La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

-1- TCP-IPTCP-IP 1ère journée: Organisation, Techniques de base, Adressage, Multicast, Evolution

Présentations similaires


Présentation au sujet: "-1- TCP-IPTCP-IP 1ère journée: Organisation, Techniques de base, Adressage, Multicast, Evolution"— Transcription de la présentation:

1 -1- TCP-IPTCP-IP 1ère journée: Organisation, Techniques de base, Adressage, Multicast, Evolution

2 -2- TCP - IP Introduction

3 -3- Historique en quelques mots Recherches du DARPA ( Defense Advanced Projects Research Agency ) l Fin des années 60 : recherche pour créer un réseau maillé pour sécuriser les liaisons militaires aux Etats-Unis l ARPANET (premier réseau à commutation de paquet au milieu des années 1970) l réseau de liaisons point à point (SRI, UCLA, UCSB, UTAH) 1974: Concept TCP/IP (Cerf-Kahn) 1981: RFC 791 défini IP (Internet Protocol) 1983: Migration dArpanet de NCP vers IP et création dInternet l MILNET regroupe la partie militaire l ARPANET regroupe la communauté scientifique et universitaire l TCP/IP intégré à l'Unix BSD livré en standard entrée dans le monde universitaire développement d'applications réseaux avec les sockets 1984: Création du DNS (1 000 machines hôtes) NSFnet en 1986, réseau reliant les centres de calculs Fin de ARPANET Explosion du Web !!! Fin du financement de la NSF l Privatisation du «backbone» par les opérateurs télécom Merit, Sprint, MCI l Fournisseurs dAccès Internet (FAI ou ISP)

4 -4- Le cahier des charges Des applications l Gestion de terminaux l Messagerie l Transfert de fichiers l Gestion de noms Les contraintes l Sauvegarde de lexistant l Diffusion gratuite et large

5 -5- Les grandes orientations techniques Protocoles hétérogènes l Virtualisation du réseau l Protocole fédérateur l Conversion au niveau réseau Adressage hétérogène l Adressage universel l Procédures de conversion

6 -6- Concepts de linterconnexion Point de départ : les réseaux interconnectés sont de nature diverse Les différences entre tous ces réseaux ne doivent pas apparaître à l'utilisateur de l'interconnexion. Les premiers systèmes d'interconnexion ont traité le problème au niveau applicatif : messagerie relayant le message de nœud en nœud. Inconvénients : l les applications sont victimes de toute modification du réseau, l plusieurs applications différentes sur une même machine dupliquent l'accès au réseau, l lorsque le réseau devient important, il est impossible de mettre en œuvre toutes les applications nécessaires à l'interconnexion sur tous les nœuds des réseaux.

7 -7- Concepts de linterconnexion (suite) Alternative à cette solution : mise en œuvre de l'interconnexion au niveau de la couche réseau de ces systèmes. Avantages: l les données sont routées par les nœuds intermédiaires sans que ces nœuds aient la moindre connaissance des applications responsables des ces données, l la commutation est effectuée sur la base de paquets de petite taille plutôt que sur la totalité de fichiers pouvant être de taille très importante, l le système est flexible: on peut facilement introduire de nouveaux interfaces physiques en adaptant la couche réseau alors que les applications demeurent inchangées, l les protocoles peuvent être modifiés sans que les applications soient affectées.

8 -8- Concepts de linterconnexion (suite) A l'intérieur de chaque réseau, les nœuds utilisent la technologie spécifique de leur réseau (Ethernet, X25, etc) Le logiciel d'interconnexion (couche réseau) encapsule ces spécificités et offre un service commun à tous les applicatifs, faisant apparaître l'ensemble de ces réseaux disparates comme un seul et unique réseau. Vue utilisateur Vue réelle du réseau

9 -9- Concepts de linterconnexion (suite) La technologie est constituée par des protocoles de base (suite TCP/IP) qui offrent les services de base du transfert des données : l transport de datagrammes : service élémentaire de la commutation de paquets, l transport fiable : service orienté connexion permettant d'acheminer des données en garantissant leur intégrité, l adaptation de la technologie TCP/IP à la plupart des interfaces matérielles. l services de base indépendants du support de transmission; adaptables à toute sorte de media depuis les réseaux locaux jusqu'aux réseaux longue distance. Interconnecte divers réseaux : Ethernet, T.R., X25, FR, FDDI, etc. Interconnexion d'égal à égal (peer to peer systems) : il n'y a pas de machines prioritaires

10 -10- Service réseau en mode non connecté Services Applicatifs Concepts de linterconnexion (suite) Applications standards bâties sur la technologie de base : courrier électronique, transfert de fichier, émulation terminal, etc. Indépendante des constructeurs et disponible sur tous types de matériel (micro, station, super-calculateur et équipements de réseaux) Services de transport

11 -11- VocabulaireVocabulaire INTERNET: INTERconnection of NETworks INTRANET: la technologie INTERNET dans un réseau privé EXTRANET: le réseau INTRANET à longue distance WWW: World Wide Web TCP-IP: les protocoles utilisés

12 -12- INTERNET dans le monde

13 -13- Le calendrier 1970: problème posé 1975: premières versions 82: multicast et multimédia 84-86: rencontre ISO 88-90: mincorporation dapplications ISO mproblème de taille du réseau 90: gestion de la pénurie 92: évolution du protocole? 94: décision IPv6 97: déploiement de test 99: qualité de service

14 -14- Réseau 1 B A Réseau 2 Réseau 3 Réseau 4 P1 P2 C D E G F P1P1 PxPx Interconnexion de réseaux Les réseaux Les passerelles Les protocoles Les adresses Approche DoD Le monde TCP-IP

15 -15- Réseau R1 Protocole d'accès à R1 Protocole IP Applications standards Réseau R2 Protocole d'accès à R2 Protocole IP Applications standards R1R2 Protocole IP Machine AMachine DPasserelle Architecture TCP-IP

16 -16- TCP - IP Ladressage

17 -17- Architecture TCP-IP: adressage Adressage binaire compact assurant un routage efficace basé sur un numéro UNIQUE dans lInternet LE ROUTAGE n'est pas effectué sur la base de la machine destinataire mais SUR LA BASE DU RÉSEAU DESTINATAIRE Adressage hiérarchique l Réseau / Machine Les classes d'adressage l Une adresse = 32 bits dite "internet address" ou "IP address" constituée d'une paire (netid, hostid) où netid identifie un réseau et hostid identifie une machine sur ce réseau. l Cette paire est structurée de manière à définir cinq classes d'adresse RéseauMachine 32 bits => 4,3 milliards dadresses P1 Réseau A Réseau B P2 Réseau C

18 -18- Ladressage Internet (suite) 0 Net-id 024 Host-id Classe A 1 Net-id Host-id Classe B Net-id Host-id Classe C Multicast Classe D Réservé Classe E 1111

19 -19- Classe A : 2 7 réseaux (128) l réservé: et l disponible: à réseaux classe A et machines/réseau Classe B : 2 14 réseaux (16 384) l réservé: et l disponible à réseaux classe B et hosts/réseau Classe C : 2 21 réseaux ( ) l réservé et l disponible à réseaux classe C et 254 hosts/réseau Espace dadressage IPv4

20 -20- Ladressage Internet (suite) Notation décimale pointée (dotted decimal) s'écrit : Adresses particulières Adresse réseau (netid): adresse IP dont la partie machine ne comprend que des zéros; la valeur zéro ne peut être attribuée à une machine réelle : désigne le réseau de classe B. Adresse machine locale (hostid) : adresse IP dont la partie réseau ne contient que des zéros;

21 -21- Ladressage Internet (suite) 024 Tout à zéro Host-id Tout à zéro Tout à un Net-id Tout à un 127 Nimporte quoi (souvent 1) désigne la machine courante machine Host-id sur le réseau courant diffusion limitée sur le réseau courant diffusion dirigée sur le réseau Net-id boucle locale

22 -22- Ladressage Internet (suite) Adresses et connexions l Une adresse IP => une interface physique => une connexion réseau. l S'applique particulièrement aux routeurs qui possèdent par définition plusieurs connexions à des réseaux différents l A une machine, est associé un certain nombre N d'adresses IP. Si N > 1 la machine (ou passerelle) est multi-domiciliée La passerelle est multi-domiciliée: interface 1 : Ethernet interface 2 : Token Ring

23 -23- Le sous-adressage Le sous-adressage est une extension du plan dadressage initial Il a été introduit afin de limiter la consommation dadresses IP ce qui permet également de diminuer : l la gestion administrative des adresses IP, l la taille des tables de routage des passerelles, l la taille des informations de routage, l le traitement effectué au niveau des passerelles. Principes l A lintérieur dune entité associée à une adresse IP de classe A, B ou C, plusieurs réseaux physiques partagent cette adresse IP. l On dit alors que ces réseaux physiques sont des sous-réseaux (subnet) du réseau dadresse IP.

24 -24- Le sous-adressage Pour ajouter une hiérarchie dans ladressage Structuration de la partie machine Caractéristique du réseau Réseau/Machine Réseau/Ss-réseau/Machine Masque de réseau Vision interne RFC 917, 950, 1219

25 -25- Le sous-adressage (suite) Un site avec deux réseaux physiques utilisant le sous-adressage de manière à ce que ses deux sous-réseaux soient couverts par une seule adresse IP de classe B. La passerelle P accepte tout le trafic destiné au réseau et sélectionne le sous-réseau en fonction du troisième octet de ladresse destination. Les sous-réseaux et sont notés seulement avec le NetId, les machines seulement avec le Hostid ; exemple IP(F) = InternetACB DFE P

26 -26- Le sous-adressage (suite) Le site utilise une seule adresse pour les deux réseaux physiques. A lexception de P, toute passerelle de l'Internet route comme sil nexistait quun seul réseau. La passerelle doit router vers lun ou lautre des sous-réseaux ; le découpage du site en sous-réseaux a été effectué sur la base du troisième octet de ladresse : l les adresses des machines du premier sous-réseau sont de la forme X, l les adresses des machines du second sous-réseau sont de la forme X. Pour sélectionner lun ou lautre des sous-réseaux, P examine le troisième octet de ladresse destination : si la valeur est 1, le datagramme est routé vers réseau , si la valeur est 2, il est routé vers le réseau

27 -27- Le sous-adressage (suite) Conceptuellement, la partie locale dans le plan dadressage initial est subdivisée en partie réseau physique + identification de machine (hostid) sur ce sous-réseau : Partie InternetPartie locale Partie InternetSous Réseau Identifieur Machine F Partie Internet correspond au NetId (plan dadressage initial) F Partie locale correspond au hostid (plan dadressage initial) F les champs Sous Réseau et Identifieur Machine sont de taille variable; la longueur des 2 champs étant toujours égale à la longueur de la Partie locale.

28 -28- Le sous-adressage (suite) Structure du sous-adressage Structuration souple : chaque site peut définir lui-même les longueurs des champs réseau physique et identificateur de machine. Flexibilité indispensable pour adapter la configuration réseau dun site: P1 P3 P2 P4 P5 Réseau 1 Réseau 2 Réseau 4 Réseau 5 Réseau 3 Ce site a cinq réseaux physiques organisés en trois niveaux : le découpage rudimentaire en réseau physique et adresse machine peut ne pas être optimal.

29 -29- Le sous-adressage (suite) Le choix du découpage dépend des perspectives dévolution du site: l Exemple Classe B : - 8 bits pour la partie sous réseau: 256 sous réseaux de 254 machines - 3 bits pour la partie sous réseau: 8 sous-réseaux de 8190 machines l Exemple Classe C : - 4 bits pour la partie sous-réseau: 16 sous-réseaux de 14 machines Lorsque le sous-adressage est ainsi défini, toutes les machines du réseau doivent sy conformer sous peine de dysfonctionnement du routage ==> configuration rigoureuse.

30 -30- Utilisation de masques Le sous-adressage ==> masque de 32 bits associé au sous-réseau. Bits du masque de sous-réseau (subnet mask) : l positionnés à 1 : partie réseau, l positionnés à 0 : partie machine ==> 3 octets pour le champ réseau, 1 octet pour le champ machine Les bits du masque identifiant sous-réseau et machine peuvent ne pas être contigus : Les notations suivantes sont utilisées : l décimale pointée; exemple : l adresse réseau/masque : /27 (27 = nombre de bits contigus du masque) / bits pour le champ réseau (dont 3 bits bits pour les sous-réseaux) 5 bits pour les machines Le sous-adressage (suite)

31 Configuration WIN 9x/NT Pourquoi une machine doit-elle connaître le masque ? Destination pour le routage

32 -32- Le sous-adressage variable (VLSM) RFC 1009 : un réseau IP peut posséder plusieurs masques différents; ==> réseau de type VLSM (Variable Length Subnet Masks) Evite la rigidité du masque fixe qui impose : l le nombre de sous-réseaux l le nombre de machines par sous-réseau Exemple : /22 ==> 64 sous-réseaux et 1022 machines / sous-réseau inadapté pour des petits sous-réseaux de quelques machines; exemple 30 machines sur un sous-réseau: 992 adresses IP perdues Permet ladaptation de ladressage IP à la taille des sous-réseaux l Exemple précédent : cohabitation de grands et petits sous-réseaux /22 (64 sous-réseaux et 1022 machines / sous-réseau) /26 (1024 sous-réseaux de 62 machines / sous-réseau)

33 -33- VLSM : agrégation de routes Division dun espace IP en sous-réseaux successifs Permet de masquer les informations de routage entre groupes de sous-réseaux / / / / / / / / / /27 "Autre technique" : CIDR

34 -34- Problèmes (fin années 80) Allocation dadresses l Epuisement classes B 254 machines < sites << 64K machines l Utilisation rapide des classes C => allouer exactement la quantité nécessaire Accroissement des tables de routage => agrégation dadresses Solution: Classless InterDomain Routing l Adresses avec IPv4 sans classes l Préfixe/longueur ¦ préfixe: regroupe des destinations communes pour un bloc dadresses ¦ longueur: nombre de bits significatifs du préfixe ¦ 2 (32-longueur) adresses de machines CIDR: Classless InterDomain Routing RFC 1518, 1519 CIDR: Classless InterDomain Routing RFC 1518, 1519

35 -35- Format adresses CIDR 16 premiers bits significatifs /16 : regroupe à (16-16) = 1 adresse de réseaux classe B en notation classique /16 : regroupe à (24-16) = 256 adresses de réseaux classes C contiguës en notation classique 24 premiers bits significatifs /24 : regroupe à (24-24) = 1 classe C en notation classique 23 premiers bits significatifs /23 regroupe et (24-23) = 2 adresses de réseaux adresses de réseaux classes C contiguës de ce bloc en notation classique 2 (32-23) = 512 adresses de machines

36 -36- Format adresses CIDR 22 premiers bits significatifs /22 regroupe jusquà (24-22) = 4 adresses de réseaux adresses de réseaux classes C contiguës de ce bloc en notation classique 1 bloc de 2 (32-22) = 1024 adresses de machines Allouer la quantité nécessaire l 350 adresses de machines à un utilisateur /24 => 256 adresses et /25 => 128 adresses = 384 machines Agrégation dadresses pour le routage /23 regroupe 2 classes C contigus ( et )

37 -37- Adressage local Best Current Practice: Address Allocation for Private Internets l réseau non connecté à Internet l réseau avec mur coupe-feu Adresses réservées: l (10/8) l (172.16/12) l ( /16) Numéros jamais annoncés au niveau des tables de routage de lInternet Utiliser la traduction dadresses (NAT, Proxy) RFC 1918

38 -38- Adressage local Sous- réseau /26

39 -39- Table de conversion Gestion des adresses de machine et des applications supportées (numéro de «port» dans le langage TCP/IP) Correspondance 1 adresse 1 machine 1 adresse N machines Traduction dadresses (NAT,NAPT) Adresse externeApplicationAdresse interneApplication Association dynamique NAT: Network Adress Translation NAPT: Network Adress Port Translation RFC 2663, 2993, 3022, 3235 NAT: Network Adress Translation NAPT: Network Adress Port Translation RFC 2663, 2993, 3022, 3235

40 -40- NAT Le NAT ASSOCIATIONS PAQUET SORTANT A. Source A. destination PAQUET SORTANT MODIFIE A. Source A. destination PAQUET REPONSE MODIFIE A. Source A. destination PAQUET REPONSE A. Source A. destination INTRANETINTERNET

41 -41- NAPT Le NAPT ASSOCIATIONS PAQUET SORTANT A. Source A. destination P. Source P. destination INTRANET PAQUET SORTANT A. Source A. destination P. Source P. destination PAQUET SORTANT MODIFIE A. Source A. destination P. Source P. destination INTERNET PAQUET SORTANT MODIFIE A. Source A. destination P. Source P. destination PAQUET REPONSE A. Source A. destination P. Source P. destination PAQUET REPONSE A. Source A. destination P. Source P. destination PAQUET REPONSE A. Source A. destination P. Source P. destination PAQUET REPONSE A. Source A. destination P. Source P. destination

42 -42- Certaines applications transportent des adresses IP et/ou des n° de port: l FTP l DNS l Mobile IP l IPSec l WINS l HTTP l H323 l RSVP Problèmes du NAT,NAPT Application Layer Gateway (ALG)

43 -43- Fragmentation des paquets l Deux stations parlant avec la même machine distante peuvent choisir la même identification de fragment. Application peer-to-peer l Téléphonie IP, Jeux Certaines applications ouvrent de nombreuses connexion: l HTTP 1.0 l H323 Problèmes du NAT,NAPT PERFORMANCES !

44 -44- TCP-IPTCP-IP Protocole IP version 4

45 -45- Le datagramme IP Identification 4 Version d'IP 19 Longueur en-tête Type de service Longueur totale du paquet Identification du paquet Drapeaux Décalage du fragment Durée de vieProtocoleTotal de contrôle de l'en-tête Adresse IP source Adresse IP destinataire Options éventuellesBourrage 0DFMF Drapeaux DTR00 Précé- dence Type de service IP: Internet Protocol RFC 791 IP: Internet Protocol RFC 791 ping –f –l 1473 machine -f: Dont Fragment

46 -46- Traitement des erreurs:ICMP Une erreur se traduit par la disparition dun paquet: l Impact utilisateur l Impact réseau (administrateur) X Appli IP Gest ICMP ICMP: Internet Message Control Protocol RFC 792 ICMP: Internet Message Control Protocol RFC 792

47 -47- ICMP : modification de route A R1R2 Internet B Une fois la redirection effectuée, les datagrammes seront acheminés vers la passerelle appropriée. Un message ICMP de redirection de route peut être transmis par une passerelle vers une machine reliée au même réseau pour lui signaler que la route nest pas optimale. Route par défaut 2ème routage Redirection ICMP Re-routage

48 -48- La conversion des adresses Au niveau des applications: adresses IP Au niveau du réseau réel: adresses natives Besoin de conversion Application Utilisateur IP - protocole IP - routage IP - conversion ad. Réseau réel Nom symbolique Adresse IP Passerelle Adresse réelle Passerelle

49 -49- ARP: Technique Le besoin l La communication entre machines ne peut s'effectuer qu'à travers l'interface physique l Les applicatifs ne connaissant que des adresses IP. Comment établir le lien adresse IP / adresse physique ? La solution : ARP l Mise en place dans TCP/IP dun protocole de bas niveau appelé Address Resolution Protocol l Rôle de ARP : fournir à une machine donnée l'adresse physique d'une autre machine située sur le même réseau à partir de l'adresse IP de la machine destinatrice. La technique : l Diffusion d'adresse sur le réseau physique (couche 2) l La machine d'adresse IP émet un message contenant son adresse physique l Les machines non concernées ne répondent pas l Gestion cache pour ne pas effectuer de requête ARP à chaque émission durée de vie d'une association: 2mn puis 10mn si elle est réutilisée durant les 2mn ARP: Address Resolution Protocol RFC 826 ARP: Address Resolution Protocol RFC 826

50 -50- L'association adresse physique - adresse IP de l'émetteur est incluse dans la requête ARP de manière à ce que les récepteurs enregistrent l'association dans leur propre mémoire cache Pour connaître l'adresse physique de B(PH B ) à partir de son adresse IP (IP B ) la machine A diffuse une requête ARP qui contient l'adresse IP B vers toutes les machines; la machine B répond avec un message ARP qui contient la paire (IP B, PH B ). ARP: Exemple AYBX

51 -51- ARP: Table de transcodage

52 -52- RARP: Technique Le besoin l Une machine sans disque connaît son adresse physique mais ignore son adresse IP l Les applicatifs ne connaissant que des adresses IP. Comment établir le lien adresse physique -> adresse IP ? La solution : RARP l Mise en place dans TCP/IP dun protocole de bas niveau appelé Reverse Address Resolution Protocol l Rôle de RARP : fournir à une machine donnée son adresse IP à partir de son adresse physique. La technique : l Diffusion d'adresse sur le réseau physique (couche 2) l La machine émet un message contenant son adresse physique l Un serveur primaire ou secondaire retourne l'adresse IP de la machine demandeuse l Gestion cache pour ne pas effectuer de requête ARP à chaque émission RARP: Reverse Address Resolution Protocol RFC 903 RARP: Reverse Address Resolution Protocol RFC 903

53 -53- L'adresse physique de l'émetteur est incluse dans la requête RARP. Pour connaître son adresse IP (IP A ) à partir de son adresse physique (PH A ) la machine A diffuse une requête RARP qui contient l'adresse PH A vers toutes les machines; le serveur B répond avec un message RARP qui contient la paire (IP A, PH A ). RARP: Exemple AYBX Serveur primaire RARP

54 -54- BOOTPBOOTP BOOTP (BOOTstrap Protocol) l Conçu initialement pour l'autoconfiguration de machine sans disque Adresse IP + routeur par défaut et DNS Serveur TFTP pour charger le fichier d'amorçage l Les configurations sont statiques (pré-configurations) La technique : l Utilise UDP l Emission d'une requête en diffusion limitéé ( , ports 68 et 67) l La machine émet un message contenant son adresse physique BOOTP: Bootstrap Protocol RFC 2132 BOOTP: Bootstrap Protocol RFC 2132

55 -55- DHCPDHCP Adresse IP + routeur par défaut et DNS Basé sur BOOTP l Compatibilité selon les vendeurs Totalement dynamique Fonctions supplémentaires l Gestion de pools d'adresses IP l Association fixe adresse IP-adress MAC l Notion de bail pour une adresse IP l Interaction avec le DNS l Allocation alternative de plusieurs adresse IP à une seule adresse MAC l …... La technique: Idem BOOTP DHCP: Dynamic Host Configuration Protocol RFC 2132 DHCP: Dynamic Host Configuration Protocol RFC 2132

56 -56- TCP - IP Traces de réseaux

57 -57- Le dispositif dobservation A Internet B C D

58 -58- Structure dune trame Ethernet ……...32 Préambule Adresse dest Adresse source Type Données CRC 0200XEROX PUP 0201PUP Address Trans. 0600XEROX NS IDP 0800DOD Internet 0801X75 Internet 0802NBS Internet 0803ECMA Internet 0804ChaosNet 0805X25 niveau ARP 0807XNS 6001 a 6006DEC 8035RARP 8098Appletalk

59 -59- Trace de protocole (1) a ac a f c cb c ff 01 b9 7f 84 e3 3d 05 c0 21 9f a2 56 2f c b a 0b 0c 0d 0e 0f a 1b 1c 1d 1e 1f a 2b 2c 2d 2e 2f

60 -60- Trace de protocole (1) a ac a f c cb c ff 01 b9 7f 84 e3 3d 05 c0 21 9f a2 56 2f c b a 0b 0c 0d 0e 0f a 1b 1c 1d 1e 1f a 2b 2c 2d 2e 2f

61 a a ac f c 3f fb af c0 21 9f e3 3d e3 3c 20 c0 2c c c0 21 9f 02 c0 21 9f 06 c c0 2c 41 1a 84 e3 3c 1e 84 e3 3d aa 56 2f c b a 0b 0c 0d 0e 0f a 2b 2c 2d 2e 2f Trace de protocole (2)

62 a a ac f c 3f fb af c0 21 9f e3 3d e3 3c 20 c0 2c c c0 21 9f 02 c0 21 9f 06 c c0 2c 41 1a 84 e3 3c 1e 84 e3 3d aa 56 2f c b a 0b 0c 0d 0e 0f a 2b 2c 2d 2e 2f Trace de protocole (2)

63 -63- TCP - IP Les protocoles de base: niveau transport

64 -64- Le niveau transport TCP l Fiabilité l Contrôles d'erreur, de flux, d'ordre UDP l Vérification des erreurs Autres protocoles l Applications spécifiques (haut débit) UDP: User datagram Protocol RFC 768 UDP: User datagram Protocol RFC 768 TCP: Transmission Control Protocol RFC 793 TCP: Transmission Control Protocol RFC 793

65 -65- Les ports Destinations abstraites permettant d'adresser un service applicatif s'appellent des ports de protocole. L'émission d'un message se fait sur la base d'un port source et un port destinataire. Les processus disposent d'une interface système leur permettant de spécifier un port ou d'y accéder (socket, TLI,...). Les accès aux ports sont généralement synchrones, les opérations sur les ports sont tamponnés (files d'attente).

66 -66- Transport : (dé)multiplexage Le protocole de transport multiplexe et démultiplexe les datagrammes en sélectionnant les numéros de ports : l une application obtient un numéro de port de la machine locale; dès lors que l'application émet un message via ce port, le champ PORT SOURCE du protocole contient ce numéro de port, l une application connaît (ou obtient) un numéro de port distant afin de communiquer avec le service désiré. Lorsque le protocole reçoit une PDU, il vérifie que le port destination est un des ports actuellement actifs (associé à une application) et la délivre à l'application responsable (mise en queue) si ce n'est pas le cas, il émet un message ICMP port unreachable, et détruit le datagramme.

67 -67- UDP: transport minimal Sans connexion Remise si correct Pas d'ordre Pas de correction d'erreurs Mode client/serveur

68 -68- UDP: Format Identification Longueur totale du datagrammeTotal de contrôle Port de la sourcePort du destinataire Données Le total de contrôle s'applique à tout le datagramme plus les adresses IP source et destination (pseudo header)

69 -69- UDP : les ports standards Certains ports sont réservés (well-kown port assignements) : No portMot-cléDescription 7ECHO Echo 11 USERS Active Users 13 DAYTIME Daytime 37 TIME Time 42 NAMESERVER Host Name Server 53 DOMAIN Domain Name Server 67BOOTPS Boot protocol server 68 BOOTPC Boot protocol client 69 TFTPTrivial File transfert protocol 123 NTP Network Time Protocol 161 SNMP Simple Network Management prot. D'autres numéros de port (non réservés) peuvent être assignés dynamiquement aux applications.

70 -70- TCP: caractéristiques service en mode connecté l connexions bidirectionnelles et simultanées (full duplex) transfert de données l transferts tamponnés : découpage en segments de taille variable l transferts fiables et ordonnés l contrôle de flux (crédit, accusé de réception positif) contrôle derreur l détection derreur, des duplications, des paquets hors dordre l retransmission urgence l priorités sans contrôle de flux usage l plus de 85 % des octets transportés !!

71 -71- TCP: Format Fenêtre d'anticipation Total de contrôle Port de la sourcePort du destinataire Numéro de séquence Acquittement Drapeaux Longueur en-tête Pointeur de données urgentes Options éventuellesBourrage Données Réservé Drapeaux URGACK PSH RSTSYN FIN

72 -72- TCP : ports standards No portMot-cléDescription 20 FTP-DATA File Transfer [Default Data] 21 FTP File Transfer [Control] 23 TELNET Telnet 25 SMTP Simple Mail Transfer 37TIMETime 42 NAMESERVER Host Name Server 43 NICNAME Who Is 53 DOMAIN Domain Name Server 79 FINGER Finger 80HTTPWWW 110 POP3 Post Office Protocol - Version SUNRPC SUN Remote Procedure Call

73 -73- TCP: contrôle de congestion OBJECTIF: Prévenir, détecter et réagir à la congestion du réseau HYPOTHESE: la perte d'un paquet est interprétée comme un signe de congestion l moins de 1% des paquets sont détruits à cause d'une erreur de transmission PRINCIPE: Conservation du flux de paquet (self/ack-clocking) l Le nombre de segments qui entrent dans le réseau doit être égal au nombre de segments qui quittent le réseau.

74 -74- TCP: contrôle de congestion Ack-clocking: les ACK régulent l'émission des segments Slow start l Eviter de créer ou d'aggraver une situation de congestion Congestion avoidance l Réagir à une situation de congestion l Réduction du rythme d'émission

75 -75- TCP: contrôle de congestion Fast retransmit l la congestion est faible retransmission du segment perdu sans attendre l'expiration du timer de retransmission détection après 3 ACK dupliqués strictement consécutifs Fast recovery l exécuter à la suite d'un fast retransmit jusqu'à l'acquittement d'un segment non retransmis l éviter le slow start puisque la congestion est faible l éviter de perdre du le rythme d'émission l émetteur peut continuer à transmettre de nouveaux segments.

76 -76- TCP: contrôle de congestion Un peu de technique... l Slow start et congestion avoidance sont indépendants mais implémentés ensemble l Quelque variables: cwnd (congestion window): limite du côté émetteur la quantité de données que lémetteur peut transmettre dans le réseau avant de recevoir un ACK ssthresh (slowstart threshold size): détermine quel algorithme utiliser (slow start ou congestion avoidance) pour contrôler la transmission des données. smss (sender maximum segment size): calculé à partir de la MTU ou de rmss ou d'autres facteurs (n'inclut pas les en-têtec TCP et IP) flight size: Volume total de données déjà envoyé mais pas encore acquitté rwnd (receiver window): taille courante de la fenêtre d'anticipation.

77 -77- Initialisations cwnd = smss /* <= 2*smss */ ssthresh= /* arbitrairement grand */ Après chaque ACK if (cwnd < ssthresh) cwnd += smss; /* Accroissement Multiplicatif */ else cwnd += (smss*smss)/cwnd; /* Accroissement Additif */ Après expiration du temporisateur de retransmission ssthresh=max (FlightSize/2, 2*SMSS); cwnd=smss; TCP: contrôle de congestion Slow start Congestion avoidance Slow start et congestion avoidance

78 A la réception du 3e ACK dupliqué : ssthresh = max (FlightSize/2, 2*SMSS) 2.Retransmettre le segment perdu et : cwnd = ssthresh + 3*SMSS 3.Pour chaque ACK dupliqués reçu, cwnd += SMSS 4.Transmettre un segment si la nouvelle valeur de cwnd et rwnd le permettent 5.A la réception du premier ACK acquittant un segment non retransmis cwnd = ssthresh 6.Fin du fast recovery TCP: contrôle de congestion Fast retransmit et fast recovery

79 -79- TCP: contrôle de congestion temps en RTT Taille de la fenêtre en KB ssthresh cwnd Fast RecoveryCongestion AvoidanceSlow Start Vie d'une connexion TCP

80 -80- TCP 4.3BSD Tahoe (1988) l Fast retransmit Congestion avoidance et Slow start TCP 4.3BSD Reno (1990) l Fast recovery TCP 4.3BSD Vegas (1995) l jusqu'à 70% de débit en plus que Reno l "incompatible" avec Reno qui accapare 50% de BP en plus TCP 4.3BSD New Reno (1999) l Correction/amélioration du Fast retansmit / recovery prise en charge du cas où de plusieurs segments sont perdus Les TCPs RFCs 2001, 2581,2582

81 -81- L'utilisation de réseaux sans fil comme réseaux d'accès ou réseaux capillaires se développe TCP et le sans fil: problèmes Réseaux d'accès/capillaires sans fil Internet/intranet fillaire

82 -82- TCP est conçu pour le filaire et optimisé pour ça pendant des années l HYPOTHÈSE CENTRALE: Perte de paquet => congestion BER filaire: à l 1,2% de perte pour des messages de 1500 octets BER sans fil: à l Atténuation, obstacle, mobilité l 12% de perte pour des messages de 1500 octets l l'hypothèse centrale de TCP n'est plus valide TCP et le sans fil: problèmes BER: Bit Error Rate (Taux d'Erreur Bit)

83 -83- CONNEXION TCP TCP et le sans fil: problèmes Réseaux d'accès/capillaires sans fil Internet/intranet fillaire serveur BER BER La corruption d'un paquet sur le sans fil entraîne sa retransmission par l'émetteur: NORMAL!! … mais entraîne aussi la diminution de la fenêtre de collision de l'émetteur: DOMMAGE POUR LE DEBIT !!

84 -84- Fort délai (RTT) l affecte le débit et l'interactivité perçue par l'utilisateur la fenêtre de congestion (cwnd) s'ouvre au rythme des ACK (ack- clocking) TCP et le sans fil: problèmes RTT: Round Trip Time (Délai aller-retour) 30 ms 106 ms 1 ms 33 ms A B Serveur WEB 2 : 0 2 : 2 3 : 2 4 : 2 5 : 2 6 : 2 cwnd A : B

85 -85- Flots réduits l beaucoup d'applications ne sortent pas du slow-start sous utilisation de la bande passante mun transfert de 10Kb avec une bande passante infinie et un délai de 35 ms plafonne à 300Kb/s Consommation d'énergie l Plus une connexion dure plus elle consomme d'énergie gênant pour tous les équipements alimentés par batterie TCP et le sans fil: problèmes

86 -86- Agir au niveau liaison l retrouver la qualité du filaire FEC mconsomme énormément de bande passante mconsomme de l'énergie pour les calculs Retransmission mpeut saturer la liaison si le BER devient important Protocole de liaison non averti de TCP (TCP unaware) mpréserve la modularité des protocoles mn'empêche pas la duplication des ACK TCP ¦ consommation de bande passante et d'énergie Protocole de liaison averti de TCP (TCP aware) mexaminer les segments TCP et réagir aux situations d'erreurs sans perturber TCP ¦ SNOOP TCP et le sans fil: "solutions" FEC: Forward Error Correction

87 -87- Couper la connexion en deux l un protocole adapté à la partie sans fil … l TCP sur la partie filaire les segments TCP seront acquittés avant d'atteindre la station sans fil mI-TCP ¦ violation de la sémantique bout en bout de TCP mM-TCP ¦ préserve la sémantique bout en bout de TCP ¦ compression (optionnelle) sur la partie sans fil TCP et le sans fil: "solutions" I-TCP: Indirect TCP M-TCP: Mobile TCP I-TCP: Indirect TCP M-TCP: Mobile TCP

88 -88- Modifier TCP l TCP SACK Option de TCP: le receveur acquitte un segment bien reçu même si il est désequencé mEvite à l'émetteur de retransmettre des segments correctement reçu Efficacité discutable mseulement 4% en moins de retransmission sur time-out dans certain cas Implémenté sur linux et Windows 98 l TCP Santa Cruz Conçu avec le souci des supports physique hétérogènes mL'émetteur calcule le délai inter-arrivée des segments chez le destinataire ¦ l'ouverture de la fenêtre de congestion est découplée du nombre de ACK reçus Meilleure performance que TCP de base mComplexité pouvant engendré un supplément de consommation d'énergie mCalcul faussé si le récepteur retarde ses acquittements TCP et le sans fil: "solutions"

89 -89- TCP - IP Lorganisation, les standards

90 -90- TCP-IP: L'organisation R&D (1) ISOC Internet SOCiety l Association pour but non lucratif créée en 1992 l Promotion technologique de l'Internet (orientation de la R&D, formations, revues, séminaires, etc.) l Ombrelle juridique de lIETF, lIESG et lIAB l IAB Internet Architecture Board l Initialement de DARPA, devenu comité de lISOC en 1992 l Le «gouvernement» de lIETF et lIRTF l Identifie les problèmes, décide des études, valide et diffuse les standards, alloue les ressources vis-à-vis de larchitecture de lInternet l

91 -91- TCP-IP: L'organisation R&D (2) IETF Internet Engineering Task Force l l L «assemblée»; Plusieurs «areas» de recherche l Identifie des problèmes via des meetings réguliers, crée des WG (Working Groups), produit des documents techniques l Comité de direction: IESG (Steering Group) (http://www.iesg.org/) Revoit et publie les standards Formé des responsables de secteurs et directeurs de lIETF IRTF Internet Research Task Force l Organisme soccupant de la recherche long terme l Ne produit pas des standards l Si la recherche débouche, confier le résultat à lIETF

92 -92- Les documents: RFC, Internet drafts, FYI Pas de "normes" au sens ISO l Internet Draft document de travail issu des WG de lIETF n versions (valables 6 mois) l Documents de base: RFC (Request For Comments) (de 1-3xxx depuis 1969) Proposed standards (6-24 mois) Draft standards (4-24 mois) Standards (numéro officiel IETF: STD xxxx) Mais aussi: Historic, Experimental, Informational Un RFC n'est jamais mis à jour après édition mais peut évoluer (devenir obsolète par un nouveau RFC)

93 -93- TCP-IP: Les documents de base Les standards l «Required»: Implantation obligatoire. l «Recommanded»: Non obligatoire pour l'interfonctionnement, mais fortement souhaité. l «Elective»: Au choix de l'utilisateur Accès direct électronique via le réseau l messagerie électronique $ mail file /ftp/rfc/rfc822.txt l transfert de fichier

94 -94- Quelques RFCs RFC 3232: Assigned Numbers (mise en ligne à plus de rfc) RFC 3000: Internet Official Protocol Standards (novembre 2001) RFC 1122: Host Requirements (link layer, network layer and transport layer RFC 1123: Host Requirements (application layer) RFC 1160, RFC1601: Internet Architecture Board RFC 1009: Router Requirements RFC 894: Ethernet Encapsulation RFC 2235: Hobes Internet Timeline, 1998 RFC 1180: A TCP/IP Tutorial RFC 1118: The Hitchhickers guide to the Internet RFC 0001 : "Host software", 04/07/1969

95 -95- TCP-IP: L'organisation (3) Administration et exploitation IANA Internet Assigned Numbers Authority l l Assignation didentifiants uniques (ressources réseau) adresses IP, domaines de premier niveau, objets SNMP numéros de protocoles, numéros de ports (entre 1 et 1023) (rfc 1700) ICANN Internet Corporation for Assigned Names and Numbers l l allocation de blocs de numéros IP l exploitation des serveurs autoritaires de la racine du DNS IANA/ICANN l délègue aux Regional Internet Registries lassignation dadresses l délègue aux Network Information Center(s) la gestion des domaines de premier niveau («.com», «.org», «.net») InterNIC (http://www.internic.net) NIC nationaux («.fr» AFNIC,

96 -96- Allocation dadresses IP (1) Regional IRs l APNIC: Asie - Pacifique l ARIN: Amériques - Afrique (sub-saharienne) l RIPE: Europe - Afrique - Moyen Orient l allouent les adresses aux Local IRs délégation dadresses IP aux FAI locaux

97 -97- Allocation dadresses IP (2) Possibilités dadressage l géographique l par fournisseur (ISP) Meilleure efficacité par ISP l la topologie du réseau est plus dépendante de lorganisation entre ISP que de lorganisation géographique Système hiérarchique distribué basé sur les fournisseurs Règles dallocation (RFC1466 & 2050) l Europe: 193, 194, 195, 212 l Amérique du Nord, Centrale/Sud: 198, 199, 200, 201 l Zone pacifique: 202, 203, 211 l Autres: 192, 204, 205

98 -98- RIPE NCC «Réseaux IP Européens» «Network Coordination Center» l Politique du RIPE l Provider Independent (PI) address ISPs: anciennes adresses allouées indépendant du prestataire et pas dobligation de re- numéroter, mais fortement conseillé de le faire (193) l Provider Aggregatable (PA) address ISPs: depuis les adresses allouées dépendant du prestataire et obligation de re-numéroter l Assignation et base de données RIPE

99 -99- Le multicast Pourquoi et comment?

100 -100- Multipoint: pour quoi faire (1)? Applications diffusées: l Transfert de fichier l Conférence l Télévision, radio, etc. l Le «push» du Web Diminution de la consommation de bande passante Outil de qualité de service

101 -101- Multipoint: pour quoi faire (2)? Les applications de groupe «naturelles»: l Conférences l Edition concurrente de documents Le multicast comme outil de QoS l Codage hiérarchiques l Distribution et diffusion «simulée»

102 -102- Diminution de la bande passante S GASPILLAGE

103 -103- Diminution de la bande passante S GESTION DE GROUPE ROUTEURS MULTICAST

104 -104- Exemple dapplication de vidéo à la demande minutes, 1 minute de temps dattente moyen, 6 copies, nombre quelconque de clients, … mémoire nécessaire dans le terminal

105 -105- IP multicast Adresses de classe D Interface de programmation simple Impact important sur le routage Reste «best effort» sur la sémantique Correspondance avec les réseaux support Cohabitation multicast/unicast RFC 1112

106 -106- IP multicast: IGMP Gestion de lappartenance à un groupe Portée restreinte au réseau local Information utile au routage Analogie avec ICMP IGMP: Internet Group Management Protocol RFC 2236, 3228 IGMP: Internet Group Management Protocol RFC 2236, 3228

107 -107- IP Multicast: routage Deux types de routeurs: l unicast (standard) l multicast Algorithmes de routage spécifiques l inondation l arbre couvrant l chemin inverse l arbre central (core based) A C B D S N M L K

108 -108- Routage: DVMRP (1) Inondation Elagage des branches inutiles Utilisation du principe RPF (Reverse Path Forwarding) Réponses empoisonnées A C B D S N M L K DVMRP: Distance Vector Multicast Routing Protocol RFC 1075 DVMRP: Distance Vector Multicast Routing Protocol RFC 1075

109 -109- Routage: DVMRP (2) Evaluation de la distance à la source Message délagage pour éliminer les diffusions inutiles A C B D S N M L K

110 -110- Multicast et tunnels INTERNET est unicast Certains routeurs sont multicast Tous les routeurs ne permettent pas ce type déchanges Tunnels = IP dans IP A S T B A B Multicast

111 -111- Transport «multicast» Problème de base l Passage à léchelle l Fiabilité et contrôle derreur l Contrôles de congestion/flux Diverses solutions l SRM (Scalable Reliable Multicast) l RMTP (Reliable Multicast Transport Protocol) l MFTP (Multicast File Transfer Protocol) Acquittements positifs ou négatifs Qui retransmet les données? Utilisation de codes FEC (Forward Error Correction)

112 -112- SRM: Scalable Reliable Multicast Nimporte qui peut retransmettre Les NACK sont envoyés au groupe après temporisation Temporisateurs de retransmission Détection des doubles Sémantique de la fiabilité: l Erreur l Ordre Ordre Taux derreur Taille du groupe

113 -113- Application: MFTP Transfert de fichier multicast fiable Synthèse des acquittements NEGATIFS l Plus ancien paquet à retransmettre l Masque binaire des paquets l unicast Blocs de données

114 -114- Le Mbone: un exemple

115 -115- Le Mbone: configuration # $NetBSD: mrouted.conf,v /12/29 03:30:10 mrg Exp $ # # This is the configuration file for "mrouted", an IP multicast router. # mrouted looks for it in "/etc/mrouted.conf". ################################################################# # configuration sur olympe: tunnel avec le routeur du CCR # cache_lifetime 300 pruning on phyint disable phyint disable phyint disable #phyint disable tunnel metric 1 threshold 8 rate_limit 500 #################################################################

116 -116- Le Mbone: créer une session (1/2)

117 -117- Le Mbone: créer une session (2/2)

118 -118- Lévolution de IP IP version 6 IPV6IPV6 Kubrick/HuitemaKubrick/Huitema

119 -119- Taille de lInternet: 147,344,723 hôtes en janvier 2002 Source: janv-93janv-94janv-95janv-96janv-97janv-98janv-99janv janv-01 janv

120 -120- Histoire d'IPv6 1990s : l Croissance exponentielle (x2 tous les 14 mois) l Risque de pénurie d'adresses Prévision d'un épuisement de l'espace d'adressage mInitialement: en 1994 ! mAujourd'hui: entre 2008 et 2018 l En Janvier 1996 Percentage Allocated (Allocated and Assigned Combined) Class A % Class B % Class C %

121 : début des travaux a lIETF l évolution du protocole? 1994: décision IPv6 1995: premières piles IPv6 1996: création du 6-bone 1997: premiers produits industriels 1998: déploiements expérimentaux 2001: déploiements commerciaux ? Histoire d'IPv6

122 -122- Pourquoi un nouveau protocole IP ? Une solution pour les problèmes de croissance: l Actuellement la taille de l'Internet double tous les 14 mois l'épuisement des adresses IP l'explosion de la taille des tables de routage Cahier des charges l Adresser un espace beaucoup plus grand (10 9 réseaux au minimum) l Routage plus efficace l Conserver les principes qui ont fait le succés de IP l Corriger les défauts de la version actuelle l Résoudre les problèmes qui vont devenir critiques (applications temps réel, multipoint, sécurité...) Autres motivations l Accélérer le traitement du datagramme l Prise en compte de nouvelles contraintes Faciliter la QoS Routage vers le meilleur serveur d'un ensemble de serveurs en miroir

123 -123- Croissance des tables de routage de lInternet CIDR devient contre productif

124 -124- Ce quest IP version 6 IP v4 ICMP IGMP Mcast IPsec Mobilité Roaming Auto Conf IP v6 ICMP v6

125 -125- Caractéristiques d'IPv6 l Adresses Passage de 32 à 128 bits Unicast, multicast, Anycast l Nouveau format de datagramme l Allocation de ressources Flow spec + RSVP? l Support du multicast l Support de la mobilité l Support de la sécurité IPSEC l Support de lautoconfiguration

126 Identification Version d'IP Longueur en-tête Type de service Longueur totale du paquet Identification du paquet Drapeaux Décalage du fragment Durée de vieProtocoleTotal de contrôle de l'en-tête Adresse IP source Adresse IP destinataire Options éventuellesBourrage IPv4: En-tête

127 -127- IPv6: En-tête fixe de base Version d'IP (4 bits) Type de service (8 bits) Longueur de la charge utile (16 bits) Etiquette de flux (20 bits) Nombre limite de sauts (8bits) En-tête suivant (8bits) Adresse IP source (128 bits) Adresse IP destinataire(128 bits) En-tête fixe de 40 octets IPv6: Internet Protocol, Version 6 RFC 2460 IPv6: Internet Protocol, Version 6 RFC 2460

128 -128- Paquet IPv6 DonnéesEn-tête fixe de baseExtension en-tête

129 -129- En-tête de base Hop by hop Destination Routing Fragmentation Authentication Security Destination Upper Layer Traité par chaque routeurTraité par chaque routeur figurant dans l'extension RoutingListe de routers à traverser Traité par la destination Après ré-assemblage du paquet Sécurise la suite du paquet Traité uniquement par la destination Extensibilité du point de vue applicatif et réseau (actif) Optimisation IPv6: extensions d'en-tête

130 -130- Taille des paquets IPv6 Minimum MTU = 1280 octets (1500 recommandé) l fragmentation/re-assemblage réalisé par la couche inférieure si nécessaire Path MTU Discovery (RFC1981) recommandé afin doptimiser le MTU La fragmentation au niveau IPv6 est déconseillée

131 -131- Plan dAdressage IPv6 Contraintes l Fléxible pour suivre l'évolution du réseau l Faciliter le routage en réduisant la table de routage Choix l Extension des types d'adresses: Mode de communication Portée de l'adresse Pour la transition l Principe CIDR (préfixe/longueur préfixe) l Représentation héxadécimale l Les interfaces ont plusieurs adresses IPv6

132 -132- Format des adresses IPv6 Format Prefix Adresse 128 bits

133 -133- Typologie des adresses IPv6 Loopback Link local Site local Global l 6bone : 3FFE… l Officielle : 200x… Unicast Multicast Anycast Pour la migration v4/v6 l IPv4 mapped l IPv4 compatible l 6to4 Un hôte possède 3 adresses voire plus si il est servi par plusieurs ISP

134 -134- Format de base: 8 x 16 bits en hexa (RFC 2373) 2080:7C18:8179:A15B:54D8:6800:200C:417A Format abrégé 2080:0:0:0:8:800:200C:417Aou 2080::8:800:200C:417A FF01:0:0:0:0:0:0:43ouFF01::43 FE80:0:0:0:0:0:0:0ouFE80:: 0:0:0:0:0:0: ou:: Notation des adresses IPv6

135 -135- Adresse Unicast Adressage hiérarchique l Localisation du réseau l Identification de la machine dans le réseau l Interface ID: A partir de l'adresse MAC: EUI-64 Aléatoire Autres... Subnet prefixInterface ID EUI: Extended Unique Identifier (IEEE)

136 -136- Aggregatable Global Unicast 001 Top Lev. Agg. ID (13 bits) Interface ID (64 bits) Reserved (8bits) Next Lev. Agg ID (24 bits) TLA: Top Level Aggregator NLA: Next Level Aggregator SLA: Site Level Aggregator Site Lev. Agg. ID (16 bits) Topologie de site Topologie publique (48 bits) Topologie privée (80 bits) RFC 2374, 2450

137 -137- Topologie d'Internet NLA TLA SLA

138 -138- Schéma TLA 0x Top Lev. Agg. ID (13 bits) Interface ID (64 bits) NLA ID (19 bits) Site Lev. Agg. ID (16 bits) Topologie publique (48 bits) Topologie privée (80 bits) Sub.TLA ID (13 bits) : Ex: 2001:0660::/35 Renater 2001:0688::/35 France Telecom RFC 2928

139 -139- IPv6: le multicast Adresses de multicast: l Commencent par FF hex l Non nécessairement permanentes (bit T transient=1) l Limite de distribution (scope) TscopeIdentificateur de groupe 112 bits 4 bits 8 bits 1258E1258E Node Link Site Organization Global RFC 2375

140 -140- IPv6: adresses Mcast connues FF02:0:0:0:0:0:0:1 Tous les nœuds FF02:0:0:0:0:0:0:2 Tous les routeurs FF02:0:0:0:0:0:0:B Tous les agents de mobilité FF02:0:0:0:0:0:0:D Tous les routeurs PIM FF02:0:0:0:0:0:0:101 Tous les nœuds NTP FF02::1:2, FF02::1:3 et FF02::1:4 Tous les agents, serveurs et relais DHCP

141 -141- ICMPv6ICMPv6 Messages Neighbor Discovery Protocol (NDP) l ARP + ICMP Router Discovery + ICMP Redirect + améliorations l Permet lautoconfiguration des adresses et du MTU l Défini pour tous les types de réseaux point-a-point, diffusion, maillé, asymétrique Messages derreur l Dest. Unreach., Packet too big, Time exceeded, Param. problem Messages dinformation l Echo Request/Reply l Group Membership Query/Report/Reduction RFC 2463

142 -142- Fonctions remplies par NDP Router Discovery Prefix Discovery Parameter Discovery (MTU, hop limit) Address Resolution (IPv6 to L2) Next-hop Determination Neighbor Unreachability Detection Duplicate Address Detection Redirect Message ICMP de sollicitation de voisinage l FF02:0:0:0:0:1:FF00:0/104 l chaque machine écoute le groupe correspondant à chacune de ses adresses l réponse si reconnaissance Router solicitation Router advertisement. (MTU-Hop…) Neighb. Sollic. Neighb. Advert. Messages NDP Redirect RFC 2461, 3122

143 -143- IPv6: auto-configuration Création de ladresse lien-local FE80:0:0:0:xxxx:xxxx:xxxx:xxxx EUI-64 (dérivé de ladresse MAC par ex: yyyyyyFFFEyyyyyy ) l Vérification de lunicité de ladresse sur le lien Identification des routeurs présents sur le lien Auto-configuration sans état (stateless) l Préfixes fournis par les routeurs l sollicitation de «tous les routeurs» et réponse par annonce des routeurs à «tous les nœuds» Auto-configuration avec état (statefull) l adresses gérées avec durée de vie, fournies par un serveur (DHCP, éventuellement via un relais) l mise à jour du DNS (problème !) RFC 2462, 3041

144 -144- Foreign agent D Home agent B IPv4 et la mobilité A HOME NETWORK FOREIGN C/O ADDRESS (TEMPORAIRE) Mobile H Mobile H Mobile H ADVERTISEMENT Registration TUNNEL ROUTAGE TRIANGULAIRE !

145 -145- Foreign agent D Home agent B IPv6 et la mobilité A HOME NETWORK FOREIGN NETWORK Mobile H Mobile T Mobile H Registration TUNNEL T H SUPPRESSION DU ROUTAGE TRIANGULAIRE

146 -146- IPv6IPv4 IPv6: Transition et interoperabilité OK Dual stacking IPv4 IPv6 Pas de jour J Cohabitation IPv4/IPv6 RFC 2185, 2473, 2766, 2893, 3053, 3056, 3142

147 -147- IPv4-mapped IPv6 l Créée à la volée par: le DNS, quand une application IPv6 demande l'adresse IPv6 d'une machine uniquement IPv4 (Pas d'enregistrement dans le DNS) la machine IPv6, quand un paquet IPv4 a pour destinataire une des ses applications IPv6 l Tous les échanges utilisent des paquets IPv4 IPv6: Transition et interoperabilité FFFFAdresse IPv4 Exemple ::FFFF:

148 -148- Tunnel IPv4 Tunnels configurés l Pour traverser des routeurs IPv4 l Encapsulation des paquets IPv6 dans des paquets IPv4 IPv6: Transition et interoperabilité IPv6 IPv4 R2 IPv4 R3 IPv4 S IPv6 R1 IPv4/v6 D Ipv6 R4 IPv4/v6 IPv6 Communication de S vers D

149 -149- Adresse IPv4 (32 bits) 6to4 l Interconnecter des nuages IPv6 via des nuages IPv4 avec un minimum d'effort l Evite la configuration de tunnel l Passe à l'échelle l Encapsulation des paquets IPv6 dans des paquets IPv4 (protocole: 41) l TLA: 0x2002/16 IPv6: Transition et interoperabilité Interface ID (64 bits) Site Lev. Agg. ID (16 bits) 2002: RFC 3056

150 to4 (suite) IPv6: Transition et interoperabilité Site IPv6 A 2002:c001:0203::/48 Router 6to Internet ou intranet IPv4 Internet ou intranet IPv4 Site IPv6 B 2002:84fe:fdfc::/48 Router 6to Le préfixe du site est obtenue de l'adresse IPv4 du routeur de bordure Chaque site crée dans son DNS des enregistrements commençant par son prefixe 6to4: Site A: 2002:c001:0203::/48 Site B: 2002:84fe:fdfc::/48

151 to4 (fin) IPv6: Transition et interoperabilité Site IPv6 A 2002:c001:0203::/48 Router 6to Internet ou intranet IPv4 Internet ou intranet IPv4 Site IPv6 B 2002:84fe:fdfc::/48 Router 6to Le site B crée dans son DNS des enregistrements commençant par: son préfixe 6to4: 2002:c001:0203::/48 et son préfixe IPv6 natif: 2001:0600::/48 Le préfixe 2002/16 ne doit jamais être annoncé à l'extérieur d'un site 6to4 Site IPv6 NATIF 2001:0600::/48

152 -152- IPv4 IPv6: Transition et interoperabilité IPv6 NAT-PT, NATPT-PT Principe identique au NAT IPv4 Traduction entre adresses IPv6 et adresses IPv4 ROUTABLES Traduction protocolaire entre IPv4 et IPv6 Router NAT-PT Network Address Translation - Protocol translation RFC 2765, 2766 Network Address Translation - Protocol translation RFC 2765, 2766

153 -153- IPv4 IPv6: Transition et interoperabilité IPv6 NAT-PT, NATPT-PT (suite) Dans le sens IPv4->IPv6 les options IPv4 sont ignorées Dans le sens IPv6->IPv4 les extensions IPv6 sont ignorées Router NAT-PT En-tête IPv6 En-tête couche transport DONNEES En-tête IPv4 En-tête couche transport DONNEES En-tête fragmentation éventuel

154 -154- IPv4 IPv6: Transition et interoperabilité IPv6 NAT-PT et le DNS Router NAT-PT + DNS-ALG + Pool adresses IPv4: /24 Hôte IPv6 B Hôte IPv6 A DNS Hôte IPv4 C DNS FEDC:BA98::7654:3210 FEDC:BA98::7654: IPv6A FEDC:BA98::7654:3210 IPv6 A IPv6 A, ALG: Application Layer gateway

155 -155- IPv6: Synthèse 80% des ISP veulent IPv6 l La configuration pour les besoin des clients représentent 45% des coûts supportés les ISP veulent beaucoup de clients mcela implique beaucoup de travail de configuration Les entreprises avec des application "high-tech" l Téléphonie l serveur vidéo l serveur MP3 l etc. Nouveaux marchés l Home networking Suppression du NAT: le plug-and-play est essentiel

156 -156- Le 6-bone 641 sites sur 49 pays IETF: WG Ngtrans

157 -157- IPv6: support Sun Solaris - 6Wind FreeBSD 4. NetBSD Linux 2.2 IBM AIX Hitachi Nortel Cisco Trumpet Windows 2000, XP ….

158 -158- IPv6: déploiement commercial 6TAP (peering) situé au startap à Chicago Autres points de peering (Tokyo, Allemagne, Amsterdam, USA…) 6REN initiative pour lémergence d ISP IPv6 Smartone à Hong-Kong 1 er ISP mobile IPv6 6INIT en Europe (4,2 M) Nokia sur GPRS BT NTT

159 -159- IPv6 infos Pages web: l l Mailing lists: l IPv6 working group l 6bone management Livres l IPv6, the new internet protocol Christian Huitema, Prentice Hall l Cizault, G. (1998). Ed.: O'Reilly&Associates. IPv6: Théorie et Pratique

160 -160- TCP-IPTCP-IP 2éme journée: Routage, Application, Sécurité

161 -161- TCP - IP Le routage

162 -162- Objectif du routage Choisir le chemin OPTIMAL vers le destinataire d'un paquet l Nécessité d'une fonction de coût !!

163 -163- Tâches à accomplir pour le routage l "Aiguillage" des paquets (packet forwarding) Accompli par les routeurs l Mise à jour des tables de routage Accomplie par les routeurs mroutage dynamique/adaptatif Manuelle mroutage statique

164 -164- Différents types de routage Stations l metric l route metric Routeurs ip metric à Routage statique

165 -165- Différents types de routage Échange périodique des tables de routage Mise à jour automatique des tables de routage à Routage dynamique/adaptatif

166 -166- Principe du routage Toutes les machines participent au routage Passerelle: l connexion physique de plusieurs réseaux l transit des datagrammes d'un réseau à l'autre l connaissance de la topologie de l'interconnexion

167 -167- Routage en fonction du réseau destination réduction de la taille des tables de routage Référence unique du réseau dans le monde Référence unique de la machine dans le réseau Adresse IP Utilisée pour le routage Table de routage: - ensemble de paires (R, P) R : adresse IP du réseau destination P : adresse IP de la passerelle suivante sur le chemin qui mène à R Seules les passerelles directement accessibles sur un réseau physique donné figurent dans la table Principe du routage

168 -168- Réseau Route vers destination cette destination Remise directe Remise directe Table de routage de la passerelle P2 Principe du routage Table de routage

169 -169- Réseau Route vers destination cette destination Remise directe Remise directe AUTRE Table de routage de la passerelle P2 Principe du routage Route par défaut l réduction de la taille des tables de routage l autonomie des sites Passerelle par défaut

170 -170- hera:[69] netstat -r Routing tables Destination Gateway // Interface ocean-net masile1 default cisco-upmcle1 litp4-net kawarismile1 ibp-net hera-gwle1 upmc-net cisco-upmcle1 olympe-net hera le0 rxf-net kawarismile1 hera:[68] netstat -rn Routing tables Destination Gateway // Interface le1 default le le le le le le1 Principe du routage l Table de routage sur une machine UNIX l hera:[67] ifconfig -au l le0: flags=63 l inet netmask ffffff00 broadcast l le1: flags=63 l inet netmask ffffff00 broadcast

171 -171- TCP - IP Architecture du routage

172 -172- Passerelle centrale: Connaissance de TOUTES les destinations possibles Pas de route par défaut Destruction des datagrammes en cas de destination inconnue et envoi de message ICMP destination inaccessible Communication avec les autres passerelles centrales Système central Réseau fédérateur ARPANET.... Passerelles centrales Core gateways SITE 1SITE 2SITE 3 SITE N Le système de passerelles centrales

173 Réseau fédérateur ARPANET Système autonome 1 Système autonome 2 Système autonome 3 RL N P1 P2 P3 Système autonome N Passerelles internes Système central Système autonome Passerelle externe (exterior gateway): Collecte et propagation des informations de routage du système autonome de/vers les systèmes autonomes voisins

174 -174- Système autonome: "Diviser pour mieux régner" Groupe de passerelles Identification par un numéro unique Une seule autorité administrative pour le routage Libre choix de l'architecture interne de routage Obligation d'échanges des informations de routage avec les passerelles centrales Obligation de connexité

175 -175- TCP - IP Les protocoles déchange dinformation de routage

176 -176- Les protocoles de routage

177 -177- Classifications des protocoles de routage Algorithme à vecteur de distance (Bellman- Ford) Algorithme à état de lien à recherche du chemin optimal

178 -178- Classifications des protocoles de routage Algorithme à vecteur de distance (Bellman-Ford, 1957) l Mal adapté aux changements rapides l Echange de messages longs: taille des messages proportionnelle nombre total de réseaux de l'interconnexion l Algorithme distribué: participation nécessaire de toutes les passerelles

179 -179- Classifications des protocoles de routage Algorithme à vecteur de distance

180 -180- R10directe Destination Nb de sauts Route R10directe R30directe R57Passerelle M R184Passerelle N R255Passerelle K R311Passerelle R R431Passerelle K Destination Nb de sauts R13 R54 R183 R223 R253 R313 R434 Table de routage d'une passerelle PVecteur émis par la passerelle K Destination Nb de sauts Route Mise à jour de la table de routage de la passerelle P Classifications des protocoles de routage Algorithme à vecteur de distance R30directe R55Passerelle K R184Passerelle N R224Passerelle K R254Passerelle K R311Passerelle R R435Passerelle K

181 -181- Classifications des protocoles de routage Algorithme à état de lien (SPF) l Chaque passerelle connaît la topologie complète l Surveillance/propagation périodique de l'état de ses liens l Recalcul des routes après changement de l'état d'un lien l Calcul des routes effectué de façon indépendante l Convergence rapide de l'algorithme l Taille des messages d'état indépendante du nombre de réseaux de l'interconnexion

182 -182- EGPEGP Dialogue entre systèmes autonomes Algorithme à vecteur de distance Encore largement utilisé aujourd'hui EGP: Exterior Gateway Protocol

183 -183- Contraintes sur la diffusion des tables de routages Règle de "la restriction de la tierce partie" EGPEGP Voisin EGP l choix effectué par les administrateurs l pas de notion de proximité géographique

184 -184- EGPEGP Voisin: un exemple SA3SA1 SA2

185 -185- Limitations structurelles l Aucune interprétation possible des distances l impossibilité de mentionner plusieurs chemins limite la topologie à une structure d'arbre pas d'équilibrage de charge sur plusieurs passerelles Limitations techniques l fragmentation/ré-assemblage des message contenant les vecteurs EGPEGP N1, =132 ?

186 -186- BGPBGP Successeur d'EGP Déploiement depuis le printemps 94 Topologie maillée Concept de vecteur de chemins Prévention des boucles RFC 1654, 1655 BGP: Border Gateway Protocol

187 -187- KC D F BA H I G E J BGP: vecteurs de chemins Reçu par A pour aller à D l de K:KCD l de B:BCD l de H: HABCD l de J:JABCD

188 -188- BGP: routage stratégique Considérations: l Economiques l Politiques l Sécuritaires

189 -189- BGP Table de routage StratégieStratégie Routeur BGP BGP: routage stratégique Stratégie l Paramétrage manuel l Indépendante de BGP S t r a t é g i e

190 -190- BGP: routage stratégique Exemples de stratégies: l Ne pas traverser un système autonome de FAI l Ne jamais mettre lIrak sur un chemin commençant par le Pentagone l Le trafic entrant ou sortant de CEGETEL ne doit pas transiter par Bouygues Telecom l Ne passer par le Luxembourg que si il ny a pas dautre possibilité

191 -191- BGP: versions BGP2 l version de base BGP4 l Intégration du CIDR (Classless Inter Domain Routing) mRésumés de routes --> réduction de la taille des tables de routage

192 -192- Implémentation l Au dessus de TCP (port 179) Protocole plus simple les problèmes d'erreur de transmission sont gérés par TCP Mise à jour incrémentale des tables de routage très faible débit nécessaire Perte de précision sur l'état des routeurs Ajout de sondes BGP: Implémentation

193 -193- RIPRIP Algorithme à vecteur de distance Pour site homogène ou de taille modérée Inspiré du code de "routed" Diffusion des tables toutes les 30 s Durée de validité d'une route: 180 s Durée de diffusion d'une route invalide: 120 s Port UDP 520 RFC 1058 RIP: Routing Information Protocol

194 -194- dir.1 C12 D11 C12 Distance Route D1 directe B2D C3B A3B Temps A B C D réseau cible X panne RIPRIP Problème de convergence lente Ddir.1 B- CB3 AB3 dir.1 C4 B5 dir.1 C5 B6 dir.1 C6 B7 dir.1 C9 B10 dir.1 C10 B11 dir.1 C11 B12

195 -195- Extensions de RIP IGRP (Cisco) l Plus de limites à 15 nœuds l Plusieurs chemins possibles l Meilleure mise à jour des tables de routage l Métrique composite délai, bande passante, fiabilité, charge l Moins de charge sur le réseau Diffusion des tables toutes les 90 s EIGRP (Cisco) l un protocole à vecteur de distance à la mode état de lien !! IGRP: Interior Gateway Routing Protocol EIGRP: Enhanced Interior Gateway Routing Protocol IGRP: Interior Gateway Routing Protocol EIGRP: Enhanced Interior Gateway Routing Protocol

196 -196- Extensions de RIP RIP 2 l Prise en compte des netmasks l Possibilité dauthentification des routeurs l pas encouragé par l'IETF l RFC 2453

197 -197- OSPFOSPF Pour site hétérogène et/ou de grande taille Routage par type de service Equilibrage de charge Authentification Reconnaît une structure des réseaux en régions Prise en compte des réseau à accès multiples Mise à jour de l'état des liens par inondation Topologie de réseau virtuelle RFC 2178 (OSPF2) OSPF: Open Shortest Path First

198 -198- RT7 RT2 RT6 RT5 RT3 RT1RT2 RT1 RT3 RT4 RT5RT6 N2 RT4 N2 RT7 N3 Point-à-point Réseau à accès multiples Stub OSPFOSPF Base de donnée topologique

199 -199- RT1 RT2 RT4RT5 RT3 RT6 N4 N3 N1 N2 N12 N13 N RT9 RT12 RT8 RT7 RT10 RT11 H1 N9 N10 N11 N8 N7 N6 N12 N OSPFOSPF Exemple de système autonome

200 -200- N13 6 RT1 RT2 RT4 RT3 RT6 N3 N1 N2 N12 N RT5 N4 RT9 RT12 RT8 RT7 RT10 H1 N9 N10 N11 N8 N7 N6 N12 N RT OSPFOSPF BD topologique

201 -201- N7 RT9 RT7 RT10 H1 N9 N11 N8 N12 N N6 RT10 RT11 N10 RT6 7 RT1 RT2 RT4 RT3 N4 N3 N12 N RT N1 N2 N13 OSPFOSPF Arbre du plus court chemin

202 -202- OSPFOSPF Notion de région l groupe de réseaux contigus et de machines l topologie invisible l autonomie l protection l réduction globale du trafic dû au routage l épine dorsale inter-région(backbone)

203 -203- RT1 RT2 RT4RT5 RT3 RT6 N4 N3 N1 N2 N12 N13 N RT9 RT12 RT8 RT7 RT10 RT11 H1 N9 N10 N11 N8 N7 N6 N12 N Région 1 Région 2 Région 3 OSPFOSPF Configuration en régions

204 -204- OSPFOSPF Classification des routeurs l Routeur interne l Routeur de limite de région l Routeur d'épine dorsal l Routeur de frontière de système autonome

205 -205- RT1 RT2 RT4 RT3 N4 N3 N1 N RT5 RT7 Ia, Ib N6 N7 N8 N9-N11, H RT5 RT7 Ia, Ib N6 N7 N8 N9-N11, H N12 N13 N14 N12 N RT5 RT7 OSPFOSPF BD topologique de la région 1

206 -206- Lien virtuel l mécanisme d'abstraction de la topologie l utilisable entre routeurs de l'épine dorsale l contrôle et amélioration des routes par l'administrateur RT4 RT3 RT6 RT7 RT10 N12 N13 N14 N RT11 RT5 5 7 N15 N6 N7 N8 N6 N7 N8 N9-N11, H1 N7 N8 N6 N1 N2 N3 N4 N1 N2 N3 N Liaison virtuelle OSPFOSPF

207 -207- Authentification Mot de passe sur tous les messages Autres mécanismes dans le futur mPar région mPar réseau Type Signification d'authentification 0Pas d'authentification 1Mot de passe AutresRéservés pour attribution par l'IANA OSPFOSPF

208 -208- Encore des protocoles de routage….. RIPng for IPv6 (RFC 2080) OSPF for IPv6 (RFC 2740 RIP to Support Demand Circuits (RFC 1582, 2091) OSPF to Support Demand Circuits (RFC 1793

209 -209- TCP-IPTCP-IP Programmation des applications réparties

210 -210- TLITLI Orientation bloc de données et non plus flot Pas aussi largement utilisé que les sockets

211 -211- Les sockets Structure dinterface équivalent à un canal dE/S (fichier) l mode «sûr» (SOCK_STREAM) l mode «au mieux» (SOCK_DGRAM) l famille de protocole TCP/IP, X25, ISO, XNS, etc.

212 -212- Les Sockets mode connecté socket () bind () listen () accept () read () write () socket () connect () read () write () Serveur Client Etablissement connexion requête réponse traitement

213 -213- Les Sockets mode non connecté socket () bind () recvfrom () sendto () socket () bind () recvfrom () sendto () Client requête réponse Serveur traitement

214 -214- struct sockaddr { u_shortsa_family;/* adress family: AF_xxx value */ charsa_data [14];/* up to 14 bytes of protocol-specific address */ }; AF_INET AF_NS AF_X Adresse sur 14 octets maximum Les sockets et les adresses Format général

215 -215- struct in_addr { u_longs_addr;/* 32-bit netid/hostid */ }; struct sockaddr_in { shortsin_family;/* AF_INET */ u_shortsin_port;/* 16-bit port number */ struct in_addr sin_addr;/* 32-bit netid/hostid */ charsin_zero[8];/* unused */ }; Les sockets et les adresses IPv octets

216 -216- struct in6_addr { uint8_t s6_addr[16]; /* IPv6 address */ }; struct sockaddr_in6 { sa_family_t sin6_family; /* AF_INET6 */ in_port_t sin6_port; /* transport layer port # */ uint32_t sin6_flowinfo; /* IPv6 traffic class & flow info */ struct in6_addr sin6_addr; /* IPv6 address */ uint32_t sin6_scope_id; /* set of interfaces for a scope */ }; Les sockets et les adresses IPv octets

217 -217- SOCK_STREAM SOCK_DGRAM SOCK_RAW TCP UDP ICMP AF_INET AF_NS AF_X Les sockets Appels système Créer l int socket (int famille, int type, int protocole);

218 -218- Nommer int bind (int sockfd, struct sockaddr *mon_adresse, int lgr_adresse) ; Dimensionner la file dattente int listen (int sockfd, int lgr_file) ; Se connecter int connect (int sockfd, struct sockaddr *adresse_serveur, int lgr_adresse) ; Accepter une connexion int accept (int sockfd, struct sockaddr *adresse_client, int * lgr_adresse) ; Les sockets Appels système

219 -219- Accepter une connexion Traiter la requête Accepter une connexion Déléguer le traitement de la requête Traiter la requête Les sockets serveur: séquentiel vs concurrent

220 -220- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http Machine du Serveur Machine du Client telnet Les Sockets vues du système

221 -221- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http Machine du Serveur Machine du Client SEc=socket (...) STr=socket (...) telnet STr SEc Les Sockets vues du système

222 -222- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http Machine du Serveur Machine du Client SEc=socket (...) bind listen (...) STr=socket (...) telnet STr Les Sockets vues du système

223 -223- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http Machine du Serveur Machine du Client SEc=socket (...) bind listen (...) connect STr=socket (...) STr Les Sockets vues du système

224 -224- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http SEc=socket (...) bind listen (...) STr=accept (...) connect STr=socket (...) telnet STr Machine du Serveur Machine du Client Les Sockets vues du système

225 -225- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http SEc=socket (...) bind listen (...) STr=accept (...) fork (...) connect STr=socket (...) telnet STr STr SEc Père Fils Machine du Serveur Machine du Client Les Sockets vues du système

226 -226- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http SEc=socket (...) bind listen (...) STr=accept (...) fork (...) close(STr)close(SEc) PèreFils connect STr=socket (...) telnet STr STr Père Fils Machine du Serveur Machine du Client Les Sockets vues du système

227 -227- SYSTEMESYSTEME... ports dédiés ports utilisateurs ftp http SYSTEMESYSTEME... ports dédiés ports utilisateurs telnet ftp http SEc=socket (...) bind listen (...) STr=accept (...) fork (...) close(STr)close(SEc) PèreFils connect STr=socket (...) read(STr) write (STr) telnet STr STr Père Fils Machine du Serveur Machine du Client Les Sockets vues du système

228 -228- TCP - IP Les applications

229 -229- Applications: DNS Des noms, pourquoi faire ? Un système de noms, pourquoi ?

230 -230- Applications: DNS Règles du DNS (RFC 1034, 1035): Schéma de nommage Gestion des noms Déploiement et mise en œuvre Utilisation Optimisation des performances

231 -231- COMEDUMILORG UKFRCA... LIP6 Applications: DNS Organisation hiérarchique (1984) Syntaxe Schéma de nommage GOVINTNET STOREEU générique géographique AERO BIZ COOPINFOMUSEUMNAMEPRO

232 -232- Applications: DNS Délégation dautorité par domaine Network Information Center (NIC) Gestion des noms COMEDUMILORG UKFRCA... LIP6 GOVINTNET STORE... générique géographique AERO: Société Internationale de Télécommunications Aéronautiques BIZ: JVTeam COOP: National Cooperative Business Association INFO: Afilias MUSEUM: Museum Domain Management Association NAME: Global Name Registry PRO: RegistryPro 16/11/2000 EU

233 -233- ORG UKFRCA... LIP6 Applications: DNS STORE EU générique géographique ARPA Résolution inverse IN-ADDR IN-ADDR.ARPA.

234 -234- Applications: DNS Déploiement et mise en œuvre (1/2) > Base de données répartie lip6.fr MX 10 isis.lip6.fr lip6.fr MX 20 osiris.lip6.fr lip6.fr MX 30 shiva.jussieu.fr pascal CNAME nephtys.lip6.fr osiris.lip6.fr A isis.lip6.fr A isis.ipv6.lip6.fr AAAA 3ffe:0304:0103:00a0:0a00:20ff:fe0a:2e65 Enregistrements ressources

235 -235- Applications: DNS Déploiement et mise en œuvre (2/2) lip6.fr SOA osiris.lip6.fr > Serveur primaire lip6.fr NS isis.lip6.fr lip6.fr NS soleil.uvsq.fr > Serveur secondaire Sécurité

236 -236- lip6.fr nameserver = isis.lip6.fr lip6.fr nameserver = soleil.uvsq.fr lip6.fr nameserver = osiris.lip6.fr isis.lip6.fr internet address = soleil.uvsq.fr internet address = osiris.lip6.fr internet address = Applications: DNS Utilisation: requête itérative/récursive Requête: (nom, type)SOLVEUR Résoudre (lip6.fr, NS)Exemple:

237 -237- Applications: DNS Optimisation des performances > Quel serveur interroger ? > Apprentissage >EXEMPLE:résoudre (NS,site.uottawa.ca) Server: osiris.lip6.fr Address: Non-authoritative answer: site.uottawa.ca nameserver = csi0.csi.uottawa.ca Authoritative answers can be found from: csi0.csi.uottawa.ca internet address =

238 -238- Applications: DNS Configuration >more /etc/resolv.conf ; ; BIND data file ; Created by NetBSD sysinst on Thu Jan 28 16:43: ; nameserver nameserver nameserver nameserver lookup file bind search lip6.fr ipv6.lip6.fr Adresses des serveurs RACINE: ftp.rs.internic.net/domain/named.root

239 -239- Réseau TCP-IP Application Terminal Applications: Telnet Gestion de terminaux Options pour diverses émulations l VT100, 3270, Minitel l Authentification Transparence Performances?

240 -240- Réseau TCP-IP Système de fichiers Utilisateur Applications: FTP Transfert de fichiers Types de données l Caractères l Octets binaires l Compression Transfert tiers Protection des accès

241 -241- Applications: Messagerie Structure des messages Codage de transfert Protocole de Transfert

242 -242- Applications: Messagerie En-tête Corps 1 Corps 3 Corps 2 Corps 1 Définition Structure des messages l RFC 822 l Multipurpose Internet Mail Extensions (RFC )

243 -243- Applications: Messagerie > MIME >Nouveaux en-têtes >Nouveaux type de données TYPESOUS TYPE textplain richtext imagegif jpeg audiobasic applicationpostscript msword messagerfc822 partial external-body multipartmixed alternative digest

244 -244- Applications: Messagerie From To: Subject: Exemple MIME Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="=====================_ ==_" --=====================_ ==_ Content-Type: text/plain; charset="us-ascii" Voici un message au format MIME --=====================_ ==_ Content-Type: image/jpeg; name="fig1.jpg"; Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="fig1.jpg" /9j/4AAQSkZJRgABAQAAAQABAAD//gBIQ1JFQVRPUjogWFYgVmVyc2lvbiAzLjEwYSAgUmV2OiAx Mi8yOS85NCAgUXVhbGl0eSA9IDc1LCBTbW9vdGhpbmcgPSAwCv/bAEMACAYGBwYFCAcHBwkJCAoM … --=====================_ ==_ Content-Type: application/msword; name="Informations.doc"; Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="Informations.doc" /jcAIwAAAAAAACQAABkAAAAAAAAAAAEAAAANdQAAF/EAAAAAAAAMjAAAAAAAAAAAAAAAAAAAAAAA hbGl0eSA9IDc1LCBTbW9vdGhpbmcgPSAwCv/bAEMACAYGBwYFCAcHBwkJCAoMMi8yOS85NCAgUXV … --=====================_ ==_--

245 -245- Applications: Messagerie > Agent utilisateur

246 -246- Applications: Messagerie Protocole de Transfert: SMTP (RFC 821), ESMTP (RFC 1425) l Connexion TCP entre source et destination l Protocole ASCII >>> EHLO hera.lip6.fr 250-rp.lip6.fr Hello hera.lip6.fr [ ], pleased to meet you >>> MAIL From: SIZE= Sender ok >>> RCPT To: Recipient ok >>> DATA 354 Enter mail, end with "." on a line by itself >>>. 250 TAA05005 Message accepted for delivery >>> QUIT 221 rp.lip6.fr closing connection

247 -247- Applications: Messagerie Remise finale l Post Office Protocol 3 (RFC 1225) l Interactive Mail Access Protocol (RFC 1054), l Distributed Mail System Protocol (RFC 1056), Outils l Filtres l Démon de vacances

248 -248- Applications: Messagerie Confidentialité Authentification, signature, compression l Pretty Good Privacy (Zimmermann) MD5, RSA, IDEA, ZIP l PrivacyEnhanced Mail (RFC 1421 à 1424), MD2, MD5, DES ou RSA

249 -249- Applications: News Messagerie par thème Gestion l Abonnement l Modération l Diffusion Protocole NNTP Codages identiques à SMTP

250 -250- Applications: NFS Partage de fichiers sur un réseau Gestion "à la UNIX" Echanges contrôlés par UDP Modèle client/serveur (RPC) Large disponibilité

251 -251- Application: Hypertexte et Web Langage HTML pour l définition de pages l définition de liens l menus et formulaires l scripts (Javascript) l algorithmique (Java) Clients pour visualisation (Mosaïc, Netscape, Microsoft Explorer, etc.) Protocole HTTP

252 -252- Un exemple de page Web !

253 -253- Bienvenue sur le WWW audio de Radio France Dernière-née du réseau Radio France, France Info, seule radio d'information continue en Europe, propose à toute heure du jour et de la nuit, une information complète sans cesse réactualisée Langage de description: HTML

254 -254- Structure des URL Universal Resource Locator protocole://nom[:port][/chemin] l l ftp://ftp.lip6.fr/pub/linux/readme.txt l l

255 -255- Les clients: browsers Frames Grilles de saisie Tableaux Java ActiveX FTP, Gopher, , etc. Plugins

256 -256- JavaJava Origine de SUN Langage orienté objet (type C++) Sécurité du code Sécurité de lexécution Interprétation/compilation Indépendance de la plate-forme matérielle

257 -257- Java: exécution Matériel Système dexploitation Client Web Visualisation Protocole HTTP Machine virtuelle

258 -258- Le Web: Evolution Meilleure maîtrise et utilisation des documents l XML Changement dusage l PUSH

259 -259- HTML: Forces et faiblesses Simple Intégrable dans les navigateur: peu de balises Un seul moule pour tout type de document Pas de notion de contenu Exploration, partage et modification difficiles des documents Evolution trop lente (Tableaux: HTML 3 !!) Liens hypertextes inadaptés

260 -260- XML: Retour aux sources SGML(Standard Generalised Mark up Language) Norme ISO (IS 8879) depuis 12 ans (300 pages) eXtensible Mark up Language l Simplification de SGML (32 pages) l Séparation structure du contenu/présentation l Lutilisateur défini ses propres balises,,,, etc

261 -261- HTML vs XML En français Alain Michard, XML, Langage et Applications, Paris, Eyrolles, 1998 Alain Michard XML, Langage et Applications Eyrolles Paris Représentation à la mode les BD

262 -262- XML: cest quoi ? XSL XLINK XPOINTER XML DTD + + = Document Type Definition eXtensible Style Language Xml LINKink language Xml POINTER language

263 -263- XML: comment ça marche ? ou tout autre format de document RTF,.doc, PDF,WML, etc

264 -264- XML: Un exemple (...) 06/10/1998 6,6140 5,4825 (...) Le fichier XML

265 -265- XML: Un exemple (suite) Le fichier XSL

266 -266- Le fichier XSL RESULTAT XML: Un exemple (fin)

267 -267- Spécifications XML Communication... l Alliance for Telecommunications Industry Solutions (ATIS): Telecommunications Interchange Markup (TIM) l Wireless Application Protocol Forum (WAP): Wireless Markup Language (WML) … et de nombreux domaines l Presse l Espace l Comptabilité l Publicité l etc

268 -268- XML:browser, éditeur, utilitaire (1/2) Unix InDelv XML ClientXML browsers, XML editorsVInDelv LTXMLXML parsersEdinburgh Language Technology Group MozillaXML browsersThe Mozilla team PHPXML middlewareThe PHP development team Windows Foundation Classes XML parsersSam Blackburn XeenaXML editorsIBM alphaWorks Unix InDelv XML ClientXML browsers, XML editorsVInDelv LTXMLXML parsersEdinburgh Language Technology Group MozillaXML browsersThe Mozilla team PHPXML middlewareThe PHP development team Windows Foundation Classes XML parsersSam Blackburn XeenaXML editorsIBM alphaWorks LINUX AmayaXML editors, XML browsersWorld Wide Web Consortium IBM techexplorerXML browsersIBM MozillaXML browsersThe Mozilla team sgrepXML search enginesJani Jaakkola SPSGML/XML parsersJames Clark TidyGeneral N-convertersDave Raggett XFA Scripting SystemXML middlewareXML For All XML for C++XML parsersIBM alphaWorks xtr2anyGeneral S-convertersSema Group LINUX AmayaXML editors, XML browsersWorld Wide Web Consortium IBM techexplorerXML browsersIBM MozillaXML browsersThe Mozilla team sgrepXML search enginesJani Jaakkola SPSGML/XML parsersJames Clark TidyGeneral N-convertersDave Raggett XFA Scripting SystemXML middlewareXML For All XML for C++XML parsersIBM alphaWorks xtr2anyGeneral S-convertersSema Group

269 -269- XML:browser, éditeur, utilitaire (2/2) Win 32 AmayaXML editors, XML browsersWorld Wide Web Consortium BaliseXML parsersAIS Software ExmlXML editorsCUESoft FirstSTEP EXMLDTD generatorsProduct Data Integration Technologies (PDIT) GeckoXML browsersNetscape HyBrickXML browsersFujitsu Laboratories IBM techexplorerXML browsersIBM InDelv XML ClientXML browsers, XML editorsInDelv JadeDSSSL enginesJames Clark LTXMLXML parsersEdinburgh Language Technology Group Microsoft Internet Explorer 5XML browsersMicrosoft Microsoft XML Parser RedistributableXML parsersMicrosoft MozillaXML browsersThe Mozilla team OmniMark Home and School IDE General S-convertersOmniMark Technologies QORXGeneral N-convertersGriffin Brown Digital Publishing XeenaXML editorsIBM alphaWorks XML Diff and Merge ToolXML document management utilitiesIBM alphaWorks XML for C++XML parsersIBM alphaWorks XML NotepadXML editorsMicrosoft xtr2anyGeneral S-convertersSema Group Win 32 AmayaXML editors, XML browsersWorld Wide Web Consortium BaliseXML parsersAIS Software ExmlXML editorsCUESoft FirstSTEP EXMLDTD generatorsProduct Data Integration Technologies (PDIT) GeckoXML browsersNetscape HyBrickXML browsersFujitsu Laboratories IBM techexplorerXML browsersIBM InDelv XML ClientXML browsers, XML editorsInDelv JadeDSSSL enginesJames Clark LTXMLXML parsersEdinburgh Language Technology Group Microsoft Internet Explorer 5XML browsersMicrosoft Microsoft XML Parser RedistributableXML parsersMicrosoft MozillaXML browsersThe Mozilla team OmniMark Home and School IDE General S-convertersOmniMark Technologies QORXGeneral N-convertersGriffin Brown Digital Publishing XeenaXML editorsIBM alphaWorks XML Diff and Merge ToolXML document management utilitiesIBM alphaWorks XML for C++XML parsersIBM alphaWorks XML NotepadXML editorsMicrosoft xtr2anyGeneral S-convertersSema Group

270 -270- Evolution du WEB: push Le WEB est une application client/serveur Les canaux de distribution Convergence des solutions? l Place de Microsoft et de Netscape l Intégration dans les serveurs ou participation des clients?

271 -271- Le Web sans fil HDML:Handheld Device Markup Language l 1996, Phone.com WAP: Wireless Application Protocol l 1997, Phone.com, Ericsson,Motorola, Nokia i-Mode l 1999, NTT DoCoMo (Japon) l Disponible en France depuis le 15 novembre 2002 (Bouygues)

272 -272- Sécurité Indépendant du réseau contraintes minimales (téléphone, PDA, etc.) Support clavier Reconnaissance vocale Passerelle

273 -273- WAP: architecture

274 -274- Echec et WAP Quelques éléments de réflexion l Le contenu sites sont aujourd'hui disponibles sur les mobiles japonais l Relation entre opérateurs, constructeurs et fournisseurs de services Opérateurs vs éditeurs de contenu mA chacun son métier ¦ NMPP vs Presse écrite mRémunération: Au japon, 91% de la surtaxe I Mode est reversée aux fournisseurs de contenus. mEn France 30 à 40 % sur la surtaxe et rien sur le transport

275 -275- TCP - IP La sécurité

276 -276- La sécurité dans les réseaux D'où viennent les problèmes? Distribution des informations et des machines. Réseaux mondiaux: Nombre dutilisateurs élevé, utilisateurs inconnus. Réseaux locaux: 80% des «attaques» Commerce et paiement: Le paradoxe du nombre et de la confiance! Les techniques Cryptographie principalement Linformation se protège et se transmet facilement, pour la confiance, les choses sont plus délicates Les limites réglementaires et/ou techniques Besoin de contrôle des autorités. Problèmes douaniers / Lieu et méthode de taxation. Comment exercer réellement un contrôle?

277 -277- La sécurité dans les réseaux Plusieurs niveaux doivent être considérés: l Le contrôle daccès: qui travaille sur ma machine? l Le contrôle des données: mes informations sont-elles secrètes? l Un point central: la confiance et comment la partager? Qui est vulnérable? l Réseau local Il est très facile daccès pour ses utilisateurs. Cest le point faible pour les informations. l Le réseau longue distance Il concentre de nombreux utilisateurs. Cest le point faible pour le contrôle daccès.

278 -278- La sécurité: les méthodes Une trilogie «vitale»: l Audit Analyse des besoins, des risques l Les outils techniques Cryptographie l Contrôle Logiciels ou matériels de surveillance Une seule étape vous manque … et tout est dépeuplé!

279 -279- La sécurité: les erreurs humaines Inégalité d'Heisenberg l Dx * Dp > h l Ergonomie * Sécurité > k

280 -280- Un utilisateur quelconque se connecte sur Internet Il récupère le code dun «exploit» Il le compile et lexécute Il est root Une attaque directe UNIX

281 -281- Un utilisateur quelconque se connecte sur Internet Il récupère le programme «sechole.exe» Il lexécute Son compte est ajouté au groupe Administrators Une attaque directe NT

282 -282- Sous NT la liste des mots de passe cryptés sobtient : par une attaque sur la base de registres «pwdump» en sniffant le réseau via le fichier de réparation «%systemroot%\repair\sam._» Attaque des mots de passe

283 -283- Après le passage dun dictionnaire de mots… Temps Réel : < 30s Attaque des mots de passe

284 -284- Après une attaque bête et néanmoins brutale sur lalphabet heures plus Tard Attaque des mots de passe

285 -285- Découverte de topologie

286 -286- Attaque de datagrammes La structure des données est connue La structure des applications est connue et standard Une machine simple peut: l Ecouter l Analyser l Créer

287 -287- Le déguisement Modification des adresses Intervention dans un dialogue Attaque des routages

288 -288- Le «SPAM» Envoi dinformation inutile et volumineuse SPAM = argot Application visée:

289 -289- FTP et la sécurité Problème protocolaire Problème dutilisation

290 -290- Mots de passe Transport dans le réseau Sensible à lécoute Besoin dauthentification

291 -291- Synthèse des techniques On ne change pas les protocoles de communication l Filtrage On change/adapte les applications l Cryptographie On change/adapte les protocoles de communication l IPSec Que devient la réglementation?

292 -292- La sécurité: filtrage Routeur Firewall INTERNET Sécurité renforcée DMZ (Zone Démilitarisée) Mail Web DNS FTP Telnet X

293 -293- Le filtrage par «proxy» physique liaison réseau transport session présentation eth ip hdr data application tcp/udp hdr analyse Analyse l complète protocole scénario l coût

294 -294- Le filtrage des paquets Tâche confiée aux routeurs Assez rapide analyse physique liaison réseau transport session présentation application eth ip hdr data tcp/udp hdr

295 -295- Exemples de règles de filtrage

296 -296- Cryptographie - les bases Utilisée pour fournir les services de sécurité demandés par lutilisation dun réseau: Secret cryptage Intégrité des données one-way hash Authentification signature électronique l Non répudiation mDef: empêcher le refus fallacieux de reconnaître lenvoi, la réception ou le contenu dun message

297 -297- CryptographieCryptographie De quoi sagit-il? l Transformer des données de sorte à ce quelles deviennent incompréhensibles pour ceux qui ne possèdent pas une clé Deux familles l Clé publique ou asymétrique l Clé privée ou symétrique

298 -298- Chiffrement - 1 Algorithmes symétriques l RC-4, RC-5 l DES, 3-DES, IDEA, SkipJack (pas public!!) Un secret doit être partagé: la clé Algorithme identique abc#!$ abc Clef Partagée

299 -299- abc#!$ abc Alice clef privéeclef publique Bob Chiffrement - 2 Pas de secret partagé, seulement lalgorithme Génération des clés Algorithmes asymétriques à cause des clés l RSA Chiffrement, Authentification, Intégrité Problème de la distribution des clés et des performances Exemples: abc#!$ abc Alice clef privéeclef publique Bob

300 -300- «One-way hash functions» Vérifier quune donnée est correcte l calcul dune empreinte à laide dune fonction de hashage Idée du CRC, mais plus complexe l 128 bits ou plus l impossible de produire un document correspondant à une empreinte donnée l 1 bit modifié dans le document entraîne une très forte modification de lempreinte Algorithmes l MD2, MD4, MD5 (128 bits): Message Digest l SHA-1 (160 bits): Secure Hash Algorithm

301 -301- Chiffrement - 3 Message hash Digest Signature Clef privée Message hash Digest Signature Clef publique Digest =

302 -302- ProblèmesProblèmes Impossible dutiliser les systèmes asymétriques pour cacher des données (trop lent) Il faut utiliser un algorithme symétrique, mais avec quelle clé? Une solution: transférer la clé par des techniques asymétriques, soit une combinaison des deux techniques

303 -303- Partager un secret Générer un nombre aléatoire Encoder avec clé publique du correspondant Envoyer Exemple dutilisation: SSH, SSL abc #!$ Calcul de la clé Reconstitution de la clé

304 -304- Authentification des clés! Comment être sûr de la clé publique? Validation des clés par lutilisation de «certificats» l Identité dune personne (Bob) l Identité de lautorité de certification (CA) l Clé publique de Bob l Dates de validité (début, fin) l Une empreinte du contenu du certificat Lempreinte est signée par le CA

305 -305- La confiance Il faut avoir confiance en lautorité de certification Construction de «chaînes de confiance» Qui délivre des certificats? l VeriSign, GTE, AT&T l En France, Axenet par exemple l Une société pour son usage propre

306 -306- Obtention dun certificat Génération dun couple CléPublique/CléPrivée Envoi dune demande de certificat au CA (seulement CléPublique) Validation de lutilisateur par le CA CA génère le certificat Le certificat peut être diffusé par lutilisateur ou par le CA

307 -307- Validation dun certificat Alice récupère le certificat de Bob Récupérer le certificat du CA qui a signé le certificat de Bob Valider le CA Valider le certificat de Bob Valider les dates dutilisation Utiliser la clé

308 -308- Hiérarchie de confiance Une hiérarchie de CA peut se créer et ainsi distribuer la «confiance» nécessaire Création de chaînes Administration et configuration sont alors locales Alice Corp A Corp B Corp ComptaRecherche Dévelopt.

309 -309- Les standards de codage X509 l Contenu du certificat ASN.1 l La syntaxe et le codage DER l Distinguished Encoding Rules l Format de transfert PKCS #10 l Message de demande de certificat PKCS #7 l Message crypté Origines: l ISO - UIT l RSA

310 -310- Où sont les applications? Pour le Web l SSL pour https://… l Stockage/utilisation de certificats Pour la messagerie l S/MIME messages signés messages cryptés Un moteur: le commerce électronique

311 -311- La sécurité applicative: en pratique La signature pour authentifier Le cryptage pour la confidentialité A quel niveau? l Celui des protocoles: IPSec par exemple l Celui des applications: PGP par exemple La sécurité des implantations logicielles l Les outils de Java l Voir par exemple

312 -312- IPSecIPSec Protocole d'authentification Protocole de cryptage Protocole de négociation des méthodes de sécurisation et d'échange de clé Mode transport et mode tunnel Totalement compatible avec IPv4 et IPv6 "de base"

313 -313- IPSec: mode transport IP HDRESPDATA Cryptage SPI (Security parameters Index) Longueur padding Numéro de séquence Données Entête suivant Données d'authentification (optionnel ) Crypté Authentifié Cryptage ESP: Encapsulated Security Protocol Pas de protection de l'entête IP Padding ( octets) Algorithmes symétriques: DES 56 bits (par défaut) 3-DES, RC5, CAST, IDEA, etc. 32 bits Algorithmes symétriques: SHA-1, MD5 (par défaut)

314 -314- IPSec: mode transport DATA authentification Numéro de séquence SPI (Security parameters Index) Authentification AH: Authentication Header Longueur AH Réservé ( à zéro) Entête suivant IP HDRAH 32 bits Protection de l'entête IP

315 -315- IPSec: mode tunnel trafic non protégé trafic protégé Passerelle IPSec 1 Passerelle IPSec 2 VPN l Virtual Private Network Station A Server B A Source Dest. BdonnéesAB A Source Dest. Bdonnées21 Cryptage

316 -316- IPSec: mode tunnel Tunnel d'authentification Tunnel de cryptage Authentification DATAIP HDR u IP HDR t AH Cryptage DATAIP HDR u IP HDR t ESP Authentification DATAIP HDR u IP HDR t AH ESP Tunnel d'authentification et de cryptage Cryptage

317 -317- IPSec: Echange et gestion des clés Trois étapes l Négocier Algorithme de cryptage et d'authentification l Echanger valeur des clés fréquence de changement l Mémoriser le contexte

318 -318- IPSec:Security Association (SA) SA Algorithme pour l'AH Algorithme pour l'ESP Fréquence de changement des clés Durée de vie des clés Durée de vie du SA Négociation: plusieurs propositions un seul choix Permet d'adapter la sécurité en fonction de: l son interlocuteur l de la façon de l'atteindre (intranet, Internet) Unidirectionnel

319 -319- IPSec:SA et SPI Le SPI indentifie notre SA chez notre interlocuteur SA ab 12 b SA ax 102 x SA ab 12 b SA ba 45 a Sa xa 98 a SA ba 45 a A B PROPOSITION SA ACCEPTATION SA, SPI=12 PROPOSITION SA ACCEPTION SA, SPI=45

320 -320- Lionel Jospin - 19 janvier 1999 Nous avions, il y a un an, franchi un premier pas vers la libéralisation des moyens de cryptologie. Javais annoncé alors que nous en franchirions un autre ultérieurement. Le Gouvernement a, depuis, entendu les acteurs, interrogé les experts et consulté ses partenaires internationaux. Nous avons aujourdhui acquis la conviction que la législation de 1996 nest plus adaptée. En effet, elle restreint fortement lusage de la cryptologie en France, sans dailleurs permettre pour autant aux pouvoirs publics de lutter efficacement contre des agissements criminels dont le chiffrement pourrait faciliter la dissimulation. Pour changer lorientation de notre législation, le Gouvernement a donc retenu les orientations suivantes dont je me suis entretenu avec le Président de la République : - offrir une liberté complète dans l'utilisation de la cryptologie ; - supprimer le caractère obligatoire du recours au tiers de confiance pour le dépôt des clefs de chiffrement ; - compléter le dispositif juridique actuel par l'instauration d'obligations, assorties de sanctions pénales, concernant la remise aux autorités judiciaires, lorsque celles-ci la demandent, de la transcription en clair des documents chiffrés. De même, les capacités techniques des pouvoirs publics seront significativement renforcées et les moyens correspondants dégagés. Changer la loi prendra plusieurs mois. Le Gouvernement a voulu que les principales entraves qui pèsent sur les citoyens pour protéger la confidentialité de leurs échanges et sur le développement du commerce électronique soient levées sans attendre. Ainsi, dans l'attente des modifications législatives annoncées, le Gouvernement a décidé de relever le seuil de la cryptologie dont lutilisation est libre, de 40 bits à 128 bits, niveau considéré par les experts comme assurant durablement une très grande sécurité.

321 -321- La signature électronique Loi n° du 13 mars 2000 l J.O. n° 62 du 14 mars 2000 page 3968, l adaptation du droit de la preuve aux technologies de linformation et relative à la signature électronique. Article du code civil devient: l «Lécrit sur support électronique a la même force probante que lécrit sur support papier»

322 -322- Exemple de PGP l Informations en français Outil de signature pour lauthentification Outil de cryptage pour la confidentialité Algorithmes connus Implantés sur tous les systèmes classiques (Windows, MacOS, PalmOs, Psion, Linux, etc.) Intégration avec les outils classiques de la communication

323 -323- PGP: les fonctions Génération dune paire de clés Maintenance dun annuaire de ses correspondants Gestion dun accès LDAP Signature de fichiers Cryptage de fichiers Intégration aux messageries

324 -324- PGP: gestion des clés Porte- clés

325 -325- PGP: génération de clés

326 Exemple: PGP et Outlook

327

328 -328- Exemple: PGP et Eudora

329 -329- Les sites de «piratage»

330 -330- Coordination des utilisateurs

331 -331- FIRSTFIRST Plus de 70 membres en 2000 Des opérateurs, des industriels, bref des utilisateurs de réseaux Fédération des CERTs Coordination des détections de problèmes et des parades Service dalerte indispensable pour les ingénieurs

332 -332- CERT du DoD

333 -333- CERT dIBM

334 -334- TCP-IPTCP-IP 3éme journée: IP et les autres, Hauts débits, QoS, Gestion de réseaux, Services en lignes

335 -335- TCP - IP Un peu darchitecture

336 -336- IP et les réseaux existants Les réseaux X25 l RFC 877 l Gestion des CV l Adressage (CC) l Taille des datagrammes (576 octets) IP X25

337 -337- IP et les réseaux existants Les liaisons spécialisées l SLIP La solution initiale pour les lignes asynchrones l X25 La solution simple … en Europe l PPP Une possibilité générique … et universelle IP X25 IP PPP Signali- sation

338 -338- IP et lISO Les modèles sont différents! La migration a été envisagée! l Préparation des utilisateurs l Transition l Abandon l Utilisation de lexpérience Application Présentation Session Transport Réseau Liaison Physique IP TCP/UDP Application

339 -339- IP et réseaux locaux (de micros?) Utilisation «naturelle» Mais aussi … cohabitation! Les réseaux locaux classiques l 85% Ethernet! TCP/UDP IP NetBIOS TCP/UDP IP NetBIOS

340 -340- L'architecture «complète» Protocole IP ICMP/IGMP Autres TCP UDP... EthernetToken RingRéseaux mX25 PPP, SLIPFR, ATMFDDI FTP, SMTP, Telnet, DNS, HTTP, etc. Applications de gestion (routage) Client Serveur (NFS) Applications dérivées de lISO (SNMP, LDAP) Représentation des données Applications coopératives (multicast, multimedia, etc.) ISO RTP/RTCP RSVPDHCP Sécurité Mobilité

341 -341- TCP - IP Hauts débits

342 -342- Exemple de problème: la mémoire du réseau Contrôle de flux à fenêtre Temps d'émission de 64 Ko l 5,24 ms à 100 Mbps Temps de traversée 15 ms temps Débit = Débit max / 7,5

343 -343- Contrôle de flux: le contrôle à la source Négocier le débit du transfert l En fonction des capacités de l'émetteur l En fonction des possibilités du récepteur l En fonction des ressources du réseau

344 -344- Exemple: NETBLT Définition du trafic en termes de l Blocs l Paquets, Série, Durée d'une série Reprise des erreurs par phases

345 -345- Cohabitation UDP - TCP A B: TCP à vitesse maximum C D: UDP à vitesse maximum T=0, début de T=40s, début de ABCD Mesure de débit

346 -346- Cohabitation TCP/UDP 1 2

347 -347- TCP-IPTCP-IP Qualité de service et IP

348 -348- La qualité de service et IP Le «best effort» seul est insuffisant Plusieurs approches sont possibles: l Adaptation du comportement des applications l Réservation de ressources dans le réseau l Adaptation du comportement du réseau Les outils l RTP/RTCP l INTSERV et RSVP l DIFFSERV Signalisation globale?

349 -349- Un réseau de test - gigue Source:

350 -350- Approche INTSERV INTegrated SERVices Trois types de profils: Best effort mLe service classique Controlled load mLe réseau se comporte comme un réseau best effort peu chargé Guaranteed mGarantie de débit, délai et gigue Signalisation - réservation

351 -351- Tri et routage Tri et routage Ordon- -nancement Ordon- -nancement Routage RSVP Policing Ressources Réservation de ressources - protocole RSVP Spécification d'un flot à la mode IP (CV?) Spécification d'une QoS (débit, délai) Conformité du trafic Contrôle dadmission Les réservations ne dépendent pas du protocole: algorithmes locaux

352 -352- RSVP: quelques définitions La notion de flot Adresse source, Adresse destination, [numéro de port] Flow descriptor Flow spec mClasse de service mLa qualité de service désirée (Rspec) mLe flot de données (Tspec) Filter spec mComment reconnaître les paquets concernés

353 -353- Implantation de RSVP La réservation intéresse un flot Les routeurs connaissent les flots Les traitements des datagrammes ne sont plus banalisés BE R1 R2 R3 R4

354 -354- R R R R R R R R R R PATH RESV Le protocole RSVP Description des données, admission du flot (bornes de description) Définition des réservations Remise à jour périodique («soft state», éphémère) Abandon des réservations Non R

355 -355- IP et QoS: approche applicative Hypothèse l Les applications vivent avec un réseau sur lequel aucune modification nest possible Adaptation l Modification du comportement des applications en fonction du comportement du réseau (exemple, modification des codages) l Lapplication est en prise la plus directe possible avec le réseau: RTP l Besoin dun mécanisme dobservation: RTCP

356 -356- Transport temps réel: RTP Contrôle du temps Estampilles Protocole de contrôle: RTCP Approche ALF (Application Layer Framing) ILP (Integrated Layer Processing) IP UDP Application avec RTP Application avec RTP RTCP

357 -357- Architecture RTP

358 -358- RTP est un vrai protocole RFC 1889, Proposed Internet Standard Profils définis pour MPEG1/MPEG2, JPEG, H261, etc. Incorporé dans la recommandation H225.0 de lITU-T (partie de H323) Implanté dans des produits commerciaux (Sun, SGI, Precept, etc.)

359 -359- Exemple dutilisation Netmeeting de Microsoft Architecture dapplication adaptative Respect des normes

360 -360- Timestamp VerPXCCMPayload TypeSequence Number Synchronisation source (SSRC) identifier Contributing source (CSRC) identifiers RTP - les paquets Transport des informations applicatives Possibilité d'extension/adaptation Contrôle de la QoS en parallèle

361 -361- Quelques idées générales (1) Un réseau longue distance est un réseau dopérateur Un opérateur a des clients Les clients veulent un service connu, même sil faut le payer pour certaines applications Le partage égalitaire des ressources dans lInternet doit être abandonné

362 -362- Quelques idées générales (2) Dun point de vue technique l RSVP est (trop?) coûteux en mémoire détat dans les routeurs. Il faut trouver une méthode dagrégation des réservations. l Introduction de plusieurs niveaux de signalisation dans un réseau IP l Lien avec les signalisations des réseaux utilisés (e.g. lATM)

363 -363- Classification des trafics A lentrée dun réseau, les trafics sont triés et étiquetés Chaque routeur traite alors les paquets en fonction de leur classe Routeur extérieur (egress) Routeur interne (ingress) Tri et étiquetage Conversion de signalisation (e.g. de ou vers RSVP) Administration

364 -364- IP et QoS: synthèse Réseau «corporate» RSVP Réseau de transit Services différenciés Bout en bout RTP-RTCP

365 -365- Les technologies IP et lATM

366 -366- JustificationJustification Reconnaissance dIP l Interface applicative l bout en bout Utilisation de lATM comme backbone l Telcos l backbone privés l IP sur SDH! QoS l Nouvelles applications l «mieux» que le «Best Effort»

367 -367- Intégration IP sur ATM Accélérer IP Ajouter de la QoS Frontières IP & ATM Chemin de données Signalisation Plan de contrôle IPATM

368 -368- ATM vs IP ou ATM et IP Commutation ou Routage? l routeurs flexibles, lents et chers l commutateurs rapides, plus économiques Des routeurs rapides? l Gigabit routeurs Associé IP et ATM pour le meilleur? l IP switching l Tag Switching l MPLS (IETF) l Serveurs de route l MPOA (ATM Forum)

369 -369- Solutions IP / ATM l IETF Classiques (LIS + Routeur ) ¦ Classical IP over ATM Shortcuts ATM ¦ NHRP Commutation de paquets ¦ IPswitching, Tag Switching l ATM Forum LANE, IPNNI MPOA ATM Soft ATM Hard IP IP/ATM IP

370 -370- Serveurs de routes Des serveurs de route calculent les chemins dans le réseau Utilisation de NHRP (IETF) Transfert de niveau 3 aux frontières du réseau l request VLAN Id] l response R, VLAN Id] Commutation de niveau 2 dans le réseau l «Shortcut» 3 Com, Hughes, Newbridge, IBM, (Cisco)

371 -371- Classical IP: solution simple Un réseau ATM nest quun sous-réseau ordinaire Encapsulation LLC / AAL 5 Même vue de bout en bout X X X X X X LIS CCC C C C Routeur ATM ARP Server ATM ARP Server X X X X X X LIS CCC C C C Routeur ATM ARP Server ATM ARP Server X X X X X X LIS CCC C C C ATM ARP Server ATM ARP Server Routeur

372 -372- Classical IP over ATM : les standards IETF l RFC 1483 : « Multiprotocol Encapsulation over ATM Adaptation Layer 5 » l RFC 1577 : « Classical IP and ARP over ATM » l RFC 1626 : « Default IP MTU for use over ATM AAL5 » l RFC 1755 : « ATM Signaling Support for IP over ATM » l RFC 1932 : « IP over ATM : A Framework Document » l RFC 2022 : « Support for Multicast over UNI 3.0/3.1 based ATM Network »

373 -373- IP et NHRP NHRP: Next Hop Resolution Protocol NHS (NHRP Server) remplace ARP Server Déroulement dune transmission: via le NHS X X X X LIS CCC C C C Routeur NHRP Server NHRP Server X X LIS CCC C C C Routeur NHRP Server NHRP Server X X X X LIS CCC C C C NHRP Server NHRP Server X X X X X X X X

374 -374- IP et NHRP Demande NHRP: l Si adresse destination connue, résolution adresse ATM l Si adresse destination inconnue, routage et envoi requête vers NHS suivant Envoi de la donnée Utilisation de IP pour NHRP X X X X LIS CCC C C C Routeur NHRP Server NHRP Server X X LIS CCC C C C Routeur NHRP Server NHRP Server X X X X LIS CCC C C C NHRP Server NHRP Server X X X X X X X X

375 -375- IP et NHRP Quand établir les connexions ATM? l Longs flots de données l Paquets uniques (DNS par exemple) sont traités par routage sur des liens pré-établis l Problème du multicast l ATM de bout en bout nexiste pas!

376 -376- IP Switching (Ipsilon - Nokia) ATM switch IP Switch Controller IFMP GSMP IP Switch Contrôle et analyse des flots Commande du commutateur (GSMP: General Switch Management Protocol) Mise en place des flots commutés (IFMP: Ipsilon Flow Management Protocol)

377 -377- Destination port Options if any Destination address Source address Checksum Offset Ver. IHL. IP Switching Définition dun flot l Suite de paquets l unicast / multicast Description dun flot l Applicatif (type 1) l Par machine (type 2) Analyse des paquets IP TOS Total Length IdentificationFlags ProtocolTTL Source port En-tête IP En-tête TCP/UDP Type 1 et type 2 Type 1 seulement

378 -378- IP Switching X X X X X X X X X X X X X X C X X X X CC

379 -379- Reserved TOS PAD and AAL5 trailer Packet Data Identification IP Switching - encapsulation Encapsulation sur le canal par défaut l LLC/SNAP au dessus dATM Encapsulation en cas de redirection l En-tête IP compressée l AAL 5 l reconstitution de len- tête à la sortie Checksum Offset Total Length Flags PAD and AAL5 trailer Packet Data ProtocolReserved Identification Checksum Offset Total Length Flags

380 -380- IP Switching Politique détablissement des circuits l Statistique l Par application, en reconnaissant les ports TCP «nativement» en mode flot: FTP, Telnet, HTTP, X11, etc. Maintien des circuits l Information détat répétée régulièrement (20s), «soft state» Performances l Traitement dun datagramme 3 à 4 fois plus rapide via le switch

381 -381- IP Rapide... Commutateur vs Routeur Modèle de LAN sur média partagé + Routeur Modèle de LAN commuté + l Routeur IP l Serveurs de routes et MPOA CISCO (MPOA), Newbridge (~MPOA), Cabletron/IBM (propriétaire),... l PNNI Baynet (IPNNI), 3Com/Digital (propriétaire),... l «Commutation» IP Ipsilon (IP switching), Cisco (Tag Switching), MPLS (IETF), Xylan (prop), … POS: Packet over Sonet

382 -382- Routeurs Gigabits Aujourdhui l paquets/s l entrées dans la table de routage Objectif l 20Gb/s, soit 10 M paquets/s l hypothèse: 1 paquet ~ 2000 bits Eléments l matrice de commutation l processeur l le moteur de renvoi (forwarding engine) l les cartes dinterface de transmission

383 -383- Routeurs Gigabits Caractéristiques l pas de changements architecturaux (subnets) l standard l cher l performances réelles? l Avenir Acteurs: l Ascend GRF400, 4 slots, 2.8 M pps, $, routes par carte l Cisco BFR l BBN 20 M pps!

384 -384- POS Packet Over Sonet Considérer le paquet IP comme un paquet standard pouvant être encapsulé directement dans SONET (ou par lintermédiaire dun protocole intermédiaire comme HDLC ou PPP) Vitesse des routeurs Commutation IP

385 -385- MPLSMPLS R1R2 R3R4 R5 R12 R6R7 R11 R10 A R9R8 B C Z Y X T

386 -386- MPLS exemple Structure de la table: l Label en entrée l LSR suivant l Action Push Pop Nop l Label en sortie A vers X B vers Y C vers Z

387 -387- TCP-IPTCP-IP La voix

388 -388- Codage de la voix - du son Numérisation Quantification Codage

389 -389- Codage efficace Définir un modèle de son Analyser Transporter des paramètres Synthétiser Modèle Paramètres Modèle

390 -390- Les standards de la voix Quelques exemples de codages de la voix: l 1016: standard DoD à 4.8 kbps l GSM de lITU à 13 kbps l G 711 de lITU à 64 kbps Pour la voix sur IP l G de lITU à 5.3 kbps

391 -391- La voix sur IP Transmission dune information isochrone Problème de maîtrise des délais et de la gigue Expérimentations nombreuses Produits opérationnels Architecture normalisée H323 Utilisation de RTP/RTCP pour le contrôle de la qualité de service

392 -392- Architecture de protocoles Le cadre général actuel est H323 de lITU-T intégrant voix - données - audio sur réseaux de données Intègre RTP/RTCP H.225Réseau H.245 Q.931 Contrôle T.120 Données Voix Vidéo G.7xx H.26x

393 -393- La téléphonie sur IP Autre problème: interfonctionnement avec le réseau téléphonique classique Mise en place de passerelles dinterconnexion Développement dun réseau de type opérateur RTC Réseau IP longue distance RTC

394 -394- Voix sur IP: exemple Architecture de Vocaltec (http://www.vocaltec.com)

395 -395- Vendeurs de voix sur IP - 1 Daprès DataCommunications, avril 1998

396 -396- Vendeurs de voix sur IP - 2 Daprès DataCommunications, avril 1998

397 -397- TCP - IP La représentation des données

398 -398- La couche présentation de lISO Spécification Application FF 0000FF Réseau Entier

399 -399- La couche présentation de lISO Spécification Application FF 0000FF Réseau Traduction Entier

400 -400- La couche présentation: les méthodes (1) Langage de spécification des données Règles de codage Protocole pour le choix Les outils l ASN.1 (Abstract Syntax Number 1) ISO 8824 et 8825 l XDR (eXternal Data Representation)

401 -401- Le codage ISO: ASN.1 Un langage de description de données l Détaché dun langage de programmation l Plus général que XDR l Même objectif que XDR Une technique de codage l Codage TLV l Codage hiérarchique

402 -402- Codage des données: exemple ASN.1 ASSIST SA FACTURE n° Paris, le DésignationUnitaireQtéTotal HT TOTAL HT TVA TOTAL TTC Une facture l Définition informelle l Définition formelle l Codage l Transfert l Traitement

403 -403- Spécification en ASN.1 (1) Echange-Facture DEFINITIONS ::= BEGIN Date ::= [APPLICATION 2] SEQUENCE { jour INTEGER, -- 1 à 31 mois INTEGER, -- 1 à 12 an INTEGER } Numéro ::= [APPLICATION 3] IMPLICIT INTEGER Prix ::= [APPLICATION 4] SEQUENCE { francs INTEGER, centimes INTEGER } Ligne ::= [APPLICATION 5] SEQUENCE { désignation IA5String, unitaire Prix, quantité INTEGER, horsTaxes Prix }

404 -404- Spécification en ASN.1 (2) Facture ::= [APPLICATION 1] SEQUENCE { date Date, numéro Numéro, article SEQUENCE OF Ligne, totalHT Prix, tVA Prix, tTC Prix } END

405 -405- ASN.1: désignation des objets Chaque spécification possède un nom l Obtenu depuis un catalogue l Codable en OBJECT IDENTIFER Une définition peut être utilisée dans un protocole Exemple: dans les protocoles de gestion de réseaux

406 ASN.1: les objets

407 -407- TCP - IP La gestion de réseaux

408 -408- Gestion de réseaux Les outils de base «livrés en standard» l ICMP, EGP, BGP, RIP, OSPF Administration ISO Démarche de convergence ISO-TCP/IP Création de SNMP SNMP v2 CMIP

409 -409- Gestion ISO Les domaines fonctionnels: Gestion des configurations Gestion des performances Gestion des fautes Gestion des ressources Gestion de la sécurité Pour quoi faire?

410 -410- Gestion: point de vue pragmatique Le métier du gestionnaire dans le temps: l Le court terme Traitement des pannes Configuration des machines l Le moyen terme Réglage et surveillance Gestion et suivi des coûts l Le long terme Planification

411 -411- Outils simples de gestion PING et le test de connectivité TRACEROUTE (TRACERT) 0- i:=0 1- Envoi dun datagramme avec TTL=i 2- Récupération du message ICMP 3- i := i+1 4- Aller en 1

412 -412- Gestion des réseaux: TCP-IP Méthodes simples $ ping -c 10 hera.ibp.fr PING hera.ibp.fr ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=254 time=2.5 ms 64 bytes from : icmp_seq=1 ttl=254 time=2.5 ms 64 bytes from : icmp_seq=2 ttl=254 time=3.8 ms 64 bytes from : icmp_seq=3 ttl=254 time=2.4 ms 64 bytes from : icmp_seq=4 ttl=254 time=2.4 ms 64 bytes from : icmp_seq=5 ttl=254 time=2.4 ms 64 bytes from : icmp_seq=6 ttl=254 time=2.8 ms 64 bytes from : icmp_seq=7 ttl=254 time=2.5 ms 64 bytes from : icmp_seq=8 ttl=254 time=2.7 ms 64 bytes from : icmp_seq=9 ttl=254 time=2.5 ms --- hera.ibp.fr ping statistics packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 2.4/2.6/3.8 ms

413 -413- Gestion des réseaux: TCP-IP Méthodes simples $ ping -c 10 mozart.ee.uts.edu.au PING mozart.ee.uts.edu.au ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=223 time=689.9 ms 64 bytes from : icmp_seq=1 ttl=223 time=780.0 ms 64 bytes from : icmp_seq=2 ttl=223 time=793.5 ms 64 bytes from : icmp_seq=3 ttl=223 time=758.5 ms 64 bytes from : icmp_seq=4 ttl=223 time=676.1 ms 64 bytes from : icmp_seq=5 ttl=223 time=640.1 ms 64 bytes from : icmp_seq=8 ttl=223 time= ms 64 bytes from : icmp_seq=9 ttl=223 time=921.0 ms --- mozart.ee.uts.edu.au ping statistics packets transmitted, 8 packets received, 20% packet loss round-trip min/avg/max = 640.1/791.9/ ms

414 -414- Gestion des réseaux: TCP-IP Méthodes simples $ traceroute sophia.inria.fr traceroute to sophia.inria.fr ( ), 30 hops max, 40 byte packets 1 mercure-gw.ibp.fr ( ) 1 ms 1 ms 1 ms 2 hera.ibp.fr ( ) 2 ms 2 ms 2 ms 3 kerbere.ibp.fr ( ) 4 ms 4 ms 4 ms 4 r-jusren.reseau.jussieu.fr ( ) 125 ms 10 ms 92 ms 5 r-rerif.reseau.jussieu.fr ( ) 4 ms 33 ms 34 ms 6 danton1.rerif.ft.net ( ) 31 ms 12 ms 15 ms 7 stlamb3.rerif.ft.net ( ) 16 ms 28 ms 32 ms 8 stamand1.renater.ft.net ( ) 206 ms 136 ms 47 ms 9 lyon1.renater.ft.net ( ) 360 ms 30 ms 33 ms 10 marseille.renater.ft.net ( ) 32 ms 49 ms 32 ms 11 marseille1.r3t2.ft.net ( ) 36 ms 24 ms 17 ms 12 sophia1.r3t2.ft.net ( ) 32 ms 24 ms 28 ms 13 inria-sophia.r3t2.ft.net ( ) 26 ms 33 ms 36 ms ( ) 46 ms 31 ms 27 ms 15 sophia-gw.inria.fr ( ) 33 ms 45 ms 29 ms 16 t8-gw.inria.fr ( ) 23 ms 39 ms 26 ms 17 sophia.inria.fr ( ) 38 ms 33 ms 27 ms

415 -415- Gestion des machines Configuration dynamique des machines l RARP l BOOTP l DHCP Distribution des adresses Distribution des informations de routage minimales Distribution de paramètres spécifiques

416 -416- Gestion de réseaux: pourquoi un protocole? Gestion de réseau = l Collecte dinformation l Filtrage des informations l Interprétation des informations l Modification des paramètres du réseau Le protocole, cest l Laccès aux informations

417 -417- Gestion des réseaux: modèle de lISO LME A P S T R L P SMAE ? Get Set Action Create Delete Event-report MIB Description

418 -418- Gestion de réseaux: SNMP Primitives simples Structuration des réseaux Limitations l nombre l sécurité Logiciels "hyperviseurs" Centre de gestion Système géré Requête Alarme PROXY Système géré

419 -419- Gestion de réseaux: SNMP Structure de la MIB l 171 objets définis dans la MIB II Exemple du groupe system sysDescr sysObjectID sysUpTime sysContact sysName sysLocation sysServices Description libre du système Identification logiciel agent Temps depuis activation Nom d'un administrateur Nom du système Emplacement physique Services offerts (niveaux)

420 -420- SNMP: Les MIBs GroupeMIB MIBButs I II system37Informations sur le nœud lui-même interfaces2223Les connexions vers les réseaux at33Traductions d'adresses IP; va disparaître ip3338Le protocole IP icmp2626Le protocole ICMP tcp1719Le protocole TCP udp47Le protocole UDP egp618Le protocole EGP transmission-0nouveau snmp-30nouveau

421 -421- Structure des informations de gestion (SMI)

422 -422- La MIB RMON Ethernet, puis Token Ring, FDDI 9 groupes

423 EtherStatsEntry ::= SEQUENCE { etherStatsIndex INTEGER ( ), etherStatsDataSource OBJECT IDENTIFIER, etherStatsDropEvents Counter, etherStatsOctets Counter, etherStatsPkts Counter, etherStatsBroadcastPkts Counter, etherStatsMulticastPkts Counter, etherStatsCRCAlignErrors Counter, etherStatsUndersizePkts Counter, etherStatsOversizePkts Counter, etherStatsFragments Counter, etherStatsJabbers Counter, etherStatsCollisions Counter, etherStatsPkts64Octets Counter, etherStatsPkts65to127Octets Counter, etherStatsPkts128to255Octets Counter, etherStatsPkts256to511Octets Counter, etherStatsPkts512to1023Octets Counter, etherStatsPkts1024to1518Octets Counter, etherStatsOwner OwnerString, etherStatsStatus INTEGER }

424 -424- SNMP v2 GetRequest, GetNextRequest, GetBulkRequest, SetRequest, InformRequest, Trap Sécurité par cryptage et authentification Gestion hiérarchique

425 -425- Les logiciels SunNet Manager, Dec mcc, HP Openview, Spectrum, Netview, ISM, etc. Fonctions comparables Découverte de réseaux Programmation Alertes Intégration de nouvelles MIBs (compilation) Filtrage Stations de travail ou PCs

426 -426- Limitations fonctionnelles des protocoles Accès à de linformation locale sur un nœud Problème de la consolidation l Par le calcul l Par le déport de fonctions Exemple des sondes matérielles RMON Problématique de sécurité dans les échanges

427 -427- Les outils de prédiction de performances Qualitatif l Spécification formelle l Traitement automatique l Les outils théoriques: Réseaux de Petri Quantitatif l Modélisation ou prototypage l Analyse ou simulation l Les outils théoriques: Probabilités

428 -428- Simulation de réseaux Introduction à lutilisation de NS (Network Simulator)

429 -429- Pourquoi et Comment? La simulation est loutil dévaluation de performances des systèmes complexes La simulation est simple … et compliquée De lexploitation des résultats De la réutilisabilité des modèles, des trafics, des résultats

430 -430- NS: Network Simulator Création dun noyau de simulation en C++ Ajout de composants à la demande Diffusion gratuite Système de référence Fonctionne sur tout système où C++ existe Outils complémentaires: visualisation, génération de topologies, etc. Deux utilisations possibles: Assemblage de briques de base Conception de briques

431 -431- NS: quelques références Le projet VINT l USC/ISI, Xerox parc, LBNL et UCB

432 -432- NS: le principe de base Écrit en C++ Interface en Tcl / Otcl Double hiérarchie de classes Suivant lusage, on ne voit que lune des hiérarchies Utilisateur OTcl C++ NS

433 -433- NS: Utilisation simple - 1 # création d'un simulateur set ns [new Simulator] # création du fichier de trace utilisé par nam # et indication à ns de l'utiliser set nf [open out.nam w] $ns namtrace-all $nf # lorsque la simulation sera terminée, cette procédure est appelée # pour lancer automatiquement le visualisateur proc finish {} { global ns nf $ns flush-trace close $nf exec nam out.nam & exit 0 }

434 -434- NS: Utilisation simple - 2 # création de deux noeuds set n0 [$ns node] set n1 [$ns node] # création d'une ligne de communication full duplex # entre les noeuds n0 et n1 $ns duplex-link $n0 $n1 1Mb 10ms DropTail # création d'un agent générateur de paquets à vitesse constante # paquets de 500 octets, générés toutes les 5 ms # implantation de cet agent dans le noeud n0 set cbr0 [new Agent/CBR] $ns attach-agent $n0 $cbr0 $cbr0 set packetSize_ 500 $cbr0 set interval_ # création d'un agent vide, destiné à recevoir les paquets # il est implanté dans n1 set null0 [new Agent/Null] $ns attach-agent $n1 $null0 # le trafic issus de l'agent cbr0 est envoyé # vers null0 $ns connect $cbr0 $null0

435 -435- NS: Utilisation simple - 3 # scénario de début et de fin de génération des paquets par cbr0 $ns at 0.5 "$cbr0 start" $ns at 4.5 "$cbr0 stop" # la simulation va durer 5 secondes $ns at 5.0 "finish" # début de la simulation $ns run

436 -436- TCP-IPTCP-IP Les services en ligne

437 -437- Service en ligne: architecture Réseau privé Réseau téléphonique INTERNET Passerelle et modem

438 -438- Service en ligne: organisation Intégré à lINTERNET Fermé et privé Mixte Abonnement (hors communications) Facturation l Directe l Le service l Reversement

439 -439- Le Web: interactions A lorigine serveur vers client Les réponses du client CGI: Common Gateway Interface requête 2- page 3- paramètres 4- résultats

440 -440- Le Web: interactions Accès aux données sur dautres serveurs Serveur Web Base de données HTTP JDBC ODBC NSAPI ISAPI

441 -441- Le Web: gestion de transactions Installation dune mémoire détat l Utilisation des cookies l Mémorisation détat dans le serveur l Contexte de léchange maintenu Programmation coté serveur l Pages ASP l Scripts CGI l PHP l Etc.

442 -442- Le Web: les caches Pour améliorer les performances Les accès sont localisés Lintérêt est commun Réseau Cache Serveur

443 -443- Le développement de pages Editeurs spécifiques (Frontpage, HotMetal, Adobe PageMill, etc.) Transformation et/ou conversion l Exemple de Word (enregistrer au format HTML) La méthodologie Les serveurs et le suivi

444 -444- Java et JDBC Réseau Accès aux données Téléchargement Appli Java Driver JDBC JDBC/ODBC JDBC API

445 -445- ActiveXActiveX 1- Requête 2- Chargement contrôle ActiveX 3- Exécution du contrôle Technologie Microsoft Plate-forme Windows Portage Authentification VeriSign

446 -446- Les moteurs de recherche Exploration systématique Constitution dune base de donnée par indexation automatique Analyse dune requête l Ensemble de mots clés l Comparaison des mots clés l Mesure de pertinence

447 -447- BibliographieBibliographie Réseaux, A. Tannenbaum, Prentice Hall, 1997 Les réseaux, G. Pujolle, Eyrolles, 1997 Internetworking with TCP/IP, D.E. Comer, Prentice Hall, 1996 IPv6 the New Internet protocol, C. Huitema, Prentice Hall, 1996 Gestion de réseaux et de services, N. Simoni et S. Znaty, InterEditions, 1997

448 -448- Fiches d'évaluation Avant de partir, n'oubliez pas de compléter la fiche d'évaluation. Vous pourrez la laisser sur votre table.


Télécharger ppt "-1- TCP-IPTCP-IP 1ère journée: Organisation, Techniques de base, Adressage, Multicast, Evolution"

Présentations similaires


Annonces Google