Emmanuel besson emmanuel besson@francetelecom com
Download
1 / 106

Architecture des Réseaux - PowerPoint PPT Presentation


  • 58 Views
  • Uploaded on

Emmanuel BESSON [email protected] Architecture des Réseaux. - Partie II -. Architecture des Réseaux Architectures étendues. Agenda (deuxième journée). Interconnexion de réseaux Architectures étendues Solutions de réseaux d’accès Solutions de réseaux fédérateurs

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Architecture des Réseaux' - nhung


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Emmanuel besson emmanuel besson@francetelecom com

Emmanuel BESSON

[email protected]

Architecture des Réseaux


Partie ii

- Partie II -

Architecture des RéseauxArchitectures étendues


Agenda deuxi me journ e
Agenda (deuxième journée)

  • Interconnexion de réseaux

  • Architectures étendues

    • Solutions de réseaux d’accès

    • Solutions de réseaux fédérateurs

    • Notions de réseaux privés virtuels

    • Réseaux de mobiles


Interconnexion de r seaux
Interconnexion de réseaux

  • Objectifs

    • Connaître les différentes technologies des réseaux d'entreprise

    • Comprendre avantage & inconvénients des solutions du marché

  • Plan

    • Solutions de réseaux d’accès

    • Solutions de réseaux fédérateurs

    • Notions de réseaux privés virtuels

    • Réseaux de mobiles

Notions de réseaux privés virtuels


Solutions d interconnexion ip
Solutions d’interconnexion IP

  • Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs :

    • Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service

    • Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures)

  • Le « packaging » des offres opérateurs s’orientent vers les Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP)

    • Proposer des « prises IP »

    • Agrémenter les accès de garanties en termes de :

      • Qualité de Service (VPN-IP CoS)

      • Sécurité (VPN-IP IPSec)


D finition d un vpn
Définition d’un VPN

  • Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un réseau qui…

    • … utilise et/ou partage des infrastructures publiques ou privées

    • … met en œuvre des mécanismes de sécurité et de Qualité de Service

  • Comparatif VPN / Réseau Privé


D finition d un vpn frame relay
Définition d’un VPN Frame Relay

  • VPN basé sur des infrastructures Frame Relay

    • VPN Frame Relay (offre traditionnelle opérateur)

    • Notion de CVP et de point-à-point

      • Maillage complet

      • Gestion par l’opérateur complexe

      • Manque de flexibilité


D finition d un vpn ip
Définition d’un VPN IP

  • De nouvelles offres : VPN IP (apparues il y a un an)

    • IP

      • Protocole universel au niveau des applications

      • Extension au niveau du transport pour les offres de service réseau

    • De nouveaux protocoles de gestion

      • Qualité de Service

        • MPLS : toujours en normalisation (essentiellement équipements)

        • DiffServ : normalisé

      • Sécurité

        • IPSec

    • Réseau constitué de routeurs IP

    • Transport des flux IP de façon « native » (routage dynamique)



Constitution d un vpn ip 2
Constitution d’un VPN IP (2)

  • Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission.

  • A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution


Constitution d un vpn ip 3
Constitution d’un VPN IP (3)

  • Composantes

    • Réseau de transport : infrastructure « backbone » ou Internet

    • Moyens d’accès

      • CPE (Customer Premises Equipment) : routeur, modem

      • Connexion au réseau de transport via réseau d’accès

    • Moyens de sécurisation

      • Technologies propres au réseau de transport (ex. : CVP Frame Relay)

      • Déploiement d’équipements et logiciels spécifiques

        • Pare-feux

        • Serveurs d’authentification/autorisation

    • Plate-formes de services (hébergement)

      • Messagerie, accès Web, etc.

      • Infogérance

    • Moyens de supervision


Diff rents types de vpn ip
Différents types de VPN IP

  • VPN IP « Internet »

    • Infrastructure entièrement publique

    • Utilisation des réseaux ISP

  • VPN IP « Opérateur »

    • Infrastructure fournie par un prestataire

    • MPLS ou non

    • IPSec ou non

  • VPN Frame Relay & IP

    • Avantages & inconvénients

    • Comparatifs


D finition vpn ip internet 1
Définition VPN IP Internet (1)

  • VPN IP Internet

    • Utilisation des infrastructures Internet

    • « Intelligence » gérée au niveau des extrémités (CPE)

    • Création de tunnels LAN/LAN ou LAN/PC


D finition vpn ip internet 2
Définition VPN IP Internet (2)

  • VPN IP Internet

    • Utilisation de protocoles de tunneling

      • PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol)

        • Utilisés dans le cadre d’accès commutés

        • Environnement multi-protocoles

      • L2TP (Layer 2 Tunneling Protocol)

        • Rassemble les avantages de PPTP et L2F

        • Nombreuses solutions constructeurs

      • IPSec (IP Secured)

        • Norme IETF initialisée en 1992, normalisée en 2000

        • Sécurité supérieure

        • Associé à IP

        • Intégré dans IPv6


D finition vpn ip internet 3
Définition VPN IP Internet (3)

  • VPN IP Internet

    • Utilisation d’algorithmes de chiffrement

      • DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation)

    • Différents types de passerelle VPN IP

      • Passerelle dédiée : équipement situé entre le routeur du LAN et Internet

      • Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP)

      • Passerelle intégrée au firewall

    • Utilisation d’un serveur de sécurité (authentification/autorisation)

      • Serveur Radius, etc.



Les applications vpn ip internet
Les applications VPN IP Internet

  • Applications non critiques, non temps-réel

    • Internet : « best effort »

    • Pas de qualité de service

  • Création structure Extranet / Intranet

  • Accès à distance à un Intranet / Extranet

    • … depuis des sites de petite taille, ou situés à l’étranger

    • … de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)


D finition vpn ip op rateur 1
Définition VPN IP Opérateur (1)

  • VPN IP Opérateur

    • Réseau privatif sur infrastructure IP managée

    • Réseau constitué de routeurs IP

      • CE : Customer Equipment

      • PE : Provider Edge

      • P : Provider


D finition vpn ip op rateur 2
Définition VPN IP Opérateur (2)

  • VPN IP Opérateur

    • Offres récentes

    • Correspond à une logique d’externalisation (outsourcing)

    • Service & gestion des équipements (y compris les CPE) par l’opérateur

  • Deux stratégies d’opérateurs : gestion du protocole MPLS ou non

  • Évolution du marché : MPLS


Vpn ip op rateur mpls g n ralit s
VPN IP Opérateur MPLS : généralités

  • Gestion de MPLS associé à DiffServ = QS et sécurité sous IP

    • Priorisation des flux avec plusieurs classes de service disponibles

      • Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence…

      • Critique : ERP, SQL, transactionnel…

      • Standard : Messagerie, consultation Web, …

    • Entre 3 et 5 classes selon les offres opérateurs

    • Optimisation de la bande passante

    • MPLS assure l’étanchéité des flux (sécurité)

  • Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec

  • Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante


Vpn ip op rateur mpls qs et applications
VPN IP Opérateur MPLS : QS et Applications

  • Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles

    • Disponibilité de services

    • Délai de transmission

    • Gigue : variation du délai de transmission

    • Débit garanti

    • Taux des paquets perdus

  • Les SLA sont associés aux classes de service

  • L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité


Vpn ip op rateur mpls focus mpls diffserv 1
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1)

  • MPLS

    • Développé par l’organisme IETF

    • Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau

    • Performances et sécurité sous IP

    • Pas encore tout à fait mature

    • Solutions différentes pour les équipementiers


Vpn ip op rateur mpls focus mpls diffserv 2
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2)

  • DiffServ

    • Développé par l’organisme IETF

    • Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique)

    • Se combine à MPLS pour délivrer une Qualité de Service de bout en bout

    • Intégré dans IPv6

    • Normalisé


Vpn ip op rateur non mpls vpn ip ipsec
VPN IP Opérateur non MPLS : VPN IP IPSec

  • Pas de gestion de MPLS

    • L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné

    • Mélanges fréquents avec des flux Internet

    • Pas de classes de service (sauf recours à DiffServ)

    • SLA

      • perte de paquet, temps de transit…

      • moins d’engagements qu’avec des offres MPLS

    • Sécurité

      • Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement

      • Solutions VPN IP IPSec


Vpn ip op rateur applications
VPN IP Opérateur : applications

  • Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication

  • Offres bien adaptées aux structures et aux applications distribuées

  • Offres adaptées à toutes les applications existantes et à venir

  • Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…


Vpn frame relay avantages inconv nients

Avantages

Maturité

Qualité de Service

Sécurité (CVP)

Multi-protocoles

Adaptés aux structures en étoiles

Inconvénients

Manque de flexibilité (CVP)

Peu adapté aux accès à distance, aux Extranets, et aux structures maillées

Technologie plutôt en fin de vie

VPN Frame Relay : avantages & inconvénients


Vpn ip avantages inconv nients

VPN IP Internet

Avantages

Simplicité

Coût

Sécurité

Capillarité

Flexibilité

Inconvénients

Best effort

Problèmes d’interopérabilité

Mise en œuvre délicate

VPN IP Opérateur

Avantages

Idem « VPN IP Internet »

Qualité de Service

Sécurité

Aspect « any-to-any »

Classes de service

Évolutivité

Visibilité sur le réseau

Bien adapté aux nouvelles technologies d’accès

Bien adapté aux applications temps réel

Inconvénients

Technologie récente et encore peu mature (MPLS)

Offres encore incomplètes

VPN IP : avantages & inconvénients



Comparatif vpn ip et r seau priv ip
Comparatif VPN IP et réseau privé IP

Coût

  • Réseau Privé IP

  • + Sécurité, Maîtrise

  • Coût

  • Forte implication

  • de l’entreprise

VPN IP Opérateur

+ Évolutivité

+ QS

+ Coût

VPN IP Internet

+ Capillarité

+ Coût

- QS aléatoire

Qualité


Solutions vpn
Solutions VPN

  • Trois types de VPN IP

    • VPN IP Internet

    • VPN IP Opérateur IPSec

    • VPN IP Opérateur MPLS

  • Les offres VPN IP Opérateur cumulent…

    • … les avantages du protocole IP (flexibilité, « any-to-any », coût)

    • … les avantages des offres VPN Frame Relay (QS et sécurité)

  • Évolution du marché vers les offres VPN IP MPLS

  • Les offres VPN Frame Relay restent attractives pour certains besoins


Migration vers un vpn ip 1

Réseau privé géré par l’entreprise

Location de Liaisons Spécialisées à un opérateur

Gestion des flux et de la QS par l’entreprise

Solution VPN IP

L’infrastructure réseau local des sites ne change pas

Gestion des flux et de la QS par l’opérateur VPN

Externalisation des coûts de gestion

Migration vers un VPN IP (1)


Migration vers un vpn ip 2

Concentration des communications sur une plate-forme centrale

Gestion des serveurs d'accès distant par l'entreprise.

Communications au tarif local, national voire international

Solution VPN IP

Connexion des nomades via l'infrastructure d'accès du prestataire.

Communications au tarif local

Optimisation des coûts de communication

Migration vers un VPN IP (2)


Migration vers un vpn 3
Migration vers un VPN centrale(3)

  • La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines

    • Infrastructure physique

    • Sécurité logique

    • Services applicatifs


Diff rentes cat gories d acteurs
Différentes catégories d’acteurs centrale

Fournisseurs d’Accès Internet

Carrier to Carrier

Opérateurs IP

Opérateurs Télécom Nationaux

Opérateurs de Boucle Locale

Opérateurs historiques


Diff rents niveaux de vpn ip
Différents niveaux de VPN IP centrale

VPN Internet

VPN IP

DiffServ

IPSec

COS

MPLS


Diff rents positionnements 1
Différents positionnements centrale(1)

  • Choix de protocoles (fin 2001)


Diff rents positionnements 2
Différents positionnements centrale(2)

  • Convergence vers MPLS


Uniformisation des prestations 1
Uniformisation des prestations centrale(1)

  • Prestations techniques (liées à l’implémentation du VPN IP)

    • Raccordement des sites

      • Gestion des accès

      • Gestion des routeurs

      • Gestion de la sécurité

    • Transport

      • Connexion au backbone

      • Routage VPN client

      • Traitement différencié des flux

    • Accès à Internet

      • Adresses IP

      • Dépôt de noms de domaines

      • Gestion de la sécurité

    • Services d’accompagnement client

      • Tuning, conseil, optimisation du VPN


Uniformisation des prestations 2
Uniformisation des prestations centrale(2)

  • Services proposés aux gestionnaires

    • Gestion des modifications

    • Fonctionnalités de reporting

  • Services transverses

    • Services de support

    • Services de facturation

    • SLA & contrats

  • Mais encore beaucoup d’offres sur mesures


Diff rents positionnements 3
Différents positionnements centrale(3)

  • Enrichissement des offres sur les types d’accès


S curit dans les vpn

L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

… l’écoute des communications

… la falsification des données échangées

… l’usurpation d’identité

Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux :

Assurer la confidentialitédes données

Assurer l’intégrité des données pendant le transport

Assurer l’authentification certaine des parties en relations

Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographie

Sécurité dans les VPN


Crypto syst mes
Crypto-systèmes mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement

Crypto-système

Fonction de

Chiffrement

Fonction de

Déchiffrement

Ensemble des clés utilisables


Crypto syst mes sym triques
Crypto-systèmes symétriques mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Pour chiffrer / déchiffrer le message, on utilise une clef unique

    • Cette clef est appelée clef secrète

    • Une clef différente donne un résultat différent

Fonction de

Chiffrement

Bonjour

8964K9X

Clef secrète

Fonction de

Déchiffrement


Crypto syst mes asym triques 1
Crypto-systèmes asymétriques mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes

    • La clef de chiffrement est appelée clef publique

    • La clef de déchiffrement est appelée clef privée

Clef publique

Fonction de

Chiffrement

Bonjour

Bonjour

Fonction de

Déchiffrement

8964K9X

Clef privée


Crypto syst mes asym triques 2
Crypto-systèmes asymétriques mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés

  • La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus


Mise en uvre de la s curit 1
Mise en œuvre de la sécurité mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels

  • Son objectif est de créer un tunnel chiffré et authentifié entre deux points

  • Le chiffrement et l’authentification des parties font appel à la cryptographie


Mise en uvre de la s curit 2
Mise en œuvre de la sécurité mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • Le protocole IP ne dispose nativement d’aucune fonction cryptographique

  • Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie

    • Extension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured)

    • IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS)


Protocole ipsec 1
Protocole IPSec mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatile (mise à jour à intervalle régulier)

  • Cette clef est appelée clef de session

  • L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique


Protocole ipsec 2
Protocole IPSec mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • IPSec introduit deux nouveaux protocoles IP

    • AH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification

    • ESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur

  • IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKE (Internet Key Exchange)


Protocole ipsec 3
Protocole IPSec mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(3)

  • IPSec ajoute quelques fonctions intéressantes

    • Perfect Forward Secrecy

      • Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session

      • La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session

    • Back Traffic Protection

      • Chaque clef de session est générée indépendamment des autres

      • La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir


Points d licats de la s curit 1
Points délicats de la sécurité mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • A quoi faire attention ?…

    • Interopérabilité des équipements

      • IPSec norme IETF

        (http://www.ietf.org/html.charters/ipsec-charter.html)

      • Implémentation de la norme différente selon les équipementiers et éditeurs

      • Certains équipements refusent obstinément de communiquer ensemble

      • Amélioration progressive à prévoir

    • Translation d’adresse (NAT)

      • Les mécanismes de NAT réécrivent les paquets IP

      • La translation d’adresse casse l’authentification

      • Solutions

        • NAT et VPN IPSec sur le même équipement

        • Translation avant chiffrement


Points d licats de la s curit 2
Points délicats de la sécurité mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • A quoi faire attention ?…

    • Postes nomades

      • Quid en cas de vol d’un poste nomade ?

      • Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple identifiant/authentifiant

      • Envisager un mécanisme d’authentification forte


L avenir de la s curit vpn
L’avenir de la sécurité VPN mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • La tendance est à l’implémentation native des fonctions IPSec dans les systèmes d’exploitation (ex. : Linux, Windows 2000, Windows XP, …)

  • IPv6 intégrera la sécurité de façon native


Concepts de qualit de service 1
Concepts de Qualité de Service mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots

    • Mécanismes de priorisation

    • Règles de gestion de la congestion (politiques de files d’attente)

    • Mise en forme de trafic (lissage, shaping)

  • Au sein d’un réseau, les liaisons n’ayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS


Concepts de qualit de service 2
Concepts de Qualité de Service mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • L’architecture orientée QS se compose de trois méthodes d’implémentation :

    • Implémentation de bout-en-bout

      • Techniques d’identification et de marquage

      • Coordination de la QS entre deux équipements terminaux

    • Implémentation locale à un équipement

      • Mécanismes de files d’attente

      • Outils de lissage de trafic

    • Fonctions de contrôle et de gestion de la QS

      • Compteurs

      • Administration


Concepts de qualit de service 3
Concepts de Qualité de Service mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(3)


Identification et marquage 1
Identification et marquage mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifié

    • Listes d’accès

    • CAR (Committed Access Rate)

    • NBAR (Network-Based Application Recognition)

  • Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marqués ou non

  • Le processus d’identification/marquage est appelé classification


Identification et marquage 2
Identification et marquage mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • Identification sans marquage : classification locale

    • L’équipement identifie des paquets appartenant à un flot

    • Il met en œuvre une politique locale

    • La classification « disparaît » et n’est pas transmise ou nœud suivant sur le chemin

    • Exemples :

      • Priority Queuing (PQ)

      • Custom Queuing (CQ)

  • Identification et marquage : classification globale

    • Les paquets sont marqués pour l’ensemble du chemin

    • Utilisation possible des bits de précédence IP

      • Exemple : DiffServ (Differentiated Service)


Impl mentation locale de la qs 1
Implémentation locale de la QS mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés

    • Gestion de la congestion

      • Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ?

      • Stockage dans une file, plusieurs files

      • Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing)

    • Gestion des files d’attente

      • Les buffers étant de taille limitée, ils peuvent « déborder »

      • Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ?

      • Exemple : WRED (Weighted Random Early Detect)


Impl mentation locale de la qs 2
Implémentation locale de la QS mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés

    • Efficacité des liens

      • Les liens à bas débits posent le problème du délai de transmission (sérialisation)

        • Exemple : un paquet de 1500 octets nécessite 214ms

      • Les petits paquets sont pénalisés

      • Solutions :

        • Fragmentation & entrelacement

        • Compression des en-têtes

    • Mise en forme du trafic

      • Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un lien bas-débit

      • Exemple : trafic retour backbone vers accès

      • Possibilité de « jeter » les trafics excessifs (CAR)


Mise en uvre de la qs
Mise en œuvre de la QS mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • La gestion de la QS sous-entend une méthodologie permettant d’évaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre :

    • Utilisation de sondes RMON

      • Caractérisation du trafic

      • Estimation des temps de réponse pour les applications critiques

    • Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques

    • Contrôle des effets de ces mécanismes

      • Outils d’administration

      • Tests de temps de réponse, de charge, etc.


Niveaux de qs 1
Niveaux de QS mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Les niveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau d’un bout à l’autre

    • Service « Best Effort »

      • Aucune garantie de QS

      • Connectivité simple, pas de différentiation de flots

      • Files FIFO

    • Service différencié

      • Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible)

      • Garantie « statistique »

      • Classification + PQ, CQ, WFQ et WRED

    • Service garanti

      • Réservation absolue de ressources réseaux pour certains trafics

      • RSVP, CBWFQ


Niveaux de qs 2

Best Effort mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

Différencié

Garanti

Niveaux de QS (2)

Simple connectivité IP

(Internet)

Best Effort

(IP, IPX, AppleTalk)

Différencié

(Class First,

Business, Coach)

Certains trafics

sont plus

importants

que les autres

Certaines applications

requièrent des ressources

réseau spécifiques

Garanti

(Bande passante,

Délai, Gigue)


Classification
Classification mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués

  • Identification

    • Listes d’accès (ACL)

      • Identification pour priorisation locale (PQ, CQ, CBWFQ)

      • Pas de marquage des paquets

    • Affectation d’une précédence IP (champ TOS étendu)

      • Routage stratégique (PBR : Policy-Based Routing)

      • Associé à une identification via ACL

      • Déploiement en périphérie du réseau (ou de la zone de routage)

    • Autres méthodes d’affectation de précédence

      • CAR : marquage des paquets excédentaires

      • NBAR : identification fine (niveau 4 à 7)

        • Exemple : niveau 4  HTTP

        • Exemple : niveau 7  URL http://www.iae-aix.com


Pbr policy based routing
PBR (Policy – Based Routing) mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Le routage stratégique PBR permet…

    • … de classifier le trafic à partir de listes d’accès étendues

    • … de fixer les bits de précédence IP au sein des paquets identifiés

    • … de router ces paquets sur des chemins spécifiques

  • L’utilisation conjointe de PBR et des mécanismes de files d’attente permet de créer une différenciation des services

  • PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP.


Car committed access rate
CAR (Committed Access Rate) mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant l’allocation nominale de bande passante

    • Élimination des paquets excédentaires

    • Marquage (bits de précédence) des paquets excédentaires

  • CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis d’un débit alloué

    • Utilisation du mécanisme de « leaky bucket » (jetons)

    • Similaire à l’algorithme de GCRA pour ATM (test du PCR)

Excédentaire

Prec = 2

Débit

alloué

Bande

passante

Conforme

Prec = 6


Nbar network based application recognition
NBAR : Network – Based Application Recognition mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • NBAR effectue une identification dynamique des flots…

    • … à un niveau supérieur

      • Exemple : applications orientées Web (HTTP)

        • URL

        • MIME

      • Contrôle des dialogues fixant les ports dynamiques

    • … autorisant un marquage ultérieur plus fin


Qs diff renci e
QS différenciée mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Le marquage des paquets IP permettant d’appliquer des mécanismes de priorisation est réalisé à l’aide du champ Type Of Service (TOS) de l’en-tête IPv4

    • 3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau)

    • Extension à 6 bits (RFC 2475) pour DiffServ

    • Utilisation du champ « Priority » en IPv6


Gestion de la congestion 1
Gestion de la congestion mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • En cas de congestion (surcharge d’un équipement ou d’un lien), les routeurs doivent stocker les paquets dans des buffers

  • Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files d’attente

    • Tri du trafic

    • Méthodes de priorisation

  • Les algorithmes les plus couramment utilisés sont :

    • FIFO (First-In, First-Out)

    • PQ (Priority Queuing)

    • CQ (Custom Queuing)

    • WFQ (Weighted Fair Queuing)

    • CBWFQ (Class – Based WFQ)


Gestion de la congestion 2
Gestion de la congestion mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • FIFO

    • Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée lorsque la congestion disparaît

    • Algorithme par défaut

    • Aucune décision de priorité

    • Aucune protection contre les sources excessives

    • Lors du débordement, la perte s’effectue par la queue, sans distinction

Priorité forte

out

in

Priorité moyenne

Priorité faible

perte


Gestion de la congestion 3
Gestion de la congestion mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(3)

  • PQ

    • Définition de niveaux de priorité

    • Chaque niveau de priorité se voit assigner une file de taille égale

    • Préemption totale des files prioritaires

Priorité forte

in

Priorité moyenne

out

Priorité faible

perte

Pas d’indication de

priorité


Gestion de la congestion 4
Gestion de la congestion mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(4)

  • CQ

    • Classification du trafic

    • L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur aux différentes classes de trafic

    • Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin)

Priorité forte

in

Priorité moyenne

out

Priorité faible

perte

Pas d’indication de

priorité


Gestion de la congestion 5
Gestion de la congestion mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(5)

  • WFQ

    • Définition de niveaux de priorité

    • Chaque niveau de priorité se voit assigner une file de taille égale

    • Le service est ordonnancé

      • La pondération (Weight) est directement calculée à partir de la valeur de précédence

      • Par défaut, sans priorisation, WFQ utilise le volume comme poids

6/10

Priorité forte

6

in

Priorité moyenne

3

out

3/10

1

Priorité faible

perte

1/10


Gestion de la congestion 6
Gestion de la congestion mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(6)

  • CBWFQ

    • Définition de niveaux de priorité

    • Chaque niveau de priorité se voit assigner une file de taille égale

    • Le service est ordonnancé

      • La pondération est décidée par l’administrateur

      • Les poids sont calculés à partir de la part de bande passante allouée

1024 kb/s

Priorité forte

in

Priorité moyenne

out

768kb/s

2Mb/s

Priorité faible

perte

256 kb/s


Gestion des files d attente 1
Gestion des files d’attente mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • WRED

    • Principe

      • Dérivation de RED (Random Early Detect) avec application des précédences IP

      • Refuser des paquets entrants pour éviter la congestion et la perte

    • Objectifs

      • Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue »

      • Refus des paquets entrants en fonction de leur priorité

    • La décision de refus d’un paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file)


Gestion des files d attente 2
Gestion des files d’attente mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • WRED

    • Exemple :

      • Capacité nominale de la file : 20 paquets

      • Seuil pour les paquets de priorité forte : 20

      • Seuil pour les paquets de priorité moyenne : 15

      • Seuil pour les paquets de priorité faible : 10


Efficacit des liens 1
Efficacité des liens mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Problèmes

    • Taille relative des paquets de données IP

      • Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP)

      • Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés

    • Taille absolue des paquets de données IP

      • L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue l’overhead

      • Les petits paquets ont une plus forte part d’overhead que les gros paquets

      • Exemples (TCP/UDP + IP = 40 octets minimum)

        • FTP : 1500 octets utiles  ~ 2.6%

        • SQL : 256 octets utiles  ~ 13.5%

        • VoIP : 20 octets utiles  ~ 66.7%


Efficacit des liens 2
Efficacité des liens mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • LFI (Link Fragmentation & Interleaving)

    • Fragmentation des grands datagrammes (« jumbogrammes »)

    • Entrelacement des fragments et des petits datagrammes

    • Normalisation IETF en cours

      • Fondée sur l’utilisation de PPP sur les liens bas-débits

      • MCML (MultiClass extensions to Multilink PPP)

Fragmentation

Grands datagrammes

WFQ

(Entrelacement)

in

Petits datagrammes

out

Fragments


Efficacit des liens 3
Efficacité des liens mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(3)

  • Compression des en-têtes

    • Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-à-point

    • Paquets RTP/UDP/IP

      • 40 octets d’en-tête (20 IP, 8 UDP, 12 RTP)

      • Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo)

    • Paquets TCP/IP

      • 40 octets d’en-tête (20 IP, 20 TCP)

      • Typiquement 500 à 1500 octets d’informations (FTP, e-mail, etc.)

    • Compression des en-têtes

      • Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)


Efficacit des liens 4
Efficacité des liens mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(4)

  • Compression des en-têtes

    • Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)

      • Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le routage

      • En-tête compressé : 2 à 5 octets

    • Diminution de l’overhead

    • Diminution du temps de sérialisation (insertion sur le support, transmission)

    • Exemples de gains sur un lien à 64 kb/s  ~ 4.5 ms

      • FTP : réduction de 2.3%

      • SQL : réduction de 11.8%

      • VoIP : réduction de 58.3%


Mise en uvre de la qs1
Mise en œuvre de la QS mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

Classification

Efficacité des liens

Administration

Comptabilisation

Gestion de la congestion

(files d’attente)


Interconnexion de r seaux1
Interconnexion de réseaux mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Objectifs

    • Connaître les différentes technologies des réseaux d'entreprise

    • Comprendre avantage & inconvénients des solutions du marché

  • Plan

    • Solutions de réseaux d’accès

    • Solutions de réseaux fédérateurs

    • Notions de réseaux privés virtuels

    • Réseaux de mobiles

Réseaux de mobiles


Boucle locale ip
Boucle locale IP mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


Mobilit d bit
Mobilité & débit mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


Spectre radio
Spectre radio mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


R seau ad hoc
Réseau mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…ad hoc


Wpan wlan
WPAN & WLAN mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

Complexité


Bluetooth
Bluetooth mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Technologie pour remplacer les câbles

  • Débit inférieur à 1Mb/s

  • Une dizaine de mètres

  • Faible puissance

  • Coût très bas


Piconet
Piconet mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Piconet de 8 utilisateurs

  • – 1 maître et 7 esclaves (technique de polling)

  • Débit

    • 433,9 Kbit/s dans une communication full duplex

    • 723,2 Kbit/s et 57,6 dans l’autre sens dans une communication déséquilibrée

    • 64 Kbit/s en synchrone


Scatternet
Scatternet mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


Format du paquet bluetooth
Format du paquet Bluetooth mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Code d’accès

    • Synchronisation.

    • Identification.

  • En-tête

    • AM-ADDR: MAC-address

    • Type: payload type

    • Flow: flow control

    • ARQ: fast retransmit

    • HEC


Ieee 802 11 1
IEEE 802.11 mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)

  • Réseau d'infrastructure


Ieee 802 11 2
IEEE 802.11 mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)

  • Réseau en mode ad hoc


Quipements carte 802 11
Équipements : carte 802.11 mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


Quipements cartes wi fi
Équipements : cartes Wi-Fi mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Prix

    • Carte Wi-Fi au format compact flash : 170 €

    • Carte Wi-Fi pour Palm : 150 €

    • Carte Wi-Fi pour Visor : 150 €


Wi fi embarqu
Wi-Fi embarqué mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • D’ici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués

  • A partir de 2003, les PDA seront équipés de Wi-Fi embarqués


Quipements points d acc s
Équipements : points d'accès mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


Quipements antennes
Équipements : antennes mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


Architecture d taill e
Architecture détaillée mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


R glementation fran aise
Réglementation française mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • A l’intérieur des bâtiments

    • Aucune demande d’autorisation

    • Dans 38 départements :

      • Bande 2,400 – 2,4835 GHz, puissance 100 mW

    • Dans les autres départements

      • Bande 2,4465 – 2,4835 GHz, puissance 100 mW

      • Bande 2,400 – 2,4835 GHz, puissance 10 mW

  • A l’extérieur des bâtiments (Hotspots)

    • Dans 38 départements :

      • Bande 2,400 – 2,454 GHz, puissance 100 mW

      • Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation)

    • Dans les autres départements

      • Bande 2,400 – 2,4465 GHz : impossible

      • Bande 2,4465 – 2,4835 GHz, puissance 100 mW


S curit dans le wi fi
Sécurité dans le Wi-Fi mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Accès au réseau

    • Service Set ID (SSID) : équivalent au nom de réseau

    • Access Control List (ACL) : basé sur les adresses MAC

  • Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4

  • Nouvelle sécurité: TKIP, 802.1x et carte à puce


La mobilit 1
La mobilité mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(1)


La mobilit 2
La mobilité mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…(2)


Mobilit ip
Mobilité IP mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • Objectifs

    • Un mobile doit être capable de communiquer avec d’autres machines après avoir changé son point d’attachement sur l’Internet

    • Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur l’Internet

    • Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP

    • Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet


Mobilit ipv4
Mobilité IPv4 mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…

  • RFC 2002

  • Mobile Node : Nœud IPv4 qui peut changer de points d’attachement sur l’Internet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale)

  • Home Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère)

  • Foreign Agent : Routeur IPv4 situé dans le réseau visité par le mobile


Sc nario simplifi
Scénario simplifié mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…


ad