Octobre 2003« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON

Présentation au sujet: "Octobre 2003« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON"— Transcription de la présentation:

1 Octobre 2003« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

2 Octobre 2003« Architecture des Réseaux » Architecture des Réseaux Interconnexion de réseaux

3 page 3 Agenda (deuxième journée) 4 Interconnexion de réseaux åPrincipes de l'interconnexion åCommutation & routage åLe modèle Internet & ses évolutions åMise en oeuvre des réseaux IP 4 Architectures étendues

4 page 4 Interconnexion de réseaux 4 Objectifs åSaisir les enjeux et la problématique de l’interconnexion de réseaux åComprendre les principes essentiels du routage et du contrôle de flux åDécrire les grands modèles actuels d’interconnexion 4 Plan åPrincipes de l'interconnexion åCommutation & routage åLe modèle Internet & ses évolutions åMise en oeuvre des réseaux IP Principes de l'interconnexion

5 page 5 La couche réseau (1) 4 Objectif de la couche réseau åTransporter les paquets sur un chemin source  destinataire 4 Outils nécessaires åConnaître la topologie du sous-réseau åChoisir le chemin approprié  en assurant une répartition équilibrée de la charge  en optimisant le routage å… éventuellement assurer l’interconnexion de sous-réseaux

6 page 6 La couche réseau (2) 4 La couche réseau appartient à l’opérateur 4 Elle est l’interface avec le client, donc ses services doivent… å… assurer l ’indépendance du client vis-à-vis des techniques implantées dans les sous-réseaux å… assurer l ’indépendance du client vis-à-vis de la topologie des sous-réseaux supports å… utiliser un plan uniforme de numérotation au niveau local et/ou global

7 page 7 La couche réseau (3) A B US Europe France Californie 4 Du réseau local (réseau Campus Aix) … 4 … au réseau régional (réseau Renater) … 4 … au réseau dorsal Européen … 4 … au réseau dorsal US … 4 … au réseau régional Californien 4 … au réseau local (campus de Berkeley).

8 page 8 La couche réseau (4) 4 Elle définit les procédures et les moyens fonctionnels nécessaires à l’échange de données par la couche transport bout en bout l’acheminement 4 C’est un service de bout en bout responsable de l’acheminement des paquets de données qui peuvent traverser plusieurs nœuds du réseau 4 Elle assure l’intégrité du transport des paquets

9 page 9 La couche réseau (5) datagramme 4 Mode datagramme åLe datagramme est un paquet remis par la couche transport et que la couche réseau transmet d’une manière autonome. åLe paquet ne comporte pas d’information définissant à quel message il appartient åLes paquets appartenant à une même communication peuvent emprunter dans le réseau des chemins différents sans connexion åC’est un mode orienté sans connexion åExemple typique : la couche réseau de l’Internet avec Internet Protocol (IP)

10 page 10 La couche réseau (6) circuit virtuel 4 Mode circuit virtuel åLes protocoles de type circuit virtuel demandent une connexion explicite entre la source et la destination åUne route est créée par laquelle transiteront tous les paquets de données åIl inclut explicitement un contrôle de flux, des techniques de détection et de reprise sur erreurs åExemple typique : le protocole normalisé X.25 utilisé dans le réseau TRANSPAC

11 page 11 La couche réseau (7) 4 Pour assurer l’acheminement de l’information d’une entité réseau jusqu’à une entité réseau distante, trois grandes fonctionnalités doivent être rendues par la couche réseau : åContrôle de flux åRoutage åAdressage 4 Deux modes sont disponibles : connecté åMode connecté (circuit virtuel) non connecté åMode non connecté (datagramme)

12 page 12 La couche réseau (8) 4 Mode connecté åAvantages :  Sécurité de la transmission  Séquencement garanti des paquets  Réglage facile des paramètres du protocole åInconvénients :  Lourdeur du protocole, surtout pour des petits transferts  Difficulté de mise en œuvre du multicast ou broadcast  une connexion par paire source/destinataire  Débit relativement faible

13 page 13 La couche réseau (9) 4 Mode non connecté åAvantages :  Diffusion ou multipoint facilités  Simplicité du protocole  Performances meilleures åInconvénients :  Faibles garanties de sécurité  Réglage des paramètres plus complexe

14 page 14 Contrôle de flux et de congestion (1) 4 Missions du contrôle de flux et de congestion åGérer les paquets pour un acheminement au plus court délai åÉviter les pertes åRégler les flux pour éviter les engorgements dans les nœuds de routage 4 Principes du contrôle de flux åContrôle de flux par crédits (~ jetons) åContrôle de flux par seuils (systèmes de fenêtre) åContrôle de flux par allocation de ressources (réservation de ressources)

15 page 15 Contrôle de flux et de congestion (2) par crédits 4 Contrôle de flux par crédits åCrédits banalisés :  Soit N le nombre de crédits qui circulent dans le réseau  Pour qu’un paquet puisse entrer, il doit acquérir un crédit libre  Un paquet arrivé à destination relâche le crédit  Très difficile de redistribuer les crédits aux « portes d’entrée » åCrédits dédiés :  Par nœud d’entrée dans le réseau  Le crédit libéré est ré-acheminé vers l’émetteur (avec un acquittement)  Contrôle local et non global  Par utilisateur, ou circuit virtuel  Fenêtre de contrôle de flux

16 page 16 Contrôle de flux et de congestion (3) par seuils 4 Contrôle de flux par seuils åOuverture ou fermeture des « vannes » à l’entrée en fonction des indications fournies par le réseau paquets de gestion åA l’aide de paquets de gestion  Envoie des informations explicites au nœud d’entrée sur l’état du réseau (« tu peux envoyer x paquets »)  Performante mais soumise également à la congestion  un réseau chargé ralentira les paquets de contrôle fenêtre åContrôle par fenêtre  On attend l’acquittement des paquets précédents pour élargir la fenêtre d’émission  Si les acquittements ne reviennent pas, l’émetteur est bloqué

17 page 17 Contrôle de flux et de congestion (4) par allocation de ressources 4 Contrôle de flux par allocation de ressources åAdapté au mode avec connexion åUn paquet « d’appel » réserve les ressources intermédiaires sur le chemin qui va être utilisé åTrès coûteuse en ressources  Exemple : si on réserve de la place pour les P paquets qui vont être émis sur l’ensemble des N nœuds sur le chemin, on a N  P places en mémoire d’allouées  Possibilité de pratiquer le « surbooking » mais risque d’effondrement congestion 4 Globalement, tous les contrôles de flux ont au moins un cas de figure de dysfonctionnement : la congestion est toujours susceptible d’arriver

18 page 18 Contrôle de flux et de congestion (4) 4 Contrôle de congestion åContrôle assez élémentaire au niveau de la couche réseau åMission parfois assignée à la couche transport (ex.: TCP/IP) åRéserver des places mémoires supplémentaires :  Non distribuées en cas de pré-allocation  Traite des congestions ponctuelles et « faibles » åTTL : durée de vie dans le réseau  Tout paquet qui a résidé trop longtemps dans le réseau est considéré comme obsolète  Destruction des paquets obsolètes : libération de ressources  Fondé sur des temporisateurs difficiles à mettre en œuvre  Simplifications : durée de vie = nombre maximal de nœuds à traverser (IP)

19 page 19 Interconnexion de réseaux 4 Objectifs åSaisir les enjeux et la problématique de l’interconnexion de réseaux åComprendre les principes essentiels du routage et du contrôle de flux åDécrire les grands modèles actuels d’interconnexion 4 Plan åPrincipes de l'interconnexion åCommutation & routage åLe modèle Internet & ses évolutions åMise en oeuvre des réseaux IP Commutation & routage

20 page 20 Composantes du routage (1) 4 Avec l’expansion et l’augmentation de complexité des WAN, le contrôle de trafic devient important åExistence de multiples routes depuis une source vers une destination routeurs åGestion des congestions et assignation de la bande passante disponibles effectués par des équipements spécifiques : les routeurs 4 Fonctions principales des routeurs åRelayer les paquets d ’un réseau à un autre åNe pas confondre avec les commutateurs !  Commutation = couche 2 / routage = couche 3 !  Informations différentes, donc accomplissement différent des tâches åDétermination du chemin åCommutation

21 page 21 Composantes du routage (2) 4 Détermination du chemin åÉvaluer les chemins disponibles pour atteindre une destination donnée åDéterminer celui à utiliser (en évitant par exemple les chelins engorgés) d’algorithmes åUtilisation d’algorithmes de routage  Construction de tables de routage :  informations de routage spécifiques à l’algorithme  ex.: association destination/prochain saut  Maintien des tables de routage :  communication entre routeurs  mises à jour via l’échange de portions ou de la totalité des tables connaissance de la topologie  … le routeur en déduit une connaissance de la topologie

22 page 22 Composantes du routage (3) 4 Détermination du chemin : åAlgorithmes de routage basés sur le principe du « moindre coût », ou de la « moindre distance » (i.e. « plus court chemin ») åUtilisation de métriques :  longueur du chemin  robustesse  délais  tics d ’horloge  nombre de sauts  bande passante  charge  coût de la communication

23 page 23 Composantes du routage (4) 4 Métriques classiques longueur du chemin åla longueur du chemin selon l ’algorithme de routage utilisé  somme de coûts des liens assignés par le protocole  nombre total de sauts robustesse åla qualité ou robustesse des liens selon une valeur arbitraire fixée par l ’administrateur  taux d ’erreur bits des liens  taux de pannes  temps de remise en route délai åle délai mesure le temps entre l ’émission et la réception, et dépend de...  la bande passante sur les liens intermédiaires  les files d ’attente sur les ports des routeurs sur le chemin  la distance physique à parcourir

24 page 24 Composantes du routage (5) 4 Métriques classiques tics d ’horloge åles tics d ’horloge sont utilisés par certains algorithmes pour NetWare ou IP  délai sur les liens comptés en tics d’horloge nombre de sauts åle nombre de sauts représente le nombre de passages par un port de sortie d ’un routeur  nombre de nœuds intermédiaires à traverser bande passante åla bande passante résiduelle (i.e. disponible à l ’instant) charge åla charge calcule le taux d ’occupation des ressources (ex. : routeur)  taux d ’utilisation CPU  nombre de paquets par seconde coût de la communication åle coût de la communication est une autre métrique importante  possibilité de choisir ses propres lignes que des lignes publiques payantes

25 page 25 Composantes du routage (6) 4 Croisement des métriques : åinterdépendance évidente (délai, bande passante, nombre de sauts, etc.) ådes algorithmes sophistiqués utilisent des métriques hybrides :  formule de combinaison des valeurs individuelles

26 page 26 Commutation & routage 4 Fonction de commutation åaccepter un paquet sur une interface åle transférer sur une autre interface åalgorithmes de commutation simples, et partagés par la plupart des protocoles de routage  un paquet entrant porte :  l ’adresse MAC du routeur  l ’adresse réseau de la destination  le routeur examine l ’adresse réseau de destination  s ’il ne sait pas atteindre cette destination, il ignore le paquet  s ’il sait l ’atteindre, il modifie l ’adresse MAC pour marquer celle du prochain nœud sur le chemin  le routeur transmet alors le paquet

27 page 27 Commutation ou routage ? (1) 4 Les routeurs sont des équipements... å... puissants et flexibles å... lents et chers ! 4 Les commutateurs sont des équipements rapides et économiques 4 Le trafic Internet double chaque année åCroissance du trafic des réseaux backbone:  environ 100% par an de 1990 à 1994  environ 1,000% par an de 1995 à 1996  environ 100% par an de 1997 à 2000 åCroissance globale:  environ 20 à 30% par an dans les années1980s  30 à 40% par an de 1990 à 1998  Accélérant jusqu’à 100% par an

28 page 28 Commutation ou routage ? (2) 4 Des routeurs rapides? åGigabit/Terabits routeurs 4 Associer IP et la commutation åA l’origine (1996) IP switching, Tag Switching åPuis MPLS (IETF) åAussi mais disparu, MPOA (ATM Forum) 4 Un moyen pour accélérer les routeurs

29 page 29 Le "Table look-up"

30 page 30 Commutation & routage

31 page 31 Commutation de trames

32 page 32 Routage pur

33 page 33 Commutation/routage de labels (LSR)

34 page 34 Exemple Label Switching

35 page 35 Association niveau 2 & niveau 3

36 page 36 Exemples (1) 4 Circuits virtuels X.25 : mode avec connexion åTable de commutation : A i  B j  C k  D l  E m

37 page 37 Exemples (2) 4 Acheminement ATM åMode connecté

38 page 38 Exemples (3) 4 Commutation de labels

39 page 39 Exemples (4) 4 Commutation de labels (suite)

40 page 40 Exemples (5) 4 Commutation de labels (fin)

41 page 41 Algorithmes de routage 4 Les algorithmes de routage varient selon leurs objectifs propres åoptimalité  capacité de l’algorithme à sélectionner la meilleure route  selon les métriques utilisées  selon les poids affectés aux différentes métriques åsimplicité  efficacité de l’implémentation  minimaliser le taux d ’utilisation CPU årobustesse  comportement stable face à des conditions extrêmes : fortes charges, pannes, bugs  résistance aux pannes (les routeurs sont des nœuds critiques) åconvergence rapide  cohérence des informations de mises à jour åflexibilité  capacité d’adaptation aux changements dans le réseau : pannes, modification de la bande passante disponible

42 page 42 Routage statique et dynamique (1) statique 4 Le routage statique n ’est pas algorithmique manuellement åles routes sont établies manuellement par l ’administrateur du réseau åelles doivent être modifiées manuellement à chaque changement de topologie du réseau d ’interconnexion åbon fonctionnement :  sur des topologies simples  pour du trafic prévisible åinadapté aux réseaux de grande échelle åles tables de routage statiques sont privées et ne s ’échangent pas  avantage en matière de sécurité  contrôle de publication d ’informations sur certaines parties d ’un réseau

43 page 43 Routage statique et dynamique (2) dynamique 4 Les algorithmes de routage dynamique s’ajustent en temps réel ådiffusion des mises à jour des tables de routage contrôlée par le protocole de routage  méthode d’envoi  contenu de la connaissance diffusée  dates de diffusion  localisation des destinataires des mises à jour åanalyse des mises à jour entrantes  si modification :  les routes sont recalculées  un message de mise à jour est envoyé, entraînant d ’autres mises à jour chez les voisins

44 page 44 Routage statique et dynamique (3) 4 Statique vs. dynamique åune machine X veut envoyer des paquets vers une machine Y åStatique :  A - D - C - Y  si panne lien A - D, les paquets sont jetés par A åDynamique :  A - D - C - Y  si panne lien A - D, les paquets sont routés sur la route alternative A - B - C - Y 4 Solution mixte dans les grands réseaux d ’interconnexion åles routeurs ne peuvent connaître toutes les destinations possibles par défaut åla table de routage dynamique est agrémentée d’une route statique par défaut pour les destinations inconnues

45 page 45 Protocoles de routage intégrés (1) vecteur de distance 4 Routage à vecteur de distance (algorithmes Bellman-Ford) ådétermine la direction (vecteur) et la distance de tout lien du réseau d ’interconnexion åenvoi périodique d’une portion ou de la totalité des tables de routage par un routeur à ses voisins åcumul des distances åpas de connaissance exacte de la topologie åexemples de protocoles :  Routing Information Protocol (RIP)  Interior Gateway Routing Protocol (IGRP) Cisco

46 page 46 Protocoles de routage intégrés (2) état des liens 4 Approche « état des liens » (Shortest Path First) åmaintient une base de données complexe des informations de topologie åinondation du réseau par les informations de routage  un routeur transmet la description de ses liens årecrée la topologie exacte du réseau ou de la partition du réseau où se situe le routeur åexemple de protocole :  Open Shortest Path First (OSPF)

47 page 47 Comparaison des approches de routage 4 État des liens åMises à jour  réduites  transmises à tous les nœuds åConvergence  rapide åComplexité  consommateur de CPU et mémoire  fort coût d’implémentation et maintenance 4 Vecteur de distance åMises à jour  volumineuses  transmises aux seuls voisins åConvergence  risques de boucles temporaires åComplexité  faible  économique

48 page 48 Protocoles de routage intégrés hybride 4 Routage hybride équilibré åtroisième approche åcombinaison des deux précédentes approches :  détermination du chemin sur la base des vecteurs de distance  déclenchement des mises à jour sur changements de topologie åconvergence rapide åplus économique que l ’approche « état des liens » en termes de :  CPU  mémoire  bande passante (overhead) åexemples de protocoles :  Intermediate System to Intermediate System (IS-IS) de l ’OSI  Enhanced IGRP (EIGRP) de Cisco

49 page 49 Adressage (1) 4 Pour router, il faut savoir localiser åchaque nœud doit posséder une adresse unique le caractérisant  sinon, un conflit d ’adresse intervient åde manière similaire, chaque réseau interconnecté doit posséder un identifiant réseau unique 4 Adresses des nœuds åse réfère à un port spécifique de l ’équipement connecté au réseau åpour la plupart des technologies LAN, gravés dans le matériel åstructure d ’adressage plate åutilisées seulement quand le paquet est sur le réseau source ou destination åexemple : adresse MAC ågénéralement une par nœud (car une connexion au réseau) åparfois plusieurs pour un nœud d ’interconnexion (routeur)

50 page 50 Adressage (2) 4 Identifiants réseau åadressage logique ou virtuel de niveau 3 dans le modèle OSI åutilisés pour identifier le réseau source ou destination du paquet ål ’assignation peut être :  statique selon un plan d ’adressage  partiellement ou entièrement dynamique åformats différents selon le protocole réseau åintroduction de hiérarchies logiques :  par portion de réseau (segment, sous-réseau)

51 page 51 Adressage (3) 4 Les schémas d’adressage diffèrent selon le protocole utilisé 4 La plupart des protocoles respectent l ’adressage en deux parties (nœud et réseau) åTCP/IP, Novell IPX, AppleTalk ål’interprétation de l’adresse diffère selon le protocole

52 page 52 Classes d’adressage (1) 4 L’adresse réseau d’une machine se structure selon... å... une partie se référant au réseau å... une partie désignant la machine (host) 4 Le préfixe correspondant au réseau est de taille... å... variable dans les schémas d’adressage sans classes  la longueur de ce préfixe est indiquée dans les mises à jour de routage  désignée par le masque (ex. : 192.168.168.0/21) å... fixe dans les schémas d ’adressage avec classes  varie selon la classe  exemple IP :  classe A : 8 bits - débute par un 0  classe B : 16 bits - débute par 10  classe C : 24 bits - débute par 110

53 page 53 Classes d’adressage (2) 4 Exemple TCP/IP ål ’adresse réseau est représentée par un mot de 32 bits (4octets)  ex.: 10.8.2.48 (forme décimale pointée) ål ’adresse IP est accompagnée d ’un numéro de masque  ex.: 255.0.0.0  utilisé par les routeurs pour identifier les deux parties de l ’adresse :  ex. : 10. constitue la partie « identifiant réseau »  ex. : 8.2.48 désigne l ’adresse du nœud ål ’ensemble des adresses disponibles est géré par le NIC :  décerne des adresses de classe A, B ou C  possibilité de mettre en place des sous-réseaux en amputant la partie adressant le noeud

54 page 54 Classes d’adressage (3) 4 Exemple Novell IPX ål ’identifiant réseau est représenté en hexadécimal, jusqu ’à 32 bits  se rapporte au support physique : Ethernet, Token Ring, etc. ål ’adresse du nœud consiste en un hexadécimal de longueur 48 bits  découle automatiquement de l ’adresse MAC de l ’équipement LAN 4 Exemple AppleTalk åidentifiant réseau sur 16 bits  affectés individuellement aux câbles physiques ou à des gammes de câbles åadresse du nœud sur 8 bits  dynamiquement acquise au démarrage par la machine Apple

55 page 55 Classes d’adressage (4) 4 Exemple X.25 åplan de numérotation international défini pour les réseaux de données publics par le protocole X.121 åidentifiant réseau de 3 ou 4 chiffres décimaux  appelé le DNIC (Data Network Identification Code)  inclut le DCC (Data Country Code) et un code réseau public åadresse du nœud obtenue auprès du fournisseur d ’accès réseau X.25  appelée le NTN (Network Terminal Number)

56 page 56 Interconnexion de réseaux 4 Objectifs åSaisir les enjeux et la problématique de l’interconnexion de réseaux åComprendre les principes essentiels du routage et du contrôle de flux åDécrire les grands modèles actuels d’interconnexion 4 Plan åPrincipes de l'interconnexion åCommutation & routage åLe modèle Internet & ses évolutions åMise en oeuvre des réseaux IP Le modèle Internet & ses évolutions

57 page 57 Le modèle TCP/IP (1) 4 Transmission Control Protocol / Internet Protocol 4 Suite de protocoles largement répandue : ådéveloppés par le Département de la Défense pour permettre la communication entre des types d ’ordinateurs et de réseaux différents  dans le réseau ARPAnet  évolution vers l ’Internet åincorporés à la suite logicielle UNIX de Berkeley åla plupart des réseaux actuels utilisent TCP/IP pour la plus grande part du trafic åtous les réseaux modernes supportent TCP/IP åTCP garantit une livraison en séquence des paquets entre clients åIP prend en charge l’acheminement des paquets entre hôtes åutilisable pour interconnecter des LANs en réseaux privés ou publics

58 page 58 Le modèle TCP/IP (2) 4 Caractéristiques importantes åle réseau TCP/IP continue à fonctionner, même en cas de panne d ’une partie de ce réseau åun réseau TCP/IP sait gérer de forts taux d ’erreur :  mécanismes de retransmission  mécanismes de reroutage åTCP/IP supporte des extensions du réseau sans disruption du service åTCP/IP assure l ’indépendance vis-à-vis des constructeurs åpeu d ’overhead pour une meilleure performance åTCP/IP est un protocole routable :  possibilité de configurer les équipements pour spécifier des chemins  amélioration de la sécurité et de l ’efficacité (utilisation de la bande passante)

59 page 59 Le modèle TCP/IP (3)

60 page 60 Le modèle TCP/IP (4) 4 Protocoles pour réseaux de paquets 4 Format TCP/IP åorigine et destination du paquet åtype de paquet ågestion du paquet 4 Couches du modèle TCP/IP åcorrespond largement au modèle OSI åcouche application  plusieurs protocoles (FTP, Telnet, SMTP)  correspond aux 3 couches supérieures OSI åcouche Internet  plusieurs protocoles (IP, ICMP, ARP, RARP)  correspond à la couche réseau åcouche transport  plusieurs protocoles (TCP, UDP)  correspond à la couche... Transport !

61 page 61 Protocoles de la couche réseau (1) 4 Couche Internet du modèle TCP/IP åcorrespond à la couche réseau du modèle OSI åassure la connectivité et le choix de routes åplusieurs protocoles :  IP  ICMP  ARP  RARP

62 page 62 Protocoles de la couche réseau (2) 4 Protocole IP (Internet Protocol) åtransporte les données sous forme de paquets à travers le réseau ån ’assure pas de contrôle d ’erreur, ni de garantie de service  TCP garantit la livraison et l ’intégrité du paquet åorienté sans connexion åacheminement des datagrammes de type « Best Effort »  pas de garantie d ’arrivée des paquets à leur destination finale  pas de contrôle de séquence

63 page 63 Protocoles de la couche réseau (3) 4 Format du datagramme IP En-tête

64 page 64 Protocoles de la couche réseau (4) Version d ’IP utilisée Longueur de l ’en-tête IP (en mots de 32 bits) Niveau de service attendu Longueur du datagramme IP (en octets) Numéro du datagramme Contrôle de fragmentation Position du fragment Durée de vie Identification du protocole de transport (TCP 6 UDP 17) Calcul d ’intégrité de l ’en-tête (et non des données) Adresse source Adresse destinataire Options variable (sécurité, routage, tests)

65 page 65 Protocoles de la couche réseau (5) 4 Protocole ICMP (Internet Control Message Protocol) åmessages transportés par les datagrammes IP åenvoi de messages d ’erreur et de contrôle depuis une machine :  pour déterminer si une autre machine est disponible  pour connaître le réseau auquel elle est rattachée  pour connaître l ’adresse d ’un routeur  pour notifier des congestions ou des pannes de liens åexemple : « Host Unreachable » envoyé par un routeur à la source s ’il ne peut atteindre la destination åutilisations :  permettre aux protocoles des couches supérieures de pallier les défaillances du réseau  diagnostiquer le réseau (ex. : ping)

66 page 66 Protocoles de la couche réseau (6) Datagramme mal orienté Durée de vie du datagramme expirée Détermination d ’adresses de routeurs 4 Messages ICMP

67 page 67 Protocoles de la couche réseau (7) 4 Protocole ARP (Address Resolution Protocol) åmise en correspondance des adresses IP avec les adresses MAC åpermet la communication sur la couche liaison de données åmécanisme :  broadcast d ’une requête de type « qui a l ’adresse IP 172.16.66.2 ? »  réponse par la station concernée avec son adresse MAC  création de l ’entrée dans le cache

68 page 68 Protocoles de la couche réseau (8) 4 Protocole RARP (Reverse Address Resolution Protocol) åmise en correspondance des adresses MAC avec les adresses IP åutilisé par les stations ignorant leur adresse IP au démarrage åmécanisme :  broadcast d ’une requête de type « qui connaît mon adresse IP ? »  réponse par un serveur RARP

69 page 69 Protocoles de la couche transport (1) 4 Couche transport du modèle TCP/IP åcorrespond au modèle OSI åTCP  Fiabilité  Contrôle d'erreur, de flux, d'ordre åUDP  Vérification des erreurs ?

70 page 70 Protocoles de la couche transport (2) 4 Protocole TCP (Transmission Control Protocol) : åorienté connexion åassure un transfert de données bidirectionnel garanti  négociation des conditions  synchronisation  initialisation et relâchement des connexions  contrôle des déséquencements  réordonnancement des paquets à destination  contrôle de flux  gestion du buffer de réception du destinataire  gestion des erreurs  champ de contrôle de l ’intégrité du paquet entier (en-tête et données) åsa fiabilité est utilisée par des sessions applicatives clientes  FTP  applications client/serveur

71 page 71 Protocoles de la couche transport (3) 4 Fiabilité de TCP åau prix d ’un certain overhead  informations de séquence  champ de contrôle d ’intégrité åtrafic additionnel d ’acquittements

72 page 72 Protocoles de la couche transport (4) En-tête 4 Format du paquet TCP

73 page 73 Protocoles de la couche transport (5) Identification de l ’application source (ex. FTP 21) Identification de l ’application destinataire (ex. FTP 21) Numéro du premier octet de données envoyé Numéro du premier octet de données attendu Longueur de l ’en-tête TCP (en mots de 32 bits) Informations de contrôle Taille de buffer disponible Indique le premier octet de données urgentes Calcul d ’intégrité de l ’en-tête et des données

74 page 74 Protocoles de la couche transport (6) 4 Connexion TCP åouverture/négociation en 3 étapes  envoi d ’un paquet SYN (information de contrôle) avec numéro de séquence x  acquittement avec numéro de séquence y, acquittement x+1  acquittement de l ’acquittement avec numéro d ’acquittement y+1 å échange de données :  gestion par mécanisme de fenêtre  taille de fenêtre = nombre de paquets que peut émettre la source sans attendre d ’acquittement  paquets non acquittés = paquets perdus  retransmission sur expiration de temporisateur (RTO)

75 page 75 Contrôle de congestion TCP (1) 4 Congestion åGoulot d'étranglement routeur

76 page 76 Contrôle de congestion TCP (2) 4 Congestion åEffondrement des performances 4 Réponses åNiveau réseau : gestion des ressources åNiveau transport : adaptation du débit

77 page 77 Contrôle de congestion TCP (3) 4 Conservation des paquets åNe pas injecter un nouveau paquet tant qu’un vieux n’est pas sorti du réseau ånombre de paquets en transit constant åSynchronisation sur les acquittements: autosynchronisation 4 Trouver le point de synchronisation åUtilisation d’une fenêtre dynamique: fenêtre de contrôle de congestion (cwnd)

78 page 78 Contrôle de congestion TCP (4) 4 Principe åTrouver le point d’équilibre: “additive increase”  Augmenter la fenêtre de contrôle de congestion åDétection de la congestion par l’indication de la perte d’un paquet åGuérison par: “Multiplicative decrease”  Diminuer la fenêtre de contrôle de congestion 4 Algorithme åphase 1: slow start  cwnd =1  Incrémente cwnd de 1 segment par ACK (double la cwnd par RTT) åphase 2 : congestion avoidance  qd cwnd > SS_threshold  Incrémente cwnd de 1 segment par RTT ou de 1/cwnd par ACK åEn cas de perte : cwnd= 1 4 RFC 2581

79 page 79 Contrôle de congestion TCP (5) 4 Évolution de cwnd

80 page 80 Protocoles de la couche transport (7) 4 Protocole UDP (User Datagram Protocol) åorienté sans connexion åpas de garantie de livraison :  ne génère pas d ’acquittements  peu d ’overhead åpas de gestion d ’erreur  la couche applicative doit gérer les erreurs åutilisation des numéros de ports pour identifier les applications  communément utilisés (comme TCP)  affectés dynamiquement åencapsulation dans un paquet IP

81 page 81 Protocoles de la couche transport (8) 4 Format du segment UDP Identification de l ’application source Identification de l ’application destinataire Longueur du segment UDP (en octets) Calcul d ’intégrité de l ’en-tête et des données (optionnel)

82 page 82 Cohabitation TCP/UDP

83 page 83 Évolutions Internet 4 Les évolutions de l'Internet concerne principalement... å... les techniques de mise en oeuvre å... la garantie de Qualité de Service (QS) 4... dans un contexte de raréfaction de ressources 4... en attendant IPv6.

84 page 84 Qualité de Service (QoS) Internet 4 Commutation de paquets 4 Adresse IP 4 Routage 4 Mode non connecté 4 Filtrage 4 Possibilité d’utiliser des « Codepoint » 4 Modèles IntServ et DiffServ 4 Evolution MPLS

85 page 85 Approche INTSERV 4 INTegrated SERVices åRFC 1633, RFC 2205-2216 4 Trois types de profils åBest effort  Le service classique åControlled load  Le réseau se comporte comme un réseau best effort peu chargé. Trafic Interactif  L’utilisateur spécifie débit et burst åGuaranteed Service  Garantie de débit, délai et gigue.  Token bucket parameter (Tspec) 4 Signalisation – réservation åRSVP

86 page 86 Réservation de ressources 4 Pourquoi? åRéseau non "isochrone" de bout en bout åPropriétés sur les délais et le débit åEviter des problèmes dans les routeurs 4 Proposition RSVP (Resource ReSerVation Protocol) åProtocole de signalisation åMessages RSVP envoyés comme des datagrammes IP å«Soft-State» åRéservations par la source åMulticast possible åPlusieurs mécanismes de réservation

87 page 87 RSVP (1)

88 page 88 RSVP (2) 4 Spécification d'un flot à la mode IP (CV?) 4 Spécification d'une QoS (débit, délai) 4 Conformité du trafic (Tspec) 4 Contrôle d’admission 4 Les réservations ne dépendent pas du protocole : algorithmes locaux

89 page 89 Flow Specification 4 Flot åsuite de paquets définie par (@IP emetteur, @IP récépteur) ou autre, émis par une source vers une ou plusieurs destinations, qui sont liés par un traitement homogène (routage, scheduling, etc.) 4 Paramètres principaux åFlowSpec: spécifie la QoS demandée par un flot, envoyé par le récepteur dans un message RESV åContient un RSPEC et un TSPEC (RFC 2210)  TSPEC: Descripteur de trafic, paramètres de Token bucket (r, p, b, m, M)  RSPEC: définit la QoS

90 page 90 RSVP : bilan 4 C’est un standard 4 Des produits existent 4 Soft State dans les routeurs 4 Messages RSVP traités dans le chemin de données 4 Réservation par flot, signalée par l’application 4 Indépendant du routage 4 Déploiement dans tous les routeurs intermédiaires 4 Bien adapté aux réseaux « corporate » 4 Mal adapté aux réseaux longue distance

91 page 91 DiffServ Working Group 4 Objectif åDéfinition du comportement du routeur ("Per Hop Behavior") selon le motif du "DS Byte" åAfin qu' un réseau soit capable de délivrer, à la demande, une QoS pour un flux marqué par le "DS Byte" 4 Caractéristiques åPas de signalisation échangée åPas de réservation åPas de contrôle de congestion concerté åServices simples à comprendre (marketing) et à mettre en œuvre (déploiement) åCodage sur 8 bits

92 page 92 Modèle DiffServ 4 Contrat de service avec un « Bandwidth Manager » (ou un administrateur) 4 Profil de trafic contrôlé à l’accès åClassification åConditionnement 4 Décisions de « forwarding » prises sur les bits DiffServ 4 Agrégation des flots dans le core 4 Différentiation suivant le principe du « Per-Hop-Behavior »

93 page 93 DiffServ 4 Définition du "DS Byte" åDiff Services Codepoint (DSCP) 4 Proposition: åPHB : Index pour classification  Changement à chaque domaine: QoS selection  IN/OUT (comportement AF)  4 « forwarding class »  3 Drop priority par classe  IN (comportement EF) åCU : Pour ECN, aujourd ’hui non-utilisé

94 page 94 Expedited Forwarding 4 EF PHB, RFC 2598 4 Emulation de circuit 4 Garantie de débit et de délai 4 Policing du trafic en entrée 4 Le trafic en excès est jeté

95 page 95 Assured Forwarding 4 AF PHB, RFC 2597 4 4 classes sont définies 4 3 préférences à la perte par classe 4 Conditionnement du trafic en entrée 4 Utilisation de RED 4 Marquage du trafic non conforme 4 Scheduling des classes

96 page 96 DiffServ : Edge Router

97 page 97 DiffServ : Core Router

98 page 98 Principe des "Bandwidth Broker" 4 Gestionnaire de la bande passante dans un domaine 4 Dialogue entre BB et éventuellement avec des Serveurs de politiques

99 page 99 Interconnexion de réseaux 4 Objectifs åSaisir les enjeux et la problématique de l’interconnexion de réseaux åComprendre les principes essentiels du routage et du contrôle de flux åDécrire les grands modèles actuels d’interconnexion 4 Plan åPrincipes de l'interconnexion åCommutation & routage åLe modèle Internet & ses évolutions åMise en oeuvre des réseaux IP Mise en oeuvre des réseaux IP

100 page 100 Le besoin de sous-réseaux (1) 4 Une utilisation plus efficace de l’espace d ’adresses : åutile pour les grandes organisations åpartage de l ’adresse affectée par le NIC (ex. : 172.16.0.0)  information additionnelle de sous-réseau  empiète sur la partie hôte de l ’adresse (ex. : 172.16.1.0)  devient une extension de la partie réseau  transparent pour le monde Internet åtechnique de masquage pour la prise en compte par les routeurs  détermination du sous-réseau concerné  restreint le domaine de recherche de l ’hôte visé

101 page 101 Le besoin de sous-réseaux (2) 4 Assignation d’adresse : åobtenir une classe d ’adresse du NIC ådéfinir un masque de sous-réseau (nombre de bits de la partie hôte affectés à la partie sous-réseau) åassigner une adresse à chaque sous-réseau åassigner une adresse IP complète à chaque machine du sous-réseau

102 page 102 Définition des masques (1) 4 Outrepasser la subdivision des adresses IP : ådéfinir un masque  nombre de 32 bits  désigne la partie du champ d ’adresse hôte affecté à la désignation du sous-réseau  partie réseau + sous-réseau = 1  partie hôte = 0

103 page 103 Définition des masques (2) 4 Outrepasser la subdivision des adresses IP : åmasques par défaut :  masque de classe  ex.: classe A 255.0.0.0  pas de sous-réseau logique åaltération des 0 de plus haut rang en 1  un partie du champ hôte peut alors être traitée comme une extension du champ réseau

104 page 104 Définition des masques (3) 4 Exemple : åune compagnie hypothétique se voit affecter un seul réseau de classe B par le NIC de préfixe 172.16  réseau désigné par 172.16.0.0  masque par défaut 255.255.0.0 åelle désire mettre en place une structure logique de sous-réseau  altération du masque par défaut  plusieurs possibilités selon le nombre de sous-réseaux souhaités  1 octet donne 256 sous-réseaux de classe C (254 machines)  3 bits donnent 8 sous-réseaux de 8190 machines

105 page 105 Définition des masques (4) 4 Exemple : åsupposons que le choix se porte pour une extension d ’un octet  nouveau masque : 255.255.255.0  de l ’extérieur, le réseau de la société apparaît comme un classe B  les routeurs internes distinguent des réseaux individuels de classe C åà la réception d ’un paquet par un routeur :  extraction de l ’adresse destination (172.16.2.160)  rappel du masque de sous-réseau (255.255.255.0)  addition logique AND (172.16.2.0)  la décision de routage se fait uniquement sur la partie réseau + sous-réseau

106 page 106 Définition des masques (5) 4 Conventions : årègles définies par les spécifications IP (RFC 791) et sous-réseau (RFC 950) åles adresses dont la partie hôte n ’est constituée que de 1 concernent un broadcast sur le sous-réseau åles adresses dont la partie hôte n ’est constituée que de 0 désignent le sous- réseau d ’attachement

107 page 107 Plans d’adressage (1) 4 Subdivisions d’un réseau de classe C : 4 Subdivisions d’un réseau de classe B : 4 Choix de la subdivision en fonction de : åla classe d ’adresse obtenue åla structure logique souhaitée

108 page 108 Plans d’adressage (2) 4 Application des règles : åexemple : réseau de classe C 192.165.5.0 åmasque à 5 bits :  255.255.255.248  30 sous-réseaux de 6 machines  le premier sous-réseau commence avec 192.165.5.8  contient 6 adresses IP : 192.165.5.9 à 192.165.5.14  l ’adresse 192.165.5.8 désigne le sous-réseau  l ’adresse 192.165.5.15 est l ’adresse de broadcast associée au sous-réseau  le second sous-réseau est désigné par 192.165.5.16

109 page 109 Plans d’adressage (3) 4 Planification de l’adressage : åau départ, il est difficile de prévoir le nombre opportun de sous-réseaux åstratégie d ’affectation permettant une évolutivité sans révision globale (RFC 1219)  remplir les bits de la partie hôte par la droite  remplir les bits de la partie sous-réseau par la gauche  les bits de séparation entre les deux parties sont les derniers à être utilisés pour une affectation d ’adresse

110 page 110 Plans d’adressage (4) 4 Aujourd’hui, classes A et B épuisées 4 Possibilité d’obtenir des classes C voisins, ou une fraction d’une classe C via un ISP (Internet Service Provider) / FAI (Fournisseur d’Accès Internet) 4 Exemples (http://www.ipindex.net) :http://www.ipindex.net 8 adresses å195.6.173.80 - 195.6.173.87 (8 adresses)  (FR-PEREGRINE-SEMICONDUCTOR-EUROPE)  PEREGRINE SEMICONDUCTOR EUROPE (Parc Club du Golf – Bât. 9 – 13856 AIX EN PROVENCE) 1 adresse å195.6.155.130 - 195.6.155.130 (1 adresse)  (FR-POLYTECH)  POLYTECH (Le Pilon du Roy – rue Pierre Berthier – 13854 AIX EN PROVENCE CEDEX 3)

111 page 111 Plans d’adressage (5) 4 Des solutions pour enrayer la « fuite en avant » des espaces d’adressage IP existent : åCIDR : extension de la notion de masques åAdresses non routables åDHCP å… IPv6 !

112 page 112 Classless Inter Domain Routing (1) rigide 4 Le modèle rigide en classes A, B, C arrive à épuisement 4 Les ISP veulent pouvoir donner à leurs clients : ådes fractions de classe C ; ådes classes C voisines. souple 4 Extension de la notion de masque : modèle souple CIDR åpermet une gestion transparente de classes C voisins constituant un réseau unique d’une entité åfacilite le travail des routeurs

113 page 113 Classless Inter Domain Routing (2) 4 Exemple : åUne entreprise souhaite connecter 800 machines à l’Internet  Classe C = 256 @  Classe B = 65536 @ åSolution : l’ISP fournit 4 classes C voisins ( 4 x 256 = 1024 @)  Exemple : 195.40.140.0, 195.40.141.0, 195.40.142.0, 195.40.143.0 4 Problème : comment gérer ces 4 classes C comme s’ils constituaient un seul « super-réseau » ? åA priori 4 entrées dans les routeurs pour une seule destination

114 page 114 Classless Inter Domain Routing (3) Supernetting 4 « Supernetting » CIDR : åOn utilise des masques de longueur variable (VLSM = Variable Length Subnet Masking) åExemple : 22  On utilise un masque de longueur 22  195.40.140.0/22 sera la seule entrée dans les tables de routage  Équivalent masque : 255.255.252.0 4 Avec CIDR, la notion de classe C est outrepassée åPossibilité pour l’ISP de fournir 2 x classes C contigus souplesans classe 4 On parle de modèle souple ou routage sans classe

115 page 115 Classless Inter Domain Routing (4) 4 Deuxième exemple : åUne entreprise souhaite connecter 10 machines à l’Internet  Classe C = 256 @  Gaspillage de 246 @ ! åSolution : l’ISP fournit 1 fraction de classe C  Exemple : 195.40.140.128 – 195.40.140.143 (16 @) 4 Problème : comment gérer individuellement ce « mini-réseau » partie d’un tout (le réseau de l’ISP) ?

116 page 116 Classless Inter Domain Routing (5) Supernetting 4 « Supernetting » CIDR : åOn utilise des masques de longueur variable (VLSM = Variable Length Subnet Masking) åExemple : 28  On utilise un masque de longueur 28  195.40.140.0/28 sera la seule entrée dans les tables de routage åLes routeurs ne connaissent que la route menant à l’ISP 4 En Mars 1998, les tables de routage globales transportaient plus de 50000 @ 4 Sans l’implémentation de CIDR (nécessite BGP-4), ce nombre aurait été au moins doublé.

117 page 117 Adresses non routables (1) 4 Il n’est pas toujours nécessaire que tous les ordinateurs d’une entreprise soient « directement connectés » à Internet åConnexions indirectes à la demande  Modem sur RTC  Numéris åRéseaux entièrement privés  Accès sécurisés (Firewalls)  Proxy Internet 4 On utilise un petit nombre d’adresses publiques pour les accès

118 page 118 Adresses non routables (2) non routables 4 Dans le cas de réseaux privés, ou de connexions en Dial-up IP, on utilise, pour le plan d’adressage IP interne des adresses réservées non routables (RFC 1597). å1 adresse de classe A : 10.0.0.0 – 10.255.255.255 å16 adresses de classe B : 172.16.0.0 – 172.31.255.255 å255 adresses de classe C : 192.168.0.0 – 192.168.255.255 4 Les adresses non-routables ne peuvent circuler sur l’Internet åNécessité d’un mécanisme de traduction avant la sortie åImplémentation de NAT (Network Address Translation) sur le routeur ou le proxy.

119 page 119 NAT (Network Address Translation) (1) 4 NAT statique åL’@ IP 192.168.32.10 sera toujours traduite en 213.18.123.110 4 NAT dynamique åL’@ IP 192.168.32.10 sera traduite par la première @ disponible entre 213.18.123.100 et 213.18.123.150

120 page 120 NAT (Network Address Translation) (2) 4 NAT overloading åToute @ IP sur le réseau privé est traduite en la même @ IP (213.18.123.100) mais avec un numéro de port différent åPAT (Port Address Translation) 4 NAT overlapping åL’espace d’@ IP interne est déjà un espace enregistré pour un autre domaine. åTraduction par le routeur pour éviter les conflits

121 page 121 Le protocole DHCP (1) automatiquement 4 DHCP & BootP sont des protocoles permettant de configurer automatiquement l’environnement IP des équipements åAdresse IP åMasque de réseau åRouteur par défaut åetc. 4 Ces dispositifs permettent de s’affranchir des reconfigurations manuelles des postes åDéménagement åChangement d’architecture åetc.

122 page 122 Le protocole DHCP (2) 4 BootP 4 BootP (Boot Protocol) est un protocole basé sur IP/UDP qui remplace RARP (non maintenu par les constructeurs de cartes) 4 Mécanisme : 1.Le client émet (broadcast) une requête BootP avec son adresse MAC 2.Le serveur BootP reçoit cette trame : ‡ Si l’adresse MAC est reconnue, le serveur renvoie les paramètres de configuration IP (adresse IP, masque, etc.) 3.Le client reçoit la réponse et configure sa pile TCP/IP 4.Le client peut requérir ensuite du serveur un transfert TFTP d’un fichier de configuration

123 page 123 Le protocole DHCP (3) 4 Avec BootP, la durée de bail d’une @ IP n’est pas configurable (valeur infinie) 4 Le serveur BootP doit avoir connaissance de l’adresse MAC et des paramètres IP associés manuelle åConstruction manuelle d’une table de correspondance åMaintenance / Administration difficiles DHCP 4 Solution : DHCP (Dynamic Host Configuration Protocol)

124 page 124 Le protocole DHCP (4) l’allocation dynamique 4 DHCP enrichit BootP de nouvelles fonctionnalités dont l’allocation dynamique d’adresses IP åPlus de table de correspondance åPool d’adresses IP disponibles 4 DHCP permet : åune meilleure utilisation d’un espace d’adresses (portables, machines peu utilisées) sur un réseau local åUne meilleure gestion des évolutions du plan d’adressage 4 Le mécanisme de relais BootP permet à un client DHCP de propager une requête DHCP vers d’autres réseaux que celui d’attachement åUn seul serveur DHCP pour plusieurs sous-réseaux ou réseaux

125 page 125 Le protocole DHCP (5) 4 Mécanisme DHCP : DHCP Discovery 1.Le client émet, par broadcast sur le réseau local, une trame « DHCP Discovery » : ‡ Découverte des serveurs DHCP du réseau ‡ Demande d’obtention d’une configuration IP 2.Le serveur DHCP reçoit ce broadcast DHCP Offer ‡ S’il peut satisfaire la demande, réponse par trame « DHCP Offer » ‡ Proposition de paramètres IP DHCP Request 3.Le client peut accepter l’offre (trame « DHCP Request ») ou attendre éventuellement d’autres propositions de serveurs DHCP DHCP AckDHCP Nack 4.Si le serveur est en mesure de satisfaire les options, acquittement positif par trame « DHCP Ack », sinon « DHCP Nack »

126 page 126 Le protocole DHCP (6) 4 Le serveur DHCP : åVérifie le caractère « libre » des adresses IP (par échos ICMP) åEnregistre des « bindings » (liens, baux) lors de l’émission de l’offre durées de bail åGère des durées de bail (validité) 4 Stratégie : 1.Si un « binding » existe déjà pour le client (MAC) et qu’il est valide, le serveur attribue la même @ IP 2.Si un « binding » existe déjà pour le client (MAC) et qu’il n’est plus valide, le serveur s’efforce d’attribuer la même @ IP (si elle est toujours libre) 3.Si le client suggère une @ IP, le serveur s’efforce d’attribuer la même @ IP (si elle est toujours libre) 4.Le serveur attribue une @ IP choisie à partir d’un pool d’adresses renseigné administrativement

127 page 127 Le protocole DHCP (7) 4 Un client IP configuré par DHCP reçoit (dans la trame « DHCP Ack ») : åUn temporisateur (T1) : temps au bout duquel le client doit demander une extension de son bail  Envoi d’un « DHCP Request » à son serveur DHCP  Réception d’un acquittement åUn temporisateur (T2) : si le client ne reçoit pas de « DHCP Ack » avant T2, il renvoie un broadcast « DHCP Request » à tous les serveurs DHCP åUne durée de bail (D) : si le client ne reçoit toujours pas d’acquittement, il recommence le processus de configuration (« DHCP Discovery ») 4 En général : T1 (= 0.5 x D) < T2 (= 0.875 x D) < D

128 page 128 Le protocole DHCP (8) 4 Libération d’adresse : åUn client peut libérer son bail en envoyant au serveur DHCP une trame « DHCP Release »  ipconfig /release åCe message n’est pas envoyé lorsque la machine s’éteint ! 4 Renouvellement de bail : åUn client souhaitant renouveler son bail envoie un message « DHCP Request »  ipconfig /renew åCe message est envoyé lorsque la machine reboote !

129 page 129 Le protocole DHCP (9) 4 DHCP Dynamique : åLes @ IP sont assignées par DHCP à partir d’un pool d’adresses IP åLes durées de bail sont configurables 4 DHCP Manuel : åL’adresse MAC du client doit être connue et assignée statiquement à une @ IP åLe bail est permanent 4 DHCP Automatique : åLes @ IP sont assignées par DHCP à partir d’un pool d’adresses IP åLe bail est permanent

130 page 130 Le protocole DHCP (10) 4 Un petit coup d'oeil chez Bilou TM

131 page 131 Listes d’accès (1) 4 Fonctions de filtrage de paquets : åaide au contrôle des mouvements de paquets sur le réseau  limitation du trafic sur le réseau  restriction de l ’utilisation du réseau pour certains utilisateurs ou équipements listes d ’accès ål ’autorisation ou l ’interdiction formulées à des paquets de traverser des interfaces réseau spécifiques sont obtenues par l ’utilisation des listes d ’accès :  séquences de conditions (autorisation ou interdiction)  applicables aux adresses IP source :  test successif des conditions pour chaque adresse IP  la première condition remplie détermine l ’action du routeur  l ’ordre des conditions est donc important  si l ’adresse IP ne rentre dans aucune des conditions, le paquet est rejeté

132 page 132 Listes d’accès (2) 4 Utilisation des listes d’accès : åcontrôler la transmission des paquets sur une interface åcontrôler les accès depuis un terminal virtuel årestreindre le contenu des mises à jour d ’informations de routage åcaractériser le trafic de paquets provenant de sites distants avec une demande de connexion åidentifier les paquets pour les fonctions de priorisation :  « custom queuing »  « priority queuing » åconfiguration du routage des connexions à la demande (RNIS) :  identification des adresses source et destination potentielles  spécification du critère de sélection de protocole pour initialiser l ’appel  établissement des interfaces et constitution d ’un groupe d ’appelant

133 page 133 Listes d’accès (3) 4 Application des listes d’accès : åsur une ou plusieurs interfaces åpour le trafic entrant :  arrivée du paquet en entrée de l ’interface l’adresse source  le routeur confronte l’adresse source à la liste d’accès :  s ’il est accepté, le routeur continue le traitement  s ’il est refusé, le routeur abandonne le paquet – envoi d ’un message ICMP « destination inaccessible » åpour le trafic sortant :  arrivée du paquet en entrée  commutation du paquet vers l ’interface contrôlée l’adresse source  le routeur confronte l’adresse source à la liste d’accès :  s ’il est accepté, le routeur transmet le paquet  s ’il est refusé, le routeur abandonne le paquet – envoi d ’un message ICMP « destination inaccessible »

134 page 134 Listes d’accès (4) 4 Mise en pratique des listes d’accès : åla plupart des protocoles sont contrôlés par des listes d ’accès sur les routeurs åchaque liste est identifié par un numéro, dans une gamme de numéros possibles pour le protocole concerné :  constitue le premier argument de la liste  est utilisé par le routeur pour déterminer la liste à utiliser åconditions de tests :  arguments suivants de la liste  leur sémantique diffère selon le protocole concerné ånormalement, les administrateurs ne peuvent configurer qu’une liste d’accès :  par protocole  par interface

135 page 135 Listes d’accès (5) 4 Types de listes d’accès : standard ålistes d’accès standard :  confrontation de l ’adresse source aux conditions d ’accès  autorisation ou interdiction  formulée sur la base de l ’adresse réseau, sous-réseau ou hôte  valable pour tout paquet du protocole concerné étendues ålistes d’accès étendues : et  confrontation de l ’adresses source et destination  flexibilité de configuration : possibilité d ’écrire des conditions d ’accès relatives :  aux protocoles  aux numéros de ports  à d ’autres paramètres éventuels

136 page 136 Zones démilitarisées (1) 4 La mise en place de listes d’accès permet de restreindre les intrusions et d’activer un service de pare-feu 4 Le système de NAT avec un adressage privé, garantit également que les postes sur le LAN sont inaccessibles depuis l’extérieur 4 Certains services « électroniques » requièrent cependant un accès à la fois public et privé : åE-mail : messagerie électronique åE-marketing : site Web externe, communication åE-commerce : processus de commande, suivi et facturation électroniques åE-productivity : travail collaboratif, e-learning, extranet åÉcosystème de l’entreprise : participation à des e-marketplaces, gestion des processus de livraison/stockage, etc.

137 page 137 Zones démilitarisées (2) DMZDMZ 4 Une ouverture restreinte de l’entreprise est possible via la mise en place de zones démilitarisées ou DMZ (DeMilitarized Zone) åLes services situés en DMZ sont accessibles depuis l’extérieur, comme depuis l’intérieur de l’entreprise åLes serveurs en DMZ disposent au minimum d’une adresse publique åLes DMZ n’interdisent pas un filtrage des trafics à destination de cette zone démilitarisée

138 page 138 Zones démilitarisées (3) 4 La mise en place d’une ou de plusieurs DMZ est réalisée via la configuration du routeur d’accès au réseau local où sont placés les services åAdressage public fixe åPolitique de filtrage åPolitique de routage åPolitique de traduction d’adresses (NAT)

139 page 139 Et demain… IPv6 (1) 4 Aujourd’hui, le nombre d ’ordinateurs connectés à Internet double chaque année 4... le nombre d’adresses IP disponibles expire ! 4 IP doit évoluer vers IP version 6 : åsupporter des milliards d ’ordinateurs en étendant le champ d ’adresses actuel åsimplifier le protocole pour permettre un routage plus rapide åfournir une meilleure sécurité type de service åaccorder une bonne attention au type de service (temps réel) åpouvoir évoluer tout en vivant en bonne entente avec IPv4 4 Et IPv5 alors ?? åNom de code ST2+ (IPv5 = alliance de ST2 et ST2+)

140 page 140 4 Nouveautés d’IPv6 : 128 bits åadresses plus longues : 16 octets, soit 128 bits contre 32 ! åsimplification de l ’en-tête des datagrammes : 7 champs contre 13 ! åsouplesse des options åauthentification et confidentialité pris en compte åmeilleure gestion des types de service : notion de priorité et de flots Et demain… IPv6 (2)

141 page 141 32 bits Et demain… IPv6 (3)

142 page 142 32 bits Et demain… IPv6 (4)

143 page 143 Et demain… IPv6 (5) 4 Modifications de l’en-tête : åDisparition du champ longueur_en-tête : la longueur est fixe à 40 octets åLes champs liés à la fragmentation sont renvoyés à un en-tête étendu spécifique åDisparition du total de contrôle  Trop gourmand en terme de traitement à chaque routeur  Compensé par des contrôles au niveau TCP ou UDP åLe champ TOS est remplacé par le champ Classe de trafic åLe champ TTL est supplanté par le champ Nombre de sauts åPas d’options à l’intérieur de l’en-tête : création d’en-têtes étendus supplémentaires åLes champs d’adressage passent de 32 à 128 bits åApparition du champ Étiquette de flot :  Gestion du trafic sous forme de flots identifiés  Identificateur aléatoirement affecté

144 page 144 Et demain… IPv6 (6) flots 4 Notion de flots : åSéquence de paquets pour lesquels la source désire un service temps-réel garanti åLes paquets appartenant à cette séquence sont reconnus grâce au couple adresse source + étiquette du flot 4 Le champ Classe de trafic est destiné à disparaître…

145 page 145 En-tête IPv6 Next = TCP En-tête TCP+ Données En-tête IPv6 Next = Routage En-tête routage Next = TCP En-tête TCP+ Données En-tête IPv6 Next = Routage En-tête routage Next = Fragment En-tête fragment Next = TCP En-tête TCP+ Données Et demain… IPv6 (7) 4 En-têtes étendues

146 page 146 Et demain… IPv6 (8) 4 En-têtes étendues åTraitement effectué par les seuls nœuds concernés  Gain en performances åLa limite de 40 octets pour les options en IPv4 est abolie  Limite théorique fixée à la taille totale du datagramme åEn-têtes en cours de définition :  Options « Hop-by-hop » : possibilité de traiter des jumbogrammes de taille > 65536 octets  Options de routage : strict défini par la source, lâche, etc.  Options de fragmentation : champs d’identification, de déplacement, etc.  Options de sécurité  Options de cryptage

147 page 147 Le 6-bone

148 page 148 IPv6 infos 4 Pages web: åhttp://playground.sun.com/ipng/http://playground.sun.com/ipng/ åhttp://www-6bone.lbl.gov/6bone/http://www-6bone.lbl.gov/6bone/ 4 Mailing lists: åIPv6 working group  ipng-request@sunroof.eng.sun.com ipng-request@sunroof.eng.sun.com å6bone management  6bone-request@isi.edu 6bone-request@isi.edu 4 Livre åIPv6, the new internet protocol, Christian Huitema, Prentice Hall

149 page 149 IPv6 : produits