La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON

Présentations similaires


Présentation au sujet: "« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON"— Transcription de la présentation:

1 « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON

2 « Architecture des Réseaux » Architecture des Réseaux Architectures étendues - Partie II -

3 page 3 Agenda (deuxième journée) 4 Interconnexion de réseaux 4 Architectures étendues åSolutions de réseaux daccès åSolutions de réseaux fédérateurs åNotions de réseaux privés virtuels åRéseaux de mobiles

4 page 4 Interconnexion de réseaux 4 Objectifs åConnaître les différentes technologies des réseaux d'entreprise åComprendre avantage & inconvénients des solutions du marché 4 Plan åSolutions de réseaux daccès åSolutions de réseaux fédérateurs åNotions de réseaux privés virtuels åRéseaux de mobiles Notions de réseaux privés virtuels

5 page 5 Solutions dinterconnexion IP 4 Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs : åNe plus offrir seulement du « tuyau » (bande passante) mais aussi du service åRemonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures) RPVIP 4 Le « packaging » des offres opérateurs sorientent vers les Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP) åProposer des « prises IP » åAgrémenter les accès de garanties en termes de : Qualité de Service (VPN-IP CoS) Sécurité (VPN-IP IPSec)

6 page 6 Définition dun VPN VPNVPN 4 Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un réseau qui… å… utilise et/ou partage des infrastructures publiques ou privées sécuritéQualité de Service å… met en œuvre des mécanismes de sécurité et de Qualité de Service 4 Comparatif VPN / Réseau Privé VPN Réseau Privé + + Coût + + Flexibilité + + Externalisation + + Maîtrise + + Sécurité - - Moins de Maîtrise - - Mobilisation ressources humaines importantes - - Investissements lourds

7 page 7 Définition dun VPN Frame Relay 4 VPN basé sur des infrastructures Frame Relay åVPN Frame Relay (offre traditionnelle opérateur) åNotion de CVP et de point-à-point Maillage complet Gestion par lopérateur complexe Manque de flexibilité

8 page 8 Définition dun VPN IP 4 De nouvelles offres : VPN IP (apparues il y a un an) åIP Protocole universel au niveau des applications Extension au niveau du transport pour les offres de service réseau åDe nouveaux protocoles de gestion Qualité de Service MPLS : toujours en normalisation (essentiellement équipements) DiffServ : normalisé Sécurité IPSec åRéseau constitué de routeurs IP åTransport des flux IP de façon « native » (routage dynamique)

9 page 9 Constitution dun VPN IP (1)

10 page 10 Constitution dun VPN IP (2) 4 Comme tout réseau de transmission de données, un VPN est composé déquipements de communications et de liaisons de transmission. 4 A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution

11 page 11 Constitution dun VPN IP (3) 4 Composantes åRéseau de transport : infrastructure « backbone » ou Internet åMoyens daccès CPE (Customer Premises Equipment) : routeur, modem Connexion au réseau de transport via réseau daccès åMoyens de sécurisation Technologies propres au réseau de transport (ex. : CVP Frame Relay) Déploiement déquipements et logiciels spécifiques Pare-feux Serveurs dauthentification/autorisation åPlate-formes de services (hébergement) Messagerie, accès Web, etc. Infogérance åMoyens de supervision

12 page 12 Différents types de VPN IP 4 VPN IP « Internet » åInfrastructure entièrement publique åUtilisation des réseaux ISP 4 VPN IP « Opérateur » åInfrastructure fournie par un prestataire åMPLS ou non åIPSec ou non 4 VPN Frame Relay & IP åAvantages & inconvénients åComparatifs

13 page 13 Définition VPN IP Internet (1) 4 VPN IP Internet åUtilisation des infrastructures Internet å« Intelligence » gérée au niveau des extrémités (CPE) tunnels åCréation de tunnels LAN/LAN ou LAN/PC

14 page 14 Définition VPN IP Internet (2) 4 VPN IP Internet åUtilisation de protocoles de tunneling PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol) Utilisés dans le cadre daccès commutés Environnement multi-protocoles L2TP (Layer 2 Tunneling Protocol) Rassemble les avantages de PPTP et L2F Nombreuses solutions constructeurs IPSec (IP Secured) Norme IETF initialisée en 1992, normalisée en 2000 Sécurité supérieure Associé à IP Intégré dans IPv6

15 page 15 Définition VPN IP Internet (3) 4 VPN IP Internet åUtilisation dalgorithmes de chiffrement DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation) åDifférents types de passerelle VPN IP Passerelle dédiée : équipement situé entre le routeur du LAN et Internet Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP) Passerelle intégrée au firewall åUtilisation dun serveur de sécurité (authentification/autorisation) Serveur Radius, etc.

16 page 16 Sécurité des VPN IP Internet FonctionsSolutions Authentification Contrôle daccès Login & password Calculette (jetons « secure-id ») Signature électronique Confidentialité Intégrité des données Tunneling Chiffrement des données

17 page 17 Les applications VPN IP Internet 4 Applications non critiques, non temps-réel åInternet : « best effort » åPas de qualité de service 4 Création structure Extranet / Intranet 4 Accès à distance à un Intranet / Extranet å… depuis des sites de petite taille, ou situés à létranger å… de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)

18 page 18 Définition VPN IP Opérateur (1) 4 VPN IP Opérateur åRéseau privatif sur infrastructure IP managée åRéseau constitué de routeurs IP CE : Customer Equipment PE : Provider Edge P : Provider

19 page 19 Définition VPN IP Opérateur (2) 4 VPN IP Opérateur åOffres récentes åCorrespond à une logique dexternalisation (outsourcing) åService & gestion des équipements (y compris les CPE) par lopérateur 4 Deux stratégies dopérateurs : gestion du protocole MPLS ou non MPLS 4 Évolution du marché : MPLS

20 page 20 VPN IP Opérateur MPLS : généralités 4 Gestion de MPLS associé à DiffServ = QS et sécurité sous IP åPriorisation des flux avec plusieurs classes de service disponibles Temps réel et multimédia : Voix sur IP, centres dappels virtuels, streaming, vidéo/visioconférence… Critique : ERP, SQL, transactionnel… Standard : Messagerie, consultation Web, … åEntre 3 et 5 classes selon les offres opérateurs åOptimisation de la bande passante åMPLS assure létanchéité des flux (sécurité) 4 Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec 4 Problème : définir limportance relative des différentes classes pour obtenir une QS satisfaisante

21 page 21 VPN IP Opérateur MPLS : QS et Applications 4 Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles 1.Disponibilité de services 2.Délai de transmission 3.Gigue : variation du délai de transmission 4.Débit garanti 5.Taux des paquets perdus 4 Les SLA sont associés aux classes de service 4 Lentreprise doit classer (et connaître !) ses applications dans les classes proposées par lopérateur en fonction de leur criticité

22 page 22 VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1) 4 MPLS åDéveloppé par lorganisme IETF åOptimise la désignation, le routage, lenvoi et la commutation des flux de données à travers le réseau åPerformances et sécurité sous IP åPas encore tout à fait mature åSolutions différentes pour les équipementiers

23 page 23 VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2) 4 DiffServ åDéveloppé par lorganisme IETF åPermet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique) åSe combine à MPLS pour délivrer une Qualité de Service de bout en bout åIntégré dans IPv6 åNormalisé

24 page 24 VPN IP Opérateur non MPLS : VPN IP IPSec 4 Pas de gestion de MPLS åLopérateur sappuie sur un backbone IP maîtrisé et largement dimensionné åMélanges fréquents avec des flux Internet åPas de classes de service (sauf recours à DiffServ) åSLA perte de paquet, temps de transit… moins dengagements quavec des offres MPLS åSécurité Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement Solutions VPN IP IPSec

25 page 25 VPN IP Opérateur : applications 4 Intranet + Extranet + Accès à distance : adaptés à lensemble des besoins de communication 4 Offres bien adaptées aux structures et aux applications distribuées 4 Offres adaptées à toutes les applications existantes et à venir 4 Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…

26 page 26 4 Avantages åMaturité åQualité de Service åSécurité (CVP) åMulti-protocoles åAdaptés aux structures en étoiles 4 Inconvénients åManque de flexibilité (CVP) åPeu adapté aux accès à distance, aux Extranets, et aux structures maillées åTechnologie plutôt en fin de vie VPN Frame Relay : avantages & inconvénients

27 page 27 4 VPN IP Internet åAvantages Simplicité Coût Sécurité Capillarité Flexibilité åInconvénients Best effort Problèmes dinteropérabilité Mise en œuvre délicate 4 VPN IP Opérateur åAvantages Idem « VPN IP Internet » Qualité de Service Sécurité Aspect « any-to-any » Classes de service Évolutivité Visibilité sur le réseau Bien adapté aux nouvelles technologies daccès Bien adapté aux applications temps réel åInconvénients Technologie récente et encore peu mature (MPLS) Offres encore incomplètes VPN IP : avantages & inconvénients

28 page 28 Comparatif Frame Relay et IP VPN Internet VPN Frame Relay VPN IP (MPLS) Réseau IP privé Intranet point-à- point Possible mais problème de fiabilité Bien adapté et économique Bien adapté et très souple Solution très coûteuse Intranet maillé Possible mais problème de fiabilité Moyen, manque de souplesse (gestion de CVP) Réseau nativement maillé (any-to-any) Solution très coûteuse. Le maillage est possible mais doit être géré au niveau des routeurs daccès. Accès distant Solution la plus simple et la moins coûteuse Peu doffres existantes Peu doffres existantes (via VPN Internet) Coût important mais solution la plus souple ExtranetsSolution la plus souple pour des échanges ponctuels mais problème de fiabilité Peu adapté (délais, coûts, …) Bien adapté, surtout pour des volumes échangés importants Solution souple et fiable mais coûts importants

29 page 29 Comparatif VPN IP et réseau privé IP VPN IP Internet + Capillarité + Coût - QS aléatoire VPN IP Opérateur + Évolutivité + QS + Coût Réseau Privé IP + Sécurité, Maîtrise - Coût - Forte implication de lentreprise Coût Qualité

30 page 30 Solutions VPN 4 Trois types de VPN IP åVPN IP Internet åVPN IP Opérateur IPSec åVPN IP Opérateur MPLS 4 Les offres VPN IP Opérateur cumulent… å… les avantages du protocole IP (flexibilité, « any-to-any », coût) å… les avantages des offres VPN Frame Relay (QS et sécurité) 4 Évolution du marché vers les offres VPN IP MPLS 4 Les offres VPN Frame Relay restent attractives pour certains besoins

31 page 31 Migration vers un VPN IP (1) 4 Réseau privé géré par lentreprise åLocation de Liaisons Spécialisées à un opérateur åGestion des flux et de la QS par lentreprise 4 Solution VPN IP åLinfrastructure réseau local des sites ne change pas åGestion des flux et de la QS par lopérateur VPN 4 Externalisation des coûts de gestion

32 page 32 Migration vers un VPN IP (2) 4 Concentration des communications sur une plate- forme centrale åGestion des serveurs d'accès distant par l'entreprise. åCommunications au tarif local, national voire international 4 Solution VPN IP åConnexion des nomades via l'infrastructure d'accès du prestataire. åCommunications au tarif local 4 Optimisation des coûts de communication

33 page 33 Migration vers un VPN (3) 4 La mise en place dun VPN requiert de nombreuses connaissances dans de nombreux domaines åInfrastructure physique åSécurité logique åServices applicatifs

34 page 34 Différentes catégories dacteurs Carrier to Carrier Fournisseurs dAccès Internet Opérateurs IP Opérateurs de Boucle Locale Opérateurs historiques Opérateurs Télécom Nationaux

35 page 35 Différents niveaux de VPN IP

36 page 36 Différents positionnements (1) 4 Choix de protocoles (fin 2001)

37 page 37 Différents positionnements (2) 4 Convergence vers MPLS

38 page 38 Uniformisation des prestations (1) 4 Prestations techniques (liées à limplémentation du VPN IP) åRaccordement des sites Gestion des accès Gestion des routeurs Gestion de la sécurité åTransport Connexion au backbone Routage VPN client Traitement différencié des flux åAccès à Internet Adresses IP Dépôt de noms de domaines Gestion de la sécurité åServices daccompagnement client Tuning, conseil, optimisation du VPN

39 page 39 Uniformisation des prestations (2) 4 Services proposés aux gestionnaires åGestion des modifications åFonctionnalités de reporting 4 Services transverses åServices de support åServices de facturation åSLA & contrats 4 Mais encore beaucoup doffres sur mesures

40 page 40 Différents positionnements (3) 4 Enrichissement des offres sur les types daccès

41 page 41 Sécurité dans les VPN 4 Linterconnexion des réseaux dentreprise impose la mise en place darchitectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer… å… lécoute des communications å… la falsification des données échangées å… lusurpation didentité 4 Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux : confidentialité åAssurer la confidentialité des données intégrité åAssurer lintégrité des données pendant le transport authentification åAssurer lauthentification certaine des parties en relations cryptographie 4 Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographie

42 page 42 Crypto-systèmes 4 Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement Fonction de Chiffrement Fonction de Déchiffrement Ensemble des clés utilisables Crypto-système

43 page 43 Crypto-systèmes symétriques 4 Pour chiffrer / déchiffrer le message, on utilise une clef unique clef secrète åCette clef est appelée clef secrète åUne clef différente donne un résultat différent Bonjour Fonction de Chiffrement Fonction de Déchiffrement Clef secrète 8964K9X

44 page 44 Crypto-systèmes asymétriques (1) 4 Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes clef publique åLa clef de chiffrement est appelée clef publique clef privée åLa clef de déchiffrement est appelée clef privée Bonjour Fonction de Chiffrement Fonction de Déchiffrement Clef publique 8964K9X Bonjour Clef privée

45 page 45 4 La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés 4 La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus Crypto-systèmes asymétriques (2)

46 page 46 Mise en œuvre de la sécurité (1) 4 La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels tunnel chiffré et authentifié 4 Son objectif est de créer un tunnel chiffré et authentifié entre deux points 4 Le chiffrement et lauthentification des parties font appel à la cryptographie

47 page 47 Mise en œuvre de la sécurité (2) 4 Le protocole IP ne dispose nativement daucune fonction cryptographique 4 Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie IPSec åExtension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured) åIPSec est aujourdhui le standard de fait pour la réalisation de tunnels VPN, même si dautres technologies existent (MPLS)

48 page 48 Protocole IPSec (1) clef volatile 4 IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatile (mise à jour à intervalle régulier) 4 Cette clef est appelée clef de session 4 Léchange sécurisé de la clef de session est réalisée via la cryptographie asymétrique

49 page 49 Protocole IPSec (2) 4 IPSec introduit deux nouveaux protocoles IP åAH åAH (IP Authentication Header) fournit les services dintégrité sans connexion et dauthentification åESP åESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de lémetteur IKE 4 IPSec introduit aussi un protocole UDP pour faciliter léchange des clefs : IKE (Internet Key Exchange)

50 page 50 Protocole IPSec (3) 4 IPSec ajoute quelques fonctions intéressantes åPerfect Forward Secrecy Ce principe garantir que la découverte par un intrus dun ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session La connaissance dune clef de session ne permet pas de préjuger des autres clefs de session åBack Traffic Protection Chaque clef de session est générée indépendamment des autres La découverte de lune des clefs ne compromet ni les clefs passées, ni celles à venir

51 page 51 Points délicats de la sécurité (1) 4 A quoi faire attention ?… åInteropérabilité des équipements IPSec norme IETF (http://www.ietf.org/html.charters/ipsec-charter.html)http://www.ietf.org/html.charters/ipsec-charter.html Implémentation de la norme différente selon les équipementiers et éditeurs Certains équipements refusent obstinément de communiquer ensemble Amélioration progressive à prévoir åTranslation dadresse (NAT) Les mécanismes de NAT réécrivent les paquets IP La translation dadresse casse lauthentification Solutions NAT et VPN IPSec sur le même équipement Translation avant chiffrement

52 page 52 Points délicats de la sécurité (2) 4 A quoi faire attention ?… åPostes nomades Quid en cas de vol dun poste nomade ? Pas dauthentification certaine du poste si lutilisateur sauthentifie avec un couple identifiant/authentifiant Envisager un mécanisme dauthentification forte

53 page 53 Lavenir de la sécurité VPN 4 La tendance est à limplémentation native des fonctions IPSec dans les systèmes dexploitation (ex. : Linux, Windows 2000, Windows XP, …) 4 IPv6 intégrera la sécurité de façon native

54 page 54 Concepts de Qualité de Service (1) 4 Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots åMécanismes de priorisation åRègles de gestion de la congestion (politiques de files dattente) åMise en forme de trafic (lissage, shaping) 4 Au sein dun réseau, les liaisons nayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS

55 page 55 Concepts de Qualité de Service (2) 4 Larchitecture orientée QS se compose de trois méthodes dimplémentation : åImplémentation de bout-en-bout Techniques didentification et de marquage Coordination de la QS entre deux équipements terminaux åImplémentation locale à un équipement Mécanismes de files dattente Outils de lissage de trafic åFonctions de contrôle et de gestion de la QS Compteurs Administration

56 page 56 Concepts de Qualité de Service (3)

57 page 57 Identification et marquage (1) identifié 4 Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifié åListes daccès åCAR (Committed Access Rate) åNBAR (Network-Based Application Recognition) marqués 4 Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marqués ou non classification 4 Le processus didentification/marquage est appelé classification

58 page 58 Identification et marquage (2) 4 Identification sans marquage : classification locale åLéquipement identifie des paquets appartenant à un flot åIl met en œuvre une politique locale åLa classification « disparaît » et nest pas transmise ou nœud suivant sur le chemin åExemples : Priority Queuing (PQ) Custom Queuing (CQ) 4 Identification et marquage : classification globale åLes paquets sont marqués pour lensemble du chemin åUtilisation possible des bits de précédence IP Exemple : DiffServ (Differentiated Service)

59 page 59 Implémentation locale de la QS (1) 4 Différents outils permettent à un équipement dappliquer des mécanismes de Qualité de Service aux paquets identifiés åGestion de la congestion Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ? Stockage dans une file, plusieurs files Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing) åGestion des files dattente Les buffers étant de taille limitée, ils peuvent « déborder » Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ? Exemple : WRED (Weighted Random Early Detect)

60 page 60 Implémentation locale de la QS (2) 4 Différents outils permettent à un équipement dappliquer des mécanismes de Qualité de Service aux paquets identifiés åEfficacité des liens Les liens à bas débits posent le problème du délai de transmission (sérialisation) Exemple : un paquet de 1500 octets nécessite 214ms Les petits paquets sont pénalisés Solutions : Fragmentation & entrelacement Compression des en-têtes åMise en forme du trafic Utilisation de grandes capacités mémoires lors du passage dun lien haut-débit à un lien bas-débit Exemple : trafic retour backbone vers accès Possibilité de « jeter » les trafics excessifs (CAR)

61 page 61 Mise en œuvre de la QS 4 La gestion de la QS sous-entend une méthodologie permettant dévaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre : 1.Utilisation de sondes RMON a. Caractérisation du trafic b. Estimation des temps de réponse pour les applications critiques 2.Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques 3.Contrôle des effets de ces mécanismes a. Outils dadministration b. Tests de temps de réponse, de charge, etc.

62 page 62 Niveaux de QS (1) niveaux 4 Les niveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau dun bout à lautre åService « Best Effort » Aucune garantie de QS Connectivité simple, pas de différentiation de flots Files FIFO åService différencié Certains trafics sont mieux traités que dautres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible) Garantie « statistique » Classification + PQ, CQ, WFQ et WRED åService garanti Réservation absolue de ressources réseaux pour certains trafics RSVP, CBWFQ

63 page 63 Niveaux de QS (2) Best Effort Garanti Différencié (IP, IPX, AppleTalk) Simple connectivité IP (Internet) Différencié (Class First, Business, Coach) Certains trafics sont plus importants que les autres Garanti (Bande passante, Délai, Gigue) Certaines applications requièrent des ressources réseau spécifiques

64 page 64 Classification 4 Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués 4 Identification åListes daccès (ACL) Identification pour priorisation locale (PQ, CQ, CBWFQ) Pas de marquage des paquets åAffectation dune précédence IP (champ TOS étendu) Routage stratégique (PBR : Policy-Based Routing) Associé à une identification via ACL Déploiement en périphérie du réseau (ou de la zone de routage) åAutres méthodes daffectation de précédence CAR : marquage des paquets excédentaires NBAR : identification fine (niveau 4 à 7) Exemple : niveau 4 HTTP Exemple : niveau 7 URL

65 page 65 PBR (Policy – Based Routing) 4 Le routage stratégique PBR permet… å… de classifier le trafic à partir de listes daccès étendues å… de fixer les bits de précédence IP au sein des paquets identifiés å… de router ces paquets sur des chemins spécifiques 4 Lutilisation conjointe de PBR et des mécanismes de files dattente permet de créer une différenciation des services 4 PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP.

66 page 66 CAR (Committed Access Rate) 4 La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant lallocation nominale de bande passante åÉlimination des paquets excédentaires åMarquage (bits de précédence) des paquets excédentaires 4 CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis dun débit alloué åUtilisation du mécanisme de « leaky bucket » (jetons) åSimilaire à lalgorithme de GCRA pour ATM (test du PCR) Conforme Prec = 6 Excédentaire Prec = 2 Bande passante Débit alloué

67 page 67 NBAR : Network – Based Application Recognition 4 NBAR effectue une identification dynamique des flots… å… à un niveau supérieur Exemple : applications orientées Web (HTTP) URL MIME Contrôle des dialogues fixant les ports dynamiques å… autorisant un marquage ultérieur plus fin

68 page 68 QS différenciée TOS 4 Le marquage des paquets IP permettant dappliquer des mécanismes de priorisation est réalisé à laide du champ Type Of Service (TOS) de len-tête IPv4 å3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau) DiffServ åExtension à 6 bits (RFC 2475) pour DiffServ åUtilisation du champ « Priority » en IPv6

69 page 69 Gestion de la congestion (1) 4 En cas de congestion (surcharge dun équipement ou dun lien), les routeurs doivent stocker les paquets dans des buffers 4 Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files dattente åTri du trafic åMéthodes de priorisation 4 Les algorithmes les plus couramment utilisés sont : åFIFO (First-In, First-Out) åPQ (Priority Queuing) åCQ (Custom Queuing) åWFQ (Weighted Fair Queuing) åCBWFQ (Class – Based WFQ)

70 page 70 Gestion de la congestion (2) 4 FIFO åLes paquets sont simplement stockés, puis transférés dans leur ordre darrivée lorsque la congestion disparaît åAlgorithme par défaut åAucune décision de priorité åAucune protection contre les sources excessives åLors du débordement, la perte seffectue par la queue, sans distinction in out Priorité forte Priorité moyenne Priorité faible perte

71 page 71 Gestion de la congestion (3) 4 PQ åDéfinition de niveaux de priorité åChaque niveau de priorité se voit assigner une file de taille égale åPréemption totale des files prioritaires in out Priorité forte Priorité moyenne Priorité faible perte Pas dindication de priorité

72 page 72 Gestion de la congestion (4) 4 CQ åClassification du trafic åLensemble de la ressource mémoire est distribué à discrétion de ladministrateur aux différentes classes de trafic åService cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin) in out Priorité forte Priorité moyenne Priorité faible perte Pas dindication de priorité

73 page 73 Gestion de la congestion (5) 4 WFQ åDéfinition de niveaux de priorité åChaque niveau de priorité se voit assigner une file de taille égale åLe service est ordonnancé La pondération (Weight) est directement calculée à partir de la valeur de précédence Par défaut, sans priorisation, WFQ utilise le volume comme poids in out Priorité forte Priorité moyenne Priorité faible perte /10 3/10 1/10

74 page 74 Gestion de la congestion (6) 4 CBWFQ åDéfinition de niveaux de priorité åChaque niveau de priorité se voit assigner une file de taille égale åLe service est ordonnancé La pondération est décidée par ladministrateur Les poids sont calculés à partir de la part de bande passante allouée in out Priorité forte Priorité moyenne Priorité faible perte 1024 kb/s 768kb/s 256 kb/s 2Mb/s

75 page 75 Gestion des files dattente (1) 4 WRED åPrincipe Dérivation de RED (Random Early Detect) avec application des précédences IP Refuser des paquets entrants pour éviter la congestion et la perte åObjectifs Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue » Refus des paquets entrants en fonction de leur priorité åLa décision de refus dun paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file)

76 page 76 Gestion des files dattente (2) 4 WRED åExemple : Capacité nominale de la file : 20 paquets Seuil pour les paquets de priorité forte : 20 Seuil pour les paquets de priorité moyenne : 15 Seuil pour les paquets de priorité faible : 10

77 page 77 Efficacité des liens (1) 4 Problèmes åTaille relative des paquets de données IP Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP) Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés åTaille absolue des paquets de données IP overhead Len-tête des paquets de données, rapporté à la taille globale du paquet, constitue loverhead Les petits paquets ont une plus forte part doverhead que les gros paquets Exemples (TCP/UDP + IP = 40 octets minimum) FTP : 1500 octets utiles ~ 2.6% SQL : 256 octets utiles ~ 13.5% VoIP : 20 octets utiles ~ 66.7%

78 page 78 Efficacité des liens (2) 4 LFI (Link Fragmentation & Interleaving) åFragmentation des grands datagrammes (« jumbogrammes ») åEntrelacement des fragments et des petits datagrammes åNormalisation IETF en cours Fondée sur lutilisation de PPP sur les liens bas-débits MCML (MultiClass extensions to Multilink PPP) in out Grands datagrammes Petits datagrammes Fragments WFQ(Entrelacement) Fragmentation

79 page 79 Efficacité des liens (3) 4 Compression des en-têtes åLes applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-à-point åPaquets RTP/UDP/IP 40 octets den-tête (20 IP, 8 UDP, 12 RTP) Typiquement 20 à 150 octets dinformations (VoIP, streaming vidéo) åPaquets TCP/IP 40 octets den-tête (20 IP, 20 TCP) Typiquement 500 à 1500 octets dinformations (FTP, , etc.) åCompression des en-têtes Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)

80 page 80 Efficacité des liens (4) 4 Compression des en-têtes åUn en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point) Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour ladressage et le routage En-tête compressé : 2 à 5 octets åDiminution de loverhead åDiminution du temps de sérialisation (insertion sur le support, transmission) åExemples de gains sur un lien à 64 kb/s ~ 4.5 ms FTP : réduction de 2.3% SQL : réduction de 11.8% VoIP : réduction de 58.3%

81 page 81 Mise en œuvre de la QS Classification Gestion de la congestion (files dattente) Efficacité des liens AdministrationComptabilisation

82 page 82 Interconnexion de réseaux 4 Objectifs åConnaître les différentes technologies des réseaux d'entreprise åComprendre avantage & inconvénients des solutions du marché 4 Plan åSolutions de réseaux daccès åSolutions de réseaux fédérateurs åNotions de réseaux privés virtuels åRéseaux de mobiles Réseaux de mobiles

83 page 83 Boucle locale IP

84 page 84 Mobilité & débit

85 page 85 Spectre radio

86 page 86 Réseau ad hoc

87 page 87 WPAN & WLAN Complexité

88 page 88 Bluetooth 4 Technologie pour remplacer les câbles 4 Débit inférieur à 1Mb/s 4 Une dizaine de mètres 4 Faible puissance 4 Coût très bas

89 page 89 Piconet 4 Piconet de 8 utilisateurs 4 – 1 maître et 7 esclaves (technique de polling) 4 Débit å433,9 Kbit/s dans une communication full duplex å723,2 Kbit/s et 57,6 dans lautre sens dans une communication déséquilibrée å64 Kbit/s en synchrone

90 page 90 Scatternet

91 page 91 Format du paquet Bluetooth 4 Code daccès åSynchronisation. åIdentification. 4 En-tête åAM-ADDR: MAC-address åType: payload type åFlow: flow control åARQ: fast retransmit åHEC

92 page 92 IEEE (1) 4 Réseau d'infrastructure

93 page 93 IEEE (2) 4 Réseau en mode ad hoc

94 page 94 Équipements : carte

95 page 95 Équipements : cartes Wi-Fi 4 Prix åCarte Wi-Fi au format compact flash : 170 åCarte Wi-Fi pour Palm : 150 åCarte Wi-Fi pour Visor : 150

96 page 96 Wi-Fi embarqué 4 Dici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués 4 A partir de 2003, les PDA seront équipés de Wi-Fi embarqués

97 page 97 Équipements : points d'accès

98 page 98 Équipements : antennes

99 page 99 Architecture détaillée

100 page 100 Réglementation française 4 A lintérieur des bâtiments åAucune demande dautorisation åDans 38 départements : Bande 2,400 – 2,4835 GHz, puissance 100 mW åDans les autres départements Bande 2,4465 – 2,4835 GHz, puissance 100 mW Bande 2,400 – 2,4835 GHz, puissance 10 mW 4 A lextérieur des bâtiments (Hotspots) åDans 38 départements : Bande 2,400 – 2,454 GHz, puissance 100 mW Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation) åDans les autres départements Bande 2,400 – 2,4465 GHz : impossible Bande 2,4465 – 2,4835 GHz, puissance 100 mW

101 page 101 Sécurité dans le Wi-Fi 4 Accès au réseau åService Set ID (SSID) : équivalent au nom de réseau åAccess Control List (ACL) : basé sur les adresses MAC 4 Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4 4 Nouvelle sécurité: TKIP, 802.1x et carte à puce

102 page 102 La mobilité (1)

103 page 103 La mobilité (2)

104 page 104 Mobilité IP 4 Objectifs 1.Un mobile doit être capable de communiquer avec dautres machines après avoir changé son point dattachement sur lInternet 2.Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur lInternet 3.Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP 4.Un mobile ne doit pas être plus exposé quune autre machine sur lInternet

105 page 105 Mobilité IPv4 4 RFC Mobile Node 4 Mobile Node : Nœud IPv4 qui peut changer de points dattachement sur lInternet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale) 4 Home Agent 4 Home Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère) 4 Foreign Agent 4 Foreign Agent : Routeur IPv4 situé dans le réseau visité par le mobile

106 page 106 Scénario simplifié


Télécharger ppt "« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON"

Présentations similaires


Annonces Google