minimum) FTP : 1500 octets utiles ~ 2.6% SQL : 256 octets utiles ~ 13.5% VoIP : 20 octets utiles ~ 66.7% page 77 Efficacité des liens (2) LFI (Link Fragmentation & Interleaving) Fragmentation des grands datagrammes (« jumbogrammes ») Entrelacement des fragments et des petits datagrammes Normalisation IETF en cours Fondée sur l’utilisation de PPP sur les liens bas-débits MCML (MultiClass extensions to Multilink PPP) Fragmentation in WFQ (Entrelacement) Grands datagrammes out Petits datagrammes Fragments page 78 Efficacité des liens (3) Compression des en-têtes Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-àpoint Paquets RTP/UDP/IP 40 octets d’en-tête (20 IP, 8 UDP, 12 RTP) Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo) Paquets TCP/IP 40 octets d’en-tête (20 IP, 20 TCP) Typiquement 500 à 1500 octets d’informations (FTP, e-mail, etc.) Compression des en-têtes Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point) page 79 Efficacité des liens (4) Compression des en-têtes Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point) Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le routage En-tête compressé : 2 à 5 octets Diminution de l’overhead Diminution du temps de sérialisation (insertion sur le support, transmission) Exemples de gains sur un lien à 64 kb/s ~ 4.5 ms FTP : réduction de 2.3% SQL : réduction de 11.8% VoIP : réduction de 58.3% page 80 Mise en œuvre de la QS Classification Efficacité des liens Administration Comptabilisation Gestion de la congestion (files d’attente) page 81 Interconnexion de réseaux Objectifs Connaître les différentes technologies des réseaux d'entreprise Comprendre avantage & inconvénients des solutions du marché Plan Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux dede mobiles Réseaux mobiles page 82 Boucle locale IP page 83 Mobilité & débit page 84 Spectre radio page 85 Réseau ad hoc page 86 WPAN & WLAN Complexité page 87 Bluetooth Technologie pour remplacer les câbles Débit inférieur à 1Mb/s Une dizaine de mètres Faible puissance Coût très bas page 88 Piconet Piconet de 8 utilisateurs – 1 maître et 7 esclaves (technique de polling) Débit 433,9 Kbit/s dans une communication full duplex 723,2 Kbit/s et 57,6 dans l’autre sens dans une communication déséquilibrée 64 Kbit/s en synchrone page 89 Scatternet page 90 Format du paquet Bluetooth Code d’accès Synchronisation. Identification. En-tête AM-ADDR: MAC-address Type: payload type Flow: flow control ARQ: fast retransmit HEC page 91 IEEE 802.11 (1) Réseau d'infrastructure page 92 IEEE 802.11 (2) Réseau en mode ad hoc page 93 Équipements : carte 802.11 page 94 Équipements : cartes Wi-Fi Prix Carte Wi-Fi au format compact flash : 170 € Carte Wi-Fi pour Palm : 150 € Carte Wi-Fi pour Visor : 150 € page 95 Wi-Fi embarqué D’ici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués A partir de 2003, les PDA seront équipés de Wi-Fi embarqués page 96 Équipements : points d'accès page 97 Équipements : antennes page 98 Architecture détaillée page 99 Réglementation française A l’intérieur des bâtiments Aucune demande d’autorisation Dans 38 départements : Bande 2,400 – 2,4835 GHz, puissance 100 mW Dans les autres départements Bande 2,4465 – 2,4835 GHz, puissance 100 mW Bande 2,400 – 2,4835 GHz, puissance 10 mW A l’extérieur des bâtiments (Hotspots) Dans 38 départements : Bande 2,400 – 2,454 GHz, puissance 100 mW Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation) Dans les autres départements Bande 2,400 – 2,4465 GHz : impossible Bande 2,4465 – 2,4835 GHz, puissance 100 mW page 100 Sécurité dans le Wi-Fi Accès au réseau Service Set ID (SSID) : équivalent au nom de réseau Access Control List (ACL) : basé sur les adresses MAC Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4 Nouvelle sécurité: TKIP, 802.1x et carte à puce page 101 La mobilité (1) page 102 La mobilité (2) page 103 Mobilité IP Objectifs 1. Un mobile doit être capable de communiquer avec d’autres machines après avoir changé son point d’attachement sur l’Internet 2. Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur l’Internet 3. Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP 4. Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet page 104 Mobilité IPv4 RFC 2002 Mobile Node : Nœud IPv4 qui peut changer de points d’attachement sur l’Internet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale) Home Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère) Foreign Agent : Routeur IPv4 situé dans le réseau visité par le mobile page 105 Scénario simplifié page 106