Chapitre X – Les réseaux de télécommunication Le réseau IP Cette infrastructure de télécommunication est destinée au transport de données en provenance d’applications multimédia. Toutes les applications utiliseront le protocole IP pour communiquer et génèreront du trafic de type unicast ou multicast. Conception Design physique Le réseau est déployé le long du réseau autoroutier wallon et est constitué d’une paire de fibres optiques. Sur cette paire de fibres optiques sont connectés des switchs IP accueillant les connexions des équipements de terrain déployés à proximité : caméras de vidéosurveillance de trafic, stations de comptage de trafic, … Quelque soit la topologie du réseau imposée par la disponibilité des fibres optiques et des possibilités de connexions au travers d’autres réseaux, l’architecture du réseau mise en place garantira aux applications la qualité de service requise dont les critères sont : - Débit minimum ; Isolation des flux ; Taux de perte ou d’erreur ; Délai de transmission ; Variation du délai de transmission ; Continuité du service en cas de disfonctionnement simple d’un élément participant au transport ou durant les périodes de maintenance et de modification du réseau. Pour supporter ces critères de qualité, les équipements constituant le réseau mettront en œuvre les fonctionnalités avancées suivantes : - Classification des paquets de données reçus en fonction de la classe de service souscrite, sur base du contenu de leur entête de niveau 2 et/ou de niveau 3 (niveaux de l’architecture OSI); - Vérification de la conformité du débit de chaque flux entrant en fonction du contrat souscrit ; - Marquage des champs de l’entête de niveau 2 et de niveau 3 des paquets de données ; - Gestion intelligente des mémoires tampons des interfaces de sortie afin de garantir une différenciation des services offerts, d’éviter la congestion et de diminuer l’impact d’un état de congestion sur certaines classes de service. Le design du réseau prendra en compte les effets cumulatifs dus au chaînage des équipements de transmission et par conséquent il limitera : - Le nombre d’équipements de commutation participant au transport d’un flux entre son point d’entrée et son point de sortie, en mode de fonctionnement normal ; - La diffusion des trafics multicast sur les liaisons principales ; - Le temps de convergence du réseau au niveau 2 et au niveau 3. La redondance du réseau maintiendra la continuité de tous les services proposés sous réserve que la capacité des liaisons le permette, soit en doublant les chemins de transmission ou soit en augmentant la robustesse des équipements. En cas de panne simple le temps de rétablissement des services sera un des critères qui interviendra lors de la sélection de l’architecture physique du réseau et des protocoles de niveau 2 et de niveau 3. La classification des paquets conduit à définir des applications génériques nécessitant des ressources réseau adéquates : la transmission de données relatives à la densité de trafic, fournies par les stations de comptage de trafic relayant les données des capteurs enfouis dans la chaussée n’exige bien évidemment pas les mêmes ressources que l’exploitation de caméras de vidéosurveillance de trafic. A ces applications génériques ont ensuite été associés des réseaux virtuels locaux (VLAN)) sur chaque site. Ainsi, l’ensemble des commutateurs du réseau est configuré de façon homogène avec les autres, quelques soient les équipements qui y sont connectés. Cela permet donc, dans le futur, d’y raccorder de nouveaux équipements d’autres types sans devoir adapter la configuration du commutateur. Seule la configuration de la porte sur laquelle est connectée le nouvel équipement doit être adaptée en conséquence. Le réseau autoroutier étant maillé, la topologie du réseau est donc constituée de boucles permettant de garantir la continuité de fonctionnement des équipements de télégestion du trafic, grâce au mécanisme de routage dynamique des commutateurs. Certains tronçons du réseau autoroutier ne permettent pas cette configuration en boucles (notamment les tronçons conduisant aux frontières de la Wallonie), et sont donc constitués d’antennes raccordées sur une des boucles du réseau. Les principaux nœuds du réseau sont installés dans les cabines existantes le long du réseau autoroutier wallon, hébergeant les autres équipements de télécoms. Ces cabines sont équipées de baies 19 pouces. Les autres nœuds, déployés afin de raccorder des équipements existants, seront installés directement dans les armoires de terrain, ou bien dans de nouvelles armoires spécifiques lorsque la place nécessaire à l’installation du commutateur n’est pas suffisante. Dimensionnement des commutateurs Un commutateur du réseau sert à acheminer le trafic des équipements terminaux de transmission de données (ETTD) qui y sont connectés, mais il sert également à acheminer le trafic en provenance des autres commutateurs du segment, voire d’autres segments. Un commutateur transporte donc le trafic local, et en transit. Les flèches de la figure suivante montrent les flux possibles transportés par chaque commutateur. Commutateur L2 ou L3 Figure X.2 : Propagation des flux Chaque commutateur est équipé de portes 1000Base-X connectées à la paire de fibres optiques, et de 24 ou 48 portes 10/100Base-TX accueillant les ETTD. La comparaison des débits associés au trafic local d’une part, et au trafic de transit d’autre part, le débit entre les portes 10/100Base-TX est nettement inférieur au débit des flux transitant via les deux portes étant donné que les ETTD le long d’un segment génèrent ou reçoivent des flux de données transitant par les ports 1000Base-X : leurs homologues se trouvant le plus souvent sur des sites différents. Considérant que les flux sont inexistants entre les ETTD d’un site, nous ne tenons compte que des débits entrants et sortants par les interfaces 1000Base-X dans le calcul des performances minimum des commutateurs non-modulaires équipés de 2 ports 1000Base-X, le total des débits commutés n’excède jamais la valeur de 2 Gbps ; soit approximativement 3,91 Mpps lorsque la taille des paquets IP vaut 64 octets. Les capacités de commutation (à 64 octets par paquet) des équipements constituant ce réseau doivent donc être supérieures à cette valeur. Une autre approche applicable à tous les commutateurs du réseau consiste à utiliser les informations relatives aux ETTD envisagés. Ceux-ci peuvent être répartis en deux classes : Les équipements transmettant leurs données vers un serveur informatique central, le trafic réseau génèrent des flux « unicast ». Les stations de comptage de trafic, les panneaux de signalisation dynamique, et les téléphones sur IP constituent des exemples de tels équipements. Les équipements transmettant leurs données à divers utilisateurs répartis sur plusieurs sites, génèrent des flux « multicast » (caméras de vidéosurveillance de trafic). La bande passante nécessaire à l’application vidéo est calculée à partir du nombre de flux d’une part, et de la bande passante maximale par flux (8Mbps). Un réseau destiné à accueillir 32 caméras devrait donc offrir une bande passante de 256 Mbps. Pour introduire les débits des autres applications dans le calcul de dimensionnement des commutateurs, nous supposons qu’elles utilisent une bande passante moyenne de 256 Mbps par liaison entre commutateurs. Le réseau déployé devra bien évidemment accueillir de nouveaux équipements dans le futur. Une réserve de 400% est donc appliquée afin de se réserver une capacité suffisante pour accueillir ces nouveaux ETTD sans affecter les performances du réseau. La formule suivante donne alors la capacité de commutation minimum requise : (multicast + (unicast x trunk)) x 400%. Design logique Niveau 2 Interfaces Les fonctionnalités des différents types d’interfaces sont décrites dans les sections suivantes : Interface d’accès au réseau : interface physique répondant à la norme IEEE802.3 qui ne possède pas d’adresse IP et qui est membre d’un seul VLAN. Elle participe au protocole IEEE802.1D dans un mode particulier : dès qu’un signal physique est présent, elle passe directement au mode « forwarding » sans passer par les étapes intermédiaires : « listening » et « learning » tel que défini dans le standard. Interface inter-commutateurs (interface routée) : interface physique IEEE802.3 ou POS qui possède une adresse IP. Cette interface n’est membre d’aucun VLAN, et n’accepte aucune trame comportant une entête IEEE802.1Q. Tous les datagrammes qui y transitent sont routés sur base de l’entête IP. Elle ne participe pas au protocole IEEE802.1D. Cette interface sert à interconnecter les commutateurs L3 de l’infrastructure. Interface inter-commutateurs – « trunk » : interface IEEE802.3 qui ne possède pas d’adresse IP et qui est membre d’un nombre restreint de VLAN. Elle transmet et accepte des trames comportant un entête IEEE802.1Q, et participe au protocole IEEE802.1D par VLAN. Tous les datagrammes qui y transitent sont bridgés sur base de l’entête MAC (MAC : Media Access Control). Elles serviront principalement à interconnecter les commutateurs L2 aux commutateurs L3. Interface inter-commutateur – « channel » : interface logique IEEE802.3ad qui regroupe plusieurs interfaces de type « trunk » pour former un seul lien logique au niveau 2 du modèle OSI. Comme les interfaces « trunk », elle ne possède pas d’adresse IP, elle est membre d’un nombre retreint de VLAN, elle transmet et accepte des trames comportant une entête IEEE802.1Q, et elle participe au protocole IEEE802.1D par VLAN. L’équilibrage de la charge de trafic sur les interfaces physiques d’une interface logique IEEE802.3ad est réalisé sur base des adresses sources et destinations de l’entête IP des trames transmises pour maintenir l’ordonnance des datagrammes émis par les ETTD. Tous les datagrammes qui y transitent sont bridgés sur base de l’entête MAC. Elles serviront principalement à interconnecter les commutateurs L2 aux commutateurs L3 Protocole UDLD Le protocole UDLD (UDLD : UniDirectional Link Detection) est un protocole de couche 2 qui permet aux commutateurs connectés via des fibres optiques de détecter automatiquement qu’une des directions de la liaison est interrompue ou qu’une inversion existe entre les fibres optiques de plusieurs paires. Dès que l’incident est détecté, il stoppe le ou les ports concernés, évitant aux protocoles des couches supérieures de mal fonctionner. Sécurité d’accès Pour limiter et sécuriser l’accès au réseau via les commutateurs de terrain, les ports libres seront désactivés par software et les ports 10/100Base-T utilisés pour connecter des ETTD seront configurés pour filtrer les trames entrantes sur base de l’adresse source de leur entête MAC. VLAN Définition L’isolement de niveau 2, la sécurité d’accès et la classification des services sont les critères principaux qui interviennent dans la définition des VLAN nécessaires sur chaque site pour assurer un service sécurisé de qualité aux différentes sources de données ou de trafics. Une première séparation est introduite entre les ETTD supportant et ne supportant pas des applications multicast pour éviter toute influence négative du trafic multicast sur les équipements ne transmettant qu’en mode unicast. La deuxième concerne les applications qui sont regroupées suivant trois classes : exploitation, équipement et voix sur IP. A terme le nombre de VLAN alloués aux applications ne pourra jamais dépasser 10, car il est impératif de limiter le nombre de sousréseaux IP actifs que le protocole de routage doit propager dans le réseau. Les interfaces de gestion IP (SNMPou TELNET) des commutateurs L2 et des alimentations secourues sont regroupées par site dans un VLAN séparé qui n’est accessible qu’à partir des stations de gestion. Dans les commutateurs, un VLAN est toujours associé à un nom et à un numéro d’identification compris entre 1 et 1005 qui est utilisé comme tag ID dans les trames IEEE 802.1Q. Les noms des VLAN sont construits à partir du nom du commutateur suivi un trait d’union et du nom générique du VLAN. Cette méthode permet d’attribuer un nom unique à chacun des VLAN du réseau de télécommunication. Le protocole client-serveur VTP (VTP : VLAN Trunking Protocol), mettant à jour les bases de données des VLAN, est désactiver (mode transparent) dans tous les commutateurs pour éviter de créer tous les VLAN dans les commutateurs du réseau d’étendre les VLAN et leur domaine STP au-delà de trois sites, et d’épuiser tous les numéros d’identification. Mais le long du segment les numéros d’identification sont assignés qu’une seule fois. Topologie Chaque site a des VLAN distincts qui regroupent les ETTD dans un domaine de broadcast par type d’application. Les types de VLAN disponibles sont identiques pour tous les sites du réseau. L’étendue des VLAN est limitée au site si le commutateur installé sur le site est du type L3, par contre si le commutateur est du type L2, les VLAN s’étendent jusqu’aux commutateurs L3 des sites adjacents. Un VLAN spécifique existe entre chaque paire de commutateurs L3 séparés par un commutateur L2 pour échanger les informations de routage et pour transmettre le trafic en transit. Protocole STP Le protocole IEEE802.1D est activé par VLAN sur l’ensemble des commutateurs bien qu’il n’ait aucune boucle de niveau 2 dans l’infrastructure mise en place. Car il se pourrait que par inadvertance une telle boucle soit créée, et pour éliminer automatiquement la boucle et éviter tout risque d’un « broadcast storm », le protocole est activé systématiquement. Niveau 3 - Unicast Plan d’adressage Le plan d’adressage adopté pour les réseaux de télégestion internes à une organisation adopte un préfixe destiné à l’usage des réseaux IP privés. Ce plan d’adressage est ensuite structuré pour obtenir une hiérarchie qui facilite la création de filtres qui servent à la classification des flux en fonction de la qualité de service souhaitée, et sécurisent l’accès aux équipements. Le préfixe associé au réseau est scindé en deux parties : La première partie est destinée aux applications spécifiques. La seconde partie est destinée aux applications génériques qui sont présentes sur la plupart des sites. Protocole HSRP Le protocole HSRP (Hot Standby Router Protocol) est décrit dans le RFC 2281, et a été conçu pour sécuriser la passerelle par défaut des ETTD lorsque plusieurs routeurs participent à un même domaine de broadcast. En fonctionnement normal, un des routeurs joue le rôle de passerelle par défaut et, dès qu’il tombe en panne, un des autres routeurs actif sur le même domaine de broadcast reprend la main dans un laps de temps fixe configurable. Le protocole HSRP est complètement transparent pour les ETTD quel que soit le commutateur qui passe et qui reprend le rôle de passerelle par défaut. Le temps de convergence en cas de panne est fixé à 1 seconde et le temps de préemption à 300 secondes. Le droit de préemption a été temporisé afin que le commutateur, qui devient opérationnel, aie le temps d’obtenir la base de données OSPF et de reconstruire sa table de routage avant de faire valoir sa priorité à reprendre le rôle de passerelle par défaut. Protocole OSPF Topologie Il est important de tenir compte dès à présent de l’évolution future du réseau, pour éviter qu’il faille adapter la topologie de routage du réseau opérationnel à chaque nouvelle extension. Un système autonome (AS : Autonomous System) est un domaine de routage sous le contrôle d’une administration ayant ses propres règles de routage et un unique protocole de routage. Deux approches sont possibles: - Les réseaux actuel et les extensions futures appartiennent tous à un seul système autonome ; - Le réseau actuel appartient à un système autonome indépendant, les extensions futures constitueront également des systèmes autonomes. La première approche exige, vu la taille en nombre de commutateurs L3, de liaisons et de sousréseaux IP du système autonome, d’utiliser un protocole de routage hiérarchique tel que OSPF et de placer le réseau actuel dans une aire spécifique. En adoptant la topologie hiérarchique, au lieu de gérer une base de données relativement importante unique au système autonome, à partir de laquelle les informations de routage sont extraites, les commutateurs L3 gèrent une base de données qui ne contient que les détails de la topologie de l’aire à laquelle ils appartiennent. Si des changements de topologie se produisent dans l’aire suite à des incidents ou des modifications, ils ne sont propagés qu’au sein de l’aire et les bases de données des autres aires restent inchangées et stables. La stabilité des informations de routage est garantie et le temps de convergence en cas d’incident est maintenu en dessous des 10 secondes. En mode hiérarchique, le protocole OSPF requiert une aire fédératrice, appelée backbone, qui interconnecte les aires et par laquelle tout trafic entre deux aires transite. Pour éviter une topologie maillée qui s’avérerait trop complexe ou une topologie en anneaux qui s’avérerait peu performante, les liaisons reliant les aires des réseaux à l’aire backbone aboutissent en étoile à des routeurs fédérateurs. Les commutateurs L3 du site central remplissent parfaitement cette fonction, étant donné que tous les réseaux auront des liaisons avec ce site. L’aire backbone s’étend malgré tout jusqu’aux réseaux pour que les commutateurs fédérateurs n’aient pas à gérer en plus de la base de données de l’aire backbone celles associées aux aires des réseaux. La deuxième approche consiste à subdiviser l’infrastructure réseau en plusieurs systèmes autonomes, d’assigner un protocole de routage à chaque système autonome et d’utiliser le protocole de routage BGP (BGP : Border Gateway Protocol) pour échanger dynamiquement les informations de routage entre les systèmes autonomes. Cette approche sera choisie si les réseaux deviennent tellement importants que des instabilités de routage apparaissent parce que la base de données OSPF de l’aire associée est trop importante. La technique la plus utilisée pour résoudre ce type d’instabilité consiste justement à subdiviser le système autonome initial en plusieurs systèmes autonomes pour introduire un deuxième niveau de hiérarchie : l’infrastructure est divisée en systèmes autonomes qui sont eux-mêmes scindés en aire. Elle permet d’obtenir, à l’aide des protocoles BGP et OSPF, les deux niveaux de hiérarchie Sécurité d’accès Pour éviter que certains ETTD ne soient accessibles à l’ensemble des utilisateurs de l’infrastructure de télécommunication, les datagrammes IP destinés à certaines applications sont filtrés juste avant d’être transmis au destinataire. Les filtres agissent sur l’adresse IP source des datagrammes en sortie des interfaces d’accès. Et comme les applications sont regroupées par VLAN, les listes des entrées des filtres sont très courtes. Niveau 3 – Multicast Plan d’adressage Le plan d’adressage multicast exploite un préfixe appartenant à la série de préfixes destinée à l’usage des réseaux IP privés. Protocole PIM L’infrastructure de télécommunication utilise le protocole PIM-SM (PIM-SM : Protocol Independent Multicast-Sparse Mode) pour propager les informations de routage multicast. Pour fonctionner le protocole PIM-SM requiert en plus d’un protocole unicast plusieurs processus : - RP (RP : Rendez-vous Point) ; - BSR (BSR : BootStrap Router). Ces processus seront dédoublés sur des commutateurs L3 distincts pour garantir la continuité de service en cas de défaillance d’un des commutateurs les hébergeant. Topologie Deux processus RP sont activés par réseau. Ils s’annoncent à deux processus BSR hébergés par les commutateurs du site central et y enregistrent le préfixe multicast alloué au réseau auquel ils appartiennent. Un seul processus RP dessert une zone déterminée, mais il peut assurer le cas échéant l’intérim du processus de l’autre zone du réseau auquel il appartient. Processus BSR Le processus BSR élimine la fastidieuse tâche de configurer les points de rendez-vous dans tous les commutateurs L3 du réseau. Il s’annonce lui-même de proche en proche à tous les routeurs du réseau qui, en retour, s’ils hébergent un processus RP, enregistrent les adresses IP des processus RP et les préfixes multicast qu’ils représentent. A intervalle régulier, le processus BSR annonce tous les processus RP en générant un message qui contient les adresses IP des processus RP connus classés par préfixe multicast. En plus de l’information concernant les points de rendez-vous, le paramètre « hash mask length » est transmis pour permettre aux routeurs multicast des sélectionner séquentiellement les RP d’un préfixes multicast. Ce paramètre est positionné à 23 pour que chacun des processus desserve une zone. Processus RP Le processus RP établit la jonction pour un groupe multicast entre plusieurs chemins créés dans des directions opposées par rapport à lui. Les chemins SPT (SPT : Shortest Path Tree) sont crées par les routeurs qui reçoivent les flux directement des sources. Les chemins RPT (RPT : Rendez-vous Point Tree) sont crées par les routeurs à qui les récepteurs envoient des messages IGMP pour notifier qu’ils souhaitent participer à un groupe multicast et recevoir tous les flux de ce groupe. Afin d’établir un chemin vers RP pour un groupe multicast donné, tous les routeurs utilisent le même algorithme pour sélectionner un RP sur base des informations qu’ils ont reçues du BSR. Qualité de service La qualité de service a pour objet de garantir à chaque type de flux les ressources réseau nécessaires. Classes de service Les classes de service disponibles ont été définies en tenant compte de la diversité et des caractéristiques des flux de données pour leurs garantir un niveau de service équitable et adéquat. Elles sont au nombre de 9 et à chacune correspond un DSCP (DSCP : Differentiated Services Code Point) et un nom mnémotechnique. Table 1 : Classes de service Classe de service MgtNet Routing DSCP CS7 CS6 Application Gestion du réseau Protocole de routage VoiceStream VideoStream CS5 AF41 Téléphonie : voix Vidéo surveillance : image VoiceSign TeleCtrl AF31 AF32 Téléphonie : signalisation Vidéo surveillance : contrôle Télémétrie MgtEttd AF21 Gestion des ETTD MedData LowData AF11 BE Données prioritaires Données non-prioritaires Vu qu’à l’heure actuelle, la plupart des applications sont incapables de marquer le champ TOS (TOS : Type Of Service) de l’entête IP des datagrammes générés, les commutateurs sont obligés de classifier et de marquer les flux de données entrant dans le réseau. Ces fonctions de classification et de marquage sont déployées à l’entrée des interfaces physiques d’accès, sous la forme règle (policy). Une règle différente est définie pour chaque classe d’application afin de ne classifier les datagrammes IP qu’en fonction des adresses IP de destination. La règle définie pour la classe des applications « ExplM » comporte une fonction supplémentaire qui limite le trafic multicast entrant à 10 Mbps pour éviter qu’un encodeur vidéo défectueux ne s’accapare une grande partie de la bande passante des liens 1000Base-X. La Error! Reference source not found.8, sous forme d’une matrice des flux, synthétise les droits d’accès au sein du réseau. Table 2 : Matrice de classification GestNms ExplU ExplM CS7 CS7 AF21 AF21 AF21 AF21 CS7 CS7 AF21 BE BE BE AF21 AF21 AF21 AF21 AF21 AF21 BE BE BE BE BE BE BE BE BE BE BE BE na na na GestNms GestOws ExplU CS7 BE AF21 CS7 BE AF21 AF21 BE AF21 AF21 AF21 AF21 AF1 AF32 BE AF21 BE AF32 BE AF11 AF11 BE AF11 AF11 BE BE BE BE BE BE na na na ExplM AF21 AF21 AF21 AF21 AF32 BE AF21 AF32 BE AF41 AF32 AF11 AF11 BE BE na EquiSv EquiCl BE BE BE BE BE BE BE BE AF11 AF11 AF11 AF11 AF11 AF11 BE BE BE BE BE BE BE BE na na Voip BE BE BE BE BE BE BE BE BE CS5 AF31 BE na Autres BE BE BE BE BE BE BE BE BE BE BE na Autres Voip EquiCl Routing GestEqui CS7 CS7 AF21 EquiSv InertRt GestRt InterRt GestEqui Source GestOws GestRt Destination Routing na na na na na na na na na na na CS6 Légende : na = non-applicable Gestion des files d’attente A chaque classe de services est associée une file d’attente ou tampon qui est paramétrée en fonction de la bande passante requise et de la qualité de service souhaitée (cf. table 3x). Les algorithmes de gestion et d’évitement de la congestion, mise en place sur les interfaces physiques intercommutateurs, allouent une partie de la bande passante de l’interface et de la mémoire tampon du commutateur d’après ces paramètres. Table 3 : Per-Hop Behavior Classe de service MgtNet CoS 7 DSCP CS7 56 BW low Délais med Jitter med Perte low Routing VoiceStream VideoStream 6 5 4 CS6 CS5 AF41 48 40 34 low low high med low med med low low low low low VoiceSign TeleCtrl 3 3 AF31 AF32 26 28 low low med med med med low med MgtEttd MedData LowData 2 1 0 AF21 AF11 BE 18 10 0 low med unspec high low high high low high low low high Télégestion Synchronisation du temps Le protocole NTP (NTP : Network Time Protocol), standardisé dans le RFC1305, est utilisé pour distribuer une même référence de temps à l’ensemble des équipements réseaux de l’infrastructure de télécommunication. Les serveurs sont hébergés par les deux commutateurs fédérateurs du site de Perex étant donné que leurs positions dans le réseau sont centrales et qu’ils possèdent une horloge interne sauvegardée par une batterie. Ils se synchroniseront, pour compenser la dérive de leur horloge interne, à une ou plusieurs références officielles ( serveur NTP équipé d’une antenne de synchronisation sur l’horloge atomique de Franckfort) et ils se secourront mutuellement dans l’éventualité que l’un d’entre eux perdrait toutes ses références. Les autres équipements, activés en mode client, se synchronisent tous sur les deux serveurs. Le serveur NTP, synchronisé sur l’horloge de Franckfort sera également exploité pour synchroniser les serveurs de données hébergés au centre PEREX, ou sur d’autres sites et connectés au réseau IP. Télésurveillance Interface CLI L’interface CLI (CLI : Command Line Interface) est une interface utilisateur permettant de configurer et de surveiller le bon fonctionnement des commutateurs. Elle est accessible en mode outband par le port console ou inband par une session TELNET. L’interface CLI est protégée : - Chaque utilisateur doit s’identifier à l’aide d’un nom d’utilisateur et d’un mode de passe associé avant de pouvoir accéder au niveau utilisateur de l’interface CLI. - Pour passer du niveau privilégié, qui permet d’accéder à d’autres commandes, entre autres, au mode configuration, un mot de passe est nécessaire. Ce mot de passe est identique à tous les utilisateurs. L’interface CLI est aussi protégée lorsqu’elle est accédée en mode inband. La provenance des paquets IP est contrôlée à partir d’un filtre autorisant seulement une série d’adresses IP d’accéder à l’interface CLI. Interface SNMP Les valeurs par défaut des « community strings » de l’interface SNMP (SNMP : Simple Network Management Protocol) doivent être modifiées. Afin de sécuriser les commutateurs contre toute tentative de malveillance, l’accès à l’interface est limité à un nombre restreint d’utilisateurs. La provenance des paquets IP est contrôlée à partir d’un filtre autorisant seulement une série d’adresses IP d’accéder à l’interface SNMP. Application centrale de télésurveillance de l’ensemble du réseau. L’application informatique de télésurveillance du réseau permet de surveiller de façon continue la connectivité, et les services, de chaque nœud du réseau. L’application exploitée pour le réseau IP de télégestion des routes est l’application NAGIOS. Celle-ci offre les avantages suivants : Application Open Source, donc pas de licences d’exploitation à acquitter. Solution modulable permettant la création de vues adaptées aux spécificités du réseau, et à son évolution. Serveur web permettant l’exploitation de l’application à partir de n’importe quel PC. Application centrale de télégestion La gestion centralisée des configurations de tous les commutateurs permet de diffuser sur l’ensemble des commutateurs de nouvelles configurations sans intervenir manuellement sur ceux-ci en exploitant le CLI précité. Cette application est « propriétaire », chaque fournisseur d’équipements de télécoms offrant sa propre solution. Documentation La documentation fournie dans le cadre de l’entreprise est rédigée en Français , comportera autant de chapitres que de matières traitées, et sera livrée sur support informatique : Les différentes études menées au cours de la phase de conception du réseau constitueront, dans leur version approuvée, la documentation conceptuelle. Le plan du réseau, les plans d’adressage, et la liste des équipements (liste des commutateurs précisant les types et modèles d’équipement, et des cartes intégrées, avec numéros de série). Sur la fiche de chaque nœud seront reprises les différentes adresses IP, ainsi que les adresses des réseaux qui y sont configurés. Les plans d’adressage IP seront documentés sous forme de formules génériques d’une part, et sous forme de tableaux d’autre part. Les configurations de chaque équipement seront fournies (dans le même ordre que la liste d’équipements). Pour chaque nouvelle armoire, une farde plastifiée sera fournie sur site et comprendra tous les documents y relatifs, ceux-ci étant également joints sur le support informatique. Ces documents comprendront : o Une page de garde avec localisation, identification du site, et plan d’accès. o o o o o Un plan du site au format DWG positionnant l’armoire par rapport à la chaussée, reprenant ses coordonnées GPS, ainsi que les câbles (alimentation électrique, câble téléphonique et/ou fibres optiques, …). Quelques photos du site prises sous des angles complémentaires. Le schéma de l’occupation de l’armoire, identifiant les différents équipements. Le schéma unifilaire électrique, identifiant l’origine de l’alimentation électrique. La liste du matériel mentionnant le numéro de série de chaque équipement. Exploitation et raccordement d’équipements Introduction Le texte qui suit décrit les conditions d’exploitation du réseau IP de télécontrôle de trafic déployé le long des autoroutes wallonnes. Cette exploitation dit bien évidemment s’étudier avec la Direction de la Télécommunication de la DGO1, car des informations spécifiques à chaque site doivent être fournies au cours de l’étude. Généralités Le réseau est constitué d’une succession de nœuds raccordés sur une même paire de fibres optiques à une inter distance de l’ordre d’une dizaine de kilomètres en section courante. Les inter distances sont réduites sur les sections à haute densité de trafic, et donc suréquipées en équipements de télésurveillance de trafic. L’installation de nouveaux équipements sur le réseau, ou la migration d’équipements d’ancienne génération exploitant le réseau téléphonique en Cuivre, nécessite l’installation de nouveaux nœuds à proximité. Afin de ne pas affecter le fonctionnement du réseau existant, le raccordement de ces équipements est réalisé sur une seconde paire de fibres optiques entre deux nœuds existants. Cette seconde paire utilisée le long du réseau autoroutier constitue alors un réseau secondaire, ayant pour but l’accès au premier. Sur certains tronçons, et en fonction des spécificités des équipements de terrain à raccorder, ce réseau secondaire exploitera le câble téléphonique, afin de ne pas mobiliser une seconde paire de fibres optiques sur le tronçon. Préalablement à l’installation de nouveaux commutateurs ou de nouveaux réseaux secondaires entre deux nœuds du réseau primaire, l’adjudicataire démontrera la compatibilité totale entre les nouveaux équipements proposés et les équipements existants. Si la documentation accompagnant ces nouveaux nœuds ne donnent pas de garantie explicite sur cette compatibilité, des tests seront réalisés en raccordant des équipements identiques en laboratoire, sur lesquels auront été programmées des configurations identiques à celles exploitées sur le terrain. L’ensemble des dispositions reprises au chapitre précédent « Conception » est donc entièrement d’application pour toute extension du réseau. Outre la compatibilité avec les nœuds du réseau sur lesquels seront connectés ces nouveaux équipements, il s’agira d’évaluer leur compatibilité avec les systèmes informatiques de télégestion exploités pour la télésurveillance et la télégestion du réseau. Les MIB SNMP nécessaires à la surveillance des nouveaux nœuds seront fournies dans le cadre du marché. La configuration des nouveaux nœuds sera étudiée afin d’assurer une parfaite cohérence avec les équipements constituant le réseau actuel. Le plan d’adressage des interfaces et des VLAN des nouveaux nœuds seront également définis en parfaite conformité avec le plan d’adressage du réseau en exploitation, et en collaboration avec la Direction de la Télécommunication. Lorsque des équipements distants du réseau doivent être raccordés au réseau, la solution qui consiste à poser des câbles sera systématiquement comparée aux autres solutions, consistant à exploiter les réseaux câblés ou non d’autres opérateurs de télécommunication. La présence de signaux GPRS-EDGE ou GPRS-EDGE-UMTS-HSPDA doit être stable dans le temps. En outre, l’exploitation de ces réseaux ne peut s’envisager pour des équipements de télégestion de trafic dont la fonction est essentielle en situation de crise. En effet, le principe de base de ces réseaux est le partage des ressources entre tous les utilisateurs du réseau. En conséquence, lorsqu’un accident de trafic, des conditions exceptionnelles, un objet encombrant, ou toute autre cause, provoque des files sur le réseau routier, les usagers initient de nombreuses communications provoquant de la sorte une chute brutale de la bande passante disponible pour les équipements de télégestion de trafic. Services offerts par le réseau IP Le réseau IP déployé le long des autoroutes wallonnes offre les services suivants : Mise à disposition de portes Ethernet RJ45 de type 10/100 Base T sur tous les sites équipés. La connexion d’un équipement doit être demandée préalablement à la Direction de la Télécommunication, avec un délai de minimum 5 jours ouvrables s’il s’agit d’un équipement de même type que ceux déjà connectés sur le réseau. L’installation d’équipements d’un type nouveau doit être préalablement étudiée avec la Direction de la Télécommunication. Les adresses IP (publiques ou privées) sont déterminées par la Direction de la Télécommunication, afin de garder la cohérence du plan d’adressage, de respecter les réseaux virtuels programmés dans le réseau, et de limiter la taille des tables de routage. Routage des données et gestion des flux offrant les garanties de performances et de disponibilité décrites au chapitre … Télésurveillance des équipements via l’application NAGIOS, un accès et des vues spécifiques pouvant être développés en accord avec la Direction de la Télécommunication. La télésurveillance n’est possible qu’à partir du réseau informatique interne du SPW (Intranet). Synchronisation des équipements de terrain sur le serveur NTP du centre PEREX. Les informations y relatives seront fournies par la Direction de la Télécommunication. Le centre PEREX est équipé d’un serveur de mails destiné à la télégestion des infrastructures. Toute application de télécommande ou télégestion associée à un type d’équipements de terrain peut ainsi générer des alarmes ou des messages d’informations transmises via email aux utilisateurs. Une adresse, ainsi que les paramètres d’accès à ce serveur, sont disponibles auprès de la Direction de la Télécommunication. Obligations de l’utilisateur : L’utilisation de programmes permettant le scanning de ports, l’envoi de broadcasts, ou l’utilisation de sondes réseau est strictement interdite sans l’accord préalable de la Direction de la Télécommunication. Toute tentative de connexion, de prise de contrôle, ou de modification de la configuration, d’un équipement constituant le réseau ou connecté au réseau est strictement interdite aux intervenants non autorisés.