Premier jour : 9 h 30 - 17 h 30 Deuxième & troisième jour : 9 h 00 - 17 h 00 Déjeuner : 12 h 30 - 14 h 00 Réseaux: La Synthèse Guy PUJOLLE, Serge FDIDA

Premier jour : 9 h 30 - 17 h 30

Deuxième & troisième jour : 9 h 00 - 17 h 00

Déjeuner : 12 h 30 - 14 h 00

Réseaux: La Synthèse

Guy PUJOLLE, Serge FDIDA & Eric HORLAIT

Présentation des intervenants

• Eric Horlait

• Serge Fdida

• Guy Pujolle

La convergenceLa convergence

1996 1998 2000 2002 20040

200

400

600

800

1,000

(million

s)

Voix sur réseau Fixe

Voix sur réseauMobile

Internet

ACCES

Typologie des réseaux

FRONTIERE

COEUR

Le paysage « réseaux »

• Différents acteurs, différentes influences– Normalisation– Utilisateurs– Opérateurs– Constructeurs– Les usages– L’économie– La régulation– La recherche– L’ingénierie

Notre choix de présentation

• Le monde INTERNET– Son mode de fonctionnement– Les raisons du succès– Les services offerts, les limites

• Les Réseaux d’Entreprises– Architectures et technologies– Équipements et Interconnexion

• Réseaux Mobiles et Réseaux Sans-Fils– Architectures et Protocoles pour les réseaux mobiles– Technologies de Réseaux Sans-Fils

1ère partie:

Vers le sans fil

Guy [email protected]

Réseaux: La synthèse

Internet, pas de signalisation

Datagramme

Problèmes de QoS

Paquet avec l’adressecomplète du destinataire

X.25, ATM, …signalisation

Circuit virtuel ou route

342

342

7878 9

9

421

4211 2

34

12

3

4

1

23

4

342, 1 – 3, 78

78, 1 – 3, 9

9, 2 – 4, 421

Évolution

Signalisation

Pas de signalisation

2000

Réseautéléphonique

Internet générationTelecom -GMPLS-PBM

Internetpremière génération

X.25

ArpanetCyclades

ATM

Internetsecondegénération- DiffServ

GSM GPRS UMTS

Wi-Fi

Internet fixe-mobileambiantsécurisé

1970

Routage et commutationRoutage

Commutation

1- Surdimensionnement

2- Surdimensionnementpriorité haute et contrôle deflux dans les routeurs

3- MPLSSignalisation distribuée

4- Contrôle par politiqueSignalisation centralisée

SurdimensionnementCapacité

Temps2000 2005

Support physique

Trafic application

Augmentation des capacités

– Multiplexage en longueur d’ondes WDM (Wavelength Division Multiplexing)

• Début 2000 16 x 2,5 Gbit/s = 40 Gbit/s• Début 2001 32x10 Gbit/s = 320 Gbit/s• Début 2002 128x10 Gbit/s = 1,28 Tbit/s• Début 2003 256x40 Gbit/s = 5,32 Tbit/s

– DWDM (Dense WDM)• 2005: 1000 longueurs d’onde

– Commutateur optique• circuit sur une longueur d’onde• paquet en longueur d’onde

Priorité

• 3 priorités

– Classe avec garantie complète (Premium - Premier)

– Classe avec garantie partielle (Olympic - Olympique)• Or (Gold)

• Argent (Silver)

• Bronze (Bronze)

– Sans garantie (Best effort)

– Introduction de priorité dans les routeurs

Les priorités de DiffServ

Classes CCCDD0

EF 101110

AF 11 à AF 43 001010 - 100110

BE 000000

AF11 001010

AF12 001100

AF13 001110

AF21 010010

AF31 011010

AF41 100010

AF22 010100

AF23 010110

AF32 011100

AF33 011110

AF42 100100

AF43 100110

Contrôle de flux Internet

8

16

12

4

Contrôle de flux

8

16

12

4

La boucle locale

Le réseau d’accès avec fil

-

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

F

F

F

F

Modem34

STB

modem1

DSLAM

STB

Serveur

Réseaulargebande

La fibre optique

• La fibre optique FITL (Fiber In The Loop)– jusqu’au quartier FTTQ– jusqu’au trottoir FTTC– jusqu ’au bâtiment FTTB– jusqu’à la prise FTTH

• SONET ou RPR (Resilient Packet Ring) sur un MAN

Le CATV

• Le CATV– le modem câble– le multimédia– problème de la voie d’accès montante (utilisateur vers

terminal)– technique d’accès

• IEEE 802.14• Docsis

Réseau d’accès

• Les paires métalliques + modem xDSL (x Data Subscriber Line)– ADSL (Asymmetric Digital Subscriber Line)

• 1,5 Mbit/s pour 6 km,

2 Mbit/s pour 5 km,

6 Mbit/s pour 4 km,

9 Mbit/s pour 3 km,

13 Mbit/s pour 1,5 km,

26 Mbit/s pour 1km,

52 Mbit/s pour 300 mètres.

– SDSL (Symmetric DSL).

– HDSL (High-bit-rate DSL) et

– VDSL (Very-high-bit-rate DSL)• Téléphone et Télévision sur xDSL

Réseaux de mobiles

Les réseaux de mobile/sans fil (1/2)

• Avantages– Mobilité/Nomadisme– Topologie dynamique– Facilité d’installation– Coût

• Equipements• Bande sans licence

Les réseaux de mobile/sans fil (2/2)

• Inconvénients– Problèmes liés aux ondes radios

• Interférences• Effets multi trajets• …

– La réglementation– Effet sur la santé– La sécurité

Internet

Réseau de mobiles

Réseau avec fil

Réseau ad hoc

Réseau sans fil

Boucle locale IP

UMTS

DECT

Mobility

Débit

GSM

10kbps 500kps 10Mbps 150Mbps

WAN

MAN

PAN

2Mbps

Mobilité et débit

IEEE 802.11

IEEE 802.15 ZigBee UWB

IEEE 802.20

satellite

IEEE 802.16

LAN

CircuitCircuit

GSM BTSGSM BTS

GSMBSS

GSMBSS

GSM BTSGSM BTS

HLRAUC

MSC/VLR

GMSC

Réseau à CommutationDe circuit

InternetIP

InternetIP

SGSN GGSN

Réseau à transfert de paquets

BSBS

BSBS

Iub

UTRAN - UMTS Terrestrial Radio Access Network

Iur

UMTS RNC

UMTS RNC

UMTS Réseau cœur

InternetIP

InternetIP

SGSN GGSN

Réseau à transfert de paquets

Node BNode B

Node BNode B


UMTS RNC

UMTS RNC

UMTS RAN

ATM/AAL2

InternetTélécom

InternetTélécom

BSBS

BSBS


UMTS RNC

UMTS RNC

UMTS Réseau cœur

Réseau Sans fil

Réseauad hoc

Hot Spot

Réseau Sans fil

Réseau Sans fil

RAN

GSM et GPRS

GSM = 1 slot = 9,6 ou 11 ou 14 Kbit/s

GPRS = X + Y

Par exemple 4 + 1 pour un total de 53 + 2 pour un total de 44 + 4 pour un total de 5

GSM = n slot à 9,6, 11, 14 ou 20 Kbit/s

Évolutions des technologies

GSM

PDC

IS-136

IS-95

IS-41GSM-MAP

3G 2G

E-GPRS

W-CDMA cdma2000

UWC-136

UTRA

Réseaux de mobiles

• Les réseaux de mobiles et sans fil– Réseaux cellulaires

• de la pico cellule à la cellule parapluie

• 1er génération– Réseaux analogiques

• 2è génération– Réseaux numérique circuit

• GSM– Circuit à 9,6 Kbit/s

• IS95• IS136

• 2,5è génération– GPRS– Réseaux numérique circuit + paquets

Réseaux de mobiles

• 3è génération– IMT 2000 (International Mobile Telecommunication for the year

2000)• UMTS (Europe)---------- UMTS TDD• W-CDMA (Japon)------- UMTS FDD• Cdma 2000 (USA)• EDGE (USA)

– UMTS (Universal Mobile Telecommunication System)• faible mobilité: 2 Mbit/s ou 10 Mbit/s• Moyenne mobilité: 384 Kbit/s• forte mobilité: 64 Kbit/s

UMTS

• Fréquences– autour de 2GHz : bande de 230MHz

• Bandes appairées (120MHz) : 1920-1980 et 2110-2170 FDD/W-CDMA

• Bandes non appairées (50MHz) : TDD/TD-CDMA• Satellites (MSS) : 60 MHz

• Débit prévisible à forte charge: faible de 30 à 50 Kbit/s

Réseaux sans fil

Radio Spectrum

100 Mhz

5.725 Ghz5.825 Ghz

802.11aHiperLan II

83.5 Mhz

2.4 Ghz

2.4835 Ghz

802.11bBluetoothFour à microondes

12cm 5cm

200 Mhz

5.35 Ghz5.15 Ghz

Wireless networks

Standard for wireless networks• PAN

– IEEE 802.15 and WiMedia Alliance• IEEE 802.15.1 - Bluetooth• IEEE 802.15.3 – UWB (Ultra Wide Band)• IEEE 802.15.4 – ZigBee

– HiperPAN

• WLAN– IEEE 802.11 (Wi-Fi)

• IEEE 802.11b • IEEE 802.11a• IEEE 802.11g• IEEE 802.11n

– HiperLAN

• WMAN– IEEE 802.16 and WiMax

• IEEE 802.16a• IEEE 802.16b

– HiperMAN

• WWAN– IEEE 802.20 (MBWA)

Ad hoc networksSensor networks

Bluetooth

Qui est Bluetooth?

• Harald Blaatand « Bluetooth » II– Roi du Danemark (940-981)

Réseaux WPAN

Bluetooth

• Technologie pour remplacer les câbles• Moins de 1 Mbit/s• Portée de 10 mètres• Single chip radio + bande de base

– Très faible puissance & très bas prix

Bluetooth pourquoi faire ?

Personal Ad-Personal Ad-hoc Networkshoc Networks

Cable Cable ReplacementReplacement

Landline

Data/Voice Data/Voice Access Access PointsPoints

Bluetooth Radio Link

• Saut de fréquence– 2.402 GHz + k MHz, k=0, …, 78– 1,600 sauts par seconde

• 1 Mbit/s

. . .

1Mhz

1 2 3 79

83.5 Mhz

Piconet

• Piconet de 8 utilisateurs– 1 maître et 7 esclaves (technique de polling)

• Débit– 433,9 Kbit/s dans une communication full duplex– 723,2 Kbit/s et 57,6 dans l’autre sens dans une communication

déséquilibrée – 64 Kbit/s en synchrone– 1 canal asynchrone et jusqu’à 3 canaux synchrones

PDA

téléphone

souris

PDAtéléphone

Casque sans fil

téléphone

PDA

téléphone

souris

Piconet et Scatternet

UWBUltra Wide Band

Indoor limit

0.96 1.61

1.99

3.1 10.6

GPS Band

UWB - Regulation de la FCC

Régulation de la FCC

• Approuvé le 14 février 2002: permet l’introduction de station UWB sans licence.

• Trois classes de stations UWB

– Système d’imagerie (médical, système de surveillance, système radar d’exploration du sol et des mur).

– Système radar pour les véhicules– Système de communications et de mesures

WiMedia

WiMedia

WiMedia

ZigBee

Vitesse 250 Kbit/s et 20 Kbit/s

Data CommunicationTwo way

Dealer

Server

Field Service

Retailer SOHO

Telephone Cable line

ServiceProvider

ZigBee example

AC or heat

Pump

Gateway(s)

Temp. Sensor

Body monitor

Security Sensor

PC & peripherals Entertainment

Back EndServer

Customers

White goods

Fréquences et débit

Bande Couverture Débit # de canaux

2.4 GHz ISM Monde 250 kbps 16

868 MHz Europe 20 kbps 1

915 MHz ISM Amérique 40 kbps 10

ZigBee

• Version 250 Kbit/s– Topologie en étoile– 255 nœuds– CSMA/CA– Garantie de bande passante– Batterie très basse consommation (plusieurs mois;

presque infini)– 2,4 GHz et 868/915 MHz– 10 mètres de portée

ZigBee

• PAN à bas débits / Réseaux de capteurs (IEEE SG 802.15.4a)– Débits: 20 Kbit/s– Couverture : 10-75m– jusqu’à 65 000 nœuds– esclaves par réseau– jusqu’à 100 réseaux co-localisés– jusqu’à 2 ans d’autonomie avec des piles Alkaline

standard– Exemples: contrôle domotique et automatique

d’immeuble, équipements grand public, périphériques de PC, surveillance médicale, jeux, badges actifs, etc.

ZigBeeLOW DATA-RATERADIO DEVICES

HOMEAUTOMATION

CONSUMERELECTRONICS

TVVCRDVD/CDremote

securityHVAClightingclosures

PC &PERIPHERALS

TOYS & GAMES

consolesportables

educational

PERSONALHEALTH CARE

INDUSTRIAL &COMMERCIAL

monitorssensors

automationcontrol

mousekeyboardjoystick

monitorsdiagnostics

sensors

Wi-Fi

La tendance est au sans-fil

Source: IDC 6/02Source: IDC 6/02

Mobile PC Mobile PC Units (M)Units (M)

20022002 20032003 20042004

PC mobiles PC mobiles équipés enéquipés en“sans fil” “sans fil”

60%60%

90%90%

0%0%

30%30%

Source: Gartner 6/02Source: Gartner 6/02 Source: IDC 8/02Source: IDC 8/02

00

1010

2020

3030

4040

5050

6060

20012001 20022002 20032003 20042004 20052005 20062006

Croissance Croissance annuelle annuelle

moyenne = 15%moyenne = 15%

IEEE 802.11

• Couche Physique– 802.11b (1999) - Vitesse jusqu’à 11 Mbit/s (bande ISM)– 802.11a (2001) - Vitesse jusqu’à 54 Mbit/s (bande UNII)– 802.11g (2003) - Vitesse jusqu’à 54 Mbit/s (bande ISM) – 802.11n (2005/2006) - Vitesse jusqu’à 320 Mbit/s

• Couche Liaison de données– 802.11e (2004) - Qualité de service – 802.11i (2004) - Amélioration de la sécurité – 802.11f (2004) – Gestion des handovers

Café

A la maison

A la maison

Au bureauAu bureau

AéroportAéroport

Chez un clientChez un client

AéroportAéroport

Au siègeAu siège

Hot SpotsHot Spots

BureauBureau

TransportsTransports

DomicileDomicile

Le nomadisme

Hôtel

Wi-Fi Alliance (1/3)

• Wi-Fi Alliance : Organisme qui regroupe les principaux acteurs du marché sans fils dans le monde

• Son but : – promouvoir Wi-Fi comme standard international pour

les réseaux sans fil– garantir l’interopérabilité des produits Wi-Fi (Wireless

Fidelity)– garantir la sécurité dans Wi-Fi (WPA)


• Wi-Fi : programme de certification– Tests visant à labelliser tout type d’équipement basé sur

le standard 802.11• Cartes • Point d’accès

– Matériel de référence :• Orinoco, Cisco, Intersil

• But : Permettre l’interopérabilité entre tous les équipements Wi-Fi


• WPA (Wi-Fi Protected Access)– Certification pour la sécurité– Architecture de sécurité basé sur l’utilisation de 802.1x

et TKIP– Sera compatible avec IEEE 802.11i

• Wi-Fi Zone– Certification pour les hot spots

• Déploiement• Fiabilité• Sécurité

Basic Service Set (BSS)

BSS

STATION

STATION

STATION

STATION

STATION

Point d’accès

Caractéristiques principales :

• Nom de réseau (SSID)

• Canal de transmission

• Mécanismes de sécurité

• Topologie

Réseau d’infrastructure (ESS)

BSS

STATION

Point d’accès

STATION

STATION

ESS

Système de distribution

BSS

STATION

Point d’accès

STATION

STATION





• Topologie

Internet

Réseau en mode ad hoc (IBSS)

IBSS

STATION

STATION

STATION

STATION





• Topologie

Architecture centralisé

Réseau 802.11bRéseau 802.11a

Ethernet Alimenté (PoE)

AP controller

Power System

Gestion des handovers

Configuration dynamique des points d’accès 802.11b, 802.11g et 802.11a

Contrôleur de point d’accès

• Configuration dynamique des points d’accès• Gestion des handovers• Evite le problème des points d’accès pirates par

des systèmes de détection• Solution d’intégration pour 802.11a/g• Nombre de points d’accès limité

Equipements : Pont/Commutateur

• Même rôle que les ponts/commutateur Ethernet• Permet de relier plusieurs réseaux 802.11• Architecture sécurisée par des VLAN• Avantage :

– Améliorer l’architecture réseau

Equipements : Antennes

• Permet d’améliorer les transmissions radios• Ne joue pas le rôle d’amplificateur• Performance exprimé en dBi• Inconvénient : toutes les cartes et tous les points d’accès n’ont

pas de connecteurs permettant de les connecter à une antenne• Différents types d’antennes

– Omni– Sector– Yagi– Parabole– Autres

Antenne

Ligne point à pointJusqu’à 30 Km en vue directe

SITE 1 SITE 2

Liaison Wi-Fi spécialisé

Bandes de fréquences dans Wi-Fi

• Pour 802.11, 802.11b et 802.11g– Bande sans licence ISM dans les 2,4 GHz– Largeur de bande : 83 MHz

• Pour 802.11a– Bande sans licence UN-II dans les 5 GHz– Largeur de bande : 300 MHz

Réglementation de la bande ISM

2,400 – 2,4835 GHz

2,471 – 2,497 GHz

2,400 – 2,4835 GHz

2,400 – 2,485 GHz

Bandes de fréquencesPays

Etats-UnisFCC

EuropeETSI

JaponMKK

FranceART

La réglementation française

• Aucune demande d’autorisation– A l’intérieur des bâtiments

• Bande 2,400 – 2,4835 GHz, puissance 100 mW

– A l’extérieur des bâtiments • Bande 2.400- 2,454 GHz, puissance 100 mW• Bande 2,454 – 2,4835 GHz, puissance 10 mW

• Autorisation nécessaire pour une utilisation complète de la bande des 2,4 GHz

802.11b/b+/g

• Bande ISM• Bande divisée en 14 canaux de 20 MHz• La transmission ne se fait que sur un seul canal• Superposition de 3 réseaux au sein d’un même espace• Débits compris entre :

– 1 et 11 Mbit/s pour 802.11b– 1 et 22 Mbit/s pour 802.11b+– 1 et 54 Mbit/s pour 802.11g

• Mécanisme de variation de débits selon la qualité de l’environnement radio

Canal 4 Canal 5 Canal 6 Canal 7 Canal 8 Canal 9Canal 3

F

Les canaux de 802.11b/b+/gCanal Fréquence

(en GHz)

1 2,412

2 2,417

3 2,422

4 2,427

5 2,432

6 2,437

7 2,442

8 2,447

9 2,452

10 2,457

11 2,462

12 2,467

13 2,472

14 2,477

Un canal de transmission

Affectation des canaux (1/2)

2,4 GHz 2,4835 GHz

Canal 1 Canal 7 Canal 13

83,5 MHz

2,4 GHz 2,4835 GHz83,5 MHz

Canal 9 Canal 13Canal 1 Canal 5

Affectation des canaux (2/2)

1 137

13

13 1

1 13

13

13

Zone de couverture (1/2)

• Dépend de l’environnement

– Les murs– Les meubles– Les personnes

• Distance entre les équipements du réseau

• Interférences– Autres réseaux Wi-Fi– Bluetooth– Les fours micro-

ondes– Autres équipements

utilisant la bande ISM

Point d’accès

Zone de couverture (2/2)

• A l’intérieur

des bâtiments

• A l’extérieur

des bâtiments

Vitesses (Mbit/s) Portée (Mètres)

11 20

5 30

2 40

1 50


11 150

5 250

2 300

1 350

IEEE 802.11a

5,15 GHz 5,20 GHz 5,25 GHz 5,30 GHz 5,35 GHz 5,725 GHz 5,775 GHz 5,825 GHz

Low Middle High

40 mW 200 mW 800 mW

Intérieur ExtérieurDomaines d’applications

Puissance

Bande U-NII

Fréquences

• Bande UN-II (5GHz)• Largeur de la bande : 300 MHz• Basé sur OFDM• Débits compris entre 6 et 54 Mbits/s• Mode Turbo ou 2X : 108 Mbits/s

Les canaux de 802.11a

• 8 canaux de 20 MHz• Co-localisation de 8 réseaux au sein du même

espace

5,18 GHz 5,2 GHz 5,28 GHz5,22 GHz 5,24 GHz 5,26 GHz 5,3 GHz 5,32 GHz 5,35 GHz5,15 GHz

2,4835 GHz200 MHz

Canal Fréquence(en GHz)

36 5,18

40 5,20

44 5,22

48 5,24

52 5,28

56 5,30

60 5,32

Affectation des canaux

36 44

40 56

48 60

52

64 36 44

40 56

4860

5264

802.11a - Zone de couverture

• A l’intérieur des bâtiments


54 5

48 10

38 15

24 20

12 30

6 40

WLAN et LAN

92

8

5

7

18

22

14

0 20 40 60 80 100

1

802.11g

802.11a 2X

802.11a

802.11b+

802.11b

Ethernet 10

Ethernet 100

Qualité de service

• Définition ?• QoS : Garantir un délai, une gigue, une bande passante et

taux de perte pour un flux donné• Exemple : Pour la voix, le délai maximum est de 300 ms• Deux modèles de QoS existent :

– Diffserv (Differenciated Services)– Intserv (Integrated Services)

Débit dans les réseaux Wi-Fi

11 Mbits/s 11 Mbits/s

Interferences

Point d’accès

STATIONSTATION

5,5 Mbits/sSTATION

1 Mbits/sSTATION

5,5 Mbits/sSTATION

2 Mbits/sSTATION

1 Mbits/sSTATION

1 Mbits/sSTATION

2 Mbits/sSTATION

Téléphonie sur Wi-Fi

• Qualité de serviceProblématiqueIEEE 802.11e

• Handover– IEEE 802.11f

Sécurité dans les réseaux

• But : – Identification & Autorisation

• Authentification, signature électronique

– Confidentialité• Cryptographie

– Intégrité• Checksum(CRC, MIC), signature électronique

802.11 Radio Confidentiality

• 1st generation Wireless Equivalent Privacy (WEP), defined in 802.11 standard

• 2nd generation, 802.1x architecture (with WEP).

• 3nd generation, TKIP, hardware compatible with WEP, WPA

• 4nd generation, 802.1i + AES, hardware incompatible with WEP.

IEEE 802.1x

• Utilisé pour tous les réseaux IEEE 802.x• Basé sur Extensible Authentication Protocol

(EAP)• RADIUS : Remote Authentication Dial in User

Service• Protocole d’authentification client/serveur utilisé pour

l’accès à distance

Sécurité dans Wi-Fi

• Accès au réseau– Service Set ID (SSID) : équivalent au nom de réseau– Access Control List (ACL) : basé sur les adresses MAC

• Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4– Authentification– Chiffrement

Failles - SSID et ACL

• SSID– Le SSID est envoyé en clair dans les trames « beacon »– Solution : Eviter d’envoyer le SSID en clair– Inconvénient : le SSID est toujours envoyer en clair dans

les trames « probe »

• MAC : – L’adresse MAC est facilement récupérable par un sniffer– Facilité aussi pour reconfigurer l’adresse MAC d’une

machine

Failles - WEP

• Chiffrement– Faiblesse du RC4– Implémentation de l’IV par les constructeurs

• Authentification– Faille du au RC4– Possibilité de s’authentifier sans avoir la clé

Solutions

• Solution potentielle– 802.1x– TKIP– WPA– Carte à puce– Firewall/Filtre applicatif– VPN

• Normalisation future– 802.11i – Biométrie

IEEE 802.1x

• Utilisé pour tous les réseaux IEEE 802.x• Basé sur Extensible Authentication Protocol

(EAP)• RADIUS : Remote Authentication Dial in User

Service• Protocole d’authentification client/serveur utilisé pour

l’accès à distance

IEEE 802.1x

Liaison sans fil ou filaire

STATION

CLIENT

(Supplicant)

CONTROLLEUR

(Authenticator)

Liaison filaire

SERVEUR D’AUTHENTIFICATION

Port non contrôlé

Port contrôlé

CONTROLLEUR

+

SERVEUR D’AUTHENTIFICATION

EAPOL EAP over …

EAPOL/RADIUSSTATION

Serveur RADIUS

RADIUS - Access Request

EAPOL - Start

EAP – Response (Identity)

EAP – Request (Identity)

EAP – Success

EAPOL - Logoff

EAP – Fail

EAP – Response (Challenge)

EAP – Request (Challenge) RADIUS - Access Challenge

RADIUS - Access Request

RADIUS - Access Accept

RADIUS - Access Reject

Point d’accès

TKIP

• TKIP : Temporal Key Integrity Protocol– MIC (Message Integrity Code)– Nouvel implémentation de l’IV– Une clé par trame– Une gestion des clés améliorés

• Inconvénient : performances

WPA

• WPA : Wi-Fi Protected Access– Initié par le Wi-Fi Alliance– Basé sur TKIP : Changement de clé tous les 10 ko de

données échangées– IEEE802.1x

• Sécurité assurée pour quelques années

IEEE 802.11i – WPA2

• Juin 2004 WPA2

• Utilisation de TKIP et de 802.1x

• Nouvel algorithme de chiffrement : AES– Le RC4 est remplacé par AES

– AES nouveau standard pour le chiffrement des données

– Algorithme très fiable et rapide

Carte à puce

• Authentification SIM– EAP-SIM

• Authentification TLS– EAP-TLS

• Authentification WSC– SIM – TLS

– http://www.WLANSmartCard.org

http://www.wifismartcard.org/

http://www.wifismartcard.org/

Filtres applicatifs

• Firewall permet de bloquer des applications en fonction du n° de port– De nombreuses applications utilisent des ports

dynamiques (exemple : P2P)

• Filtre applicatif se base la sémantique des flots– Reconnaissance de la grammaire du protocole– Adéquation avec le RFC

Réseaux Privés Virtuels (VPN)

• But : créer un « tunnel »sécurisé entre un client et un serveur

• Le VPN permet :– D’identifier les clients– D’autoriser les clients– De chiffrer le trafic des clients

• IPSec (Internet Protocol Security)– PPTP– L2TP

IEEE 802.11n

• IEEE 802.11n

– Contrôle de puissance– Gestion des fréquences– Utilisation des deux bandes 2.4 et 5 GHz– 320 Mbit/s– Intégration de

• IEEE 802.11i• IEEE 802.11f• IEEE 802.11e

WMAN et WWAN

• Wimax IEEE 802.16

• Wi-Mobile IEEE 802.20

IEEE 802.16 - WiMAX

WiMax

• Remplacement des câbles (xDSL, CATV)• Charter: Certfier les équipements qui suivent le

standard IEEE 802.16 • Inclus les équipements non compatibles mais qui

pourrait avoir une interface interopérable comme as ETSI HiperMAN

IEEE 802.16

WLL - Wireless Local Loop

IEEE 802.16

IEEE 802.20 – Wi-Mobile

WI-Mobile - IEEE 802.20

• Développer une spécification pour les niveaux physique et MAC pour une interface air, large bande, pour mobile

– Dans les fréquence inférieures à 3,5 GHz

– Au moins 1 Mbit/s par utilisateur

– Vitesse jusqu’à 250 km/h

– Cellules de grande taille

– Accès partout et tout le temps

Architecture IEEE 802.20 vs 3GPP2

Réseaux ad hoc

Réseaux ad hoc

Les réseaux ad hoc

Inondation

Avec tables de routage

Réseaux de capteurs

Capteurs

Capteurs

LAN

LAN

Internet ambiant

Internet

Le futur PDP

PDP

PDP

PDP

PDP

HomeHandover diagonal /vertical


2ème Partie:

Les Réseaux d’Entreprises

Serge [email protected]://www.lip6.fr/rp/~sf

Seconde partie : Plan

1. Historique et motivations 2. Les réseaux locaux3. L ’Interconnexion 4. Conclusion

Etat des lieux

• Domination du modèle Informatique– Architecture tirée par les applications– Croissance du trafic de données– Interface IP

• Support de l ’existant– Réseaux et applicatifs

• Evolutions– Hauts Débits– Multimédia et Qualité de Service– Mobilité

Est-ce si différent?

• Besoins en débit• de 64 kb/s voix sur RNIS-BE à ~10kb/s • 10 à 1000Mb/s pour les données• 1.5 à 25 Mb/s pour l'image

• Caractéristiques du trafic• mode paquet• souvent sporadique, quelquefois continu• comportement fractale

• Contraintes de Qualité de Service

• sensibilité aux pertes• sensibilité aux délais (de bout en bout,

gigue)

INTEGRATION

Trafic Internet

http://www.internettrafficreport.com/index.html

Trafic Internet

Trafic & Applications Internet

• Internet est « vivant »• Nouvelles applications, nouveaux

trafics• Exemple du Peer-to-Peer

– Napster, Gnutella, Kazaa, etc…– http://tests.napsterfr.net/?introduction

Nouveaux besoins? Nouveaux besoins? Quelles solutions?Quelles solutions?

• Augmenter le débit – Où et comment?– Avec quelle(s) technologie(s)

• Apporter des Garanties (QoS)– quand? comment?– Téléphonie, Vidéo, …

• Traiter la mobilité– Quels besoins?

Introduction aux réseaux locaux

• Technologie des années 80• LAN : Local Area Network• Apparition avec les PCs• Approche «pragmatique», fortement US• Support des Réseau d'entreprise … IN/EXTRANET

• Système privé• Débit important 10-1000 Mbps et au delà• Flexibilité (câblage)• Partage de ressources• Ingénierie du trafic

Domaines d'utilisation variés

•Environnements bureautiques- PCs, serveurs - 10/100 Mbps

- Pas de contraintes temporelles

•Environnements Scientifiques- Stations, machines spécialisées, serveurs –

- 10/100/1000 Mbps

- Contraintes temporelles Variables (QoS)

•Environnements de Production- Automates programmables, capteurs, actionneurs, systèmes informatiques - 1/100 Mbps

- Contraintes temporelles

•Multimédia- Données, voix, image - Débit >100Mbps

- Contraintes temporelles variables

Composants

• Un réseau local : LAN– ie : un domaine de diffusion– Support physique– Topologie– Technique d’accès ou de commutation– Des composants– Des équipements d ’interconnexion– Une ingénierie du trafic– Des services et des outils

Les supports Physiques• Paramètres principaux:

Bande passante, Facilité d'installation, Coût

• Paire TorsadéeUTP (Unshielded Twisted Pair): Non blindée

STP (Shielded Twisted Pair) : Blindée / Ecrantée

• Câble CoaxialCompromis historique

Câblage volant (Ethernet fin)

• Fibre OptiqueOnde lumineuse

Faible encombrement, Immunité aux bruits

Large bande passante. Monomode, Multimode

• RadioBande de fréquence radio, eg. 2.4Ghz, 5Ghz

Canal versatile, débit limité (2, 11, 54Mbps)

Câblage

• Le réseau départemental et l'irrigation capillaire

Câble de distribution

Station

Equipement réseau

Prise RJ/45

Cordon debrassage

<90m

<100m

ROCADE

Les supports physiques électriques

• Câble coaxial– 50 Ohms (numérique) - Bande de base– 75 Ohms (analogique/numérique) - Large bande

• Paires torsadées– 100 Ohms (US), – 120 Ohms (France), – 150 Ohms (IBM)– Adaptation d’impédance

PrisesPrises CarteCarte

Paire torsadée UTP-5, 5+, 5e, 6Paire torsadée UTP-5, 5+, 5e, 6• Norme EIA/TIA catégorie 5• Extension 5e pour Gigabit Ethernet• Solution actuelle pour l’irrigation capillaire

– Classe D: câble, connecteurs et cordons de brassage catégorie 5– Longeur max câble= 90m– Longueur max brassage = 10m– 100Mhz sur 100m– 4 paires

• Proposition de norme ISO/IEC catégorie 6– 250Mhz

• 150$ par « drop », 300$ pour fibre monomode, 200$ pour multimode

Topologies

• Organisation du support pour interconnecter les différentes stationsEtoile,Bus,ArbreAnneauCellule

BUS

Topologie BUS

• Structure partagée passive, i.e. non alimentée électriquement

• Terminateurs aux extrémités du câble• Diffusion• Prolongation par répéteurs locaux ou

distants• Distance couverte fonction du type de

support et du débit:

500m Ethernet jaune (50 Ohms)200m Ethernet fin (noir, 50 Ohms)3600m CATV 75 Ohms

Topologie Anneau

• Structure active partagée• Sensibilité aux pannes (supervision)• Diffusion à assurer• Cascade de liaisons point à point

•Exemples de topologie Anneau•Token Ring•FDDI

Topologie Arbre

• Structure active partagée• Sensibilité aux pannes (supervision

racine)• Diffusion (similaire au bus)

•Exemples de topologie Arbre•Ethernet en paire torsadée : 10BaseT, 100BaseT, etc...

HUB

Convergence Architecture RL

Câble de distribution

Equipement réseau

Prise RJ/45

<90m

<100mCarteTransceiver/

Communicateur

Carte Réseau

HUB, Switch, Ethernet/Token Ring/ATM

Partagé/Dédié

Indépendance CâblageEvolution Haut DébitFlexibilité

Câblage d'Établissement

• Possibilité d'intégrer plusieurs topologies sur le même système de câblage

• Utilisation de systèmes d'interconnexionRépéteursPontsCommutateurs, Routeurs

• Le câblage d'EtablissementRocades interconnectant les locaux réseauxRéseaux Locaux

G1: Bus, Etoiles optiques passives et pontsG2: Anneaux: FDDIG3: Commutateurs (architecture effondrée)

Plan

• 1. Historique et motivations • 2. Les réseaux locaux• 3. L ’Interconnexion • 4. Conclusions

Architecture

• Pas de solution homogène• Architecture & Interconnexion

Réseaux capillaires (accès)Réseaux d'établissement (« backbone »)Réseaux métropolitains (MANs)

• Equipements d'interconnexion (Relais: pont, commutateur, routeur)

• Réseaux Virtuels (VLANs)

ArchitectureArchitecture

• Distribuée / Effondrée

RLC

RLC

RLC

Relai

Relai

Relai

RLE

RLC

RLC

RLC

Routeur/Commutateur

RLC: Réseau Local CapillaireRLE : Réseau Local d’Entreprise

Architecture centraliséeRLC

RLC

RLC

Commutateur

RLC

RLC

RLC

Commutateur

Routeur Routeur

Réseau Fédérateur- Routeurs

- Commutateurs Ethernet- MPLS

Les réseaux virtuelsLes réseaux virtuels

RLC

RLC

RLC

RelaiRelaiRelai

RLE

Du réseau physique au groupe logique

Les réseaux virtuels

• Définition– domaine de diffusion limité – toute station du réseau peut appartenir à un VLAN

quelque soit sa localisation physique– un VLAN représente des « mécanismes » qui assurent la

diffusion sélective des informations

• Solution pour– contenir le trafic de diffusion pour réduire la

dépendance aux routeurs (« broadcast storms »)– réduction dans les coûts d ’évolution du réseau

Les types de VLANs

• L ’appartenance (« membership ») à un VLAN peut être définie de plusieurs façons:– Port-Based– Protocol-Based– MAC Layer Grouping– Network Layer Grouping– IP Multicast Grouping– Combinaison– ...

Réseaux Virtuels (ports physiques)

VLAN 1: #1,3VLAN 1: #1,3

VLAN 2: # 2,4,5VLAN 2: # 2,4,5

STATION B

Switch A

STATION A STATION C

STATION D STATION F

11 22 3344

55

Réseaux Virtuels (adresses MAC)

VLAN 2VLAN 2

STATION B

Switch A

STATION A STATION C

STATION D

STATION F2

Switch BSTATION F3

STATION F1

VLAN 1VLAN 1

Les standards IEEE du VLAN

• IEEE 802.1D– Media Access Control Bridges: Traffic Class

Expediting and Dynamic Multicast Filtering (similar to Spanning Tree)

• IEEE 802.1p– Standard for Local and Metropolitan Area

Networks (priorités, multicast, …)

• IEEE 802.1Q– Frame tagging, VLAN architecture, ...

Réseaux Locaux

Technologie et mécanismes des LANs

Les mécanismes de contrôle d'accès

• COUCHE MAC (Norme IEEE)Medium Access Control

• Partage du support de transmissionPropriété d'équité

Simplicité et adéquation à la topologie

Du partagé au dédié (la commutation)

• Principales techniquesAccès Aléatoire (CSMA)

Jeton (Token)

Commutation (Switching)

Techniques Aléatoires

• Basée sur l'ALOHA• ALOHA en tranche• Accès aléatoire avec écoute de la porteuse

Carrier Sense Multiple Access: CSMACSMA/CD (Collision Detection)

• ContraintesCollisions : performanceDébit : service offertCouverture géographique : distances couvetres

MAC Ethernet: CSMA/CD

• with Collision Detection

Station 1

Station 2

Station 3

• Persistant (attente de libération du support)

Contraintes de distances CSMA/CD

• Le support étant partagé, des contraintes fortes existent qui dépendent de la vitesse du réseau:

• Notion de fenêtre de collision– Existence d’une période de vulnérabilité : a

• C: Capacité du support (bits/s)• L : Longueur d’une trame (bits)

– Performance du système dépend du rapport X = aC/L– Détermine la distance maximum du réseau (D)

a L/C

Contraintes CSMA/CD Ethernet

Contrainte C=10Mbps, Lmin = 64 octets

a < L/C = 512 bits / 10 Mbps = 51,2 sec

a=2tp < 51,2 sec

2Dmax < 10 km

Répéteurs => Dmax< 2.5 km

Station A Station B

Station X

tpDmax

Performance CSMA/CD

0

5

10

15

20

25

30

35

40

45

50

0 10 20 30 40 50 60 70 80 90 100

Charge (%)= débit offert / capacité

Débit écoulé

C1

D1

C2

D2

Technique Jeton

• Jeton Simple• Jetons Multiples• Jeton Temporisés• Jeton sur Bus• Gestion plus difficile• Performance

Tenue de la chargeComparaison avec CSMA/CD

La solution actuelle

• Commutation– On traite le problème au niveau de

l’équipement de connexion (commutateur)– Ethernet/Token Ring/ ATM, IP, etc.– Augmente le débit,– Préserve l’existant,– Supporte les réseaux virtuels

Réseaux Locaux: Normalisation

• Modèle

Physique

Liaison

Réseau

Transport

Synchronisation

Présentation

Application

PMD

PHY

MAC

LLC

Logical Link Control

Medium Access Control

Physical Signalling

Physical Medium Dependant

Normalisation

• Objectif: Interconnexion des réseaux locaux entre eux et réseaux publics• LE COMITE 802 de l'IEEE

• NORME ISO 8802.x

Plusieurs solutions complémentaires retenues:IEEE Débit Accès Support Exemple• 802.3

10BaseT 10Mb/s CSMA/CD PT 100m Ethernet TP

10Base5 10Mb/s CSMA/CD Coax500m Ethernet

10Base2 10Mb/s CSMA/CD Coax180m Ethernet fin

10BaseF 10Mb/s CSMA/CD FO (500m/2km) Etoile optique

1Base5 1Mb/s CSMA/CD PT 250m Starlan

100BaseT 100Mb/s CSMA/CD PT 100m Ethernet 100

1000BaseT 1000Mb/s CSMA/CD* UTP5 100m GigaEthernet

10Broad36 10Mb/s CSMA/CD Coax LB 3600m

...

• 802.4 5-10Mb/s Token Bus Large Bande MAP

• 802.5 4-16-100 Token Ring PT, FO IBM

…….

Normalisation

• Autres

• FDDI ANSI X3T9.5 & ISO9314

Ansi & ISO 9314

100mb/s, FO, Anneau

Jeton temporisé

• 802.11a, b, g, etc…

Réseaux locaux sans fils

• 802.14

Cable-TV Broadband• 802.15

Bluetooth, réseaux ad hocs

• 802.17 « Ethernet » résilientRPR Resilient Packet Ring

• Autres types de problèmes 802.1q, 802.1p, 802.1w, etc.

• EthernetsEthernet First Mile : 802.3ahElectricité sur Ethernet : 802.3afEthernet 10gigabits

• MPLSIETFMultiprotocol Label Switching

Les Réseaux Locaux

TECHNOLOGIES DE RESEAUX LOCAUX

Ethernet

• Une grande famille de produits qui ont en commun un même ancêtre

• Trame Ethernet• CSMA/CD ou autre CSMA (Wavelan)

Ethernet (standard 10Meg)

• Ethernet 10 Base TTopologie ArbrePaires torsadéesConnexion par HubHub = répéteur multiportStructure activeSensibilité aux pannes (supervision racine)Diffusion (similaire au bus)Nombre de niveaux dans l’arbre = 5 max*

HUB

HUB

HUB

HUB

HUB

HUB

Ethernet 100BaseT

• Configuration identique au 10BaseT• Existence d'un HUB (Répéteur multiport)• 802.3 MAC protocol• Division par 10 de l'interframe gap (0.96µs)• Conséquence : Un seul niveau dans l’arbre• 2 spécifications du niveau physique

100BaseX (TX, FX)UTP-5, STP, FO, Utilisation du 4B/5B, 2 paires

4T+UTP-3 ou mieux, codage 8B/6T, 4 paires, non full-duplex

• Conservation de l'interface

• Commutateur de paquetéquivalent à un pont multi-ports

• Commutateur de Portdivise les ports en domaines de

collision

statiquement configurable

pontage entre les domaines de collision

Ethernet Commuté (Switch)

RLC

RLC

RLC

Commutateur

Serveur

Gigabit EthernetGigabit Ethernet

• Construire sur Ethernet...– GEA: Gigabit Eternet Alliance (+100 membres)

• Mais...– MAC modifié en mode partagé (Hub)– Fibre optique (MM=550m, SM=3km et plus)– Coaxial=30m– UTP5: 802.3ab– Contrôle de flux– Qualité de service

Les Interfaces Physiques de base

Shielded Copper25m

1000BaseCXSTP

SMF3km

MMF50m550m

1000BaseLX1300nmOptique

MMF50 m550m

MMF62.5 m

220/275m

100BaseSX850nmOptique

8 /10Codage B B

5 Cat UTP100m

1000BaseT4 paires UTP

1000BaseT/codage dÈcodage

D’autres interfaces sont maintenant disponibles

Gigabit EthernetGigabit Ethernet

• Distances– théoriquement 20m si CSMA/CD– 64 octets à 100Mb/s = 512 octets à 1 Gb/s– 1 unique Hub– plusieurs commutateurs

• Cible– fédérateur– liens Inter-commutateurs distants– accès aux serveurs départementaux (fermes)– compétiteur ATM

Migration Gigabit Ethernet

Gigabit Switch Gigabit Switch

10Mbps Switch 100Mbps SwitchServeurs Serveurs

Station

Réseau EthernetDépartemental

Station

1 Gbps

1 Gbps

10Mbps

100/1000Mbps

Ethernet Gigabit Framing

• Support de trame Ethernet sur de longues distances• Spécification IEEE 10xGbE 802.3ae• Coarse WDM• distance inter-répéteurs 50km

– Coût par port de l’ordre de 39k$ alors qu’il est de 1k$ pour le GigaEthernet

– Comparaison vs Aggregation de 8 Ethernet Gigabit avec le protocole 802.3ad

– Coûts prévus plus faibles qu’avec SDH/Sonet– un réseau OC48 SDH/Sonet coûte 4/5000$ par km/an

– un réseau “Optical Internet” coûte 500-750$ par km et par an

Réseaux Ethernet mobile

• IEEE 802.11b – 2 400 et 2 483,5 Mhz– 11 Mbit/s

• IEEE 802.11a– HiperLAN 2 (MAC + ATM) from ETSI– 802.11a opère sur la bande des 5 Ghz– 802.11a propose 8 vitesses de 6 à 54 Mbit/s– 802.11e : qualité de service– etc. : http://ieee802.org/11/

• Sécurité? Fast packet keying…

Réseaux domestiques

• Ethernet– $20 par PC + HUB/Switch et câblage– Débit de 10 à 100 Mbps

• HPNA– Ethernet sur réseau téléphonique– $40-60, 4-6Mbps– Peu mature, normalisation mais peu de produits

• Powerline– Ethernet sur réseau électrique– $99, 14Mbps– Coût, interférences

• WiFi– Ethernet radio– 802.11b : $80 + AP – 11Mbps– 802.11a : $140 + AP – 54 Mbps– Marché en forte croissance

Bluetooth

• PAN: personal area networking• 2.4 Ghz• Support industriel: Bluetooth sig

– Ericsson, Nokia, IBM, Intel, etc.

• Distances: 10m – 100m• Débit : 720kbps par canal• Coût: objectif 5$ par module• http://www.bluetooth.com

Token Ring

• Octobre 85:Annonce officielle au plan mondial

• Disponibilité: début 1987Pb seconde source des circuitsClones PCsComplexité

• CaractéristiquesConforme au 8802.2 et 8802.5Connexion par des concentrateurs ou commutateursVersion 4 ou 16 Mb/sUtilisation de PontsEvolution HSTR 100mb/s (High-Speed Token Ring)

Token Ring

• Isolation des stations défaillantes

• Interconnexion de plusieurs concentrateurs

Stations

Relai

Connecteurrebouclé

Connecteur

1ère paire 2ème paire

1ère paire

2ème paire

En fonction Hors fonction

Token Ring

• Les composants de l'anneau à jeton

Carted’accès

Concentrateurcâblage interne en anneauirrigation physique en étoile

Concentrateur

High Speed Token Ring

• Version 100Mbps du Token Ring

• Caractéristiques– prix environ double du 16Mbps (de 450 à 800$)

– adaptateurs “autosense 4/16/100”

• Groupe IEEE802.5– 802.5t HSTR UTP5

– 802.5u HSTR fiber

– 802.5v gigabit transport

• Evolution limitée / Migration

FDDI :Fiber Distributed Data Interface

• Réseau Métropolitain Réseau fédérateur

100MbpsTolérance aux pannes

• Hier86-92 :« Majorité » du marché des «Fédérateurs»

• Aujourd’huiPas d ’avenir (continuité dans le fédérateur)

FDDI Topologies

Secondary Ring

Primary Ring

Classe A

ConcentrateurClasse B

AnneauPrimaire

AnneauSecondaire

FDDI Topologies

Reconfiguration et BypassReconfiguration et Bypass

Classe A

Classe B

AnneauPrimaire

AnneauSecondaire

Secondary Ring

Primary Ring

Concentrateur

Comparaison des solutions

Solutions Débit UTP5 UTP3 Data MM Ct/10BT Norme

10BaseT 10Mb/s 100m 100m Oui Non 1 802.3Token-Ring 4-16 40-100 40 Oui Limité 2 802.5HSTR 100 100 Non Oui Non 4 802.5FDDI 100 Non Non Oui Sync. 10 ISO 9314TPDDI 100 100m Non Oui Sync. 7 ANSI 100BaseT 100 100 100 Oui Non 1. + 802.3Switch Eth. 10/100 100 100 Oui Non 1.5/3 -Switch Eth. 1000 Non Non Oui Non 10 802.3zATM 155 100 Non Oui Oui 15 IUT, ATMFWavelan 11Mbps - - Oui Non 4+ IEEE

MM= "Multimédia", i.e. certaines propriétés temporelles

LAN Emulation sur ATM

• Utiliser les services réseaux locaux sur ATM• Autre approche vs Classical IP over ATM (RFC 1577)• Les problèmes rencontrés

– mode connecté et non connecté– Broadcast, Adressage, Services

• Les composants– LEC: LAN Emulation Client– LECS: LAN Emulation Configuration Server– LES: LAN Emulation Server– BUS: Broadcast & Unknown Server

LANELANE

Réseau ATM

Token Ring

Hub

LAN Emulation sur ATMLAN Emulation sur ATM

• LE Configuration Server– informations de configuration– adresse du LE server

• LE Server– Implémente enregistrement/ résolution

d'adresses– LE-ARP

• Broadcast/Unknown Server– Fournit les services de Broadcast, Multicast et

Unicast inconnu

Plan


Interconnexion

• Différents équipements en fonction des besoins• Marché très important aujourd'hui• Très exploité pour la segmentation des réseaux• Ingénierie du trafic• Solutions

Répéteurs (Repeaters)Ponts (Bridges) & Commutateurs (Switchs)Routeurs (Routers)Passerelles (Gateways)

• EnvironnementsEthernet, Token Ring, FDDI, ATM, IP

• Permettent de créer des réseaux de dimensions variables

Répéteurs

• Relai de niveau physique

Exemple : Hub

B

A

D

C

X1SR1 SR2

SR3

PONTS

• Relai de niveau Liaison

• Filtrage, Apprentissage

1

2 MAC

2 LLC

1

2 MAC

2 LLC

HOMOGENE HETEROGENE

B

A

D

C

P1

SR1 SR2

SR3Filtre

PONTS

• Pontage de Réseaux Locaux:Analyse et conversion de trame d'un

RL vers l'autreEthernet, 802.3, 802.5, FDDI

• Fonctions: – Apprentissage, Filtrage

• Ponts simples, multiples, distants

Spanning Tree 802.1d, 802.1w

Ethernet

Ethernet

Ethernet

Bridge P2

Bridge P3

Bridge P1

STATION A

STATION B

AA AA

standbyestandbye

SPT : Spanning Tree Protocol 802.1dRSPT : Rapid Spanning Tree Protocol 802.1w

PONTPONT

• Techniques– Spanning Tree (802.3)– Source Routing (802.5)

• Utilisation– Petits réseaux ou VLANs– Adressage Plat– Plan d ’adressage MAC (ie. niveau 2)– Similaire aux commutateurs

ROUTEURS

• Relai de niveau Réseau

•ROUTAGE•Protocole IP•Routage Interne (RIP, OSPF)•Routage Externe (EGP, BGP)

1

2

3

A

B

C

DE

Routeur

Architecture IP

Applications Applications

Réseau R1

Protocole d'accès à R1

IP

Réseau R2


IP

R1 R2

IP

Station A Station B

TCP/UDP TCP/UDPRouteur

Un réseau InternetUn réseau Internet

• L'environnement Internet• Stations (adresses IP, Noms)• Routeurs• Réseaux hétérogènes (ATM, Radio, Ethernet,

Satellite, X25, etc.)

Routeur-a

Routeur-b

Routeur-c

Réseau-1

Réseau-2

Réseau-3

Réseau-4Réseau-5

Principe du routage

• Déterminer une route (séquence de routeurs) de la source vers la destination.

• Facteur d’echelle->– Plusieurs niveaux de routage– Interne (un seul AS)– Externe (plusieurs AS)

• Protocole de routage: recherche d’un chemin de coût minimum dans un graphe valué

A

ED

CB

F

2

2

13

1

1

2

53

5

• “bon” chemin:– Chemin de coût

minimum– Coût = délai, $, etc..

Exemple : Algorithme de Dijsktra

1 Initialisation: 2 N = {A} 3 Pour tout noeud v 4 si v adjacent à A 5 alors D(v) = c(A,v) 6 sinon D(v) = infini 7 8 Boucle 9 trouver w non dans N tel que D(w) est minimum 10 ajouter w à N 11 maj D(v) pour tout v adjacent à w et non dans N: 12 D(v) = min( D(v), D(w) + c(w,v) ) 13 /* nouveau coût de v est soit l’ancien coût de v soit le coût14 minimum du chemin connu vers w plus le coût de w vers v */ 15 jusqu’à inclure tous les noeuds dans N

Exemple de l’algorithme de Dijkstra’sPas

012345

début NA

ADADE

ADEBADEBC

ADEBCF

D(B),p(B)2,A2,A2,A

D(C),p(C)5,A4,D3,E3,E

D(D),p(D)1,A

D(E),p(E)infini2,D

D(F),p(F)infiniinfini

4,E4,E4,E

A

ED

CB

F

2

2

13

1

1

2

53

5

La couche réseau de l’Internet

Tableroutage

Protoc de routage•acheminement•RIP, OSPF, BGP

Protocole IP•adressage•format des paquets•Contrôle

Protocole ICMP•Report erreurs•signalisation

Couche Transport : TCP, UDP

Couche liaison

Couche physique

CoucheRéseau

Adresses MAC et adresses IP

Adresse IP sur 32-bits (IPv4)• Adresse réseau• Utilisée pour acheminer le datagramme IP vers sa

destination (plan d’adressage IP)

Adresse MAC ou physique • Utilisée pour acheminer un datagramme d’une interface

vers une autre interface physiquement connectée sur le même réseau

• Adresse MAC 48 bit (pour la plupart des LANs) en “dur” dans la ROM de l’adapteur

Adresses MACChaque carte (“adapter”) possède une adresse MAC uniqueChaque interface réseau possède une adresse IP

AdresseMAC R

AdresseMAC E

AdresseIP E

AdresseIP R IP payload

datagramme

Adresses MAC et IP

Trame

Adresse TrameSource, Destination

Adresse DatagrammeSource, Destination

ARP & RARPARP & RARP

• ARP permet de trouver l'adresse NIC d'une adresse IP donnée

• RARP est l'inverse de ARP

Routeur-a

Réseau--2Réseau-1

208.0.0.1

208.0.0208.0.0.4

222.0.0.3

222.0.0.9

222.0.0

208.0.0.2

222.0.0.208002B00EE0B

08002B00FA06

Destinataire (Host-y)Adresse IP (208.0.0.4)

ARP Adresse Physique08002B00FA06

• Encapsulation IP

PHY1

MAC @AA:...:23

IP @129.215.4.1

PHY1

MAC @01:...:76

PHY2

MAC @00:...:38

IP @192.41.34.3Rés Rés

Relai

PHY2

MAC @03:...:54

LAN A LAN B

Réseau LAN A LAN B PONT au lieu de RouteurDestination MAC 01:...:76 00:...:38 00:...:38Source MAC AA:...:23 03:...:54 AA:...:23Destination IP 192.41.34.3 192.41.34.3192.41.34.3Source IP 129.215.4.1 129.215.4.1129.215.4.1

Illustration de ces principes

Commutation & Routage

• Commutation IP• Commutation MPLS• Commutation de niveau 4• Commutation de niveau 7• Routage• ……………

Le cœur du réseau

Commutateurs et niveau 3Commutateurs et niveau 3

• Commutation ou Routage?– routeurs flexibles, lents et chers (hier!)– commutateurs rapides, économiques

• Des routeurs rapides?– Gigabit/Terabits routeurs

• Associé IP et la commutation– A l’origine (1996) IP switching, Tag Switching– Puis MPLS (IETF)– Aussi mais disparu, MPOA (ATM Forum)

• Un moyen pour accélérer les routeurs

Le Table-Look-up

Commutateur/RouteurA B

X Y

AX BY

Table

en-tête

Paquet/Trame

Note : IP : A = B : @IPATM : AB : @VPI/VCI

Commutation et Routage

Niveau 3

Niveau 2

Niveau 1 signal

trame

paquet

Commutation de Trames

Niveau 2

Niveau 1

EthernetFrame Relay

@

MAC/DLCI

Routage pur

Niveau 3

Niveau 2

Niveau 1

@IP

Commutateur/Routeur de Label (LSR)

Niveau 3

Niveau 2

Niveau 1

Label Swapping

@IP

@MAC@ ATM, etc.

+Label Distribution

Label

Exemple Label Switching

Router

Router

Router

Site ASite B

XY

A/L1/X

L1/L2/Y

L2/B

Association niveau 2/niveau 3

Cellule ATMCellule ATMTrame FRTrame FR

88Label Label Local?Local?

1. Recuperer le datagramme IP

2. Le passer au niveau supérieur 1. Label

look-up

2. Nœud suivant

3. Swapper le label

NN 1010AA

AA 88 BB 1010

BB

TranslationTranslationd’en-têted’en-tête

Exemple : Les Circuits virtuels de X25

• Mode avec connexion: circuits virtuels.– table de commutation, exemple Ai Cj

Bj Dk

numéro de voie logique

numéro de voie logique

i

i

mm

circuit virtuel = association de i, j, k, l, m

j

k

l

A

B

C

D

E

F

Exemple : Acheminement ATMExemple : Acheminement ATM

5

5/X

9

8

9/D

8/T

F

D

T

I

A

5F

9I

8A

•Mode connecté•Conservation de l'ordre•Simplification de la gestion du trafic•Rapide (Table-Lookup)•Insertion des cellules dans le multiplex•Adaptation de débit par utilisation de cellules vide

Exemple de commutation de label

171.69

128.89.10

i/f 0

i/f 1i/f 1

AddressPrefix Interface

...

128.89.10

1

0

171.69

...

128.89.10

1

1

171.69

Informer l’accessibilitéde 128.89.10

Informer l’accessibilité de 128.89.10 et 171.69

Destination-Based Routing ModuleAddress

Prefix Interface

10

Informer l’accessibilitéde 171.69

IGP

Exemple de commutation de label (suite)

171.69

128.89.10

i/f 0

i/f 1i/f 1


...

128.89.10

1

0

171.69

...

128.89.10

1

1

171.69

Informer Correspondance<7,171.69> avec LDP

Informer Correspondance<5,128.89.10> avec LDP

Informer Correspondance<3,128.89.10><4,171.69> avec LDP


11

Label Switching Example (Cont.)

171.69

128.89.10

0

1

1

171.69.12.1 data 171.69.12.1 data171.69.12.1 data

4 7

...

128.89.10

1

0

171.69

3

4

5

7

...

128.89.10

1

1

171.69

LocalLabel

RemoteLabel


x

x

3

4

‘Edge’ Label Router réaliseLongest Match, Ajouter Label

Label Routers suivantAchemine uniquement sur le Label

LocalLabel

RemoteLabel


Commutation et routage

Layer 2

Switching

Layer 3

Routing

Label switching

Layer 3

Switching

Layer 4

Switching

Layer 3 to Layer 2 mapping

IP switching

Route Server

MPLS

MPOA -

NHRP

Tag Switching

Switching & Routing

ACCES

Synthèse LAN

FRONTIERE

COEUR Giga Ethernet,LSR (MPLS)

Routeurs, LSR

IP/Ethernet<Sans fils, UTP, Fibre optique>

Plan


Etat des lieux

• Besoins– Trafic variable, haut débit– Interface IP– Qualité de service

• Quelle(s) solution(s)?– LS, Numeris– Frame Relay, IP– Convergence Voix/Données

Interconnexion des LANs

LAN1LAN1LAN2LAN2

LANnLANn

?

Data & VoixData & Voix

Profil des multinationales

• La facture telecom:– “moyenne” multinationale: 410 000 $ /an– “grande” multinationale: 8.2 million $ /an

• Les services (variations par pays)– Voix (y compris mobiles): 60% du budget

40% local, 50% national, 10% international

– Interconnexion de LANs: 15 à 35% du bud.Supports: LS (70%), FR (25%), ISDN, X25

– Services commerciaux: 25% du budget– Organisations virtuelles: 8% du budget

Revenu et trafic

20% du trafic produit 80% des revenus

Marges plus faibles dans l’espace des données

Business Models pour les données à enrichir

RevenuRevenu Trafic (volume)Trafic (volume)

VoiceVoice80%80%

DataData20%20%

VoiceVoice20%20%

DataData80%80%

Frame Relay• Solution pragmatique• Accélérer une architecture X25• Commutation de niveau 2 (adresse DLCI)• Mode connecté• Fonctions de contrôle d ’erreur et contrôle de flux

reportées à la périphérie• A priori, transfert de données• Intégration de la voix• Intégration ATM• Transport d ’IP

Frame Relay (Relai de Trames)

• Solution pragmatique pour migrer de X25 vers des hauts débits

• Recommandations UIT-T I.122 Framework / Q.922, I.141 Commutation de trames

• Comment accélérer X25?– Commutation de trames

Q.922 (routage de niveau 2)– Relayage de trame

Q.922 core / élimination des fonctions de contrôle (flux, erreur).

X25 PLP

HDLC

X21

Relais de Trame

• Les arguments du Frame Relay– Plus simple à mettre en œuvre

pour un nombre restreint de sites pour une topologie plutôt centralisée

– Débit minimum garanti (CIR)– Multiprotocole (DecNet, IP, IPX, SNA, etc)– Intégration de la voix

Multiplexage voix-données Economique

VPN Réseaux privés virtuels

• Emulation d’un réseau privé de télécommunications sur une infrastructure partagée

• Privée car un ensemble limité et contrôlé de sites peuvent accéder

• Elements principaux– Economie d’échelle (partage)– Flexibilité– Fiabilité– Sécurité

VPN scenarios

• VPN de niveau 2– Basé sur des VC (Virtual Circuit)– Correspondance des routes sur des circuits

• Tunnels de niveau 2 (de edge device à edge device)• FR, ATM, IP/MPLS, VPLS (VLANs)

• VPN de niveau 3– Souvent basé sur IPSec– Autre solution : BGP/MPLS

Services IP

• Les services IP sont l ’avenir!• Les arguments

– réseaux privés virtuels– topologies complexes et larges– Intranet, Extranet– Intégration de la mobilité

• Les limites– Qualité de service (à suivre)

3ème partie:

Le monde Internet

Eric [email protected]://www.qosmos.com


1

Plan

• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP

1

TCP-IP: origine

• Commutation de paquets• Approche « informatique » vs « télécom »• Expérimentations de chercheurs• Approche intégrée: des applications aux outils techniques• Approche de complémentarité par rapport à l’existant• Déploiement rapide• Devient standard de fait• Internet• Le Web• Les évolutions nécessaires

1

Réseau 1

BA

Réseau 2

Réseau 3

Réseau 4

P1

P2

C

DE G

F

P1

Px

Interconnexion de réseaux

• Les réseaux d'entreprise

• Les passerelles• Les protocoles• Les adresses• Approche DoD• Le monde TCP-IP

1

Réseau R1


Protocole IP

Réseau R2


Protocole IP

R1 R2

Protocole IP

Machine A Machine DPasserelle

Architecture TCP-IP

Applicationsstandards


Transport Transport



Architecture TCP-IP: adressage

• Adressage hiérarchique– 32 bits

– Réseau / Machine

• Classes d'adresses

• Adresses de groupes

• Écriture standard– 132.227.61.27

Réseau Machine

32 bits

0 <7 bits>

10 <14 bits>

110 <21 bits>

1110 <28 bits>

A

B

C

D

En - tête

Données

Ver IHL

Adresse SourceAdresse destination

Options

Service Total length

ChecksumProtocolTTLOffsetIdentification F

Le protocole IP v4

IP multicast

• Adresses de classe D

• Interface de programmation simple• Impact important sur le routage• Reste « best effort » sur la sémantique• Correspondance avec les réseaux support• Cohabitation multicast/unicast

1

Diffusion IP Multicast

• Traffic Multicast– Un seul paquet

transite pour n destinations

– Economie de la bande passante

Routeurs

multicast !

Routeurs

unicast !

1

Plan


1

Evolution IP v6

• Taille du réseau, nombre de machines– Croissance exponentielle– Gestion des adresses– Manque de hiérarchie des adresses

• Evolution v6– Adresses de 128 bits– Compatibilité v4, adresses locales, opérateurs,

multidestination– Gestion de ressources possible

1

Ce qu’est IP version 6

IP v4

ICMP

IGMP

Mcast

IPsec

Mobilité

Auto Conf

IP v6

ICMP v6

1

Le 6-bone

http://www.cs-ipv6.lancs.ac.uk/ftp-archive/6Bone/Maps/all6bone.gif

1

IPv6 – les produits

• Routeurs

• Systèmes

http://playground.sun.com/pub/ipng/html/ipng-implementations.html

1

Plan


1

Le niveau transport

• TCP– Fiabilité– Contrôles d'erreur, de flux, d'ordre

• UDP– Vérification des erreurs

• Autres protocoles– Applications spécifiques (haut débit)

1

En - tête

Données

Numéro de séquenceAcquittement

Options

Port destPort source

FenêtreDonnées URGChecksum

Drapeaux

TCP: élément de protocole

1

Données

Port destPort sourceChecksumLongueur

UDP: transport minimal

• Sans connexion

• Remise si correct• Pas d'ordre• Pas de correction

d'erreurs• Mode client/serveur

1

Plan


Taille de l’Internet: 171 638 297 en janvier 2003

020000000400000006000000080000000

100000000120000000140000000160000000180000000200000000

jan-93jan-94jan-95jan-96jan-97jan-98jan-99jan-00jan-01jan-02jan-03

Source: http://www.isc.org

Vitesse de croissance sur un 12 mois

0,00%

20,00%

40,00%

60,00%

80,00%

100,00%

120,00%

140,00%

01-janv-9301-juil-9301-janv-9401-juil-9401-janv-9501-juil-9501-janv-9601-juil-9601-janv-9701-juil-9701-janv-9801-juil-9801-janv-9901-juil-9901-janv-0001-juil-0001-janv-0101-juil-0101-janv-0201-juil-0201-janv-03

Nombre d’utilisateurs d’Internet

• D’après http://www.nua.ie/surveys, le nombre de PERSONNES ayant accès à INTERNET était de 605 Millions en Septembre 2002

• En France, de l’ordre de 18 Millions de personnes, soit 1/3 de la population, en mars 2003.

• UK: 60%, D: 40%, I: 36%, E: 20%, NL: 61%

World Total

605.60 million

Africa6.31 million

Asia/Pacific

187.24 million

Europe190.91 million

Middle East

5.12 million

Canada & USA

182.67 million

Latin America

33.35 million

1

Le monde Internet

• Connexion isolée "privée"

• Connexion à l'INTERNET

INTERNET

Opérateur

Accès personnel

Réseau d'accès

1

Fournisseur deservice

ISPISP

Internet

• Qui paie le réseau d’accès?

– Utilisateur– L’ISP

• Mais l’ISP est un « vendeur de trafic » pour le réseau d’accès

– Le réseau d’accès paie l’ISPISP

Réseau d’accès

Utilisateur

Fournisseur deservice

GIX

Médiation

€€€

1

Plan


1

La qualité de service et IP

• Le « best effort » seul est insuffisant• Plusieurs approches sont possibles:

– Surdimensionnement– Adaptation du comportement des applications– Réservation de ressources dans le réseau– Adaptation du comportement du réseau

• Les outils– Les infrastructures: Commutation Ethernet, ATM, etc.– RTP/RTCP– INTSERV et RSVP– DIFFSERV

• Signalisation globale?

1

Gestion des ressources par protocole

• Le réseau d’entreprise– Outil de signalisation : RSVP– Mécanismes de gestion (débit, délai)

• Le réseau d’opérateur– agrégation de trafics– services différenciés

• Adaptation applicative– Ce qui est utilisé aujourd’hui (RTP/RTCP)

• Commutation, QoS routing

1

IP et QoS: approche applicative

• Hypothèse– Les applications vivent avec un réseau sur lequel aucune

modification n’est possible

• Adaptation– Modification du comportement des applications en fonction du

comportement du réseau (exemple, modification des codages)– L’application est en prise la plus directe possible avec le

réseau: RTP– Besoin d’un mécanisme d’observation: RTCP– Synchronisation des horloges

1

Approche INTSERV

• INTegrated SERVices• Trois types de profils:

• Best effort– Le service classique

• Controlled load– Le réseau se comporte comme un réseau best effort peu

chargé

• Guaranteed– Garantie de débit, délai et gigue

• Signalisation - réservation

1

Classification des trafics

• A l’entrée d’un réseau, les trafics sont triés et étiquetés

• Chaque routeur traite alors les paquets en fonction de leur classe

Routeur extérieurRouteur interne

• Tri et étiquetage• Conversion de signalisation (e.g. de ou vers RSVP)• Administration

1

Plan


1

Utilisation de l’INTERNET

• Une application majoritaire: le WEB dans les années 90– 90% des connexions– 60% à 70% des octets

• Le reste:– Transfert de fichiers– Messagerie– Signalisation, routage, gestion

• Dans l’intranet– Identique en grandes masses

• Demain?– Voix sur IP?– Peer to Peer (Pair à pair) autour de 25% des octets en 2003

1

GOV

EDU

ARPA

COM

MIL

ORG

UK

FR

CA

...

LIP6

[email protected]

Applications: DNS

• Problème de gestion des noms

• Organisation hiérarchique (1983)

• Syntaxe et application• Les requêtes

1

Domaines récents

• Annonce de l’ICANN (novembre 2000):• aero – Société Internationale de Télécommunications

Aéronautiques SC, (SITA) • .biz – JVTeam, LLC • .coop – National Cooperative Business Association, (NCBA) • .info – Afilias, LLC • .museum – Museum Domain Management Association, (MDMA) • .name – Global Name Registry, LTD • .pro – RegistryPro, LTD

1

Réseau TCP-IP

Application

Terminal

Applications: Telnet

• Gestion de terminaux

• Options pour diverses émulations

– VT100, 3270, Minitel– Authentification

• Transparence• Performances?

1

Réseau TCP-IP

Système de fichiers

Utilisateur

Applications: FTP

• Transfert de fichiers

• Types de données– Caractères– Octets binaires– Compression

• Transfert tiers• Protection des accès

1

En-tête

Corps 1

Corps 1

Corps 3

Corps 2

Corps 1

Définition

Applications: SMTP

• Messagerie• Transfert d'informations• Structure des messages

– RFC 822– MIME (RFC 1521-1522)

• Codage de transfert• Les protocoles

– SMTP– POP3– IMAP4

1

Applications: News

• Messagerie par thème• Panneau d’affichage électronique• Base de données dupliquée• Gestion

– Abonnement– Modération– Diffusion

• Protocole NNTP• Codages identiques à SMTP

1

Applications: NFS

• Partage de fichiers sur un réseau

• Gestion "à la UNIX"• Echanges contrôlés par UDP• Modèle client/serveur (RPC)• Large disponibilité• Précautions d'emploi

Le peer to peer

• Abandon du client/serveur• Les ressources sont à l’extérieur du réseau• Les ressources ne sont pas toujours disponibles• Les ressources ne sont pas toujours connues• Exemple d’applications:

– Partage de fichiers: Napster, Gnutella, KazaA– Instant messaging– Partage de temps CPU: Seti@home

• 25% du trafic au moins en 2003

Exemple de Napster

• Un serveur• Le client se connecte au serveur pour échanger

des listes de fichiers• Choix du fichier et de sa localisation• Téléchargement ensuite• Fin en juillet 2001

Gnutella

• Présenté par AOL en 2000 puis passé en domaine public

• Distribution par inondation (7 voisins à chaque fois, détection de boucles, 10 niveaux seulement)

• Nœuds « bootstrap »• Difficile à « débrancher »

KazaA

• Plus de 3 millions de « peers » connectés avec plus de 3 000 To de données disponibles

• Téléchargement parallèle avec optimisation• Notion de « super nœud » dont la liste est livrée avec le

logiciel• Lors d’une connexion à un super nœud, mise à jour de la

liste et choix de 5 voisins « optimaux » (performances évaluées par ping )

• Le modèle économique:– La société Fastrack aa développé le logiciel à Amsterdam et l’a

licencié à des éditeurs (music city/Morpheus par exemple)– Fin de la licence– Aujourd’hui, la société détenant le logiciel (Sharman network)

est au Vanuatu et le code est déposé en Estonie….

1

Plan


1

Evolution du Web

Source: http://www.netcraft.com/Survey/Reports

1

Evolution du Web

Source: http://www.netcraft.com/Survey/Reports

1

La Saga HTML

• Le travail de l’ISO sur la structuration des documents: SGML

• Un utilisateur: le CERN• Les DTD• HTML est une DTD• Les évolutions: interactions,

exécution• D-HTML• XML, comme synthèse?• Le travail du W3C

– LCS/MIT, Keio Univ., INRIA

1

Le Web: interactions

• A l’origine serveur vers client

• Les réponses du client

• CGI: Common Gateway Interface 1 2 3 4

1- requête2- page3- paramètres4- résultats

1

Le Web: interactions

• Accès aux données sur d’autres serveurs

• Une véritable architecture d’applications• Séparation de la visualisation, de la présentation et du

calcul

Serveur Web

Base dedonnées

HTTP

JDBCODBCNSAPIISAPI

1

Java

• Origine de SUN

• Langage orienté objet (type C++)• Sécurité du code• Sécurité de l’exécution• Interprétation/compilation• Indépendance de la plate-forme matérielle

1

Java: exécution

Matériel

Système d’exploitation

Client Web

Visualisation

Protocole HTTP

Machine virtuelle

1

Les outils Java

• D ’abord, le JDK!• Java Cryptography Extension (JCE)• Java DataBase Connector (JDBC)• Jave Beans / Java RMI• Java Communications• Java InfoBus• Java Media Framework• Java Telephony• Systèmes d’exploitation, TR, etc.

L'architecture « complète »

Protocole IP

ICMP/IGMP

Autres

TCPUDP

...

Ethernet Token Ring Réseaux m X25

PPP, SLIP FR, ATM FDDI

FTP, SMTP, Telnet, DNS, HTTP,

etc.

Applicationsde gestion(routage)

ClientServeur(NFS)

Applications dérivéesde l’ISO (SNMP,

LDAP)

Représentation des données

Applicationscoopératives

(multicast,multimedia,

etc.)

ISO

RTP/RTCPRSVP DHCP

SécuritéMobilité

1

Synthèse sur TCP/IP

• Une architecture d’expérimentation devenue opérationnelle• Une expérience de trente ans• Une architecture unifiée pour le poste de travail, pour le réseau

d’entreprise, pour le réseau local• Des évolutions nécessaires pour le passage à l’échelle: IPv6, QoS• Prise en charge constante de l’aspect utilisateur• Une application modèle d’environnement distribué: le Web• Une idée d’indépendance des infrastructures vues de l’utilisateur• Une idée d’indépendance des applications vues de l’interface• Une idée d’indépendance des systèmes vus des applications

1

Plan


1

La sécurité dans les réseaux

• D'où viennent les problèmes?• Distribution des informations et des machines.• Réseaux mondiaux: Nombre d’utilisateurs élevé, utilisateurs inconnus.• Réseaux locaux: 80% des « attaques »• Commerce et paiement: Le paradoxe du nombre et de la confiance!

• Les techniques• Cryptographie principalement• L’information se protège et se transmet facilement, pour la confiance, les

choses sont plus délicates

• Les limites réglementaires et/ou techniques• Besoin de contrôle des autorités.• Problèmes douaniers / Lieu et méthode de taxation.• Comment exercer réellement un contrôle?

1

La sécurité: les méthodes

• Une trilogie « vitale »:– Audit

• Analyse des besoins, des risques

– Les outils techniques• Cryptographie

– Contrôle• Logiciels ou matériels de surveillance

• Une seule étape vous manque … et tout est dépeuplé!

1

•Un utilisateur quelconque •se connecte sur Internet

•Il récupère le code d’un « exploit »

•Il le compile et l’exécute

•Il est root

Une attaque directe UNIX

1

• Un utilisateur quelconque se connecte sur Internet• Il récupère le programme « sechole.exe »• Il l’exécute • Son compte est ajouté au groupe Administrators

Une attaque directe NT

1

Attaque des mots de passe

• Versions codées disponibles dans le systèmes• Algorithmes connus• Utilisation de dictionnaires• Règles mnémotechniques• Essais pour trouver UN MOT DE PASSE

1

La sécurité: filtrage

RouteurFirewall

INTERNET

Sécurité renforcée

DMZ (Zone Démilitarisée)

MailWebDNS

FTPTelnetX

1

Chiffrement - 1

• Algorithmes symétriques– RC-4, RC-5– DES, 3-DES

Clef Partagée

abc abc#!&$ #!&$

1

Alice

clef privée clef publique

Bob

Chiffrement - 2• Pas de secret partagé, seulement l ’algorithme• Génération des clés• Algorithmes asymétriques à cause des clés

– RSA• Chiffrement, Authentification, Intégrité

• Problème de la distribution des clés et des performances• Exemples:

Alice

clef privéeclef publique

Bob

abc abc#!&$ #!&$

abc abc#!&$ #!&$

1

Chiffrement - 3

Clef privée

Clef publique

=

hash

Message

Digest

Signature

Message Signature

hash

Digest Digest

1

IPSec

IP HDR ESP DATA

authentification + chiffrement

IP HDR AH

authentification

IP HDR

authentification

chiffrement

DATA

DATAIP HDRESPAH

• Chiffrement• ESP: Encapsulated

Security Protocol

• Authentification• AH: Authentication

Header

• VPN• Virtual Private Network

1

Qu’est-ce qu’un VPN IP?

SSL (Secure Socket Layer)

Développé par Netscape fondé sur un algorithme de type RSA

2 phases : Authentification serveur et client Echange de donnée

Notions importante : •Certificat X509 (authentification)•Clé publique / clé privée• Algorithme de cryptage (RC2, RC4 , DES etc..)

TCP/IP

FTPSMTPSSL

HTTP SET

Sécurité - réglementation

• Avant 1986 (décret loi du 14/4/1939)

• Décret 86-250 du 18/2/1986• Loi du 29/12/90 - décret 92-

1358...– SCSSI

• Loi de Juillet 1996• DCSSI

• Simple déclaration pour l'authentification et l'intégrité des messages

• Demande d'autorisation pour le reste

• DCSSI, 18 rue du Dr Zamenhof

• 92131 ISSY LES MOULINEAUX

1

Sécurité -Réglementation• Loi de Juillet 1996

– Libéralisation de l’authentification– Utilisation du cryptage possible

• Tiers de confiance (Key Escrow)• Algorithmes possibles?

– Organisation de l’INTERNET– Les décrets d’applications (fin 96?)– Parus en février-mars 1998!

• Valeur probante de la signature électronique Août 99• Loi du 13 mars 2000

– portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique

– Force probante de la forme électronique des documents, de la signature électronique

1

Coordination des utilisateurs

1

CERT en France

CERT en France

1

La signature électronique

• Loi n° 2000-230 du 13 mars 2000– J.O. n° 62 du 14 mars 2000 page 3968,– adaptation du droit de la preuve aux technologies de

l’information et relative à la signature électronique.

• Article1316-3 du code civil devient: – « L’écrit sur support électronique a la même force

probante que l’écrit sur support papier »

1

Synthèse sécurité

• La notion de sécurité « réseau » n’existe pas• Il faut apprécier les risques• Les systèmes et les réseaux participent conjointement et de façon

indissociable à la sécurité du système d’information• Sur le plan technique:

– Les firewalls: algorithmique modifiant le traitement des protocoles– La cryptographie: modifiant les applications– L’algorithmique des applications (ex: OTP)– Les protocoles: installation de services de sécurité dans les protocoles (ex:

IPSec)– L’intégration de sécurité dans le logiciel (ex: Java)

• Sur le plan réglementaire:– Situation nationale et internationale différente (!)– Aspects de la sécurité liés au commerce électronique

1

Plan


1

Gestion de réseaux

• Administration ISO• Démarche de convergence ISO-TCP/IP• Création de SNMP• SNMP v2• CMIP• SNMP v3

– Une synthèse des besoins– Aspect dynamique des fonctions/services– Environnement d’exécution

1

Gestion de réseau: modèle ISO

• Les domaines fonctionnels:– Gestion des configurations– Gestion des performances– Gestion des fautes– Gestion des ressources– Gestion de la sécurité

• Pour quoi faire?– Echelle des temps– Surveillance, contrôle, mesure, dépannage

1

LME

LME

LME

LME

LME

LME

LME

A

P

S

T

R

L

P

SMAE

?

GetSet

ActionCreateDelete

Event-reportMIB

Description

Gestion des réseaux: modèle ISO

1

$ ping -c 10 hera.ibp.frPING hera.ibp.fr (132.227.61.135): 56 data bytes64 bytes from 132.227.61.135: icmp_seq=0 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=1 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=2 ttl=254 time=3.8 ms64 bytes from 132.227.61.135: icmp_seq=3 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=4 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=5 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=6 ttl=254 time=2.8 ms64 bytes from 132.227.61.135: icmp_seq=7 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=8 ttl=254 time=2.7 ms64 bytes from 132.227.61.135: icmp_seq=9 ttl=254 time=2.5 ms

--- hera.ibp.fr ping statistics ---10 packets transmitted, 10 packets received, 0% packet lossround-trip min/avg/max = 2.4/2.6/3.8 ms

Gestion des réseaux: TCP-IP

• Méthodes simples

1

$ ping -c 10 mozart.ee.uts.edu.auPING mozart.ee.uts.edu.au (138.25.40.35): 56 data bytes64 bytes from 138.25.40.35: icmp_seq=0 ttl=223 time=689.9 ms64 bytes from 138.25.40.35: icmp_seq=1 ttl=223 time=780.0 ms64 bytes from 138.25.40.35: icmp_seq=2 ttl=223 time=793.5 ms64 bytes from 138.25.40.35: icmp_seq=3 ttl=223 time=758.5 ms64 bytes from 138.25.40.35: icmp_seq=4 ttl=223 time=676.1 ms64 bytes from 138.25.40.35: icmp_seq=5 ttl=223 time=640.1 ms64 bytes from 138.25.40.35: icmp_seq=8 ttl=223 time=1076.1 ms64 bytes from 138.25.40.35: icmp_seq=9 ttl=223 time=921.0 ms

--- mozart.ee.uts.edu.au ping statistics ---10 packets transmitted, 8 packets received, 20% packet lossround-trip min/avg/max = 640.1/791.9/1076.1 ms



1

$ traceroute sophia.inria.fr traceroute to sophia.inria.fr (138.96.32.20), 30 hops max, 40 byte packets 1 mercure-gw.ibp.fr (132.227.72.1) 1 ms 1 ms 1 ms 2 hera.ibp.fr (132.227.61.135) 2 ms 2 ms 2 ms 3 kerbere.ibp.fr (132.227.60.3) 4 ms 4 ms 4 ms 4 r-jusren.reseau.jussieu.fr (134.157.252.254) 125 ms 10 ms 92 ms 5 r-rerif.reseau.jussieu.fr (192.44.54.1) 4 ms 33 ms 34 ms 6 danton1.rerif.ft.net (193.48.58.121) 31 ms 12 ms 15 ms 7 stlamb3.rerif.ft.net (193.48.53.49) 16 ms 28 ms 32 ms 8 stamand1.renater.ft.net (192.93.43.115) 206 ms 136 ms 47 ms 9 lyon1.renater.ft.net (192.93.43.89) 360 ms 30 ms 33 ms10 marseille.renater.ft.net (192.93.43.73) 32 ms 49 ms 32 ms11 marseille1.r3t2.ft.net (192.93.43.49) 36 ms 24 ms 17 ms12 sophia1.r3t2.ft.net (193.48.50.33) 32 ms 24 ms 28 ms13 inria-sophia.r3t2.ft.net (193.48.50.50) 26 ms 33 ms 36 ms14 193.48.50.170 (193.48.50.170) 46 ms 31 ms 27 ms15 sophia-gw.inria.fr (193.51.208.1) 33 ms 45 ms 29 ms16 t8-gw.inria.fr (138.96.64.250) 23 ms 39 ms 26 ms17 sophia.inria.fr (138.96.32.20) 38 ms 33 ms 27 ms



1

Centrede gestion

Systèmegéré

Requête

Alarme

PROXYSystème

géré

Gestion de réseaux: SNMP

• Primitives simples

• Structuration des réseaux• Limitations

– nombre– sécurité

• Logiciels "hyperviseurs"

1

sysDescrsysObjectIDsysUpTimesysContactsysNamesysLocationsysServices

Description libre du systèmeIdentification logiciel agentTemps depuis activationNom d'un administrateurNom du systèmeEmplacement physiqueServices offerts (niveaux)

Gestion de réseaux: SNMP

• Structure de la MIB– 171 objets définis dans la MIB II

• Exemple du groupe system

1

La gestion politique

• Notion de règles politiques– Statiques ou dynamiques– Définies par l’organisation, par l’individu, par l’opérateur

de réseau– Pour prendre des décisions

• Contrôle d’accès• Gestion de QoS

1

Modèle de gestion politique

Stockage des règles

PDP

Prise de décision

PEP

Mise en œuvre dela décision

LDAP COPS

1

Synthèse gestion des réseaux

• Une tâche complexe aux facettes multiples

• Accès à l’information détenue dans le réseau d’où le besoin d’un protocole

• Le protocole n’est que le point de départ• Autres fonctions vitales: analyse, modélisation, etc.• Du point de vue technique: un standard de fait aux

évolutions nécessaires

1

Plan


1

Modèle économique

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

An 1 An 2 An 3 An 4

Internet vs Téléphone

Internet

Téléphone

Hypothèse: Téléphone 15%, Internet 300%

1

La disponibilité

32 s/an99.9999%6

Téléphone5 min/an99.999%5

53 min/an99.99%4

Bon ISP?8.8 h/an99.9%3

3.65 j/an99%2

36.5 j/an90%1

1

La voix sur IP

• Transmission d’une information isochrone• Problème de maîtrise des délais et de la gigue• Expérimentations nombreuses• Produits opérationnels

• Architecture normalisée H323 – le standard• Utilisation de RTP/RTCP pour le contrôle de la qualité de service• MGCP (Media Gateway Control Protocol) pour la localisation des outils de

conversion• Développement de SIP (session initiation protocol) à l’IETF –

Développement dynamique de services• Les acteurs: l’informatique d’abord; les télécommunications aujourd’hui;

les opérateurs demain?

1

Les codages de la voix

3

-

-

4.8

DOD 1016(2)

4.13.6-3.83.9/3.74.04.2Qualité MOS(*)

202030100.125Trame

(ms)

15.42.516/18220.1Complex. MIPS

12.2136.3/5.3864Débit

(kbps)

GSM06.60

(1996)

GSM (3)

06.10

(1988)

G 723.1(4)/(2)

G.729(2)G.711Standard

1 Mean Opinion Scores2 CELP: Code Excited Linear Predictive3 RLP-LTP: Regular Pulse Excited with Long Term Prediction4 MP-MLQ: Multipulse Maximum Likelihood Quantization

1

Architecture de protocoles

• Le cadre général actuel est H323 de l’ITU-T intégrant voix - données - audio sur réseaux de données

– Intègre RTP/RTCP

• SIP à l’IETF• La Convergence

H.2

25

Rés

eau

H.245

Q.931Contrôle

T.120Données

Voix

Vidéo

G.7xx

H.26x

1

Exemple de téléphone IP (Cisco)

1

Applications coopératives

• Netmeeting de Microsoft• Architecture d’application

adaptative• Respect des normes• Indépendant des

applications partagées

1

Synthèse multimédia

• Le problème du codage est globalement traité• Une approche « informatique » pour un problème

« télécom »• Les contraintes de gestion du temps et la qualité de service• Une application aujourd’hui: la voix et l’un de ses dérivés,

la téléphonie• L’intégration dans le Web, clé du succès?

Documents

Premier jour : 9 h 30 - 17 h 30 Deuxième & troisième jour : 9 h 00 - 17 h 00 Déjeuner : 12 h 30 - 14 h 00 Réseaux: La Synthèse Guy PUJOLLE, Serge FDIDA