Architecture des Réseaux

Présentation au sujet: "Architecture des Réseaux"— Transcription de la présentation:

1 Architecture des Réseaux
Emmanuel BESSON

2 Architecture des Réseaux Architectures étendues
- Partie II -

3 Agenda (deuxième journée)
Interconnexion de réseaux Architectures étendues Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles

4 Interconnexion de réseaux
Objectifs Connaître les différentes technologies des réseaux d'entreprise Comprendre avantage & inconvénients des solutions du marché Plan Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles Notions de réseaux privés virtuels

5 Solutions d’interconnexion IP
Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs : Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures) Le « packaging » des offres opérateurs s’orientent vers les Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP) Proposer des « prises IP » Agrémenter les accès de garanties en termes de : Qualité de Service (VPN-IP CoS) Sécurité (VPN-IP IPSec)

6 Définition d’un VPN Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un réseau qui… … utilise et/ou partage des infrastructures publiques ou privées … met en œuvre des mécanismes de sécurité et de Qualité de Service Comparatif VPN / Réseau Privé VPN Réseau Privé + Coût + Flexibilité + Externalisation + Maîtrise + Sécurité - Moins de Maîtrise - Mobilisation ressources humaines importantes - Investissements lourds

7 Définition d’un VPN Frame Relay
VPN basé sur des infrastructures Frame Relay VPN Frame Relay (offre traditionnelle opérateur) Notion de CVP et de point-à-point Maillage complet Gestion par l’opérateur complexe Manque de flexibilité

8 Définition d’un VPN IP De nouvelles offres : VPN IP (apparues il y a un an) IP Protocole universel au niveau des applications Extension au niveau du transport pour les offres de service réseau De nouveaux protocoles de gestion Qualité de Service MPLS : toujours en normalisation (essentiellement équipements) DiffServ : normalisé Sécurité IPSec Réseau constitué de routeurs IP Transport des flux IP de façon « native » (routage dynamique)

9 Constitution d’un VPN IP (1)

10 Constitution d’un VPN IP (2)
Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission. A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution

11 Constitution d’un VPN IP (3)
Composantes Réseau de transport : infrastructure « backbone » ou Internet Moyens d’accès CPE (Customer Premises Equipment) : routeur, modem Connexion au réseau de transport via réseau d’accès Moyens de sécurisation Technologies propres au réseau de transport (ex. : CVP Frame Relay) Déploiement d’équipements et logiciels spécifiques Pare-feux Serveurs d’authentification/autorisation Plate-formes de services (hébergement) Messagerie, accès Web, etc. Infogérance Moyens de supervision

12 Différents types de VPN IP
VPN IP « Internet » Infrastructure entièrement publique Utilisation des réseaux ISP VPN IP « Opérateur » Infrastructure fournie par un prestataire MPLS ou non IPSec ou non VPN Frame Relay & IP Avantages & inconvénients Comparatifs

13 Définition VPN IP Internet (1)
Utilisation des infrastructures Internet « Intelligence » gérée au niveau des extrémités (CPE) Création de tunnels LAN/LAN ou LAN/PC

14 Définition VPN IP Internet (2)
Utilisation de protocoles de tunneling PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol) Utilisés dans le cadre d’accès commutés Environnement multi-protocoles L2TP (Layer 2 Tunneling Protocol) Rassemble les avantages de PPTP et L2F Nombreuses solutions constructeurs IPSec (IP Secured) Norme IETF initialisée en 1992, normalisée en 2000 Sécurité supérieure Associé à IP Intégré dans IPv6

15 Définition VPN IP Internet (3)
Utilisation d’algorithmes de chiffrement DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation) Différents types de passerelle VPN IP Passerelle dédiée : équipement situé entre le routeur du LAN et Internet Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP) Passerelle intégrée au firewall Utilisation d’un serveur de sécurité (authentification/autorisation) Serveur Radius, etc.

16 Sécurité des VPN IP Internet
Fonctions Solutions Authentification Contrôle d’accès Login & password Calculette (jetons « secure-id ») Signature électronique Confidentialité Intégrité des données Tunneling Chiffrement des données

17 Les applications VPN IP Internet
Applications non critiques, non temps-réel Internet : « best effort » Pas de qualité de service Création structure Extranet / Intranet Accès à distance à un Intranet / Extranet … depuis des sites de petite taille, ou situés à l’étranger … de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)

18 Définition VPN IP Opérateur (1)
Réseau privatif sur infrastructure IP managée Réseau constitué de routeurs IP CE : Customer Equipment PE : Provider Edge P : Provider

19 Définition VPN IP Opérateur (2)
Offres récentes Correspond à une logique d’externalisation (outsourcing) Service & gestion des équipements (y compris les CPE) par l’opérateur Deux stratégies d’opérateurs : gestion du protocole MPLS ou non Évolution du marché : MPLS

20 VPN IP Opérateur MPLS : généralités
Gestion de MPLS associé à DiffServ = QS et sécurité sous IP Priorisation des flux avec plusieurs classes de service disponibles Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence… Critique : ERP, SQL, transactionnel… Standard : Messagerie, consultation Web, … Entre 3 et 5 classes selon les offres opérateurs Optimisation de la bande passante MPLS assure l’étanchéité des flux (sécurité) Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante

21 VPN IP Opérateur MPLS : QS et Applications
Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles Disponibilité de services Délai de transmission Gigue : variation du délai de transmission Débit garanti Taux des paquets perdus Les SLA sont associés aux classes de service L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité

22 VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1)
Développé par l’organisme IETF Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau Performances et sécurité sous IP Pas encore tout à fait mature Solutions différentes pour les équipementiers

23 VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2)
Développé par l’organisme IETF Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique) Se combine à MPLS pour délivrer une Qualité de Service de bout en bout Intégré dans IPv6 Normalisé

24 VPN IP Opérateur non MPLS : VPN IP IPSec
Pas de gestion de MPLS L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné Mélanges fréquents avec des flux Internet Pas de classes de service (sauf recours à DiffServ) SLA perte de paquet, temps de transit… moins d’engagements qu’avec des offres MPLS Sécurité Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement Solutions VPN IP IPSec

25 VPN IP Opérateur : applications
Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication Offres bien adaptées aux structures et aux applications distribuées Offres adaptées à toutes les applications existantes et à venir Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…

26 VPN Frame Relay : avantages & inconvénients
Maturité Qualité de Service Sécurité (CVP) Multi-protocoles Adaptés aux structures en étoiles Inconvénients Manque de flexibilité (CVP) Peu adapté aux accès à distance, aux Extranets, et aux structures maillées Technologie plutôt en fin de vie

27 VPN IP : avantages & inconvénients
VPN IP Internet Avantages Simplicité Coût Sécurité Capillarité Flexibilité Inconvénients Best effort Problèmes d’interopérabilité Mise en œuvre délicate VPN IP Opérateur Avantages Idem « VPN IP Internet » Qualité de Service Sécurité Aspect « any-to-any » Classes de service Évolutivité Visibilité sur le réseau Bien adapté aux nouvelles technologies d’accès Bien adapté aux applications temps réel Inconvénients Technologie récente et encore peu mature (MPLS) Offres encore incomplètes

28 Comparatif Frame Relay et IP
VPN Internet VPN Frame Relay VPN IP (MPLS) Réseau IP privé Intranet point-à- point Possible mais problème de fiabilité Bien adapté et économique Bien adapté et très souple Solution très coûteuse Intranet maillé Moyen, manque de souplesse (gestion de CVP) Réseau nativement maillé (any-to-any) Solution très coûteuse. Le maillage est possible mais doit être géré au niveau des routeurs d’accès. Accès distant Solution la plus simple et la moins coûteuse Peu d’offres existantes Peu d’offres existantes (via VPN Internet) Coût important mais solution la plus souple Extranets Solution la plus souple pour des échanges ponctuels mais problème de fiabilité Peu adapté (délais, coûts, …) Bien adapté, surtout pour des volumes échangés importants Solution souple et fiable mais coûts importants

29 Comparatif VPN IP et réseau privé IP
Coût Réseau Privé IP + Sécurité, Maîtrise Coût Forte implication de l’entreprise VPN IP Opérateur + Évolutivité + QS + Coût VPN IP Internet + Capillarité + Coût - QS aléatoire Qualité

30 Solutions VPN Trois types de VPN IP
VPN IP Internet VPN IP Opérateur IPSec VPN IP Opérateur MPLS Les offres VPN IP Opérateur cumulent… … les avantages du protocole IP (flexibilité, « any-to-any », coût) … les avantages des offres VPN Frame Relay (QS et sécurité) Évolution du marché vers les offres VPN IP MPLS Les offres VPN Frame Relay restent attractives pour certains besoins

31 Migration vers un VPN IP (1)
Réseau privé géré par l’entreprise Location de Liaisons Spécialisées à un opérateur Gestion des flux et de la QS par l’entreprise Solution VPN IP L’infrastructure réseau local des sites ne change pas Gestion des flux et de la QS par l’opérateur VPN Externalisation des coûts de gestion

32 Migration vers un VPN IP (2)
Concentration des communications sur une plate- forme centrale Gestion des serveurs d'accès distant par l'entreprise. Communications au tarif local, national voire international Solution VPN IP Connexion des nomades via l'infrastructure d'accès du prestataire. Communications au tarif local Optimisation des coûts de communication

33 Migration vers un VPN (3)
La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines Infrastructure physique Sécurité logique Services applicatifs

34 Différentes catégories d’acteurs
Fournisseurs d’Accès Internet Carrier to Carrier Opérateurs IP Opérateurs Télécom Nationaux Opérateurs de Boucle Locale Opérateurs historiques

35 Différents niveaux de VPN IP
VPN Internet VPN IP DiffServ IPSec COS MPLS

36 Différents positionnements (1)
Choix de protocoles (fin 2001)

37 Différents positionnements (2)
Convergence vers MPLS

38 Uniformisation des prestations (1)
Prestations techniques (liées à l’implémentation du VPN IP) Raccordement des sites Gestion des accès Gestion des routeurs Gestion de la sécurité Transport Connexion au backbone Routage VPN client Traitement différencié des flux Accès à Internet Adresses IP Dépôt de noms de domaines Services d’accompagnement client Tuning, conseil, optimisation du VPN

39 Uniformisation des prestations (2)
Services proposés aux gestionnaires Gestion des modifications Fonctionnalités de reporting Services transverses Services de support Services de facturation SLA & contrats Mais encore beaucoup d’offres sur mesures

40 Différents positionnements (3)
Enrichissement des offres sur les types d’accès

41 Sécurité dans les VPN L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer… … l’écoute des communications … la falsification des données échangées … l’usurpation d’identité Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux : Assurer la confidentialité des données Assurer l’intégrité des données pendant le transport Assurer l’authentification certaine des parties en relations Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographie

42 Ensemble des clés utilisables
Crypto-systèmes Crypto-système Fonction de Chiffrement Fonction de Déchiffrement Ensemble des clés utilisables Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement

43 Crypto-systèmes symétriques
Pour chiffrer / déchiffrer le message, on utilise une clef unique Cette clef est appelée clef secrète Une clef différente donne un résultat différent Fonction de Chiffrement Bonjour 8964K9X Clef secrète Fonction de Déchiffrement

44 Crypto-systèmes asymétriques (1)
Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes La clef de chiffrement est appelée clef publique La clef de déchiffrement est appelée clef privée Clef publique Bonjour Fonction de Chiffrement Bonjour Fonction de Déchiffrement 8964K9X Clef privée

45 Crypto-systèmes asymétriques (2)
La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus

46 Mise en œuvre de la sécurité (1)
La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels Son objectif est de créer un tunnel chiffré et authentifié entre deux points Le chiffrement et l’authentification des parties font appel à la cryptographie

47 Mise en œuvre de la sécurité (2)
Le protocole IP ne dispose nativement d’aucune fonction cryptographique Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie Extension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured) IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS)

48 Protocole IPSec (1) IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatile (mise à jour à intervalle régulier) Cette clef est appelée clef de session L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique

49 Protocole IPSec (2) IPSec introduit deux nouveaux protocoles IP
AH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification ESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKE (Internet Key Exchange)

50 Protocole IPSec (3) IPSec ajoute quelques fonctions intéressantes
Perfect Forward Secrecy Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session Back Traffic Protection Chaque clef de session est générée indépendamment des autres La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir

51 Points délicats de la sécurité (1)
A quoi faire attention ?… Interopérabilité des équipements IPSec norme IETF ( Implémentation de la norme différente selon les équipementiers et éditeurs Certains équipements refusent obstinément de communiquer ensemble Amélioration progressive à prévoir Translation d’adresse (NAT) Les mécanismes de NAT réécrivent les paquets IP La translation d’adresse casse l’authentification Solutions NAT et VPN IPSec sur le même équipement Translation avant chiffrement

52 Points délicats de la sécurité (2)
A quoi faire attention ?… Postes nomades Quid en cas de vol d’un poste nomade ? Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple identifiant/authentifiant Envisager un mécanisme d’authentification forte

53 L’avenir de la sécurité VPN
La tendance est à l’implémentation native des fonctions IPSec dans les systèmes d’exploitation (ex. : Linux, Windows 2000, Windows XP, …) IPv6 intégrera la sécurité de façon native

54 Concepts de Qualité de Service (1)
Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots Mécanismes de priorisation Règles de gestion de la congestion (politiques de files d’attente) Mise en forme de trafic (lissage, shaping) Au sein d’un réseau, les liaisons n’ayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS

55 Concepts de Qualité de Service (2)
L’architecture orientée QS se compose de trois méthodes d’implémentation : Implémentation de bout-en-bout Techniques d’identification et de marquage Coordination de la QS entre deux équipements terminaux Implémentation locale à un équipement Mécanismes de files d’attente Outils de lissage de trafic Fonctions de contrôle et de gestion de la QS Compteurs Administration

56 Concepts de Qualité de Service (3)

57 Identification et marquage (1)
Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifié Listes d’accès CAR (Committed Access Rate) NBAR (Network-Based Application Recognition) Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marqués ou non Le processus d’identification/marquage est appelé classification

58 Identification et marquage (2)
Identification sans marquage : classification locale L’équipement identifie des paquets appartenant à un flot Il met en œuvre une politique locale La classification « disparaît » et n’est pas transmise ou nœud suivant sur le chemin Exemples : Priority Queuing (PQ) Custom Queuing (CQ) Identification et marquage : classification globale Les paquets sont marqués pour l’ensemble du chemin Utilisation possible des bits de précédence IP Exemple : DiffServ (Differentiated Service)

59 Implémentation locale de la QS (1)
Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés Gestion de la congestion Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ? Stockage dans une file, plusieurs files Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing) Gestion des files d’attente Les buffers étant de taille limitée, ils peuvent « déborder » Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ? Exemple : WRED (Weighted Random Early Detect)

60 Implémentation locale de la QS (2)
Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés Efficacité des liens Les liens à bas débits posent le problème du délai de transmission (sérialisation) Exemple : un paquet de 1500 octets nécessite 214ms Les petits paquets sont pénalisés Solutions : Fragmentation & entrelacement Compression des en-têtes Mise en forme du trafic Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un lien bas-débit Exemple : trafic retour backbone vers accès Possibilité de « jeter » les trafics excessifs (CAR)

61 Mise en œuvre de la QS La gestion de la QS sous-entend une méthodologie permettant d’évaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre : Utilisation de sondes RMON Caractérisation du trafic Estimation des temps de réponse pour les applications critiques Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques Contrôle des effets de ces mécanismes Outils d’administration Tests de temps de réponse, de charge, etc.

62 Niveaux de QS (1) Les niveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau d’un bout à l’autre Service « Best Effort » Aucune garantie de QS Connectivité simple, pas de différentiation de flots Files FIFO Service différencié Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible) Garantie « statistique » Classification + PQ, CQ, WFQ et WRED Service garanti Réservation absolue de ressources réseaux pour certains trafics RSVP, CBWFQ

63 Niveaux de QS (2) Best Effort Différencié Garanti Best Effort
(IP, IPX, AppleTalk) Simple connectivité IP (Internet) Best Effort Garanti Différencié Différencié (Class First, Business, Coach) Certains trafics sont plus importants que les autres Certaines applications requièrent des ressources réseau spécifiques Garanti (Bande passante, Délai, Gigue)

64 Classification Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués Identification Listes d’accès (ACL) Identification pour priorisation locale (PQ, CQ, CBWFQ) Pas de marquage des paquets Affectation d’une précédence IP (champ TOS étendu) Routage stratégique (PBR : Policy-Based Routing) Associé à une identification via ACL Déploiement en périphérie du réseau (ou de la zone de routage) Autres méthodes d’affectation de précédence CAR : marquage des paquets excédentaires NBAR : identification fine (niveau 4 à 7) Exemple : niveau 4  HTTP Exemple : niveau 7  URL

65 PBR (Policy – Based Routing)
Le routage stratégique PBR permet… … de classifier le trafic à partir de listes d’accès étendues … de fixer les bits de précédence IP au sein des paquets identifiés … de router ces paquets sur des chemins spécifiques L’utilisation conjointe de PBR et des mécanismes de files d’attente permet de créer une différenciation des services PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP.

66 CAR (Committed Access Rate)
La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant l’allocation nominale de bande passante Élimination des paquets excédentaires Marquage (bits de précédence) des paquets excédentaires CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis d’un débit alloué Utilisation du mécanisme de « leaky bucket » (jetons) Similaire à l’algorithme de GCRA pour ATM (test du PCR) Excédentaire Prec = 2 Débit alloué Bande passante Conforme Prec = 6

67 NBAR : Network – Based Application Recognition
NBAR effectue une identification dynamique des flots… … à un niveau supérieur Exemple : applications orientées Web (HTTP) URL MIME Contrôle des dialogues fixant les ports dynamiques … autorisant un marquage ultérieur plus fin

68 QS différenciée Le marquage des paquets IP permettant d’appliquer des mécanismes de priorisation est réalisé à l’aide du champ Type Of Service (TOS) de l’en-tête IPv4 3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau) Extension à 6 bits (RFC 2475) pour DiffServ Utilisation du champ « Priority » en IPv6

69 Gestion de la congestion (1)
En cas de congestion (surcharge d’un équipement ou d’un lien), les routeurs doivent stocker les paquets dans des buffers Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files d’attente Tri du trafic Méthodes de priorisation Les algorithmes les plus couramment utilisés sont : FIFO (First-In, First-Out) PQ (Priority Queuing) CQ (Custom Queuing) WFQ (Weighted Fair Queuing) CBWFQ (Class – Based WFQ)

70 Gestion de la congestion (2)
FIFO Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée lorsque la congestion disparaît Algorithme par défaut Aucune décision de priorité Aucune protection contre les sources excessives Lors du débordement, la perte s’effectue par la queue, sans distinction Priorité forte in out Priorité moyenne Priorité faible perte

71 Gestion de la congestion (3)
PQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Préemption totale des files prioritaires Priorité forte in out Priorité moyenne Priorité faible perte Pas d’indication de priorité

72 Gestion de la congestion (4)
CQ Classification du trafic L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur aux différentes classes de trafic Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin) Priorité forte in out Priorité moyenne Priorité faible perte Pas d’indication de priorité

73 Gestion de la congestion (5)
WFQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Le service est ordonnancé La pondération (Weight) est directement calculée à partir de la valeur de précédence Par défaut, sans priorisation, WFQ utilise le volume comme poids 6/10 6 Priorité forte in out 3 Priorité moyenne 3/10 1 Priorité faible perte 1/10

74 Gestion de la congestion (6)
CBWFQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Le service est ordonnancé La pondération est décidée par l’administrateur Les poids sont calculés à partir de la part de bande passante allouée 1024 kb/s Priorité forte in out Priorité moyenne 768kb/s 2Mb/s Priorité faible perte 256 kb/s

75 Gestion des files d’attente (1)
WRED Principe Dérivation de RED (Random Early Detect) avec application des précédences IP Refuser des paquets entrants pour éviter la congestion et la perte Objectifs Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue » Refus des paquets entrants en fonction de leur priorité La décision de refus d’un paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file)

76 Gestion des files d’attente (2)
WRED Exemple : Capacité nominale de la file : 20 paquets Seuil pour les paquets de priorité forte : 20 Seuil pour les paquets de priorité moyenne : 15 Seuil pour les paquets de priorité faible : 10

77 Efficacité des liens (1)
Problèmes Taille relative des paquets de données IP Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP) Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés Taille absolue des paquets de données IP L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue l’overhead Les petits paquets ont une plus forte part d’overhead que les gros paquets Exemples (TCP/UDP + IP = 40 octets minimum) FTP : 1500 octets utiles  ~ 2.6% SQL : 256 octets utiles  ~ 13.5% VoIP : 20 octets utiles  ~ 66.7%

78 Efficacité des liens (2)
LFI (Link Fragmentation & Interleaving) Fragmentation des grands datagrammes (« jumbogrammes ») Entrelacement des fragments et des petits datagrammes Normalisation IETF en cours Fondée sur l’utilisation de PPP sur les liens bas-débits MCML (MultiClass extensions to Multilink PPP) Fragmentation WFQ (Entrelacement) Grands datagrammes in out Petits datagrammes Fragments

79 Efficacité des liens (3)
Compression des en-têtes Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-à-point Paquets RTP/UDP/IP 40 octets d’en-tête (20 IP, 8 UDP, 12 RTP) Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo) Paquets TCP/IP 40 octets d’en-tête (20 IP, 20 TCP) Typiquement 500 à 1500 octets d’informations (FTP, , etc.) Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)

80 Efficacité des liens (4)
Compression des en-têtes Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point) Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le routage En-tête compressé : 2 à 5 octets Diminution de l’overhead Diminution du temps de sérialisation (insertion sur le support, transmission) Exemples de gains sur un lien à 64 kb/s  ~ 4.5 ms FTP : réduction de 2.3% SQL : réduction de 11.8% VoIP : réduction de 58.3%

81 Gestion de la congestion
Mise en œuvre de la QS Classification Efficacité des liens Administration Comptabilisation Gestion de la congestion (files d’attente)

82 Interconnexion de réseaux
Objectifs Connaître les différentes technologies des réseaux d'entreprise Comprendre avantage & inconvénients des solutions du marché Plan Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles Réseaux de mobiles

83 Boucle locale IP

84 Mobilité & débit

85 Spectre radio

86 Réseau ad hoc

87 WPAN & WLAN Complexité

88 Bluetooth Technologie pour remplacer les câbles
Débit inférieur à 1Mb/s Une dizaine de mètres Faible puissance Coût très bas

89 Piconet Piconet de 8 utilisateurs
– 1 maître et 7 esclaves (technique de polling) Débit 433,9 Kbit/s dans une communication full duplex 723,2 Kbit/s et 57,6 dans l’autre sens dans une communication déséquilibrée 64 Kbit/s en synchrone

90 Scatternet

91 Format du paquet Bluetooth
Code d’accès Synchronisation. Identification. En-tête AM-ADDR: MAC-address Type: payload type Flow: flow control ARQ: fast retransmit HEC

92 IEEE (1) Réseau d'infrastructure

93 IEEE (2) Réseau en mode ad hoc

94 Équipements : carte

95 Équipements : cartes Wi-Fi
Prix Carte Wi-Fi au format compact flash : 170 € Carte Wi-Fi pour Palm : 150 € Carte Wi-Fi pour Visor : 150 €

96 Wi-Fi embarqué D’ici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués A partir de 2003, les PDA seront équipés de Wi-Fi embarqués

97 Équipements : points d'accès

98 Équipements : antennes

99 Architecture détaillée

100 Réglementation française
A l’intérieur des bâtiments Aucune demande d’autorisation Dans 38 départements : Bande 2,400 – 2,4835 GHz, puissance 100 mW Dans les autres départements Bande 2,4465 – 2,4835 GHz, puissance 100 mW Bande 2,400 – 2,4835 GHz, puissance 10 mW A l’extérieur des bâtiments (Hotspots) Bande 2,400 – 2,454 GHz, puissance 100 mW Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation) Bande 2,400 – 2,4465 GHz : impossible

101 Sécurité dans le Wi-Fi Accès au réseau
Service Set ID (SSID) : équivalent au nom de réseau Access Control List (ACL) : basé sur les adresses MAC Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4 Nouvelle sécurité: TKIP, 802.1x et carte à puce

102 La mobilité (1)

103 La mobilité (2)

104 Mobilité IP Objectifs Un mobile doit être capable de communiquer avec d’autres machines après avoir changé son point d’attachement sur l’Internet Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur l’Internet Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet

105 Mobilité IPv4 RFC 2002 Mobile Node : Nœud IPv4 qui peut changer de points d’attachement sur l’Internet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale) Home Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère) Foreign Agent : Routeur IPv4 situé dans le réseau visité par le mobile

106 Scénario simplifié