Les Réseaux Informatiques VLAN, QoS, VPN Questions sur les cours précédents ? Laurent JEANPIERRE Département Informatique

Département Informatique Contenu du cours Virtual Local Area Network Quality of Service Virtual Private Network Département Informatique

Virtual Local Area Network Norme IEEE 801.1Q Objectifs : Virtualiser le réseau Ethernet Créer une structure logique Indépendante de la topologie Sécuriser Ethernet Réduire les coûts d’administration Augmenter le débit / la réactivité du réseau Département Informatique

LAN : Problèmes à résoudre Sécurité : Réseau diffusant N’importe qui peut ‘sniffer’ les trames Switch / Commutateurs  début de solution Efficacité : Le problème du Broadcast Rappel : trame à destination de tout le monde Annule le bénéfice du commutateur ci-dessus Paralyse TOUT le réseau (Ethernet : une seule trame à la fois) Département Informatique

LAN : Problèmes à résoudre (2) Routeurs entre LANs Bloquent les broadcasts Filtrent les paquets  Solution miracle…  Mais Coût élevé Latence importante (Délai de propagation des trames)  Virtualiser le réseau avec des switchs Département Informatique

Département Informatique Virtual LAN Principe : Limiter l’envoi des trames Ethernet A une partie du réseau connue par avance (un VLAN) Plusieurs possibilités : Couche 1 : Port par Port Couche 2 : Filtrage par @ MAC Couche 3 : Filtrage par protocole réseau Département Informatique

Département Informatique VLAN 1 – Port par Port Isolation des ports par le switch : Ports associés à 1 (ou Plusieurs) VLAN Un cache différent par VLAN A1 A2 B1 A3 B2 B3 C1 C2 hub C3 1 2 3 4 5 6 7 8 1 – A1 2 – A2 4 – A3 3 – B1 5 – B2 6 – B3 7 – C1 8 – C2 1 – C3 Département Informatique

Département Informatique VLAN 1 – pour ou contre ? Avantage Extrêmement rapide (= switch classique) Facile à configurer (VLAN1 = Port 1,3,5) Technologie simple (relativement) Inconvénient Chaque switch doit être configuré à la main Déplacer une machine  Change VLAN  Reconfiguration nécessaire Département Informatique

Département Informatique VLAN 2 – Filtrage MAC VLAN = liste @ MAC Avantage : Une interface réseau garde son VLAN Inconvénients : Machines avec plusieurs interfaces réseau (ex. portables avec plusieurs stations) Obligation de reconfigurer tous les switchs à chaque modification d’un client Plus lent (analyse entête Ethernet nécessaire) Département Informatique

Département Informatique VLAN 2 – Exemple A3 B2 B1 B3 A2 C1 A1 C2 hub 1 2 3 4 5 6 7 8 C3 A1 A2 A3 B1 B2 B3 C1 C2 C3 Département Informatique

VLAN 3 – Filtrage par protocole Repose sur les protocoles de couche 3 Avantages : Indépendant du matériel Facile à configurer Inconvénients : Protocoles routables uniquement Encore plus lent (analyse entêtes 2+3) Département Informatique

Département Informatique VLAN 3 – Exemple A1 A2 B1 A3 B2 B3 C1 C2 1 2 3 4 5 6 7 8 192.168.64.0 /18 192.168.160.0 /19 IPX Département Informatique

Département Informatique VLAN Hybrides VLAN couche 3 Uniquement protocoles routables Et les autres protocoles ??? (Netbios, …) VLAN couche 2 Charge d’administration importante Liée au matériel (Ethernet, …) VLAN hybride Protocoles N3 quand possible Adresses MAC sinon Département Informatique

Département Informatique Contenu du cours Virtual Local Area Network Quality of Service Virtual Private Network Département Informatique

Qualité de Service (QoS) Un problème de garanties Qu’est-ce qu’un service ??? Débit, Délai, MTU Variabilité, Coût, … Arrivée garantie Non-Fragmentation Débit GLOBAL du réseau Critères hybrides (Débit + Coût, …)  Un problème de métriques Département Informatique

QoS – un problème de métriques Choix d’une métrique ? Demandes de l’utilisateur Options proposées par le réseau Options possibles : Comment les calculer ? Comment les distribuer ?  Echange de trames entre routeurs, switches, etc.… … Consommation de bande passante Département Informatique

Département Informatique Exemple : OSPF Open Shortest Path First Concurrent de RIP Gère 8 niveaux de priorités (3 métriques) ToS de IP sur 3 bits…  8 niveaux Ne garanti aucun service (« best effort ») Les ressources peuvent être utilisées Plusieurs extensions proposées Pas de standard établi Chaque domaine fait de son mieux… Département Informatique

Département Informatique QoS – Hétérogénéité ? Domaines différents, QoS différentes Comment faire ? Si un paquet traverse plusieurs domaines ?  Problème ouvert Plusieurs pistes envisagées Utilisation des métriques communes (ignorer les autres)  moins d’options Définir un jeu de métriques standard Router « par morceau » Département Informatique

RSVP – Faites moi de la place ! Protocole de réservation de ressources Pour le multicast Descendant de ST-II Père de YESSIR & Boomerang Principe : Réservation dynamique en 2 passes Messages UDP avec Option IP « Path » de l’émetteur vers les récepteurs « Recv » des récepteurs vers l’émetteur Possibilité de fusionner les flux Libération par TimeOut (ou sur ordre). Département Informatique

Département Informatique RSVP - Exemple S Rsv – flux h h R1 Rsv – flux a Rsv – flux b b a Rsv – flux g R2 R3 Rsv – flux e Rsv – flux d g d e D1 D2 D3 Département Informatique

Département Informatique Contenu du cours Virtual Local Area Network Quality of Service Virtual Private Network Département Informatique

Virtual Private Network VPN : Réseau Privé Virtuel Objectifs : Etendre un LAN par delà un WAN En toute sécurité (piratage) Moyens : Tunneling / Encapsulation IP/IP Generic Routing Encapsulation (GRE) L2TP IPSec MPLS Département Informatique

Département Informatique Tunnel ? Kézako ? Canal de transfert de données Transport Opaque : Le paquet transporteur n’a aucun rapport Avec les données transportées Avec les adresses source/destination Avec le protocole transporté Transport Sécurisé Encryptage des données (facultatif) Transport de Qualité QoS respectée (facultatif) Département Informatique

Protocole de transport IP / IP Trame IP portée par une trame IP Generic Routing Encapsulation Encapsulation de couche 2 Level 2 Transport Protocol IPSec Encapsulation cryptée de couche 3 Multi-Protocol Label Switching Routage par label. (non étudié car non IP) Département Informatique

Tunnel – Ses extrémités Plusieurs possibilités Station de travail Ouverture d’une connexion sécurisée temporaire de machine à site distant Firewall / Routeur Connexion permanente sécurisée Ouverture via un « proxy » Pont transparent Totalement transparent Département Informatique

Département Informatique VPN – Propriétés (1) Multiplexage Plusieurs tunnels simultanés Proposé ni par IP/IP, ni par GRE Signalement (optionnel) Partage d’informations Exemple : Internet Key Exchange  partage de clés de cryptage pour IPSec Sécurité (Cryptage) IPSec : Inclus de base Autres : Surcouche « à la main » Département Informatique

Département Informatique VPN – Propriétés (2) Multi-protocole Plusieurs protocoles transportés Proposé par L2TP, via PPP IP/IP, IPSec : IP seulement (PPP possible) Séquençage Remise des paquets dans l’ordre L2TP et GRE : De base IPSec : Extension Autres : ‘à la main’ Département Informatique

Département Informatique VPN – Propriétés (3) Maintenance Vérifier la survie du tunnel (TimeOut) Proposé par L2TP, via un « Keep Alive » MTU En général assez gros Géré par le protocole de transport Congestion Contrôle et évitement de la saturation du tunnel Plus utilisé  protocole de haut niveau (TCP, par exemple) Département Informatique

Département Informatique VPN – Propriétés (4) Qualité de Service Dépend de beaucoup de paramètres Equipements aux extrémités Route(s) empruntée(s) par le tunnel Overhead Défauts inhérents au tunnel Bande passante consommée (entêtes, …) Encryptage / Décryptage des données  délais, latences, CPU Département Informatique