Les solutions de gestion des flux Multicast Date : 04-09-2012 Location: GUYANCOURT
Le MULTICAST Définition: On entend par Multicast le fait de communiquer simultanément avec un groupe d ’ordinateurs identifiés par une adresse spécifique (adresse de groupe). Soit de pouvoir partager des ressources via une IP à un groupe d’utilisateurs spécifiques.
Le MULTICAST Les avantages du Multicast: Optimisation des performances : élimine le trafic redondant Communication et transmission efficace: réduction de la charge CPU Autorise de vrais applications distribuées en multipoint (VOIP, etc…). L’inconvénient majeur: La diffusion du Multicast entraine une congestion du réseau
Pourquoi utiliser le Multicast Lorsque l’on a besoin d’envoyer les mêmes données à de multiples utilisateurs. Meilleure utilisation de la bande passante. Utilise moins les ressources d’un routeur. Applications associées: Video/Audio broadcast. Video conférence. Distribution en temps réel. Jeux Inter actifs.
Les Switches et le Multicast
Le fonctionnement des commutateurs Lorsqu’une trame entre dans le commutateur, celui-ci conserve l’adresse MAC de l’émetteur, qu’il associe au port sur lequel il l ’a reçu, dans une table de « pontage ». Le commutateur envoie alors la trame reçue, directement au port correspondant à l ’adresse MAC de destination en consultant sa table d ’adresses MAC.
Le fonctionnement des commutateurs Si l’adresse Mac est connue, il initialise sa table et la met à jour en s’occupant que des adresses de destinations. Si l’adresse de destination est inconnue du type Broadcast ou Multicast, le commutateur envoie simplement la trame sur tous les ports à l ’exception du port de réception. Si l ’adresse de destination est la même que celle de réception, la trame est filtrée.
Commutateur sans contrôle du multicast Problème: inondation des trames multicast Certains commutateurs traitent le trafic « multicast » comme inconnu ou comme « broadcast » et envoie la trame sur tous les ports. Des stations non intéressées reçoivent les flux multicast
Les diverses possibilités La gestion des flux multicast peut être réaliser grâce: À l’activation et paramétrage de l’IGMP La mise ne place de segmentation VLAN: Le VLAN par ports Le Voice VLAN L’ Auto Surveillance VLAN
Les commutateurs et le Snooping Les requêtes d’ hôtes IGMP demandent au routeur de commencer la diffusion de Multicast sur le LAN, puisqu'un ou plusieurs hôtes sur le LAN sont des membres d’un groupe. Si des groupes d’utilisateurs ne sont pas définis sur le LAN au niveau du commutateur, par convention tous les hôtes du réseau seront innondés de requêtes Multicast. Cela aura comme conséquence un ralentissement considérable du réseau local pouvant aller jusqu’à la saturation de la bande passante du commutateur. Il existe cependant quelques techniques pour pallier à ce problème…dont l’IGMP Snooping.
Principe des VLAN’s Il existe 3 types différents de VLAN : VLAN de niveau 1 (ou VLAN par port) : Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN. VLAN de niveau 2 (ou VLAN par adresse MAC) : Ici l'on indique directement les adresses MAC des cartes réseaux contenues dans les machines que l'on souhaite voir appartenir à un VLAN, cette solution est plus souple que les VLAN de niveau 1, car peu importe le port sur lequel la machine sera connectée, cette dernière fera partie du VLAN dans lequel son adresse MAC sera configurée. VLAN de niveau 3 (ou VLAN par adresse IP) : Même principe que pour les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une plage d'IP) qui appartiendront à tel ou tel VLAN.
Le VLAN par ports
VLAN de niveau 1 (ou VLAN par port) Les avantages du VLAN par port: Association port-utilisateur. Aucun paquet ne quitte son domaine. Sécurité maximale entre VLANs. Facilement contrôlable dans le réseau. Les inconvénients: grosses difficultés d’administrations lorsque le nombre de ports augmente. Pas de filtrage des « Broadcast » sur les segments partagés. Beaucoup d ’administration.
VLAN de niveau 1 (ou VLAN par port) Les VLANS de niveau 1 ou VLAN par port(PORT BASED VLAN) regroupent les stations connectées à un même port du commutateur. VLAN1 VLAN2 1 2 3 4 5 6 7 Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN.
Mise en place/procédure Exemple de support: Créez un tableau (Excel, open office,etc..) qui représenterai un aperçu rapide de l’interface du Switch. Ports VID 1 2 3 4 Etc… _ T x
Le Voice VLAN
Le Voice VLan Quels atouts vont apporter cette fonctionnalité? Le gros avantage de cette solution, est de pouvoir détecter automatiquement les combinés autorisés sur n’importe quel port du switch. Une fois détecté le combiné sera automatiquement associé à son VLAN et aura automatiquement la QoS attribuée (Cos à 6). Les postes téléphoniques IP sont donc isolés sur un LAN privé. Cette segmentation met la VoIP à l'abri des attaques courantes sur les autres réseaux (déni de service, codes malicieux reproducteurs...), mais elle permet aussi de contrôler plus facilement le type et l'origine des postes.
Intégration de la VoIP sur un Lan Créer des VLAN’s par grande catégorie : serveurs, téléphones IP, consoles d'administration, terminaux applicatifs... Cette approche facilite non seulement l'organisation de la priorité des flux, mais elle nous permet aussi de mieux contrôler ce qui se passe sur le réseau afin de nous assurer qu'il s'agit bien d'un trafic légitime. Les flux doivent être marqués comme VoIP pour garantir un traitement de faveur sur le réseau.
Sécuriser les échanges VoIP Il faut ainsi être en mesure d'assurer la sécurité de la fonction téléphonie, tant contre le déni de service que contre l'interception des communications Le point commun demeure la nécessité d'isoler la VoIP(son trafic et ses outils) de la partie données du réseau. Il s'agit aujourd'hui de la mesure de sécurité la plus répandue en matière de téléphonie sur IP. Filtrage des adresses Mac des postes VoIP: pré-déclarées sur le commutateur les adresses MAC des combinés autorisés.
VoIP & D-Link Les commutateurs administrables de N3,N2 et les Smart Switch II et III intègrent une solution pour faciliter l’intégration de la VoIP dans un LAN appelée: Voice VLAN Cette fonctionnalité va permettre à des installateurs peut aguerri de paramétrer une solution VoIP sécurisée de manière automatique répondant aux exigences de l’application.
Le Voice VLan Comment fonctionne le « Voice VLan »? Une fois que vous avez activé cette fonctionnalité, il suffit de préciser le numéro du Vlan ID ou seront connectés vos téléphones. Ensuite, pour permettre une meilleure sécurité il suffira de spécifier les adresses MAC des combinés autorisés en précisant les « OUI » de vos téléphones. Et enfin, d’activer sur tous les ports du switch la détection automatique. Vous sauvegardez vos données.
Le Voice VLan Permet de paramétrer et d’assurer automatiquement une haute bande passante aux produits VoIP Détection Automatique des téléphones VoIP Selon l’adresse MAC de l’utilisateur ou OUI VLAN Auto Voix Routeur Marque OUI Prédéfini Cisco 00-03-6B 3Com 00-E0-BB Avaya 00-09-61 … PC1 Marque OUI par l’utilisateur D-Link 00-26-5A-C0-34-8B PC2 Le trafic VoIP de ces appareils aura automatiquement la plus grande priorité.
Exemple de configuration du Vlan voix Phone1 192.168.2.1/24 00-24-01-D7-C6-F7 PC1 192.168.1.1/24 00-11-95-C5-D9-E8 Port 1 Une adresse MAC est ce que l'on appelle l'adresse physique d'une carte Ethernet (Hardware address). En fait cette adresse est divisée en deux parties égales : Les trois premiers octets désignent le constructeur. C'est le l'organisation OUI (Organizationally Unique Identifier) gérer par l'IEEE, qui référence ces correspondances. - Les trois derniers octets désignent le numéro d'identifiant de la carte, dont la valeur est laissée à l'initiative du constructeur qui possède le préfixe.
Configuration du Vlan voix Paramétrage des ports Ethernet ou seront connectés les téléphones.
Résultats TEST: Résultats sur une captures de trames: Le téléphone 1 emet un appel vers le téléphone 2 (IP :192.168.2.2), et vice versa. De plus on lance des Ping du PC1 vers le PC2. Résultats sur une captures de trames:
Résultats Du fait, que nous avons “taggé” le port 24, et que ce port appartient aux deux VLANs, tous les ports ou seront connecté des téléphones seront automatiquement rajouter au VLAN Voice.. Exemple on a connecté sur le port 1 un téléphone…
Résultats Les PCs se retrouvent dans le “VLAN Data” et les téléphones dans le “VLAN Voice” automatiquement.
Auto Surveillance VLAN
Exemple d’utilisation Permet de paramétrer et d’assurer automatiquement une haute bande passante aux produits Vidéo IP: http://www.youtube.com/watch?v=t1pXxlW5olU SmartPro Switch SmartPro Switch
Aperçu de L’interface
Aperçu de L’interface Ne pas oublier de déclarer l’adresse MAC du poste qui visualisera les caméras!!!
Aperçu de L’interface