Les solutions de gestion des flux Multicast

Date : 04-09-2012

Location: GUYANCOURT

Définition:

• On entend par Multicast le fait de communiquer simultanément avec un groupe d ’ordinateurs identifiés par une adresse spécifique (adresse de groupe).

• Soit de pouvoir partager des ressources via une IP à un groupe d’utilisateurs spécifiques.

Le MULTICAST

Le MULTICASTLes avantages du Multicast:

Optimisation des performances : élimine le trafic redondantCommunication et transmission efficace: réduction de la charge CPUAutorise de vrais applications distribuées en multipoint (VOIP, etc…).

L’inconvénient majeur: La diffusion du Multicast entraine une congestion du réseau

Pourquoi utiliser le Multicast

Lorsque l’on a besoin d’envoyer les mêmes données à de multiples utilisateurs.

Meilleure utilisation de la bande passante. Utilise moins les ressources d’un routeur.

Applications associées:

Video/Audio broadcast. Video conférence. Distribution en temps réel. Jeux Inter actifs.

Les Switches et le Multicast

Le fonctionnement des commutateurs

• Lorsqu’une trame entre dans le commutateur, celui-ci conserve l’adresse MAC de l’émetteur, qu’il associe au port sur lequel il l ’a reçu, dans une table de « pontage ».

• Le commutateur envoie alors la trame reçue, directement au port correspondant à l ’adresse MAC de destination en consultant sa table d ’adresses MAC.

Le fonctionnement des commutateurs

• Si l’adresse Mac est connue, il initialise sa table et la met à jour en s’occupant que des adresses de destinations.

• Si l’adresse de destination est inconnue du type Broadcast ou Multicast, le commutateur envoie simplement la trame sur tous les ports à l ’exception du port de réception.

• Si l ’adresse de destination est la même que celle de réception, la trame est filtrée.

Commutateur sans contrôle du multicast

Problème: inondation des trames multicast

•Certains commutateurs traitent le trafic « multicast » comme inconnu ou comme « broadcast » et envoie la trame sur tous les ports.

•Des stations non intéressées reçoivent les flux multicast

Les diverses possibilités

Les commutateurs et le Snooping

Les requêtes d’ hôtes IGMP demandent au routeur de commencer la diffusion de Multicast sur le LAN, puisqu'un ou plusieurs hôtes sur le LAN sont des membres d’un groupe.

Si des groupes d’utilisateurs ne sont pas définis sur le LAN au niveau du commutateur, par convention tous les hôtes du réseau seront innondés de requêtes Multicast.

Cela aura comme conséquence un ralentissement considérable du réseau local pouvant aller jusqu’à la saturation de la bande passante du commutateur.

Il existe cependant quelques techniques pour pallier à ce problème…dont l’IGMP Snooping.

Il existe 3 types différents de VLAN :

1.VLAN de niveau 1 (ou VLAN par port) : Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN.

2.VLAN de niveau 2 (ou VLAN par adresse MAC) : Ici l'on indique directement les adresses MAC des cartes réseaux contenues dans les machines que l'on souhaite voir appartenir à un VLAN, cette solution est plus souple que les VLAN de niveau 1, car peu importe le port sur lequel la machine sera connectée, cette dernière fera partie du VLAN dans lequel son adresse MAC sera configurée.

3.VLAN de niveau 3 (ou VLAN par adresse IP) : Même principe que pour les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une plage d'IP) qui appartiendront à tel ou tel VLAN.

Principe des VLAN’s

Le VLAN par ports

Les avantages du VLAN par port:•Association port-utilisateur.

•Aucun paquet ne quitte son domaine.

•Sécurité maximale entre VLANs.

•Facilement contrôlable dans le réseau.

Les inconvénients:

•grosses difficultés d’administrations lorsque le nombre de ports augmente.

•Pas de filtrage des « Broadcast » sur les segments partagés.•Beaucoup d ’administration.

VLAN de niveau 1 (ou VLAN par port)

Les VLANS de niveau 1 ou VLAN par port(PORT BASED VLAN) regroupent les stations connectées à un même port du commutateur.

1 2 3 4 5 6 7

VLAN1 VLAN2

Il faut ici inclure les ports du commutateur qui appartiendront à tel ou tel VLAN. Cela permet entre autres de pouvoir distinguer physiquement quels ports appartiennent à quels VLAN.

VLAN de niveau 1 (ou VLAN par port)

Mise en place/procédure

Exemple de support:

Créez un tableau (Excel, open office,etc..) qui représenterai un aperçu rapide de l’interface du Switch.

PortsVID

1 2 3 4 Etc…

1 _ _ _ T

2 x _ _ T

3 _ _ _ T

Etc… _ x x T

Le Voice VLAN

Quels atouts vont apporter cette fonctionnalité?

1.Le gros avantage de cette solution, est de pouvoir détecter automatiquement les combinés autorisés sur n’importe quel port du switch.

2.Une fois détecté le combiné sera automatiquement associé à son VLAN et aura automatiquement la QoS attribuée (Cos à 6).

3.Les postes téléphoniques IP sont donc isolés sur un LAN privé.

4.Cette segmentation met la VoIP à l'abri des attaques courantes sur les autres réseaux (déni de service, codes malicieux reproducteurs...), mais elle permet aussi de contrôler plus facilement le type et l'origine des postes.

Le Voice VLan

•Créer des VLAN’s par grande catégorie : serveurs, téléphones IP, consoles d'administration, terminaux applicatifs...

• Cette approche facilite non seulement l'organisation de la priorité des flux, mais elle nous permet aussi de mieux contrôler ce qui se passe sur le réseau afin de nous assurer qu'il s'agit bien d'un trafic légitime.

•Les flux doivent être marqués comme VoIP pour garantir un traitement de faveur sur le réseau.

Intégration de la VoIP sur un Lan

Sécuriser les échanges VoIP

•Il faut ainsi être en mesure d'assurer la sécurité de la fonction téléphonie, tant contre le déni de service que contre l'interception des communications

•Le point commun demeure la nécessité d'isoler la VoIP(son trafic et ses outils) de la partie données du réseau.

Il s'agit aujourd'hui de la mesure de sécurité la plus répandue en matière de téléphonie sur IP.

• Filtrage des adresses Mac des postes VoIP: pré-déclarées sur le commutateur les adresses MAC des combinés autorisés.

VoIP & D-Link

Les commutateurs administrables de N3,N2 et les Smart Switch II et III intègrent une solution pour faciliter l’intégration de la VoIP dans un LAN appelée:

Voice VLAN

Cette fonctionnalité va permettre à des installateurs peut aguerri de paramétrer une solution VoIP sécurisée de manière automatique répondant aux exigences de l’application.

Le Voice VLan

Comment fonctionne le « Voice VLan »?

1. Une fois que vous avez activé cette fonctionnalité, il suffit de préciser le numéro du Vlan ID ou seront connectés vos téléphones.

2. Ensuite, pour permettre une meilleure sécurité il suffira de spécifier les adresses MAC des combinés autorisés en précisant les «  OUI » de vos téléphones.

3. Et enfin, d’activer sur tous les ports du switch la détection automatique.

4.Vous sauvegardez vos données.

VLAN Auto Voix

PC1

Marque OUI Prédéfini Cisco 00-03-6B 3Com 00-E0-BB Avaya 00-09-61…

PC2

RouteurDétection Automatique des téléphones VoIPSelon l’adresse MAC de l’utilisateur ou OUI

Marque OUI par l’utilisateur

D-Link 00-26-5A-C0-34-8B

Le trafic VoIP de ces appareils aura automatiquement la plus grande priorité.

•Permet de paramétrer et d’assurer automatiquement une haute bande passante aux produits VoIP

Le Voice VLan

Phone1192.168.2.1/2400-24-01-D7-C6-F7

Port 1

PC1192.168.1.1/2400-11-95-C5-D9-E8

Exemple de configuration du Vlan voix

Une adresse MAC est ce que l'on appelle l'adresse physique d'une carte Ethernet (Hardware address). En fait cette adresse est divisée en deux parties égales :

-Les trois premiers octets désignent le constructeur.

-C'est le l'organisation OUI (Organizationally Unique Identifier) gérer par l'IEEE, qui référence ces correspondances.-- Les trois derniers octets désignent le numéro d'identifiant de la carte, dont la valeur est laissée à l'initiative du constructeur qui possède le préfixe.

Configuration du Vlan voix

Paramétrage des ports Ethernet ou seront connectés les téléphones.

Résultats

TEST:• Le téléphone 1 emet un appel vers le téléphone 2 (IP :192.168.2.2), et vice versa.

• De plus on lance des Ping du PC1 vers le PC2.

Résultats sur une captures de trames:

Résultats

•Du fait, que nous avons “taggé” le port 24, et que ce port appartient aux deux VLANs, tous les ports ou seront connecté des téléphones seront automatiquement rajouter au VLAN Voice..

•Exemple on a connecté sur le port 1 un téléphone…

Résultats•Les PCs se retrouvent dans le “VLAN Data” et les téléphones

dans le “VLAN Voice” automatiquement.

Auto Surveillance VLAN

•Permet de paramétrer et d’assurer automatiquement une haute bande passante aux produits Vidéo IP:

http://www.youtube.com/watch?v=t1pXxlW5olU

Exemple d’utilisation

SmartPro Switch

SmartPro Switch

Aperçu de L’interface

•Ne pas oublier de déclarer l’adresse MAC du poste qui visualisera les caméras!!!

Aperçu de L’interface

Aperçu de L’interface