SIIEE :Architectures, réseaux

Présentation au sujet: "SIIEE :Architectures, réseaux"— Transcription de la présentation:

1 SIIEE :Architectures, réseaux
et sécurité dans l’EPLE EOLE (Ensemble Ouvert Libre Evolutif)

2 Remerciements à P. Danel - directeur du CRDP d’auvergne - CTICE de l’académie de clermont-Fd. D. Busson - directeur du Centre Informatique Académique de Clermont-Fd. L. Bourdot - Chef de projet EOLE - CTIAD de Dijon. M.Affre - Chef du bureau DA A3. Ministère de l’Education Nationale. Pour leur soutien et leur confiance. F. Alcaraz - Conseil Régional d’Auvergne et le groupe technique “resauv” chargé de la mise en place du réseau régional d’Auvergne (coopération enseignement supérieur , santé, recherche, enseignement secondaire …) Pour le partenariat qu’ils ont contribué à instaurer. Les auteurs : AM Bondi- responsable informatique CRDP d’auvergne - DATICE G Chaideyrou - responsable équipe réseaux - CIA Clermont-Fd

3 SIIEE :Architectures, réseaux et sécurité dans l’EPLE
Textes de références : - lettre conjointe DA / DT adressée aux recteurs le 5 Avril 2002 : “SIIEE” - comprenant une annexe “recommendations en terme de sécurité - SIIEE” - comprenant une note de cadrage “SIIEE”. la présentation suivante s’appuie sur ces textes, et utilise EOLE (AMON) à titre d’exemple. EOLE (Ensemble Ouvert Libre Evolutif)

4 préambule Le contexte en EPLE:
critères “ethniques” : diverses communautés. Critères “topologiques” : contraintes géographiques. Les “réticences”: sécuriser = “empécher de travailler ?” = “espionner ?” = “niveller ?” attitudes “nombrilistes” , syndrome de la “bonbonnière” , syndrome du “mécanicien” … Le résultat attendu: un extranet EPLE qui : réponde à tous les besoins … et prévoit l’imprévisible !!!

5 EOLE : préambule EOLE est un concept organisé autour de “modules”:
Module AMON : pare-feu. * Module VPN (chiffrement) * Module messagerie * ... Cette présentation concerne principalement le module AMON (… et VPN…)

6 Plan de la présentation
EPLE: l’existant. Politique de sécurité / zones de confiance. Architecture EOLE (AMON). principes de migration. Les règles de communication inter-zones. EOLE : l’approche technique - adresses. Bilan provisoire / discussion

7 EPLE : l’existant.

8 Numeris 1 Numeris 2 Problèmatique : Mais devant: Réseau académique
Fournisseur d’accès Internet Réseau régional ? Problèmatique : ¤ Migration vers des nouvelles technologies (BLR, ADSL, RR ...). Evolutions en respectant l’existant Réseau administratif 10.xx.yy.0 (24/8) Mais devant: ¤ garantir la sécurité de l’EPLE ¤ aider au respect de la loi pour la protection des mineurs 10.xx.1yy.0 (24/8) Réseaux pédagogiques ¤ rendre un meilleur service (optimisation BP, mutualisation …)

9 Qu’apporte EOLE (AMON) ?
Intégrer de nouvelles solutions (BLR, ADSL, RR ...) garantir la sécurité de l’EPLE - responsabilités juridiques ? rendre un meilleur service (optimisation BP, mutualisation …) respect de l’existant Banaliser la méthode de raccordement de l’EPLE vers l’exterieur. Pare-feu , logiciels de protection des mineurs … services réseaux cache (DNS, proxy FTP, HTTP …) intégration sur mesure

10 EOLE (pare-feu AMON) Une approche de la sécurité de l’EPLE par définition de zones de confiance

11 EOLE : zones et niveaux de sécurité
“la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la cour” : lieu protégé de la rue, c ’est un lieu de partage et d’échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité.

12 EOLE : zones et niveaux de sécurité
“la rue” : lieu ouvert , accessible depuis le monde entier, la rue offre un niveau de sécurité très faible. On peut y faire les meilleures comme les pires rencontres. “la rue” “maison” ADM “la cour” “la cour” : lieu protégé de la rue, c ’est un lieu de passage, partage et échange. On s’y promène sans grande crainte, mais une certaine prudence reste de mise … on peut y cotoyer des inconnus, … dument invités ou non. “Les maisons” : les habitants d’une maison sont clairement identifiés. A part eux, personne n’est habilité à rentrer dans une maison sans y être invité. Dans chaque maison, on se sent en sécurité. “maison” PEDAGOGIUE Autre “maison” Eole est le garant de l’application de cette “POLITIQUE de SECURITE conformement aux “recommendations en terme de sécurité - SIIEE” du 5 Avril 2002

13 EOLE : zones et niveaux de sécurité
“la rue” Mettre en place des zones et niveaux de sécurité n’a pas pour but d’empecher le dialogue entre des partenaires. “maison” ADM “la cour” Mais au contraire, de permettre à des partenaires de dialoguer en toute confiance. “maison” PEDAGOGIUE Autre “maison”

14 EOLE : un concept évolutif
une réponse homogène pour l’académie qui répond aux besoins d’aujourd’hui. un concept générique, mais qui sait s’adapter aux cas particulier Une architecture qui peut s’étendre par adjonction de nouveaux boitiers EOLE

15 1 EOLE ou 2 EOLEs ? Réseau Réseau(x) pédagogique(s)
“maison” ADM L’administration, l’intendance ... PEDAGOGIQUE Les salles de classe “La rue” Réseau Réseau(x) pédagogique(s) Visible du mode entier “maison” Greta ou autres reseaux greta ADM “La cour” Visible par l’Education Nationale Visible uniquement dans l’établissement

16 1 EOLE ou 2 EOLEs ? Par adjonction de nouveaux EOLE , on traite propement la cohabition d’un établissement avec : - l’eventuel GRETA hebergé … et éclaté entre etablissements. - l’eventuel réseau d’un IEN localisé dans l’etablissement... - l’eventuelle présence d’un CDDP … - l’eventuelle présence d’un reseau issu du projet d’une collectivité - un établissement “éclaté” sur plusieurs sites.

17 EOLE (pare-feu AMON) Approche par les flux de communication:
Quelles sont les règles de passage d’une zone à l’autre ?

18 1 etablissement “éclaté”
“La rue” Visible du mode entier “maison” ADM L’administration, ... “maison” ADM autre batiment Réseau ADM ADM Communication chiffrée “La cour” Visible par l’Education Nationale Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” PEDAGOGIQUE Visible uniquement dans l’établissement

19 Ou bien : + chiffrement éventuel (voir AGRIATES)
“La rue” “La rue” + chiffrement éventuel (voir AGRIATES) Visible du mode entier “maison” ADM L’administration, ... “maison” ADM autre batiment Réseau ADM ADM “La cour” “La cour” Visible par l’Education Nationale Réseau(x) pédagogique(s) “maison” PEDAGOGIQUE Les salles de classe “maison” PEDAGOGIQUE Visible uniquement dans l’établissement

20 Où installer EOLE ? - Dans un local sûr, au point d’interconnexion de tous les réseaux de l’etablissement. - Dans une armoire informatique - avec une alimentation secourue.

21 Comment passer de la situation actuelle à l’architecture EOLE ?
EOLE (pare-feu AMON) Comment passer de la situation actuelle à l’architecture EOLE ?

22 Avant EOLE Numeris 1 Numeris 2 Réseau académique Fournisseur d’accès
Internet Réseau régional ? Réseau administratif 10.xx.yy.0 (24/8) Site partagé avec : GRETA ? IEN ? CIO ? CDDP ? Projets de Collectivités ? 10.xx.1yy.0 (24/8) Réseaux pédagogiques

23 Après EOLE E O L E Réseau académique Fournisseur d’accès Internet
Réseau régional ? “La rue” Zone d’accueil (non sécurisée) “la cour” Zone de partage et d’échange sécurisée Réseau administratif E O L E “Maison” autres réseaux Autres réseaux pédagogiques (greta, collectivité…) “maison” greta “Maison” ADM “Maison” PEDAGOGIQUE Réseaux pédagogiques

24 Après EOLE E O L E Réseau académique Fournisseur d’accès Internet
Réseau régional ? “la rue” Web etablissement (adm + pédagogie), BCDI, RLR , messageries , serveurs FTP, etc ... Teleac ,GEP , etc … E O L E “maison” greta “maison” ADM “la cour” Micros élèves et enseignants, serveurs de fichiers, authentification et droits d’accès, etc ... “maison” PEDAGOGIQUE “maison” Autres réseaux

25 Depuis réseaux Pedago Réseau académique Fournisseur d’accès Internet
Réseau régional “la rue” Acces Internet Acces sites disciplinaires “maison” ADM “la cour” Depuis réseaux Pedago “maison” PEDAGOGIQUE Acces BCDI, RLR, web serveur antivirus généralisé, etc ...

26 Depuis réseau Adm Réseau académique Fournisseur d’accès Internet
Réseau régional “la rue” Acces Internet, courrier, teleac, etc ... Depuis réseau Adm Acces BCDI, RLR, web etc ... “maison” ADM “la cour” “maison” PEDAGOGIQUE

27 Depuis zone de partage “la cour” Réseau académique Fournisseur d’accès
Internet Réseau régional “la rue” Depuis zone de partage “la cour” “maison” ADM “la cour “maison” PEDAGOGIQUE Pas de “remontée” = protection des utilisateurs

28 Depuis l’exterieur Réseau académique Fournisseur d’accès Internet
Réseau régional “la rue” Depuis l’exterieur Acces tres reglementé. Telemaintenances ... Acces reglementé. Professeurs depuis l’exterieur consultations depuis l’exterieur “maison” ADM “La cour” “maison” PEDAGOGIQUE Pas de “remontée” = protection des utilisateurs

29 -> tout en optimisant les coûts
EOLE: Que fait-il ? - garant de l’application d’une politique de sécurité. (Qui peut faire quoi ? Comment?) - garant des chemins empruntés par une communication. (données confidentielles / données publiques) -> tout en optimisant les coûts

30 Exemple (très simplifié ) de décisions prises par EOLE.
EOLE: Que fait-il ? Exemple (très simplifié ) de décisions prises par EOLE. - le cas d’un “proxy”

31 Fournisseur d’accès Internet 2
Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 Que dit la politique de sécurité ? Si c’est autorisé, je traite. Sinon, je préviens que c’est pas autorisé. N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan ) “la rue” OUI ! Je sais ! (c’est lucky luke !) “maison” ADM “La cour” question réponse “maison” PEDAGOGIQUE

32 Fournisseur d’accès Internet 2
Réseau académique Fournisseur d’accès Internet Fournisseur d’accès Internet 2 N’aurais-je pas déjà répondu à la même question ? (syndrome de Rantanplan) “la rue” NON ! Tant pis, je ferai mieux la prochaine fois “maison” ADM “La cour” question “maison” PEDAGOGIQUE

33 Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès
“la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça s’adresse à un autre établissement “maison” PEDAGOGIQUE

34 Ça s’adresse à un serveur sur Internet
Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça s’adresse à un serveur sur Internet “maison” PEDAGOGIQUE

35 Ça mérite une certaine confidentialité (par exemple : mail)
Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “la rue” question A qui vais-je poser la question ? “maison” ADM “La cour” question Ça mérite une certaine confidentialité (par exemple : mail) “maison” PEDAGOGIQUE

36 Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès
OK, merci. Je le note. Comme ça, je saurai répondre si quelqu’un me pose à nouveau cette question. réponse EOLE a une mémoire d’éléphant ! “la rue” question réponse Tiens ! Voilà ce que tu as demandé si 10 élèves demandent la même page, Eole n’ira la chercher qu’une seule fois. “maison” ADM “La cour” question “maison” PEDAGOGIQUE

37 EOLE: stratégie pour un réseau régional
Exemple de situation actuelle : - 1 réseau type privatif - 1 réseau “provider” Exemple de situation cible: - 1 réseau régional

38 Fournisseur Réseau d’accès académique Internet Exemple:
- consultation web SNCF - acces forum public etc … Données “grand public”. Accès Internet. Données “sensibles” Accès Extranet EN “la rue” “maison” ADM “la cour” Exemple: - un mail entre le chef d’etablissement et le rectorat, citant un nom d’élève mineur. - Un fichier type GEP - acces à une ressource d’un autre EPLE “maison” PEDAGOGIQUE

39 Réseau académique Fournisseur d’accès Internet Réseau régional
Données “sensibles” Accès Extranet EN “tuyau” chiffré entre les partenaires E.N. Données “grand public”. Accès Internet. “la rue” “maison” ADM “la cour” “maison” PEDAGOGIQUE

40 Réseau régional Données “sensibles” Accès Extranet EN
“la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

41 les translations d’adresses
EOLE (pare-feu AMON) Approche technique : les zones d’adresses - les translations d’adresses l’adressage IP

42 Zone Internet Zone Extranet E.N. (adresses privées
Réseau académique Zone Internet Fournisseur d’accès Internet Réseau régional Translation NAT ou PAT Zone Extranet E.N. (adresses privées RFC 1918 nationales) greta Translation PAT Zone pédagogique (adresses privées locales EPLE)

43 Zone Internet Zone Extranet E.N. (adresses privées
Autre alternative Réseau académique Fournisseur d’accès Internet Zone Internet Translation NAT ou PAT Zone Extranet E.N. (adresses privées RFC 1918 nationales) Réseau régional (MPLS / VPN) greta Translation PAT Zone pédagogique (adresses privées locales EPLE)

44 visibles nationalement:
Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Translation NAT ou PAT Adresses IP publiques (uniques) greta Translation PAT Adresses IP locales: identiques dans tous les EPLE

45 EOLE (pare-feu AMON) 10.N°dep.x.0 10.100+N°dep.x.0
Proposition d’adressage IP: chaque académie est propriétaire des adresses 10.N°dep.x.0 N°dep.x.0 chaque académie peut découper cet espace au mieux de ses intérêts. Pour les plus grosses académies, si cet espace ne suffit vraiment pas, une “rallonge” peut etre accordée à est libre pour les établissements.

46 EOLE (pare-feu AMON) Chaque académie est libre du découpage optimal de ces adresses. Exemples d’affectation d’adresses : - pour des EPLE (politique “généreuse” / “économe”)

47 visibles nationalement:
Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Adresses IP visibles nationalement: 2 EPLE différents = 2 zones d’adresses différentes. Translation NAT ou PAT Adresses IP publiques (uniques) greta Translation PAT Adresses IP locales: identiques dans tous les EPLE

48 Réseau académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissement scolaire (politique généreuse) Translation NAT ou PAT 246 (251 …) “la rue” 10.1xx.yy.192 (26/6) 250 245 247 (248,249) Réserve: (non affectée) de 10.1xx.yy.128 à 191 : de 10.xx.yy.144 à : ADM 10.xx.yy.0 (25/7) Greta 10.xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) 126 126 Translation PAT 143 ( à ) (21/11) à

49 Zone Internet 64 @ 16 @ 128 @ 128 @ 2048 @ Env 1700 @ 512 @ Réseau
académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissement scolaire (politique généreuse Translation NAT ou PAT Réserve: (non affectée) de 10.1xx.yy.128 à 191 : de 10.xx.yy.144 à : “la rue” 10.1xx.yy.192 (26/6) “maison” ADM 10.xx.yy.0 (25/7) Greta 10.xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT Env “maison” PEDAGOGIQUE à (21/11) Autre “maison” à ( à )

50 Zone Internet 16 @ 16 @ 64 @ 64 @ 2048 @ Env 1700 @ 512 @ Réseau
académique Fournisseur d’accès Internet Réseau régional Zone Internet Etablissement scolaire (politique restrictive Translation NAT ou PAT Réserve: (non affectée) de 10.xx.yy.160 à : “la rue” 10.xx.yy.128 (28/4) “maison” ADM 10.xx.yy.0 (26/6) Greta 10.xx.yy.144 (28/4) “la cour” 10.xx.yy.64 (26/6) Translation PAT Env “maison” PEDAGOGIQUE à (21/11) Autre “maison” à ( à )

51 EOLE : adresses de la “rue”
2 cas de figure : - l’académie possède des adresses publiques pour ses EPLE -> OK - l’académie n’utilise pas d’adresses publiques pour ses EPLE. -> 10.x.y.z

52 EOLE : l’insécurité dans la “rue” ;-)
Attention : notre responsabilité peut être engagée dans la rue !!! => appliquer des règles strictes sur tous les équipements de la rue : - seul interlocuteur physique: les passerelles EOLE (AMON). - pas de rebond possible. - pas d’altération des tables de routage possible.

53 EOLE : l’insécurité dans la “rue” ;-)
=> nécessité d’écrire (nationalement?) les règles à respecter par tout équipement de FAI intégré à la “rue”. => nécessité d’imposer la “politique de sécurité E.N. de la rue” à tous les FAI d’un EPLE

54 EOLE (pare-feu AMON) Exemples d’affectation d’adresses :
- pour des petits sites (IEN) en travail administratif uniquement.

55 EOLE obligatoire pour la confidentialité !!!
EOLE (pare-feu AMON) prévoir 16 (ou 32 ?) adresses 10.x.y.z partagées en deux : la rue + maison administrative. EOLE obligatoire pour la confidentialité !!!

56 Zone Internet 8 @ 8 @ Réseau académique Fournisseur d’accès Internet
Réseau régional Zone Internet IEN Translation NAT ou PAT 8 @ “la rue” 10.1xx.yy.zz (29/3) “maison” ADM 10.xx.yy.zz (29/3)

57 Exemples d’affectation d’adresses :
EOLE (pare-feu AMON) Exemples d’affectation d’adresses : - pour des petits sites (CIO) en travail administratif + accueil de public.

58 Zone Internet 8 @ 8 @ 2048 @ Réseau académique Fournisseur d’accès
Réseau régional Zone Internet CIO Translation NAT ou PAT 8 @ “la rue” 10.1xx.yy.zz (29/3) “maison” ADM 10.xx.yy.zz (29/3) Translation PAT public à (21/11)

59 EOLE (pare-feu AMON) Exemples d’affectation d’adresses :
- un EPLE + un CDDP sur le même site géographique.

60 2 EOLEs (AMON) Visible du mode entier Réseau
“maison” ADM L’administration, l’intendance ... PEDAGOGIQUE Les salles de classe “La rue” Réseau Réseau(x) pédagogique(s) Visible du mode entier “maison” CDDP pedagogique admin. “La cour” Visible par l’Education Nationale Visible uniquement dans l’établissement

61 2 EOLEs (AMON) Visible du mode entier Réseau ADM CDDP
10.1xx.yy.192 (26/6) Visible du mode entier 10.xx.yy.0 (25/7) 10.xx.yy.128 (27/5) Réseau ADM 10.1xx.yy.0 (25/7) CDDP Visible par l’Education Nationale Réseau(x) pédagogique(s) à à Visible uniquement dans l’établissement

62 EOLE : souplesse de l’adressage
S’adapte aux particularités du site: - contraintes géographiques. - cohabitation EPLE / IEN /CIO /CDDP... - habitudes de travail de l’EPLE. (voir exemples d’organisations des zones pédagogiques)

63 EOLE : souplesse de l’adressage
En résumé: - les pages precedentes donnent un exemple d’organisation par zone. - d’autres découpages pourraient être viables (exemple : “apprenants” , “enseignants”, “encadrement” “partenaires”). -mais tous doivent s’accorder sur un point: 10.x.y.0 et x.y.0 sont propres à un site. à sont libres pour l’etablissement.

64 Organisation de zones pédagogiques
l’architecture type. une variante plus élaborée. Une organisation calquant l’existant. le cas particulier de SLIS

65 l’architecture type. Le réseau pédagogique forme un ensemble :
“la rue” “maison” ADM “la cour” Le réseau pédagogique forme un ensemble : : enseignement tertiaire : enseignement général : enseignement technique “maison” PEDAGOGIQUE Serveurs (authentification, logiciels et espaces de travail) IACA, etc ... Stations de travail enseignants, elèves

66 Une variante plus élaborée.
“la rue” Visible de la rue “maison” ADM “la cour publique” Ex: serveur de consultation de notes, absences “la cour privée” Exemple: serveur de saisie des notes, absences, “maison” PEDAGOGIQUE Visible par l’administration et la pédagogie. Serveurs (authentification, logiciels et espaces de travail) IACA, etc ... Stations de travail enseignants, elèves

67 Une architecture calquant l’existant
INTERNET “maison” ADM “réseau partagée acces à Internet” tertiaire général ...

68 Une architecture calquant l’existant
“la rue” “maison” ADM cour publique “réseau partagée acces à Internet” tertiaire Devient une “cour privée” général ...

69 Le cas particulier de SLIS / SLAES ...
Certaines fonctions de SLIS font double emploi avec celles d’EOLE. -> éviter de faire 2 fois la même chose par le même type de moyen. Par nature, SLIS gère un plan d’adresses qui lui est propre. -> SLIS et EOLE vont “co-exister” plutot que “cohabiter”

70 Le monde PEDAGOGIQUE selon SLIS
Réseau académique Fournisseur d’accès Internet Réseau régional Responsabilité académique (politique nationale / académique / locale de sécurité ) “la rue” Acces Internet Responsabilité établissement “maison” ADM “la cour” SLIS “maison” PEDAGOGIQUE eventuelle Le monde PEDAGOGIQUE selon SLIS

71 Le cas particulier de SLIS / SLAES ...
Le transparent précédent présente une architecture cible vers laquelle il faut tendre si l’objectif est d’obtenir un extranet établissement. Pour les académies largement utilisatrices de SLIS, rien ne presse réellement.

72 Approche technique : - EOLE et la QoS IP
EOLE (pare-feu AMON) Approche technique : - EOLE et la QoS IP

73 Réseau régional Données “sensibles” Accès Extranet EN
“la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

74 Réseau régional Données “grand public”. Accès Internet.
Données “sensibles” Accès Extranet EN Applications de gestion EN Internet Télé-assistance Voix / vidéo Réseau régional Conditions de trafic Qualité de Services “la rue”

75 4 approches classiques possibles :
EOLE et la QoS. 4 approches classiques possibles : 1° Policy Based Routing 2° “IntServ” 3° “Diffserv” 4°Approche hybride

76 EOLE: QoS PBR. on définie une architecture de réseau telle qu’il soit possible d’agir sur les conditions de traffic par altération des décisions de routage: analyse basée D, n° ports. “ip policy” en terminologie CISCO

77 EOLE: QoS PBR. Pour aller vers un destinataire, il existe plusieurs routes disponible. Chaque route offre une qualité de service différente.

78 Réseau régional avec QoS
Exemple d’une politique PBR Réseau régional avec QoS Si source = administratif alors suivre chemin x Si source = pédagogie alors suivre chemin y Si type trafic = web alors suivre chemin z “la rue” 10.1xx.yy.192 (26/6) Si type trafic = téléphonie alors suivre chemin w Si type trafic = télé-mnt alors suivre chemin t ADM 10.xx.yy.0 (25/7) Greta 10.1xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT à (21/11) à ( à )

79 Réseau régional avec QoS
Autre approche PBR Réseau régional avec QoS Si type trafic = crypté alors suivre chemin x “la rue” 10.1xx.yy.192 (26/6) Si type trafic = non crypté alors suivre chemin y ADM 10.xx.yy.0 (25/7) Greta 10.1xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT à (21/11) à ( à )

80 EOLE: QoS PBR: les avantages
- “relativement” simple. - utilisable en général même sur des équipements d’entrée de gamme. - a le mérite d’exister ! Seule solution sur un réseau n‘offrant pas de QoS native. - rien à prévoir dans EOLE, sauf le routage !!!

81 EOLE: QoS PBR: les limites
- programmation réalisée par l’équipement d’accès au réseau. - pas de souplesse. - peu évolutif. - possibilités limitées. - résultats “approximatifs”.

82 EOLE: QoS “intserv” approche flux par flux (RSVP) par reservation de ressources. c’est à dire que l’utilisateur voit le réseau comme un fournisseur de ressources, et que la charge de la réservation lui revient. Possibililité de signalisation.

83 avis personnel : -> assez mal adapté à EOLE.
EOLE: QoS “intserv” avis personnel : -> assez mal adapté à EOLE.

84 EOLE: QoS “diffserv”(rfc2475)
Approche par le réseau : On classifie les flux, le réseau reconnaît chaque flux comme appartenant à une classe et il provisionne en conséquence. La gestion est locale , nœud par nœud. -> visions propriétaires, + difficultés pour l’exhaustivité.

85 Réseau régional avec QoS
Approche “diffserv” Réseau régional avec QoS Entente préalable avec le fournisseur du RR pour la définition de classes de service Classes traditionnelles: “premium” “Gold” “Silver” “Bronze” “la rue” 10.1xx.yy.192 (26/6) EOLE analyse le trafic et le place dans la bonne classe. ADM 10.xx.yy.0 (25/7) Greta 10.1xx.yy.128 (28/4) “la cour” 10.1xx.yy.0 (25/7) Translation PAT à (21/11) à ( à )

86 Diffserv : classes Agit selon le Marquage du champ DSCP (ex TOS IPV4)

87 Diffserv : notions de SLA/TCA
Client Réseau Diffserv Négociation et agrément d’un SLA / TCA TCA : Traffic Conditioning Agreement : définit comment le trafic du client sera traité par Diffserv. (marquage, “shaping”, …) SLA : Service Level Agrement : contrat entre client et fournisseur qui spécifie le type de service que l’utilisateur DEVRAIT se voir offrir . Un SLA peut contenir des règles définies dans un TCA.

88 DiffServ : architecture
Service Level Agrement client provider EOLE Equipement du fournisseur 2) adapter le trafic au contrat 4) “Per Hop Behavior” 3) vérifier le trafic + provisionner + agréger les trafics 5) reformater le flux selon le contrat 1) identifier et marquer les flux

89 DiffServ : les classes EF PHB (Expedit Forwarding - Per Hop Behavior)
RFC 2598 - prévu pour le trafic “temps réel” - DSCP : -définie une bande passante maximum limitée, en controlant la latence, la gigue et les pertes , tout en évitant d’affamer les autres classes.

90 DiffServ : les classes AF PHB (Assured Forwarding - Per Hop Behavior)
RFC 2597 - 4 classes de services (AF1,AF2,AF3,AF4) - DSCP : AF1 : 001dd0 AF2 : 010dd0 AF3 : 011dd0 AF4 : 100dd0 dd : 01 taux de perte accepté faible dd : 10 taux de perte accepté moyen dd : 11 fort taux de perte accepté

91 EOLE: “Diffserv”: les avantages
- Très souple. - très évolutif. - Eole participe activement à la QoS. - semble être l’approche d’avenir.

92 EOLE: “Diffserv”: inconvénients
- négociation complexe avec le fournisseur (SLA - TCA) - gestion du champ DSCP à prévoir dans EOLE.

93 EOLE: approche hybride de la QoS
- consiste à mélanger les 3 autres approches. -> avis personnel : assez mal adapté à EOLE .

94 Approche technique : - EOLE et VPN
EOLE (pare-feu AMON) Approche technique : - EOLE et VPN

95 EOLE et VPN 2 objectifs majeurs: -
- offrir une continuité d’adressage à l’EN par application du RFC garantir la confidentialité des échanges

96 Qu’apporte le VPN à EOLE ?
Permet des connexions point à point entre 2 EPLE de France (“extranet EN” permettant à un EPLE de consulter en toute sécurité des données situées dans un autre EPLE) permet d’assurer la confidentialité des échanges (et l’authentification) Transport d’un plan d’adresses client “au dessus d”un réseau public où d’un réseau construit sur un autre plan d’adresses. Par chiffrement des informations transmises.

97 Réseau régional Données “sensibles” Accès Extranet EN
“la rue” Données “sensibles” Accès Extranet EN Données “grand public”. Accès Internet. “maison” ADM “la cour” “tuyau” chiffré entre les partenaires E.N. “maison” PEDAGOGIQUE

98 Pré-requis pour construire un réseau VPN : 1
Un plan d’adresses unique et cohérent !!! Il a été élaboré des 1997 , et doit être accepté partout avant de pouvoir créer un réseau VPN entre EPLE (projet AGRIATES)

99 Pré-requis pour construire un réseau VPN : 2
Le respect de la législation française et communautaire: c’est le cas pour RACINE. C’est à faire pour AGRIATES.

100 Les réseaux VPN de l’education nationale
RACINE : relie depuis Mars 2001 les académies et sites centraux. AGRIATES : basé sur EOLE, reliera les EPLE et l’académie. AGRIATES + RACINE = réponse globale de l’Education Nationale

101 AGRIATES AGRIATES AGRIATES Inter-operabilité confidentialité AGRIATES
Réseau d’ Accès et de Consolidation des INtranets de l’ Education Inter-operabilité confidentialité AGRIATES AGRIATES Sécurité PKI RACINE + PKI AGRIATES

102 EOLE : résumé Le modèle théorique proposé :
- nous garantit l’indépendance vis à vis des FAI (RENATER y compris) - nous garantit l’inter-opérabilité. (RACINE - AGRIATES) - nous garantit l’évolutivité.

103 EOLE : résumé des résumés !
Sans un plan d’adresse unique et cohérent sur l’ensemble de l’E.N. , tout ceci devient caduc. Ce plan était déjà officieusement employé par certaines académies. => nous devons donc l’enteriner pour continuer.

104 EOLE : résumé des résumés !
AGRIATES RACINE EOLE (AMON) “Donnez-moi un bon plan d’adresses, et j’interconnecterai le monde …”

105 Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE.
EOLE : et les écoles ? Le RFC 1918 ne permet pas de traiter les écoles comme les EPLE. - l’architecture décrite pour les EPLE reste pertinente (rue,cour, maisons) - mais il ne sera pas possible de créer un “extranet” des écoles via VPN

106 EOLE : et les écoles ? RACINE : un VPN pour tous les rectorats : COURAGEUX !!! AGRIATES: un VPN pour tous les EPLE : TEMERAIRE !!! XXXXX: un VPN pour toutes les écoles : SUICIDAIRE !!!

107 Avec beaucoup de moyens !!!
EOLE : et les écoles ? Seul un VPN réduit à quelques écoles (une circonscription) pourrait être techniquement envisageable. Avec beaucoup de moyens !!!

108 … un jour ... EOLE : et si ça “coince” ?
Le plan d’adresses IP V4 (32 bits) n’est certes pas inépuisable. Mais seule la téléphonie IP pourra vraisemblablement l’épuiser. … et certainement nous contraindre à passer à IP V6 (128 bits) . … un jour ...

109 exemples de migration vers EOLE
EPLE connecté à l’intranet académique EPLE connecté à l’intranet académique + un fournisseur d’acces privé. EPLE “hétérogène” : plusieurs connexions vers des fournisseurs privés.

110 Avant EOLE Numeris 1 Numeris 2 Fournisseur Réseau d’accès académique
Hypothèse 1: Connexion adm via réseau académique Connexion ped via réseau académique Fournisseur d’accès Internet + eventuellement connexion via un provider Réseau administratif 10.xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) Réseaux pédagogiques

111 Avec EOLE Numeris 1 Numeris 2 Fournisseur Réseau d’accès académique
Internet Numeris 1 Numeris 2 “la rue” 10.1xx.yy.192 (26/6) 1) création de l’espace d’accueil Réseau administratif 10.xx.yy.0 (24/8) 2) mise en place d’EOLE “maison” PEDAGOGIQUE à (21/11) 3) paramétrage du (des) réseau(x) pédagogie Réseaux pédagogiques

112 Avec EOLE Numeris 2 Fournisseur Réseau d’accès académique Internet
“la rue” 10.1xx.yy.192 (26/6) 4) on supprime un routeur et sa liaison (peu importe lequel …) et on re-paramètre le réseau administratif. Réseau administratif 10.xx.yy.0 (25/7) 5) connexion du réseau administratif sur EOLE “maison” PEDAGOGIQUE à (21/11) Réseaux pédagogiques

113 adressage non conforme
Avant EOLE Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Réseau académique Fournisseur d’accès Internet Numeris 1 Numeris ou ADSL Réseau administratif 10.xx.yy.0 (24/8) 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques

114 adressage non conforme
Avant EOLE Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Réseau académique Fournisseur d’accès Internet Numeris 1 Numeris ou ADSL “la rue” 10.1xx.yy.192 (26/6) 1) création de l’espace d’accueil Réseau administratif 10.xx.yy.0 (24/8) 2) mise en place d’EOLE 10.1xx.yy.0 (24/8) ou adressage non conforme 3) paramétrage du réseau administratif Réseaux pédagogiques

115 Avant EOLE Numeris 1 Numeris ou ADSL Fournisseur Réseau d’accès
Hypothèse 2: Connexion adm via réseau académique Connexion pedago via provider seul Réseau académique Fournisseur d’accès Internet Numeris 1 Numeris ou ADSL “la rue” 10.1xx.yy.192 (26/6) 4) raccorder le (s) provider (s) Réseau administratif 10.xx.yy.0 (24/8) “maison” PEDAGOGIQUE à (21/11) 5) re-paramétrage le(s) reseau(x) pédagogique(s) Réseaux pédagogiques

116 Avant EOLE Numeris 1 Numeris ou ADSL Réseau académique Fournisseur
Hypothèse 3: situation “hétérogène” Réseau académique Fournisseur d’accès Internet 1) Fédérer les arrivées reseau en un point Numeris 1 Numeris ou ADSL Réseau administratif 10.xx.yy.0 (24/8) 2) Fédérer les réseaux internes en un point Ramener la situation à l’hypothèse 2. 10.1xx.yy.0 (24/8) ou adressage non conforme 10.1xx.yy.0 (24/8) ou adressage non conforme 10.1xx.yy.0 (24/8) ou adressage non conforme Réseaux pédagogiques

117 EOLE: bilan provisoire
Un enjeu majeur (une OBLIGATION) pour l’avenir. - à cause de l’évolution technologique des réseaux de communication. - à cause de l’implication des collectivités locales dans le choix des solutions. - pour éviter les solutions anarchiques et les gaspillages dans l’EPLE.

118 EOLE : état des déploiements
L’ EOLE de référence en Auvergne: le CRDP d’auvergne (adm, ped + cour) > 200 stations , accès clients /serveurs avec la cour , Bases de données ORACLE, TSE, serveurs web visibles d’internet , photothèque, liaison extranet avec les CDDP ... => qualification du modèle en forte charge.

119 EOLE : état des déploiements
4 EOLE adm, ped + cour en EPLE => ont servi à la validation de la méthode d’audit préalable à l’installation.

120 EOLE : état des déploiements
1 réalisation intégrant un greta éclaté sur 3 sites en cours de finalisation. => sert à valider la pertinence générale du modèle d’interconnexion, au delà du clivage “administratif/pédagogie” traditionnel.

121 EOLE : état des déploiements
30 EOLEs prévus à court terme. => la robustesse du modèle est maintenant éprouvée.

122 EOLE : la suite ? pb : comment passer de la phase expérimentale à une généralisation: Quels objectifs ? -> Quel périmètre ? Quels moyens ?

123 ANNEXES

124 EOLE : Les pré-requis (d’ordre général)
La sensibilisation de l’établissement. Une situation “saine” : administration clairement séparée de la pédagogie. Au besoin , accord avec d’autres partenaires pour assainer l’existant : Greta, ... Une étude “sur mesure” pour définir la méthode à employer pour la mise en oeuvre.

125 EOLE : Les pré-requis (d’ordre technique)
Un cablage permettant de fédérer en un local commun sécurisé: - les arrivées de reseaux publics de l’etablissement. (NUMERIS, ADSL, etc… - le reseau administratif - le(s) réseau(x) pédagogique(s) armoire de brassage équipée:electricité, etc

126 EOLE : un exemple de chantier complexe.
Impliquant 3 gros établissements : - Lycée Ambroise Brugiere - Clermont-Fd - Lycée Chamalières - Lycée La Fayette - Clermont-Fd traitant la problématique des GRETAs

127 EOLE : un exemple de chantier complexe.
Incluant : un réseau extranet existant E.N. des accès providers internet commerciaux des solutions locales existantes d’échange entre partenaires (GRETA) ménageant la mise à disposition d’un réseau régional.

128 Chamalières Ambroise Brugière ADSL ADSL ADSL RNIS RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? RNIS ADSL RNIS ADSL La fayette ADSL RNIS RTC + RNIS + ? Ped Ped Greta Adm Ped + tout ce que l’on ignore !!! RNIS ADSL

129 Coût ? Sécurité ? Supervision ? Assistance ? ADSL ADSL ADSL RNIS RNIS
RTC + RNIS + ? RTC + RNIS + ? RNIS ADSL RNIS ADSL ADSL RNIS RTC + RNIS + ? Coût ? Sécurité ? Supervision ? Assistance ? RNIS ADSL

130 Chamalières Ambroise Brugière ADSL ADSL ADSL RNIS RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? RNIS ADSL RNIS ADSL La fayette ADSL RNIS RTC + RNIS + ? Ped Ped Greta Adm Ped L’existant RNIS ADSL

131 Chamalières Ambroise Brugière ADSL RNIS Ped Ped Ped Ped RTC + RNIS + ?
Greta Adm Greta Adm Ped RTC + RNIS + ? ADSL RNIS ADSL La fayette “la rue” ADSL RNIS RTC + RNIS + ? Ped Ped RNIS ADSL ADSL Greta Adm Ped Phase 1: “la rue” RNIS ADSL

132 Phase 2 : “assainissement”
Chamalières Ambroise Brugière ADSL RNIS Greta Ped Ped Ped Ped RTC + RNIS + ? Adm Greta Adm Ped RTC + RNIS + ? ADSL RNIS ADSL La fayette “la rue” ADSL RNIS RTC + RNIS + ? Ped Ped RNIS ADSL ADSL Greta Adm Ped Phase 2 : “assainissement” RNIS ADSL

133 Phase 2: “simplification”
Chamalières Ambroise Brugière ADSL RNIS Ped Ped Ped Ped Adm Greta Adm Ped ADSL RNIS ADSL La fayette “la rue” ADSL RNIS Ped Ped RNIS ADSL ADSL Adm Ped Phase 2: “simplification” RNIS ADSL

134 Phase 3: “toutes les rues”
Chamalières Ambroise Brugière ADSL Ped Ped “la rue” Ped Ped Adm Greta Adm Ped ADSL RNIS ADSL La fayette “la rue” ADSL “la rue” Ped Ped RNIS ADSL ADSL Adm Ped ADSL RNIS Phase 3: “toutes les rues”

135 Chamalières Ambroise Brugière Greta Ped Ped Ped Greta Ped Adm Greta
“la rue” Ped Greta Ped Adm Greta adm Adm Greta adm ADSL RNIS ADSL La fayette “la rue” “la rue” Ped Greta Ped RNIS ADSL ADSL Adm Greta adm ADSL RNIS Phase 4 : “les Gretas” ADSL

136 Chamalières Ambroise Brugière Ped Greta Ped Ped Greta Ped Adm Greta
“la rue” “la rue” Ped Greta Ped Ped Greta Ped Adm Greta adm Adm Greta adm Réseau régional La fayette “la rue” Ped Greta Ped Adm Greta adm Phase 5: “champagne !!!”

137 Chamalières Ambroise Brugière ADSL ADSL ADSL RNIS RNIS Ped Ped Ped Ped RTC + RNIS + ? Greta Adm Greta Adm Ped RTC + RNIS + ? RNIS ADSL RNIS ADSL La fayette ADSL RNIS RTC + RNIS + ? Ped Ped Greta Adm Ped Résumé : comment passer du ... RNIS ADSL

138 ADSL ADSL ADSL RNIS RNIS RTC + RNIS + ? RTC + RNIS + ? RNIS ADSL RNIS ADSL ADSL RNIS RTC + RNIS + ? Résumé : système D... RNIS ADSL

139 à une architecture mature …
“la rue” “la rue” Réseau régional “la rue” Résumé : à une architecture mature …

140 EOLE : de l’utilité de la cour. Exemple : le CRDP d’auvergne.
Incluant : un réseau extranet existant E.N. 5 sites : CRDP + 4 CDDP ménageant la mise à disposition d’un réseau régional.

141 EOLE AU CRDP D ’AUVERGNE
LES RESEAUX / le découpage en zones. LES SERVEURS et leur localisation. LES FLUX sécurisés par EOLE.

142 Fournisseur d’accès Fournisseur d’accès Internet 2 Internet 1
“maison” ADMINISTRATIVE CRDP “maison” PEDAGOGIQUE “La cour” “la rue” Réseau Académique Fournisseur d’accès Internet 2 Fournisseur d’accès Internet 1 “maison” PEDAGOGIQUE ADMINISTRATIVE “La cour” “la rue” “la rue” “maison” PEDAGOGIQUE “La cour” “maison” ADMINISTRATIVE CDDP CDDP

143 CDDP Réseau académique Fournisseur d’accès Internet 1
“maison” PEDAGOGIQUE ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” telnet Agent antivirus ftp HTTP Clients TSE Messagerie Agent antivirus HTTP ftp HTTP ftp Messagerie Agent antivirus ftp Clients TSE Messagerie HTTP telnet CDDP

144 CRDP Réseau académique Fournisseur d’accès Internet 1
telnet “la rue” HTTP ftp Messagerie gestion Clients TSE INTERNET Agent antivirus ftp ftp Agent antivirus HTTP Messagerie authentification “maison” PEDAGO “La cour” INTERNET gestion Messagerie HTTP telnet Clients TSE ftp Agent antivirus INTERNET gestion Messagerie “maison” ADMINISTRATIF HTTP HTTP authentification telnet Client serveur CRDP

145 CRDP Réseau académique Fournisseur d’accès Internet 1
“la rue” HTTP Recup régulière des signatures virales authentification “maison” PEDAGO “La cour” HTTP Serveur anti-virus (FSECURE) HTTP “maison” ADMINISTRATIF authentification Client serveur Scrutation à l’initialisation puis toute les heures CRDP

146 CRDP Réseau académique Fournisseur d’accès Internet 1
“la rue” SMTP authentification “maison” PEDAGO “La cour” POP3/IMAP4/SMTP Serveur mail Netscape POP3/IMAP4/SMTP “maison” ADMINISTRATIF authentification Client serveur CRDP

147 CRDP Réseau académique Fournisseur d’accès Internet 1
“la rue” Clients TSE des CDDP authentification “maison” PEDAGO “La cour” Clients TSE BD compta Oracle + serveur TSE “maison” ADMINISTRATIF authentification Client serveur CRDP

148 Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès
“maison” PEDAGOGIQUE ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” Serveur de gestion Oracle serveur TSE serveur web photothèque nationale serveur documentaire serveur web crdp serveur messagerie serveur de màj Antivirus Serveur d ’authentification serveur démonstration IACA serveur photothèque serveur commercialisation CRDP

149 Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès
“maison” PEDAGOGIQUE ADMINISTRATIVE Réseau académique Fournisseur d’accès Internet 1 Fournisseur d’accès Internet 2 “La cour” “la rue” Serveur d ’authentification serveur démonstration IACA clients TSE vers BD Oracle serveur de màj Antivirus serveur ftp serveur web CDDP

150 départ de François Michelin - 16 Mai 2002 - interview la Montagne
LA BOITE à OUTILS … on ne peut pas ergoter et polémiquer quand on regarde une réalité technique et pratique. Ce qui n’est pas le cas lorsque l’on reste au niveau des idées: on se bouffe le nez. Par contre, Quand vous allez sur le terrain, vous voyez la machine, vous rencontrez un “oeuvier”qui vous dit “c’est comme cela qu’il faut faire…” Les faits et la vérité sont plus grands que nous. … départ de François Michelin - 16 Mai interview la Montagne

151 Format d’un datagramme IP
4 8 16 19 24 31 VERS HLEN Type de service Longueur totale Identification Flags Offset fragment Durée de vie Protocole Somme de contrôle Header Adresse IP Source Adresse IP Destination Options IP (eventuellement) Padding Données . . .

152 Marquage des datagrammes
TOS DATA

153 Diff Serv Code Point (DSCP)
TOS Precedence DSCP CU Réservé. (prévu pour la notification de congestion