Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

Architecture des Réseaux Architectures étendues - Partie II -

Agenda (deuxième journée) Interconnexion de réseaux Architectures étendues Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles

Interconnexion de réseaux Objectifs Connaître les différentes technologies des réseaux d'entreprise Comprendre avantage & inconvénients des solutions du marché Plan Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles Notions de réseaux privés virtuels

Solutions d’interconnexion IP Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs : Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures) Le « packaging » des offres opérateurs s’orientent vers les Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP) Proposer des « prises IP » Agrémenter les accès de garanties en termes de : Qualité de Service (VPN-IP CoS) Sécurité (VPN-IP IPSec)

Définition d’un VPN Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un réseau qui… … utilise et/ou partage des infrastructures publiques ou privées … met en œuvre des mécanismes de sécurité et de Qualité de Service Comparatif VPN / Réseau Privé VPN Réseau Privé + Coût + Flexibilité + Externalisation + Maîtrise + Sécurité - Moins de Maîtrise - Mobilisation ressources humaines importantes - Investissements lourds

Définition d’un VPN Frame Relay VPN basé sur des infrastructures Frame Relay VPN Frame Relay (offre traditionnelle opérateur) Notion de CVP et de point-à-point Maillage complet Gestion par l’opérateur complexe Manque de flexibilité

Définition d’un VPN IP De nouvelles offres : VPN IP (apparues il y a un an) IP Protocole universel au niveau des applications Extension au niveau du transport pour les offres de service réseau De nouveaux protocoles de gestion Qualité de Service MPLS : toujours en normalisation (essentiellement équipements) DiffServ : normalisé Sécurité IPSec Réseau constitué de routeurs IP Transport des flux IP de façon « native » (routage dynamique)

Constitution d’un VPN IP (1)

Constitution d’un VPN IP (2) Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission. A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution

Constitution d’un VPN IP (3) Composantes Réseau de transport : infrastructure « backbone » ou Internet Moyens d’accès CPE (Customer Premises Equipment) : routeur, modem Connexion au réseau de transport via réseau d’accès Moyens de sécurisation Technologies propres au réseau de transport (ex. : CVP Frame Relay) Déploiement d’équipements et logiciels spécifiques Pare-feux Serveurs d’authentification/autorisation Plate-formes de services (hébergement) Messagerie, accès Web, etc. Infogérance Moyens de supervision

Différents types de VPN IP VPN IP « Internet » Infrastructure entièrement publique Utilisation des réseaux ISP VPN IP « Opérateur » Infrastructure fournie par un prestataire MPLS ou non IPSec ou non VPN Frame Relay & IP Avantages & inconvénients Comparatifs

Définition VPN IP Internet (1) Utilisation des infrastructures Internet « Intelligence » gérée au niveau des extrémités (CPE) Création de tunnels LAN/LAN ou LAN/PC

Définition VPN IP Internet (2) Utilisation de protocoles de tunneling PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol) Utilisés dans le cadre d’accès commutés Environnement multi-protocoles L2TP (Layer 2 Tunneling Protocol) Rassemble les avantages de PPTP et L2F Nombreuses solutions constructeurs IPSec (IP Secured) Norme IETF initialisée en 1992, normalisée en 2000 Sécurité supérieure Associé à IP Intégré dans IPv6

Définition VPN IP Internet (3) Utilisation d’algorithmes de chiffrement DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation) Différents types de passerelle VPN IP Passerelle dédiée : équipement situé entre le routeur du LAN et Internet Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP) Passerelle intégrée au firewall Utilisation d’un serveur de sécurité (authentification/autorisation) Serveur Radius, etc.

Sécurité des VPN IP Internet Fonctions Solutions Authentification Contrôle d’accès Login & password Calculette (jetons « secure-id ») Signature électronique Confidentialité Intégrité des données Tunneling Chiffrement des données

Les applications VPN IP Internet Applications non critiques, non temps-réel Internet : « best effort » Pas de qualité de service Création structure Extranet / Intranet Accès à distance à un Intranet / Extranet … depuis des sites de petite taille, ou situés à l’étranger … de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)

Définition VPN IP Opérateur (1) Réseau privatif sur infrastructure IP managée Réseau constitué de routeurs IP CE : Customer Equipment PE : Provider Edge P : Provider

Définition VPN IP Opérateur (2) Offres récentes Correspond à une logique d’externalisation (outsourcing) Service & gestion des équipements (y compris les CPE) par l’opérateur Deux stratégies d’opérateurs : gestion du protocole MPLS ou non Évolution du marché : MPLS

VPN IP Opérateur MPLS : généralités Gestion de MPLS associé à DiffServ = QS et sécurité sous IP Priorisation des flux avec plusieurs classes de service disponibles Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence… Critique : ERP, SQL, transactionnel… Standard : Messagerie, consultation Web, … Entre 3 et 5 classes selon les offres opérateurs Optimisation de la bande passante MPLS assure l’étanchéité des flux (sécurité) Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante

VPN IP Opérateur MPLS : QS et Applications Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles Disponibilité de services Délai de transmission Gigue : variation du délai de transmission Débit garanti Taux des paquets perdus Les SLA sont associés aux classes de service L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité

VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1) Développé par l’organisme IETF Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau Performances et sécurité sous IP Pas encore tout à fait mature Solutions différentes pour les équipementiers

VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2) Développé par l’organisme IETF Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique) Se combine à MPLS pour délivrer une Qualité de Service de bout en bout Intégré dans IPv6 Normalisé

VPN IP Opérateur non MPLS : VPN IP IPSec Pas de gestion de MPLS L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné Mélanges fréquents avec des flux Internet Pas de classes de service (sauf recours à DiffServ) SLA perte de paquet, temps de transit… moins d’engagements qu’avec des offres MPLS Sécurité Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement Solutions VPN IP IPSec

VPN IP Opérateur : applications Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication Offres bien adaptées aux structures et aux applications distribuées Offres adaptées à toutes les applications existantes et à venir Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…

VPN Frame Relay : avantages & inconvénients Maturité Qualité de Service Sécurité (CVP) Multi-protocoles Adaptés aux structures en étoiles Inconvénients Manque de flexibilité (CVP) Peu adapté aux accès à distance, aux Extranets, et aux structures maillées Technologie plutôt en fin de vie

VPN IP : avantages & inconvénients VPN IP Internet Avantages Simplicité Coût Sécurité Capillarité Flexibilité Inconvénients Best effort Problèmes d’interopérabilité Mise en œuvre délicate VPN IP Opérateur Avantages Idem « VPN IP Internet » Qualité de Service Sécurité Aspect « any-to-any » Classes de service Évolutivité Visibilité sur le réseau Bien adapté aux nouvelles technologies d’accès Bien adapté aux applications temps réel Inconvénients Technologie récente et encore peu mature (MPLS) Offres encore incomplètes

Comparatif Frame Relay et IP VPN Internet VPN Frame Relay VPN IP (MPLS) Réseau IP privé Intranet point-à- point Possible mais problème de fiabilité Bien adapté et économique Bien adapté et très souple Solution très coûteuse Intranet maillé Moyen, manque de souplesse (gestion de CVP) Réseau nativement maillé (any-to-any) Solution très coûteuse. Le maillage est possible mais doit être géré au niveau des routeurs d’accès. Accès distant Solution la plus simple et la moins coûteuse Peu d’offres existantes Peu d’offres existantes (via VPN Internet) Coût important mais solution la plus souple Extranets Solution la plus souple pour des échanges ponctuels mais problème de fiabilité Peu adapté (délais, coûts, …) Bien adapté, surtout pour des volumes échangés importants Solution souple et fiable mais coûts importants

Comparatif VPN IP et réseau privé IP Coût Réseau Privé IP + Sécurité, Maîtrise Coût Forte implication de l’entreprise VPN IP Opérateur + Évolutivité + QS + Coût VPN IP Internet + Capillarité + Coût - QS aléatoire Qualité

Solutions VPN Trois types de VPN IP VPN IP Internet VPN IP Opérateur IPSec VPN IP Opérateur MPLS Les offres VPN IP Opérateur cumulent… … les avantages du protocole IP (flexibilité, « any-to-any », coût) … les avantages des offres VPN Frame Relay (QS et sécurité) Évolution du marché vers les offres VPN IP MPLS Les offres VPN Frame Relay restent attractives pour certains besoins

Migration vers un VPN IP (1) Réseau privé géré par l’entreprise Location de Liaisons Spécialisées à un opérateur Gestion des flux et de la QS par l’entreprise Solution VPN IP L’infrastructure réseau local des sites ne change pas Gestion des flux et de la QS par l’opérateur VPN Externalisation des coûts de gestion

Migration vers un VPN IP (2) Concentration des communications sur une plate- forme centrale Gestion des serveurs d'accès distant par l'entreprise. Communications au tarif local, national voire international Solution VPN IP Connexion des nomades via l'infrastructure d'accès du prestataire. Communications au tarif local Optimisation des coûts de communication

Migration vers un VPN (3) La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines Infrastructure physique Sécurité logique Services applicatifs

Différentes catégories d’acteurs Fournisseurs d’Accès Internet Carrier to Carrier Opérateurs IP Opérateurs Télécom Nationaux Opérateurs de Boucle Locale Opérateurs historiques

Différents niveaux de VPN IP VPN Internet VPN IP DiffServ IPSec COS MPLS

Différents positionnements (1) Choix de protocoles (fin 2001)

Différents positionnements (2) Convergence vers MPLS

Uniformisation des prestations (1) Prestations techniques (liées à l’implémentation du VPN IP) Raccordement des sites Gestion des accès Gestion des routeurs Gestion de la sécurité Transport Connexion au backbone Routage VPN client Traitement différencié des flux Accès à Internet Adresses IP Dépôt de noms de domaines Services d’accompagnement client Tuning, conseil, optimisation du VPN

Uniformisation des prestations (2) Services proposés aux gestionnaires Gestion des modifications Fonctionnalités de reporting Services transverses Services de support Services de facturation SLA & contrats Mais encore beaucoup d’offres sur mesures

Différents positionnements (3) Enrichissement des offres sur les types d’accès

Sécurité dans les VPN L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer… … l’écoute des communications … la falsification des données échangées … l’usurpation d’identité Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux : Assurer la confidentialité des données Assurer l’intégrité des données pendant le transport Assurer l’authentification certaine des parties en relations Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographie

Ensemble des clés utilisables Crypto-systèmes Crypto-système Fonction de Chiffrement Fonction de Déchiffrement Ensemble des clés utilisables Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement

Crypto-systèmes symétriques Pour chiffrer / déchiffrer le message, on utilise une clef unique Cette clef est appelée clef secrète Une clef différente donne un résultat différent Fonction de Chiffrement Bonjour 8964K9X Clef secrète Fonction de Déchiffrement

Crypto-systèmes asymétriques (1) Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes La clef de chiffrement est appelée clef publique La clef de déchiffrement est appelée clef privée Clef publique Bonjour Fonction de Chiffrement Bonjour Fonction de Déchiffrement 8964K9X Clef privée

Crypto-systèmes asymétriques (2) La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus

Mise en œuvre de la sécurité (1) La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels Son objectif est de créer un tunnel chiffré et authentifié entre deux points Le chiffrement et l’authentification des parties font appel à la cryptographie

Mise en œuvre de la sécurité (2) Le protocole IP ne dispose nativement d’aucune fonction cryptographique Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie Extension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured) IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS)

Protocole IPSec (1) IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatile (mise à jour à intervalle régulier) Cette clef est appelée clef de session L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique

Protocole IPSec (2) IPSec introduit deux nouveaux protocoles IP AH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification ESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKE (Internet Key Exchange)

Protocole IPSec (3) IPSec ajoute quelques fonctions intéressantes Perfect Forward Secrecy Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session Back Traffic Protection Chaque clef de session est générée indépendamment des autres La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir

Points délicats de la sécurité (1) A quoi faire attention ?… Interopérabilité des équipements IPSec norme IETF (http://www.ietf.org/html.charters/ipsec-charter.html) Implémentation de la norme différente selon les équipementiers et éditeurs Certains équipements refusent obstinément de communiquer ensemble Amélioration progressive à prévoir Translation d’adresse (NAT) Les mécanismes de NAT réécrivent les paquets IP La translation d’adresse casse l’authentification Solutions NAT et VPN IPSec sur le même équipement Translation avant chiffrement

Points délicats de la sécurité (2) A quoi faire attention ?… Postes nomades Quid en cas de vol d’un poste nomade ? Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple identifiant/authentifiant Envisager un mécanisme d’authentification forte

L’avenir de la sécurité VPN La tendance est à l’implémentation native des fonctions IPSec dans les systèmes d’exploitation (ex. : Linux, Windows 2000, Windows XP, …) IPv6 intégrera la sécurité de façon native

Concepts de Qualité de Service (1) Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots Mécanismes de priorisation Règles de gestion de la congestion (politiques de files d’attente) Mise en forme de trafic (lissage, shaping) Au sein d’un réseau, les liaisons n’ayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS

Concepts de Qualité de Service (2) L’architecture orientée QS se compose de trois méthodes d’implémentation : Implémentation de bout-en-bout Techniques d’identification et de marquage Coordination de la QS entre deux équipements terminaux Implémentation locale à un équipement Mécanismes de files d’attente Outils de lissage de trafic Fonctions de contrôle et de gestion de la QS Compteurs Administration

Concepts de Qualité de Service (3)

Identification et marquage (1) Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifié Listes d’accès CAR (Committed Access Rate) NBAR (Network-Based Application Recognition) Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marqués ou non Le processus d’identification/marquage est appelé classification

Identification et marquage (2) Identification sans marquage : classification locale L’équipement identifie des paquets appartenant à un flot Il met en œuvre une politique locale La classification « disparaît » et n’est pas transmise ou nœud suivant sur le chemin Exemples : Priority Queuing (PQ) Custom Queuing (CQ) Identification et marquage : classification globale Les paquets sont marqués pour l’ensemble du chemin Utilisation possible des bits de précédence IP Exemple : DiffServ (Differentiated Service)

Implémentation locale de la QS (1) Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés Gestion de la congestion Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ? Stockage dans une file, plusieurs files Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing) Gestion des files d’attente Les buffers étant de taille limitée, ils peuvent « déborder » Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ? Exemple : WRED (Weighted Random Early Detect)

Implémentation locale de la QS (2) Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés Efficacité des liens Les liens à bas débits posent le problème du délai de transmission (sérialisation) Exemple : un paquet de 1500 octets nécessite 214ms Les petits paquets sont pénalisés Solutions : Fragmentation & entrelacement Compression des en-têtes Mise en forme du trafic Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un lien bas-débit Exemple : trafic retour backbone vers accès Possibilité de « jeter » les trafics excessifs (CAR)

Mise en œuvre de la QS La gestion de la QS sous-entend une méthodologie permettant d’évaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre : Utilisation de sondes RMON Caractérisation du trafic Estimation des temps de réponse pour les applications critiques Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques Contrôle des effets de ces mécanismes Outils d’administration Tests de temps de réponse, de charge, etc.

Niveaux de QS (1) Les niveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau d’un bout à l’autre Service « Best Effort » Aucune garantie de QS Connectivité simple, pas de différentiation de flots Files FIFO Service différencié Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible) Garantie « statistique » Classification + PQ, CQ, WFQ et WRED Service garanti Réservation absolue de ressources réseaux pour certains trafics RSVP, CBWFQ

Niveaux de QS (2) Best Effort Différencié Garanti Best Effort (IP, IPX, AppleTalk) Simple connectivité IP (Internet) Best Effort Garanti Différencié Différencié (Class First, Business, Coach) Certains trafics sont plus importants que les autres Certaines applications requièrent des ressources réseau spécifiques Garanti (Bande passante, Délai, Gigue)

Classification Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués Identification Listes d’accès (ACL) Identification pour priorisation locale (PQ, CQ, CBWFQ) Pas de marquage des paquets Affectation d’une précédence IP (champ TOS étendu) Routage stratégique (PBR : Policy-Based Routing) Associé à une identification via ACL Déploiement en périphérie du réseau (ou de la zone de routage) Autres méthodes d’affectation de précédence CAR : marquage des paquets excédentaires NBAR : identification fine (niveau 4 à 7) Exemple : niveau 4  HTTP Exemple : niveau 7  URL http://www.iae-aix.com

PBR (Policy – Based Routing) Le routage stratégique PBR permet… … de classifier le trafic à partir de listes d’accès étendues … de fixer les bits de précédence IP au sein des paquets identifiés … de router ces paquets sur des chemins spécifiques L’utilisation conjointe de PBR et des mécanismes de files d’attente permet de créer une différenciation des services PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP.

CAR (Committed Access Rate) La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant l’allocation nominale de bande passante Élimination des paquets excédentaires Marquage (bits de précédence) des paquets excédentaires CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis d’un débit alloué Utilisation du mécanisme de « leaky bucket » (jetons) Similaire à l’algorithme de GCRA pour ATM (test du PCR) Excédentaire Prec = 2 Débit alloué Bande passante Conforme Prec = 6

NBAR : Network – Based Application Recognition NBAR effectue une identification dynamique des flots… … à un niveau supérieur Exemple : applications orientées Web (HTTP) URL MIME Contrôle des dialogues fixant les ports dynamiques … autorisant un marquage ultérieur plus fin

QS différenciée Le marquage des paquets IP permettant d’appliquer des mécanismes de priorisation est réalisé à l’aide du champ Type Of Service (TOS) de l’en-tête IPv4 3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau) Extension à 6 bits (RFC 2475) pour DiffServ Utilisation du champ « Priority » en IPv6

Gestion de la congestion (1) En cas de congestion (surcharge d’un équipement ou d’un lien), les routeurs doivent stocker les paquets dans des buffers Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files d’attente Tri du trafic Méthodes de priorisation Les algorithmes les plus couramment utilisés sont : FIFO (First-In, First-Out) PQ (Priority Queuing) CQ (Custom Queuing) WFQ (Weighted Fair Queuing) CBWFQ (Class – Based WFQ)

Gestion de la congestion (2) FIFO Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée lorsque la congestion disparaît Algorithme par défaut Aucune décision de priorité Aucune protection contre les sources excessives Lors du débordement, la perte s’effectue par la queue, sans distinction Priorité forte in out Priorité moyenne Priorité faible perte

Gestion de la congestion (3) PQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Préemption totale des files prioritaires Priorité forte in out Priorité moyenne Priorité faible perte Pas d’indication de priorité

Gestion de la congestion (4) CQ Classification du trafic L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur aux différentes classes de trafic Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin) Priorité forte in out Priorité moyenne Priorité faible perte Pas d’indication de priorité

Gestion de la congestion (5) WFQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Le service est ordonnancé La pondération (Weight) est directement calculée à partir de la valeur de précédence Par défaut, sans priorisation, WFQ utilise le volume comme poids 6/10 6 Priorité forte in out 3 Priorité moyenne 3/10 1 Priorité faible perte 1/10

Gestion de la congestion (6) CBWFQ Définition de niveaux de priorité Chaque niveau de priorité se voit assigner une file de taille égale Le service est ordonnancé La pondération est décidée par l’administrateur Les poids sont calculés à partir de la part de bande passante allouée 1024 kb/s Priorité forte in out Priorité moyenne 768kb/s 2Mb/s Priorité faible perte 256 kb/s

Gestion des files d’attente (1) WRED Principe Dérivation de RED (Random Early Detect) avec application des précédences IP Refuser des paquets entrants pour éviter la congestion et la perte Objectifs Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue » Refus des paquets entrants en fonction de leur priorité La décision de refus d’un paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file)

Gestion des files d’attente (2) WRED Exemple : Capacité nominale de la file : 20 paquets Seuil pour les paquets de priorité forte : 20 Seuil pour les paquets de priorité moyenne : 15 Seuil pour les paquets de priorité faible : 10

Efficacité des liens (1) Problèmes Taille relative des paquets de données IP Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP) Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés Taille absolue des paquets de données IP L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue l’overhead Les petits paquets ont une plus forte part d’overhead que les gros paquets Exemples (TCP/UDP + IP = 40 octets minimum) FTP : 1500 octets utiles  ~ 2.6% SQL : 256 octets utiles  ~ 13.5% VoIP : 20 octets utiles  ~ 66.7%

Efficacité des liens (2) LFI (Link Fragmentation & Interleaving) Fragmentation des grands datagrammes (« jumbogrammes ») Entrelacement des fragments et des petits datagrammes Normalisation IETF en cours Fondée sur l’utilisation de PPP sur les liens bas-débits MCML (MultiClass extensions to Multilink PPP) Fragmentation WFQ (Entrelacement) Grands datagrammes in out Petits datagrammes Fragments

Efficacité des liens (3) Compression des en-têtes Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-à-point Paquets RTP/UDP/IP 40 octets d’en-tête (20 IP, 8 UDP, 12 RTP) Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo) Paquets TCP/IP 40 octets d’en-tête (20 IP, 20 TCP) Typiquement 500 à 1500 octets d’informations (FTP, e-mail, etc.) Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)

Efficacité des liens (4) Compression des en-têtes Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point) Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le routage En-tête compressé : 2 à 5 octets Diminution de l’overhead Diminution du temps de sérialisation (insertion sur le support, transmission) Exemples de gains sur un lien à 64 kb/s  ~ 4.5 ms FTP : réduction de 2.3% SQL : réduction de 11.8% VoIP : réduction de 58.3%

Gestion de la congestion Mise en œuvre de la QS Classification Efficacité des liens Administration Comptabilisation Gestion de la congestion (files d’attente)

Interconnexion de réseaux Objectifs Connaître les différentes technologies des réseaux d'entreprise Comprendre avantage & inconvénients des solutions du marché Plan Solutions de réseaux d’accès Solutions de réseaux fédérateurs Notions de réseaux privés virtuels Réseaux de mobiles Réseaux de mobiles

Boucle locale IP

Mobilité & débit

Spectre radio

Réseau ad hoc

WPAN & WLAN Complexité

Bluetooth Technologie pour remplacer les câbles Débit inférieur à 1Mb/s Une dizaine de mètres Faible puissance Coût très bas

Piconet Piconet de 8 utilisateurs – 1 maître et 7 esclaves (technique de polling) Débit 433,9 Kbit/s dans une communication full duplex 723,2 Kbit/s et 57,6 dans l’autre sens dans une communication déséquilibrée 64 Kbit/s en synchrone

Scatternet

Format du paquet Bluetooth Code d’accès Synchronisation. Identification. En-tête AM-ADDR: MAC-address Type: payload type Flow: flow control ARQ: fast retransmit HEC

IEEE 802.11 (1) Réseau d'infrastructure

IEEE 802.11 (2) Réseau en mode ad hoc

Équipements : carte 802.11

Équipements : cartes Wi-Fi Prix Carte Wi-Fi au format compact flash : 170 € Carte Wi-Fi pour Palm : 150 € Carte Wi-Fi pour Visor : 150 €

Wi-Fi embarqué D’ici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués A partir de 2003, les PDA seront équipés de Wi-Fi embarqués

Équipements : points d'accès

Équipements : antennes

Architecture détaillée

Réglementation française A l’intérieur des bâtiments Aucune demande d’autorisation Dans 38 départements : Bande 2,400 – 2,4835 GHz, puissance 100 mW Dans les autres départements Bande 2,4465 – 2,4835 GHz, puissance 100 mW Bande 2,400 – 2,4835 GHz, puissance 10 mW A l’extérieur des bâtiments (Hotspots) Bande 2,400 – 2,454 GHz, puissance 100 mW Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation) Bande 2,400 – 2,4465 GHz : impossible

Sécurité dans le Wi-Fi Accès au réseau Service Set ID (SSID) : équivalent au nom de réseau Access Control List (ACL) : basé sur les adresses MAC Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4 Nouvelle sécurité: TKIP, 802.1x et carte à puce

La mobilité (1)

La mobilité (2)

Mobilité IP Objectifs Un mobile doit être capable de communiquer avec d’autres machines après avoir changé son point d’attachement sur l’Internet Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur l’Internet Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet

Mobilité IPv4 RFC 2002 Mobile Node : Nœud IPv4 qui peut changer de points d’attachement sur l’Internet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale) Home Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère) Foreign Agent : Routeur IPv4 situé dans le réseau visité par le mobile

Scénario simplifié