Visio Sur IP

Visioconfrence : les technologies daujourdhui

Sommaire

Deux modes de transmission : o Transmission via Numeris o Transmission sous IP. Les protocoles

Deux familles de normes : H320 et H323 o Des normes et des formatso Transmettre la vido et laudioo Prsenter et partager des documentso Nouveauts et volutions

Les contraintes lies aux rseaux locaux et leurs quipements spcifiqueso La gestion des adresses IPo Le passage des firewallso Un outil particulier : le Gatekeeper

La visioconfrence en multi points

Interconnecter les deux familles : les passerelles

On appelle visioconfrence la technologie multimdia qui permet deux ou plusieursinterlocuteurs distants de communiquer en temps rel par lintermdiaire dun dispositif desonorisation et de visualisation (crans, tlviseurs) et de travailler sur des documentscommuns (textes imprims, photographies, mdias audiovisuels ou informatiques).La mise en relation de deux groupes de personnes grce limage et au son sappuie surdeux entits technologiques distinctes : dune part, un rseau de transmission et dautre part,des quipements et des terminaux spcifiques pour les utilisateurs. Des dispositifsparticuliers ont t dvelopps pour permettre des relations entre plusieurs groupes (liaisonmultipoint).

Le rseau de transmission assure lacheminement de toutes les informations (images, sons,donnes informatiques, signaux de services) entre les diffrents points.Traditionnellement, cette fonction soprait via le Rseau Numrique de France Telecomplus connu sous le nom commercial de Numeris. Avec le dveloppement de lInternet et des

MSH Paris nord - Plate forme Arts, Sciences, Technologies Philippe GASSER Janvier 2005 1 / 26

rseaux dentreprises, on assiste aujourdhui une vritable monte en puissance dedispositifs qui sappuient dsormais sur les technologies et sur les protocoles utiliss pourInternet (et plus communment nomms sous IP pour Internet Protocol). Les quipements pour les utilisateurs sont placs aux points terminaux. Quelle que soit latechnologie utilise pour lacheminement des donnes, ces quipements vont reposer sur lesmmes principes de base, mme sils ne sappuient pas exactement sur les mmes normes.Un dispositif de visioconfrence, quil soit construit autour dun micro-ordinateur pour unusage individuel ou autour dquipements spcifiques pour une utilisation collective, seratoujours compos de la mme srie de composants : une (ou plusieurs) camra, un (ouplusieurs) microphone, les codecs, les dispositifs de visualisation (tlviseurs, moniteurs,vido projecteur, crans numriques), linterface rseau Des lments annexes (pont,passerelle, gatekeeper) pourront tre ajouts le cas chant lorsque des fonctionnalitsplus tendues seront ncessaires.

Architecture gnrale dun dispositif de visioconfrence sous IP.

Ce document fera le point sur toutes ces technologies. Cependant, compte tenu du fortdveloppement des visioconfrences sous IP, laccent sera donn sur cette technologie.Le dernier chapitre abordera la problmatique des rseaux locaux et des contraintes quilsinduisent gnralement dans le bon fonctionnement dune session de visioconfrence. Cette tude se limitera aux utilisations traditionnelles, (en entreprise, dans les lyces) maisnabordera pas la problmatique des tablissements de lenseignement suprieur qui, enayant la possibilit dtre raccords au rseau haut dbit Renater, disposent de spcificitset doutils particuliers qui ne sont pas encore proposs sur lInternet classique.


Deux modes de transmission

Pour tablir une visioconfrence entre deux sites, deux modes de transmission sont doncaujourd'hui privilgis : le rseau Numeris de France Telecom dune part, les rseaux IP ausens large du mot, cest dire le rseau Internet dans son aspect mondial, et les rseauxinformatiques locaux (de type Ethernet par exemple) qui y sont connects. Les deuxmodes de transmission ont en commun dtre tous les deux entirement numriques, mais lasimilitude sarrte l. Des diffrences fondamentales existent. Les deux modes de diffusionsont technologiquement trs diffrents et sappuient sur deux familles de normesspcifiques : lun est plus ancien, et bien ancr dans les habitudes, le second est plus rcentet se dveloppe actuellement de manire importante mme sil nest pas toujours le plusperformant. Les liaisons entre les sites distants sont en temps rel et en full duplex (les liaisons sont bi-directionnelles et chaque site est simultanment metteur et rcepteur). Les dbits sontidentiques dans les deux sens.La majorit des matriels commercialiss en France depuis 5 ans peuvent fonctionner sousIP. Un grand nombre dentre eux adoptent la double compatibilit IP et RNIS.

NumerisLe rseau de tlcommunication numrique de France Telecom (RNIS pour RseauNumrique Intgration de Service, en anglais ISDN - Integrated Service Digital Network),plus connu en France sous le nom commercial de NUMERIS, est disponible en Francedepuis le dbut des annes 1990. Cest un rseau numrique de bout en bout (par oppositionau rseau tlphonique (RTC) o les liaisons terminales avec lusager sont toujoursanalogiques) et le dbit y est garanti. Un accs dit de base comprend deux canaux B 64kb/s pour les donnes soit un dbit utile de 128 Kb/s, et un canal pour la signalisation (canalD 16 Kb/s). Des dbits suprieurs, 256 Kb/s ou 384 Kb/s, sont possibles par leregroupement de plusieurs accs de base. Des couplages plus importants sont galementralisables : un accs dit primaire comprend 30 canaux B 64 Kb/s ce qui correspondalors un dbit utile de 2 Mb/s. La qualit des images (et dans une moindre mesure dessons) est directement dpendante du dbit possible dans le rseau de transmission : plus ilsera lev et meilleure sera la restitution. Pour obtenir une fluidit correcte des images, il estncessaire dopter au minimum pour une liaison 384 Kb/s. A limage dune communication tlphonique classique, on tablit une connexiontemporaire pour mettre en relation les interlocuteurs distants (on utilise le terme decommutation de circuit). Elle permet ltablissement dun chemin direct qui est ddi lacommunication entre les points participants. Toutes les donnes vont suivre le mme cheminpendant toute la dure de la session. La qualit de service est assure : le dbit tant garanti,la qualit des images et des sons nest pas sujette variations, voire des coupures. On aune qualit de service optimum, ce qui nest pas le cas, on le verra avec les technologiessous IP.Numris est disponible sur abonnement auprs de France Tlcom. Le RNIS estpratiquement disponible dans le monde entier et est normalis. Comme pour le tlphone, lescommunications sont factures en fonction de la dure de la communication et de ladistance. Le cot est galement proportionnel au nombre de canaux B utiliss. De ce fait,dans la majorit des cas, les dbits adopts ne dpasseront pas 384 Kb/s.


La visioconfrence sous IP : des avantages mais aussi des contraintes spcifiques Le titre gnrique de visioconfrence sous IP est utilis dans son sens le plus large, cest dire pour dsigner des visioconfrences qui sappuient la fois sur les technologiesdInternet mais aussi sur celles des rseaux privs ou locaux (rseaux Ethernet, Intranet ). A linverse de Numeris, la visioconfrence sur IP repose, en ce qui concerne sa transmissionsur les rseaux, sur des principes techniques totalement diffrents. Cette technologie apportede nombreux avantages mais engendre aussi des inconvnients spcifiques.

La visioconfrence sur IP utilise une infrastructure qui na pas t conu lorigine pour desapplications vido. Que ce soit sur Internet ou dans le cadre du rseau informatique duntablissement, les lignes utilises sont parcourues par des flux divers et varis, leurscapacits en terme de bande passante doivent tre partages en permanence entre denombreuses applications ou priphriques informatiques Le dbit possible (et donc laqualit de la transmission) dpend directement de la charge du rseau un moment donn etpeut donc tre trs variable en fonction du moment. Le dbit ny est pas garanti do lerisque dune mauvaise fluidit des images et des sons.A loppos de la visioconfrence sur RNIS pour laquelle on tablit une liaison directe etpermanente entre les participants et o toutes les informations numriques circulent sous laforme dun flux continu avec un dbit constant, (et donc avec une qualit de serviceconstante), les donnes numriques sur un rseau IP sont dcoupes en paquets. Ces paquetscirculent sur le rseau et sur Internet totalement indpendamment les uns des autres. Ilspeuvent, en toute autonomie, prendre des itinraires diffrents (en plus des donnes utiles , chacun dentre eux intgre une entte contenant diffrentes informations,notamment ladresse IP darrive). Ces paquets peuvent parvenir destination avec descarts variables et pas ncessairement dans le bon ordre voire tre dtruits en cours de route.De prime abord, ces caractristiques pourraient paratre totalement incompatibles pour unerestitution correcte de la vido et de laudio qui exige par nature un flux continu et rgulier.Sur le plan qualitatif, les problmes de transit voqus peuvent se matrialiser lcran parune dgradation des images (apparition dartefacts) voire leur gel ou leur disparitioncomplte. Des technologies particulires ont t dveloppes pour adapter les rseaux IP aucontraintes du transport des donnes vido et audio en temps rel.

Sur un rseau IP, les donnes sont dcoupes en paquets. Lentte contient desinformations pour le routage, notamment ladresse IP du poste expditeur et celle du postedestinataire.

Conu lorigine pour des applications qui ntaient pas multimdia, Internet repose labase sur deux protocoles IP et TCP. Le protocole IP assure lacheminement des paquets depoint en point, jusquau terminal final mais sans se proccuper du contenu. Il ne gre pas lespertes et les retards. Ce protocole simple mais peu fiable est complt par le protocole TCPqui assure la fiabilit de la transmission en demandant la r-mission des paquets perdus oudtruits. Du fait de cette procdure de r-mission, TCP est un protocole lent. Cette fiabilit


qui est un atout pour la transmission de fichiers informatiques devient, du fait de lalenteur, un inconvnient pour la transmission de la vido et de laudio.

Encadr 1 : Dans le cadre dune visioconfrence, les changes sontsymtriques. Sur un rseau IP, le dbit pour chacune des directions est lasomme des dbits ncessaires pour laudio, la vido, et les donnes. Il faut yajouter les informations ncessaires la transmission des paquets et qui sontcontenues dans lentte de chacun des paquets (compter environ 20%). Unevisioconfrence tablie entre deux centres avec une vido 384 Kb/s et delaudio 64 Kb/s, engendrera sur le rseau un dbit total de deux fois (384 +64) x 1,2 = 540 Kb/s soit un total de plus de 1 Mb/s.

Encadr 2 : Un des principaux problmes des rseaux est la congestion ou lasurcharge du trafic qui va provoquer des retards et les dlais danslacheminement des paquets ( larrive, les carts temporels entre paquets nesont pas identiques ce quils taient au dpart : on appelle cela la gigue). Onutilise souvent le terme de "qualit de service" (QoS) pour caractriserlaptitude dun rseau assurer la transmission des donnes. La qualit de service "best effort" est celle qui est fournie traditionnellementpar l'Internet et correspond en fait une absence de qualit de service. Lanotion de priorit nexiste pas, le rseau traite de faon identique tous les fluxqui circulent chaque instant, quel quen soit le contenu. Les dgradations(ralentissements, pertes) dues aux ventuelles surcharges sont rparties galit entre tous. Le rseau "fait de son mieux" (best effort) pour acheminer leplus efficacement possible la totalit des donnes, sans s'inquiter des besoinsspcifiques correspondant chacun des flux, et donc sans tablir dediffrenciation entre les donnes audiovisuelles et les donnes informatiques .

Pour compenser la lenteur de TCP, on a ainsi cr le protocole UDP (User DatagramProtocol), un protocole simplifi lextrme, sans r-mission des paquets perdus mais quiprsente lavantage dtre beaucoup plus rapide. Au cours dune session de visioconfrence,les deux protocoles TCP et UDP sont simultanment utiliss conjointement avec IP enfonction des caractristiques des donnes transmettre : TCP pour les donnes ne souffrantaucune perte (tablissement des appels, signalisation et gestion des communications,applications informatiques partages) et UDP pour la transmission bilatrale des signauxaudios et vidos pour lesquels une transmission en temps rel est exige et o des pertespeuvent tre tolres.Ces protocoles majeurs ont t complts par des protocoles spcifiques et par desmcanismes particuliers destins optimiser la transmission des donnes audiovisuelles.Le protocole RTP (Real-time Transport Protocol) contrle les flux vido et audio dans lesapplications en temps rel. Il assure la numrotation des squences, ajoute une rfrencetemporelle (timestamp) qui indique linstant exact dmission du paquet la sourcepermettant ainsi larrive de replacer les paquets dans le bon ordre, et de rtablir largularit temporelle. Sous le terme de Packet Assist, la socit VCON rassemble sur sesmatriels tout un package de fonctionnalits destines justement compenser tous cesdfauts temporels : Packet Ordering pour replacer les paquets dans le bon ordre, JitterCorrection pour recaler leur squencement, Lip Sync Correction pour raliser la re-synchronisation des donnes audio et vido et Lip Sync Delay Ajustment pour modifierventuellement le dcalage entre le son et limage (et compenser une dsynchronisation


possible entre le mouvement des lvres et la voix des intervenants). Des dispositifssimilaires sont proposs chez les autres fournisseurs.

Rien que le transfert des donnes vido et audio, pas moins de 8 flux RTP et RTCP sont gnrs et transfrs sous UDP.A chacun des flux RTP unidirectionnel qui transporte des donnes audio ou vido correspond un flux bi-directionnelRTCP qui ne transporte que des donnes de supervision.

Loptimisation de la qualit des transmissions passe galement par limplmentation demcanismes spcifiques au niveau des applications terminales et des lments intermdiairesdu rseau (les routeurs). Une premire tape est dadapter en temps rel le dbit de la vido en fonction des capacitsinstantanes du rseau (et donc dassurer une qualit des images aussi optimale quepossible). Cette adaptation repose sur les changes qui sont tablis intervalles rguliersentre les organes terminaux et qui sappuient sur les protocoles RTP et RTCP (Real-timeTransport Control Protocol). En fonction des compte-rendus de rception mis par leterminal, la station mettrice modifie les paramtres de compression et de diffusion desdonnes vido (et parfois aussi audio). La qualit de la restitution va ainsi diminuerlgrement lorsque le dbit sur le rseau devient plus faible (pour les images vido, ladfinition sera un peu moins bonne, la fluidit moins soutenue, pour laudio, la bandepassante sera plus rduite ) et vice et versa. Dans un rseau provisoirement congestionn,il est sans doute prfrable dafficher des images avec une qualit amoindrie - plus fortementcompresses, elles ncessitent un dbit plus faible - mais partiellement exemptes de dfautsde transmission (peu de pertes de paquets, jitter faible) que des images de meilleure facture(compresses pour un dbit plus lev) mais qui prsenteraient, compte tenu de la saturationdu rseau, des taux de pertes et de jitter importants et donc de nombreux artefacts, voire ungel complet.


Encadr : Sur un rseau IP, la circulation des donnes obit trois grands principes.Avec mon premier, les donnes utiles ne circulent pas en un flot continu sur le rseau maissont dcoupes en paquets. A chacun dentre eux est affect une entte (header enanglais) qui contient des informations pour le service. Avec mon second, le traitement de linformation est hirarchis sous la forme de couchesfonctionnelles, chacun dentre elles correspondant une fonctionnalit prcise (coucheapplication, couche transport, couche rseau) et donc un ou plusieurs protocolesspcifiques.Concrtement, le flux dinformations transform en paquets est transmis de couche encouche. Chacune dentre elles ajoute cependant ses propres informations de service auxdonnes utilisateurs correspondant aux divers protocoles utiliss. A la manire de poupesrusses sembotant les unes dans les autres, chaque paquet avec sa charge utile et son enttedevient la charge utile de la couche suivante et est complte par une entte (et aussi, le caschant, par des octets de fin). On parle dencapsulation, cest le troisime principe.La succession de nombreux protocoles, si elle rpond la ncessit damliorer latransmission des donnes, a aussi pour consquence ngative un accroissement importantdes donnes de service comparativement au volume des informations utiles et doncune augmentation du volume total transmettre. Ces enttes successives contiennent desinformations qui sont, pour certaines, identiques dune entte lautre. Des techniques decompression ont t labores pour allger le volume de ces enttes et permettre lasuppression de ces redondances lmission.

Lencapsulation des donnes (ici les donnes issues dun codec vido) : chaque coucheajoute sa propre entte aux donnes quelle reoit de la couche suprieure.

Les deux protocoles RTP et RTCP nont donc pas pour mission dagir sur les quipementsconstitutifs du rseau. Dans cette qute pour loptimisation des transmissions, une deuximetape est dintervenir sur tous les lments intermdiaires. Le transfert des paquets sur lerseau peut tre amlior, - soit en balisant le chemin et en rservant de la bande passante : la rservation de

ressources stablit via le protocole de rservation RSVP (Ressource ReservationProtocol). Ces rservations sont demandes par le rcepteur et adresses priodiquement aux diffrents routeurs.

- soit en affectant des priorits aux paquets contenant des donnes sensibles : les donnes


audio et vido sont rendues prioritaires par rapport aux autres donnes lorsque descongestions se produisent sur des routeurs.

Ces deux derniers points, sils peuvent tre mis en oeuvre sur des rseaux privs ou sur desrseau universitaires (Renater), restent encore pour aujourdhui largement inexploitables surInternet.

La qualit dune visioconfrence est galement tributaire des caractristiques du rseauinformatique local. Sur un rseau de type Ethernet, les dbits sont levs, dans la majoritdes cas 100 Mb/s (les rseaux 10 Mb/s sont viter). Mme si la bande passantedisponible est partager entre tous les utilisateurs du rseau (cest avant tout un rseauinformatique), elle est gnralement suffisante pour assurer le transit des donnesncessaires une visioconfrence. Les rseaux Ethernet commuts sont prfrables desrseaux partags, car ils offrent de meilleures performances en terme dutilisation de labande passante. En scrutant ladresse du destinataire dans chaque paquet IP, le switch oucommutateur naiguille le paquet que vers la sortie correspondant la seule machinedestinatrice, par opposition au HUB avec lequel un message mis par une machine est visible par lensemble des machines, mme sil ne peut tre exploit que par celle qui estdestinataire. Le switch est un aiguillage automatique, le hub une prise multiple !La fluidit dans le rseau pourra tre galement amliore par la prsence dun quipementparticulier, le GateKeeper. Ce dispositif spcifique pour la visioconfrence (mais facultatif)a principalement un rle dannuaire, mais il peut galement participer la gestion des fluxen rgulant le trafic supplmentaire gnr par la sance de visioconfrence : il pourra parexemple interdire un interlocuteur de participer une session si le trafic gnr risque desaturer le rseau. Ce point sera abord dans un prochain paragraphe.

Dans un tablissement scolaire cbl, en sappuyant sur un rseau qui est gnralementlargement dploy dans la quasi totalit des salles, il est possible de raliser facilement etrapidement une session de visioconfrence en tout lieu, puisquil suffit simplement dedisposer dun prise rseau proximit pour y connecter un quipement, quil soitindividuel ou destin un usage collectif. Cette souplesse dutilisation nest pas possibleavec le RNIS, les lignes ntant gnralement dployes que dans quelques sallesspcifiques. A ces facilits, sajoutent des avantages conomiques : pas de cot decommunication, pas dabonnement spcifique, si ce nest celui de la connexion haut dbit Internet, mais dj comptabilis par ailleurs car indispensable. A noter que sur les accs detype ADSL qui sont majoritairement proposs aujourdhui, les liaisons sont asymtriques :les dbits sont diffrents dans le sens montant et dans le sens descendants, par exemple 1024Kb/s en rception mais seulement 128 Kb/s en mission1. Dans une session devisioconfrence simple entre deux points, les dbits ncessaires sont identiques dans lesdeux sens (les liaisons sont symtriques). Dans lexemple prcdent, sauf fonctionnalitspcifique, cest la valeur commune (donc ici 128 Kb/s) qui pourrait tre automatiquementadopte par les deux quipements.

1 La technologie DSL (Digital Subscriber Line) est une grande famille de normes. LADSL (AsymmetricDigital Subscriber Line), asymtrique comme son nom lindique, est lun de ses lments. Des versionssymtriques existent aussi.


Deux familles de normes : H320 pour RNIS et H323 pour IP

Des normes et des formats

Pour ces deux mthodes de transmission, des normes spcifiques ont t tablies afin degarantir l'interoprabilit de tous les matriels de visioconfrence. Elabore au dbut desannes 90, la norme H320 a t prvue pour les rseaux commutation de circuits ets'applique donc aux communications sur les lignes RNIS. La norme H323 concerne lesrseaux commutation de paquets, cest dire notamment aux rseaux IP. Elles ont tdveloppes par lITU (International Telecommunication Union).

Les deux normes H320 et H323 sont des normes conteneurs et correspondent en fait unassemblage de normes spcifiques pour tous les domaines concerns. Ces dernires peuventtre identiques pour H320 et H323 ou bien diffrentes. Elles concernent ltablissement etla gestion des communications, le contrle et la signalisation (H225, Q931 pourlinitialisation des appels, H245 pour la ngociation des canaux des mdias), le traitementde la vido et de laudio, le partage dapplications (T120), le contrle des camrasdistantes (H281 en mode RNIS, H282 et H283 en mode IP...) ou le fonctionnement enmultipoint (H243). Ces normes garantissent le bon fonctionnement des diffrentes phasesdune visioconfrence et linteroprabilit entre des matriels dorigines diffrentes.Pour la transmission des donnes sur un rseau IP, la norme H323 sappuie par ailleurs surles protocoles de transport (TCP, UDP, RTP) dicts par lIETF (Internet EngineeringTask Force) et voqus dans le chapitre prcdent.

Transmettre la vido et laudio Les images vido exigent des dbits importants comparativement aux autres mdias. Destechnologies spcifiques ont t dveloppes afin de diminuer la quantit dinformationsdevant tre transmise et par la mme diminuer le dbit ncessaire et le rendre compatibleavec les capacits des lignes de transmission utilises (RNIS ou IP)2. Cette rductionsaccompagne invitablement dune altration de la qualit des images et de leur frquencede dfilement. On appelle CODEC lentit charge de la COmpression des donnes audio ouvido dans un sens ( la prise de vue) et de leur DECompression dans le sens contraire (pouren permettre laffichage). Plus le dbit est lev et meilleure sera la qualit de la restitution,lidal tant dobtenir la meilleure qualit possible pour un dbit qui reste le plus faible(cest dire un taux de compression le plus lev possible).

2 Quelques chiffres pour fixer les esprits : une squence vido numrique non compresse de qualit studio detlvision exige un dbit de 166 Mb/s. La diffusion dun programme tlvis dans le cadre dun bouquetnumrique satellitaire (TPS, Canal Sat) ou par un rseau cbl urbain seffectue avec des dbits de 4 6 Mb/s.Pour les matriels de visioconfrence, les dbits proposs sur les quipements sont au maximum de 1 2 Mb/s,mais restent le plus souvent limits quelques centaines de Kb/s.


Compresser une squence vido, cest diminuer la quantit dinformations lacaractrisant.

Cest donc rduire la dimension des images, leur frquence daffichage (avec pourcorollaire une diminution de la fluidit !)

mais cest aussi exploiter les redondances spatiales (par exemple, lesplages uniformes lintrieur de chacune desimages),

les redondances temporelles (dans unesquence vido, les diffrences entre deuximages successives sont minimes), les redondances subjectives (il est inutile decoder les dtails fins que lil ne voit pas).

Diffrents codecs sont proposs dans les normes. Ils sont diffrents pour laudio et pour lavido.Les codecs pour laudio ont pour nom gnrique G7xx. : G711 peu utilis, G723.1, G728,G729 Ils offrent des bandes passantes qui restent limites aux environs de 3 KHz, ce quine correspond, ni plus ni moins, qu la qualit tlphonique. Ces codecs diffrent par ledbit ncessaire pour obtenir cette qualit (et donc par leur complexit 3). G722 permet unerestitution de meilleure qualit avec une bande passante atteignant 7 KHz offrant de ce faitun meilleur confort dcoute. Diffrentes dclinaisons de cette norme ont t prvues. Si lapremire version tait prvue pour des dbits compris entre 48 et 64 Kb/s, la version G.722.2permet dobtenir la mme qualit pour des dbits pouvant descendre jusqu 6,6 Kb/s. Descodecs propritaires peuvent galement tre prsents, par exemple le codec TDACdvelopp par France Telecom qui offre une bande passante de 7 KHz.Des nouveaux codecs plus performants ont t dvelopps plus rcemment. La socitPolycom a ainsi implment sur ces matriels sa technologie VSX Siren 14 qui permetdobtenir un son de qualit avec une bande passante de 14 KHz. Une restitutionstrophonique est galement disponible sur certains modles. Tandberg a pour sa partintgr un codec AAC-LD (Advanced Audio Coding Low Delay). AAC est un codagestandardis par l'ISO (International Organisation for Standardisation) et faisant partie de laspcification MPEG-4. Sa particularit est doffrir des encodages de qualit avec des tempsde calcul trs courts (do lappellation Low Delay) : il convient donc particulirement bienpour des applications bidirectionnelles comme la visioconfrence.

Pour la vido, trois normes de compression peuvent tre utilises. H261 est la plus ancienne(elle a t labore par le CCITT entre 1988 et 1990) et a t dveloppe lorigine pour uneutilisation sur RNIS. La norme H263 est plus rcente mais elle est aussi plus performante et3 Pour une qualit donne, plus le dbit obtenu est faible et plus les circuits de compression doivent treperformants.


a t plus particulirement adapte pour les communications faibles dbits. La normeH263+ est une amlioration de H263 et prend mieux en compte les spcificits des rseauxIP.Des dveloppements rcents ont t raliss en direction de la norme MPEG-4 et plusparticulirement vers le dernier codec vido, baptis sous le double nom de H264 et Mpeg 4part 10 (mais que lon trouve parfois aussi sous lappellation AVC pour Advanced VideoCoding). Sur le plan qualitatif, les gains apports sont importants. Pour des dbits infrieurs 1 Mb/s, ce codec dlivre, dbit gal, un niveau de qualit dimage de 30 50 % suprieur celui de la premire gnration de codecs MPEG-4 ASP (Advanced Simple Profile) et parcomparaison de 60 % suprieur celui du MPEG-2 qui est utilis pour la tlvisionnumrique ou le DVD. Appliqu la visioconfrence, il va permettre, qualit dimagegale, une rduction importante des dbits ncessaires ou en dautres termes, pour des dbitsquivalents ceux utiliss aujourdhui une amlioration de la qualit et de la fluidit desimages. On estime gnralement, quavec une connexion de type RNIS, la qualit obtenueaujourdhui 256 Kb/s est identique celle que lon obtenait hier 384 Kb/s avec un autrecodec. Diffrents fabricants ont dj implment H264 sur leurs matriels. Des quipements pourmicro-ordinateurs commencent aussi intgrer cette possibilit. Le processus denormalisation de ce codec est aujourdhui abouti (depuis juin 2004) ce qui devrait parfairelinteroprabilit entre les diffrents matriels.Pour pouvoir profiter pleinement des avantages apports par H264, il faut bien videmmentque ce codec soit prsent au deux extrmits de la chane, faute de quoi le systme basculeraautomatiquement sur un autre codec, H263 par exemple. Ces innovations techniques setraduisent par une complexit accrue des dispositifs de traitement. Les ressources machines sont trs sollicites (on estime parfois quavec H264, il faut quatre fois plus deressources machines quavec H263) et plus encore pour celles qui intgreront un pont multi-sites (ces quipements doivent grer les flux issus des diffrents sites, les puissances decalcul doivent tre multiplis dautant). Du fait de cette complexit accrue, les quipementsH264 en multipoint ne sont pas encore disponibles sur le march.

Diffrents formats dimages ont t dtermins par les normes. Ils sont dfinis en fonctiondu nombre de lignes (dans le sens vertical) et de points (dans le sens horizontal) quiconstituent limage vido. Le format CIF (Common Interchange Format) est le format debase de la visioconfrence. Il se compose de 352 points sur 288 lignes et correspond environ un quart de lcran sur un tlviseur.Des formats drivs, multiples et sous multiples, ont t galement dfinis ainsi que lemontre le tableau ci-dessous. Ces valeurs sont comparer celles adoptes pour une imagede tlvision classique (720 points x 576 lignes).

Formats Nb de points /nb de lignes(pour la luminance)

CIF Common Interchange Format 352 x 288QCIF Quarter CIF 176 x 144SQCIF sub quarter CIF 128 x 964CIF 4 x CIF 704 x 57616CIF 16 x CIF 1408 x 1152


Pour une image de tlvision, le dbit traditionnel est de 25 images par seconde (30 pour lecontinent amricain). On pourra retrouver ces valeurs sur les dpliants commerciaux fournispar les fabricants dquipements de visioconfrence (15 images par secondes au maximumsur les plus petits matriels). Pratiquement, les chiffres rels sont bien plus faibles. Il ne fautpas oublier que ces valeurs ne pourront pas tre atteintes si les dbits sur le rseau ne sontpas suffisants (notamment pour les rseaux IP en cas de congestion). De ce fait, une fluiditcorrecte des images ne sera pas toujours obtenue.

Les matriels de visioconfrence disposent souvent de sorties informatiques quipermettent la connexion dun moniteur informatique ou dun vido projecteur pour unevisualisation sur grand cran. Les rsolutions graphiques habituellement proposes sont :SXGA : 1280 x 1024XGA : 1054 x 768SVGA : 800 x 600VGA : 640 x 480

Prsentation et partage de documents

Une session de visioconfrence ne se rsume pas uniquement des changes oraux entre desintervenants distants, mais saccompagne souvent de la diffusion et de la prsentation dedocuments annexes. Proposs par lun ou lautre des participants, ces mdias doiventpouvoir tre diffuss en direction de lensemble des sites. Ils peuvent tre de diffrentesnatures (images fixes, photographies, squences vido, fichiers informatiques, ou plussimplement, notes et schmas ralises en direct sur un tableau blanc) et proposer desdegrs dinteractivit variables. Ces prsentations peuvent tre mises en oeuvre dediffrentes faons.

La diffusion simple : Cest la possibilit la plus simple, puisquil ne sagit que de prsenter un document, sansaucune interactivit possible. Pour la projection des documents vido, les dispositifs devisioconfrence sont gnralement munis dentres composites ou S-Video permettant laconnexion dquipements de lecture, magntoscopes VHS par exemple. Ces entres peuventtre galement utilises pour le raccordement dun banc titre. Constitu dune camra vidofixe verticalement sur un pitement, cet quipement permet de prsenter des petits objets oudes documents papiers .Des entres analogiques dans des formats informatiques courants sont galementproposs pour le raccordement des micro-ordinateurs. Il ne sagit pas ici de vouloir raliserun travail collaboratif et interactif avec les partenaires distants mais seulement de diffuserlimage cran dun contenu informatique via une liaison de type XGA entre lordinateur et ledispositif de visioconfrence. Cest une solution simple qui ne ncessite quun seulordinateur, et qui nimplique pas la mise en place de logiciels spcialiss. Des dispositifs particuliers ont t dvelopps par les industriels pour permettre la diffusionsimultane de deux sources vido ou dune source vido et dun flux XGA. Une nouvelle


norme H239 a t dveloppe pour faire suite aux solutions propritaires qui avaient tdployes ( Duo Video pour Tandberg, People and Content pour Polycom). Elle estapparue au dbut de lanne 2004 et a t implmente sur les premiers produits six moisplus tard. Les participants distants peuvent visualiser les deux images, soit sur un seul cran(lune des images est en incrustation), soit sur deux crans distincts. Pour une imageinformatique (diffuse via lentre XGA), la qualit de la restitution dpendra du typedaffichage utilis sur le site distant. Avec un tlviseur ou un moniteur vido, elle pourrasouffrir du transcodage (XGA vers H261 /H263) et sera affiche dans le format CIF (352 x288) alors quavec un moniteur informatique elle conservera sa dfinition et sa qualitdorigine (matriels Aethra notamment).

Certains matriels disposent dune fonction PowerPoint intgre permettant la diffusionet la gestion dune prsentation dans ce format sans avoir recours un micro-ordinateurextrieur. Le document est stock en local (aprs transfert sous IP partir dun posteinformatique reli au rseau, cest le cas par exemple avec les matriels Aethra) ou sur despriphriques de stockage de type Memory Stick ou similaires (Sony). Pour en faciliterlexploitation, lquipement de visioconfrence intgre alors toutes les fonctionnalitsspcifiques ncessaires lexploitation dun document de ce genre : affichage en local et enmode vignette de lintgralit de la prsentation, modification de lordre des diapositives,suppression Laffichage (tout comme celui de toute image fixe, photographie ou texte) estralis par rfrence lannexe D de la norme H 261 qui avec une rsolution de 576 lignes x704 points permet une restitution de meilleure qualit que celle qui peut tre offerte par leformat CIF. Sur les sites distants, les diapositives seront prsentes en plein cran (avec enincrustation limage vido de linterlocuteur) ou diffuses sur un deuxime cran.Les dispositifs de visioconfrence individuels installs sur micro-ordinateurs disposent dunatout supplmentaire par rapport leurs homologues de type console : ils intgrent parconstruction un lment de stockage de grande contenance (le disque dur !). Tous lesdocuments qui y sont enregistrs peuvent tre spontanment et sans doute beaucoup plusfacilement diffuss vers lensemble des correspondants distants. Cest le cas par exemplepour le logiciel eConf dvelopp par France Telecom R&D et de sa fonction Drag andStream Multimedia . Il permet la diffusion facile de tout fichier vido (format mpeg, avi,mov, qt) ou audio (wav, mp3..) avec de surcrot la possibilit dassurer simultanment uncommentaire vocal ou crit.

Avec certains matriels (Aethra, Sony), il sera galement possible de renforcer limpactdune session de visioconfrence par une diffusion vido et audio en direction du rseau IPde ltablissement ou plus gnralement vers Internet. Certains quipements intgrent eneffet une fonction serveur de streaming. Sous condition daccs par mot de passe, et aprsconnexion ladresse IP du serveur, elle permet tout un chacun de suivre distance ledroulement de la visioconfrence sur son propre poste informatique. Cest bien de diffusion(audio et vido) dont on parle, et donc sans aucune interactivit possible, mais dans ce cadre,le nombre de spectateurs est illimit. Cette diffusion audio et vido pourra tre raliseen unicast ou en multicast (voir encadr), et, en fonction du choix opr par le fabricant,dans lun des formats vido habituellement disponible sur Internet (Real, Windows Mediaou Quick Time).


Diffusion vido en unicast ou en multicastSur Internet, la diffusion en temps rel dune squence vido (oustreaming) peut tre ralise suivant deux mthodes.La diffusion unicast correspond au concept de la vido lademande : chaque requte dun utilisateur correspond un fluxvido qui est dlivr par le serveur. Il y aura donc sur le rseauautant de flux que de demandes. A la manire dun magntoscope,toutes les formes dinteractivit sont possibles.Le multicast sapparente plus la diffusion tlvisuelle classiquetelle que nous la connaissons par ailleurs (hertzienne, parsatellite). La diffusion est ralise un instant donn, le mmepour tous, sans aucune interactivit possible. Pour visualiser lasquence, il suffit de se connecter au moment ad hoc une adresseIP spcifique. Ce procd permet doptimiser la bande passante durseau, puisque le serveur ne gnre quun seul flux. Ce flux seraensuite dupliqu si ncessaire au niveau de chacun des nuds durseau sil se trouve en amont un rcepteur valide.

Partage de documents et fonction tableau blanc Ici, il ne sagit plus de prsenter simplement un document informatique, mais de raliseravec les interlocuteurs distants un vritable travail interactif sur une application commune.Ce travail ncessite la connexion dun micro-ordinateur sur chacun des sites participants. La norme T120 est la norme de partage dapplications informatiques. Elle nest passpcialement ddie la visioconfrence et fonctionne sur diffrents types de rseaux. Cestaussi une norme container car elle englobe bon nombre de protocoles spcifiques (T123,T124, T125).Pour raliser le partage de documents, la grande majorit des dispositifs de visioconfrencesappuient sur le logiciel NetMeeting dvelopp par Microsoft. Cest un logiciel dj ancienmais qui prsente lavantage dtre disponible sur la plupart des micro-ordinateurs carintgr aux systmes dexploitation Windows (on voque cependant sa probable disparitiondans les versions futures). NetMeeting est un vritable outil de communication, permettantdes changes audio, vido ou textuels, et qui propose des fonctionnalits de type tableaublanc, partage dapplication, transfert de fichiers Seules ces trois dernires fonctions sontutilises par les quipements de visioconfrence. La fonction tableau blanc fait rfrence un espace commun, visible par tous, sur lesquels les diffrents interlocuteurs peuventsimultanment intervenir : crire, dessiner, coller un texte ou un tableau... Le partagedapplication permet un travail collectif sur un mme document (traitement de texte, tableurou autre). Ce dernier reste hberg sur le micro-ordinateur de son propritaire, mais il estvisible et peut tre modifi distance (si autorisation et aprs validation) par tous lesintervenants. La fonction transfert de fichiers ralise la copie de tout document en directiondes sites distants.La mise en oeuvre dun travail collaboratif dans le cadre dune session de visioconfrencencessite que tous les sites soient quips dun micro-ordinateur sur lequel NetMeeting estactif. La liaison entre le micro-ordinateur et la console de visioconfrence est tablie, soit parlintermdiaire dune liaison IP (connexion directe ou travers le rseau), soit via uneliaison srie de type RS 232 (du nom de la norme laquelle elle fait rfrence). Alors mmeque le travail collaboratif est directement ralis sur les micro-ordinateurs, la transmissionest par contre effectue par les quipements de visioconfrence eux mmes, en parallle avec


les signaux audio, vido, de contrle propres la session. Cette transmission sappuie surle protocole TCP, car il est ncessaire de conserver lintgrit des documents transmis (lespaquets perdus doivent tre r-mis).

Le travail collaboratif avec T120

Le couplage avec un tableau blanc numrique : Dispositif indpendant des systmes de visioconfrence, un tableau blanc interactif est unquipement spcifique de visualisation destin une utilisation collective. Interconnect unmicro-ordinateur et un vido projecteur, il permet non seulement la projection du contenude lcran informatique (quel quen soit le contenu), mais offre galement (en sur-impressionsur le document projet ou sur une surface blanche mais dans les deux cas la manire duntableau classique) des fonctions dcriture, de dessin, dannotation, de surlignage Laspcificit de cet quipement est de permettre la sauvegarde de tous les travaux qui y sontraliss et dassurer le pilotage distance du micro-ordinateur.Ces dispositifs ont t conus pour une utilisation en local dans une salle de formation, maisils peuvent tre galement coupls des quipements de visioconfrence. Lensemble desoprations ralises sur la tableau sont alors totalement visualisables par lensemble desinterlocuteurs distants.

Web confrences Une Web confrence est une runion virtuelle tablie via Internet (ou via un rseau IP) entrediffrents interlocuteurs situs sur des zones gographiques distantes. Ces dispositifs ne sontconus que pour des utilisations individuelles partir dun micro-ordinateur et offrentgnralement des fonctionnalits de messagerie, de communications interactivesinstantanes (chat), de prsentation de documents, de navigation sur le Web, de tableaublanc Les documents prsenter doivent avoir t placs sur un serveur spcifique quipourra tre ventuellement hberg par une socit tierce, et auquel tous les participantspourront facilement se connecter (par exemple, laide dun simple navigateur). Linitiateur


de la session conserve la gestion de lorganisation (invitation, dfinition des mots de passe)et la matrise du droulement de la runion (diffusion dun document, suivi desinterventions). Diffrentes fonctionnalits supplmentaires peuvent tre proposes : prisede contrle distance, enregistrement de la sessionCes dispositifs ont t conus indpendamment de tout systme de visioconfrence etnincluent dailleurs pas ncessairement des outils vido ou audio. Ils peuvent cependantintgrer une liaison audio entre les participants, soit directement via les outils disponibles surle poste informatique, soit par lintermdiaire dune communication tlphonique classiquetablie par ailleurs. Dautres peuvent galement offrir la retransmission de limage vido dela personne qui a la parole.Ces dispositifs peuvent venir en complment des solutions compltes de visioconfrencesqui apporteront alors des liaisons audios et vido de bien meilleure qualit.

Nouvelles normes et volutions

Centraliser les adresses avec la nouvelle norme H350 Cette nouvelle norme (elle date de septembre 2003) concerne la fonction dannuaire etnormalise les procdures de stockage des donnes dadresses (qui taient souventpropritaires). Elle permet la centralisation sur un serveur spcifique de toutes cesinformations, non seulement les adresses IP ou les alias des terminaux H323 devisioconfrence, mais galement celles utilises par dautres types dquipements,notamment ceux destins la tlphonie sur IP. La recommandation H350 sappuie sur leprotocole LDAP (Lightweight Directory Access Protocol ). Elle est compatible H320, H323,SIP

SIP (Session Initiation Protocol) SIP est lorigine un protocole tlphonique sur lequel on a ajout aujourdhui la possibilitde transmettre de la vido. Pour les quipements de visioconfrence, cest lune desdernires tendances pour cette fin danne 2004. La norme SIP a t implmente sur desproduits Polycom depuis le mois de juillet 2004.SIP est plus rcent que H323. Cette norme a t dveloppe et normalise sous la tutelle delITU-T (le monde des tlcoms !) par opposition H323 qui a t dvelopp sous lgide deIETF (le monde de lInternet !). Elle simplante largement dans les entreprises grce ausuccs croissant de la tlphonie sous IP (ou VoIP). Pour la visioconfrence, ce protocole nacependant pas la richesse de H323 et il offre des possibilits en terme de fonctionnalitsplus rduites (il ne permet pas de faire du multipoint directement, il prsente desinsuffisances pour la commande distance des camras). Mais il prsente lavantage depouvoir sappuyer sur les rseaux tlphoniques dentreprise sur IP pour la mise en uvredes dispositifs de visioconfrences. SIP peut donc constituer une alternative davenir H323.

WiFi (Wireless Fidelity) : Il ne sagit pas ici dune fonctionnalit spcifique aux quipements de visioconfrence maissimplement de la mise en oeuvre dune liaison sans fil en lieu et place de la liaison filaireclassique ncessaire entre le terminal de visioconfrence et le rseau IP. WiFi est une normede transmission radio (802.11) qui permet lchange de donnes entre deux priphriques.Plusieurs dclinaisons ont t ralises. La plus connue est la norme 802.11b qui utilise la


plage de frquence de 2,4 GHz et permet un dbit thorique de 11 Mb/s. Plus rcente, lanorme 802.11g autorise des dbits qui peuvent atteindre 54 Mb/s. Dans les deux cas, lesliaisons sont bi-latrales mais restent limites de courtes distances (100 m en champ libremais beaucoup moins lintrieur dun btiment).Lquipement de visioconfrence est quip dun module spcifique dmission et rception.Une borne dmission rception relie au rseau local de ltablissement doit tre prsente faible distance.

La confidentialit avec le cryptage AES (Advanced Encryption Standard) : Les matriels de visioconfrence offrent dsormais des dispositifs dencryptage quipermettent dassurer la confidentialit des changes, avec des communications qui sontscurises et chiffres. Cest une possibilit qui est propose pour les entreprises sensibles mais qui ne concerne pas directement le monde de lducation. Cettefonctionnalit est totalement transparente pour lutilisateur. Diffrentes normes existentH233, H234 la plus rcente tant H 235.


Sous IP, des contraintes lies aux rseaux locaux et leurs quipements spcifiques

Paralllement aux difficults inhrentes Internet et dj voques dans les chapitresprcdents, la visioconfrence sous IP souffre galement des maux lis certains dispositifsinformatiques spcifiques mis en place dans les rseaux locaux dentreprise. Situs lafrontire entre le rseau local et le rseau extrieur, ces dispositifs sont principalement dedeux ordres : ceux destins assurer la gestion des adresses IP de lensemble des micro-ordinateurs connects au rseau local et ceux destins assurer la scurit et la protectiondes connexions (FireWall). Dans le cadre dune visioconfrence, ces quipements induisentdes difficults dexploitation particulires quil est ncessaire de bien connatre.

La gestion des adressesSur Internet tout comme sur les rseau locaux de type Ethernet, chaque poste informatiquese voit affecter un identifiant unique appel adresse IP. Deux postes sur un mme rseau(Internet tant considr comme lun dentre eux) ne peuvent pas avoir la mme adresse IP.Ces adresses sont codes sur 4 octets de 8 bits (soit 32 bits)4 dans la version actuelle duprotocole IP et leur nombre est par consquent limit. Cette limitation devrait disparatreavec la future version IPv6. La technique de translation dadresse (NAT en anglais pour Network Address Translation) at mise au point pour grer la pnurie dadresses possibles face aux besoins croissantsdInternet. Il a ainsi t dcid de rpartir le volume des adresses possibles en deux sousensembles : les adresses publiques (utilisables sur Internet) et les adresses prives(employables uniquement lintrieur des rseaux privs). Sur les rseaux locaux, cesdernires peuvent tre utilises sans dautre restriction que ne pas attribuer deux fois lamme adresse dans un mme rseau local. Compte tenu de ce confinement, il ny a aucunrisque de conflit lorsquune mme adresse prive est utilise sur des rseaux locauxdiffrents.Sachant quune adresse prive ne peut pas tre utilise sur Internet, lorsquun poste souhaitese connecter, le mcanisme de translation dadresse va remplacer ladresse prive prsentedans lentte de chacun des paquets par une adresse publique avant de router ensuite lepaquet vers lextrieur. Il ralisera lopration inverse au retour de la rponse. Cettetranslation pourra tre statique ( chaque adresse prive correspondra toujours la mmeadresse publique) ou dynamique (il ny a pas dassociations prdfinies). Dans ce cas,ltablissement disposera en gnral de moins dadresses publiques au regard du nombre depostes rellement prsent dans le rseau local. Elles seront attribues par le systme au fur et mesure des demandes de connexion. Plusieurs utilisateurs pourront se voir attribuer lamme adresse, la diffrenciation au retour entre les donnes destines aux uns et des autreset la dtermination du poste metteur original seffectuant alors sur dautres critres.Outre le fait que la technologie de la translation dynamique dadresses permet de limiter lenombre dadresses publiques utilises par un rseau souvrant sur lextrieur, elle permetaussi dassurer la protection des machines internes contre des actions malveillantes enprovenance dInternet puisque leur adresse IP relle nest en fait pas directement visiblede l extrieur . Cette fonction de scurit est la deuxime raison de lexistence des NAT.

4 Elles sont indiques par quatre nombre compris entre 0 et 255 spars par un point (par exemple194.250.164.58 est lune dentre elles) ce qui reprsente environ 4,3 milliards dadresses possibles.


Ce dispositif nest malheureusement pas pris en compte par certaines des normes (H225 ouH245) utilises dans le cadre des visioconfrences. Ces deux normes nexploitent pas lesadresses contenues dans les enttes, mais elles inscrivent (et utilisent ensuite) desinformations dadresse quelles placent dans le corps mme du paquet (dans le schma ci-dessous, cest ladresse prive du terminal A qui va tre ainsi transmise au terminal B lors delappel initial de A). Compte tenu de sa localisation dans la charge utile, cette adresse nestpas transforme par le NAT. En tentant dexploiter cette information pour rpondre,lquipement de visioconfrence distant ne peut trouver quune adresse prive totalementinexploitable sur Internet. Ltablissement de la session de visioconfrence est impossible.Certains quipements de visioconfrence intgrent des fonctionnalits spcifiques (fonction NAT IP Adress mask pour Vcon, Aethra NAT pour Aethra) qui permettent depallier cet tat de fait (via un menu de configuration, lutilisateur peut indiquermanuellement ladresse IP publique qui sera systmatiquement attribue). Lutilisation defirewall ou de proxy compatibles H323 (voir chapitre suivant) sont aussi des mthodes pourrsoudre ces cas de figure.

Incompatibilit entre les dispositifs de translation dadresses (NAT) et les normes H323 : suite la sollicitation initialede A, la rponse du terminal B ne peut pas aboutir : il ne connat de A que ladresse prive qui tait contenue dans lacharge utile des paquets (qui na pas t translate par le NAT) et qui nest pas utilisable sur Internet.


Le passage des firewallsUn Firewall (pare feu dans la littrature franaise) est un dispositif de scurit plac lajonction entre deux rseaux distincts, le rseau informatique interne un tablissement et lerseau extrieur, Internet en loccurrence. Organe de scurit destin protger le rseauinterne, sa tache principale est dinterdire les activits malveillantes en provenance delextrieur. La contrainte du firewall est dtre le plus transparent possible pour les activit lintrieur de lentreprise et dtre la fois le plus efficace possible en offrant un niveaumaximum de scurit. Cest essentiellement un outil de filtrage destin au contrle de lacirculation des paquets, et qui doit assurer le blocage de toutes les donnes qui ne doiventpas passer dun ct lautre. Il va gnralement interdire toutes les entres de donnesqui ne rpondraient pas une requte pralable de lun des postes du rseau local. Commentds lors, rpondre une demande dinitialisation pour une session de visioconfrencelorsquelle est sollicite depuis lextrieur ?

Les firewalls bloquent la plupart des paquets non sollicits, ici une tentative de connexionpour une visioconfrence. Pour que la communication stablisse, de nombreux portsdoivent tre ouverts sur le FireWall, commencer par le port 1720 qui est utilis lors delinitialisation de la liaison.

Un firewall va galement assurer la surveillance des ports qui sont utiliss. Sur un micro-ordinateur, chaque application logicielle se voit attribuer un port (le port est en quelque sorte ladresse dune application). Lors dune connexion classique Internet la majoritdes ports sont ferms sur le firewall, seuls les quelques uns qui correspondent auxapplications directement concerns sont ouverts. Dans le cadre de la visioconfrence, denombreuses connexions doivent tre simultanment maintenues entre les terminaux, et denombreux ports doivent y tres ouverts, certains alatoirement (cest dire sans que lonpuisse prvoir pralablement leur numro). Cette notion de ports dynamiques ne facilite pasla configuration des firewall : pas question de laisser tous les ports entre 1024 et 65535ouverts ! Sauf mise en place de dispositifs particuliers, louverture de tous ces ports sontautant de failles dans la scurit globale dun rseau local. A linverse, du fait des dispositifsde protection adopts par les administrateurs de rseau, la mise en place de sances devisioconfrence peut se rvler difficile, parfois mme impossible.


Diffrentes solutions techniques ont t dveloppes pour contourner ces obstacles etpermettre un fonctionnement correct des protocoles H323 travers les firewalls :

- Utiliser des firewalls intgrant H323 :Cest sans doute la meilleure solution, et celle qui offre la meilleure scurit. Beaucoup desfirewalls rcents intgrent dsormais H323 (sous lappellation Application Level Gatewaysou ALG dans certains textes). Ces quipements ont la facult de scruter les communicationsqui sont tablies en amorce une visioconfrence afin de dtecter les numros de ports quiseront effectivement utiliss. Ils pourront alors autoriser louverture de ces ports spcifiqueset permettre le trafic entre appel et appelant pendant une dure qui restera limite celle dela session. Ces ports sont referms ensuite. On utilise parfois le terme de pinholing pourdsigner cette mthode qui consiste nouvrir que les quelques ports ncessaires (des trousdpingle ) dans le firewall.Certains modles intgrent galement la fonction NAT. Lors de la translation dadresses, ilssont capables, non seulement de remplacer une adresse prive par une adresse publique danslentte des paquets, mais galement de raliser cette opration dans le corps mme de lacharge utile, permettant de ce fait le fonctionnement correct de toute session devisioconfrence.


Pour en savoir plus Sur un micro-ordinateur, chaque application logicielle se voit attribuer un port (le port esten quelque sorte ladresse de lapplication). Pour des donnes en provenance delextrieur, le numro de port indique quelle application sont destines les donnes. Lesports sont cods sur 16 bits, 65535 ports sont thoriquement disponibles, pratiquementmoins, car 1024 sont rservs. Lors dune connexion classique sur Internet la majorit des ports sont ferms, seuls lesquelques uns qui correspondent aux applications directement concerns sont ouverts pourpermettre les changes de donnes (port 80 pour HTTP, ports 25 et 110, respectivementpour les changes SMTP et POP3 de la messagerie). Bloquer lutilisation dun port,cest interdire le transit des donnes correspondant certaines applications.Dans le cadre de la visioconfrence, certains de ces ports sont spcifis dune maniredfinitive (ports statiques) par la norme H263, par exemple, port 1720 pour lappel initial,port 1719 en cas dutilisation dun gatekeeper, port 1503 pour le partage dapplicationsvia la norme T120 Dautres (ports dynamiques) sont attribus alatoirement au momentde ltablissement de lappel (ports compris entre 1024 et 65535). Ce sont par exempleceux utiliss pour le transfert des donnes vido et audio (flux RTP et RTCP). Suivant le type de donnes, les transferts pourront seffectuer en utilisant les protocolesTCP ou UDP.

Quelques exemples des ports utiliss pour une visioconfrence :Port Type Protocoles Description1719 Statique UDP Gatekeeper RAS1720 Statique TCP Q.931 (Call Setup)1024-65535 Dynamique TCP H245 (Call parametrers)1024-65535 Dynamique UDP (RTP) Video and audio Data Stream1024-65535 Dynamique UDP (RTCP) Control Video and audio StreamPortsoptionnels389 Statique TCP ILS Registration (LDAP)1503 Statique TCP T.120

- Utiliser des proxys Un proxy est une passerelle spcialise qui va permettre des flux H323 de contourner danscertaines conditions les firewalls, sans affaiblir les conditions de scurit. Il va agir commeun intermdiaire. Cest lui qui va assurer la gestion de tous le trafic H323 en lieu et place desterminaux de visioconfrences qui seront ainsi totalement isols dInternet (ils serontinvisibles de lextrieur, y compris pont et passerelle).Lors de ltablissement dune liaison, ce nest plus un appel qui sera gnr mais deux. Lepremier sera initi par lquipement de visioconfrence situ lintrieur du rseau local endirection du proxy qui son tour en gnrera un second sur le rseau public (et en utilisantsa propre adresse) en direction de lquipement distant. Seul le proxy peut inter-agir aveclextrieur. Le Firewall devra tre correctement configur pour pouvoir fonctionner lui. Cemode de fonctionnement impose lutilisation dun gatekeeper (voir chapitre suivant). Diffrentes configurations sont possibles pour le proxy : il pourra tre intgr au gatekeeperou au firewall.

Un proxy est une passerelle spcialise qui va permettre des flux H323 de traverser dans certaines conditionsles firewall

- Sappuyer sur une zone dmilitarise ou DMZ :Une DMZ est une zone particulire du rseau informatique dun tablissement ou duneentreprise. Cest une zone spare qui ne va hberger que les quipements qui doivent treaccessibles depuis lextrieur, non seulement les serveurs (serveurs Web, serveurs FTP,serveurs Email.) mais galement ventuellement des dispositifs de visioconfrence. Elleest situe, sur le plan des risques, entre le rseau local priv (qui doit tre totalement protg)et Internet (qui est une zone trs fort risque). La DMZ doit tre galement accessibledepuis le rseau priv. Les adresses pourront y tre prives ou ce qui est beaucoup mieux,publiques pour permettre des accs sans translation dadresse. Les rgles de communicationsentre les trois entits - le rseau local, la DMZ et Internet - seront diffrentes et gres par unFireWall.


Un quipement particulier : le Gatekeeper La fonctionnalit de NAT na pas que des avantages. Pour la visioconfrence, elle ne permetpas un utilisateur distant et extrieur de se connecter facilement (il ne connat pas ladresseIP de son interlocuteur). Il est ncessaire dajouter au dispositif un lment supplmentaire,le gatekeeper (garde barrire, en abrg GK dans la littrature concerne) qui sera charg endpit des procdures appliques aux adresses IP dassurer la communication entre lesdiffrents sites et la mise en liaison des diffrents intervenants.Un GK est un serveur spcifique qui va tenir la fois un rle de central tlphonique,dannuaire et de gestionnaire. Il assure la gestion de tous les terminaux situs dans une zonedtermine, les met en liaison les uns avec les autres, dans la mme zone ou vers dautreszones.Les GK sont optionnels (deux terminaux peuvent trs bien communiquer entre euxdirectement) mais ils sont ncessaires si on souhaite dvelopper des fonctionnalits pluscompltes dans une zone.Le gatekeeper permet didentifier et de rfrencer les intervenants sous une forme plusexplicite que ladresse IP. Il est possible dutiliser un nom et un prnom, une adresse Emailou toute autre indication. On utilise le terme dalias pour dsigner cerfrencement alphanumrique. Il est aussi possible dutiliser un indicatif numriquesensiblement identique celui dun numro de tlphone (E164). Le GK tablit et mmorisela relation entre ladresse IP de la machine et la dnomination sous laquelle elle a trfrence. Il sagit ici de traduction dadresse et non pas dune translation comme pour leNAT. Tout comme une adresse IP, un alias doit tre unique. Lorsque un poste veut sintgrerdans une visioconfrence et joindre un correspondant, il lui suffit dindiquer lalias ducorrespondant. Lappel transitera par le GK situ dans la zone. Si le correspondant recherchest localis dans une autre zone, il transmettra la demande vers dautres GK.

Encadr : Sur un rseau local (mais cest aussi souvent le cas pour leparticulier qui se connecte Internet de chez lui travers son FAI),ladresse IP dun poste nest pas toujours fixe et attribue une foispour toute (adresse statique). Dans certains cas, chaque ordinateur sevoit attribuer une adresse provisoire au moment de son allumage.Cest le protocole DHCP (Dynamic Host Configuration Protocol)qui assure automatiquement (et dune manire totalementtransparente pour lutilisateur) cette fonction dattribution etdadministration des adresses dans le rseau local. Dans ce cas, leGK doit tre mis jour en permanence : chacune des ouvertures dulogiciel de visioconfrence (pour un ordinateur individuel), il y atransmission lannuaire de ladresse IP de la machine concerne(elle senregistre auprs du GK).

Aprs ltablissement de la liaison et la mise en oeuvre des procdures prliminaires entreles diffrents sites, le GK peut, soit tre mis hors du circuit de la visioconfrence (lesdonnes vont alors transiter directement entre les interlocuteurs) soit, au contraire, assureraussi le transit partiel (uniquement les donnes de contrle) ou total de toutes lescommunications (routage complet).


Le rle du GK ne se limite pas la fonction dannuaire. Il peut galement raliser la gestiondes flux ou plus prcisment de la bande passante affecte une visioconfrence. Il pourrapar exemple autoriser ou non une connexion en fonction de la charge du rseau si celarisque dengorger le rseau interne, limiter le dbit pour un utilisateur ou pour un groupedutilisateurs, limiter le nombre de terminaux H263 simultanment en fonction sur le rseau,grer le contrle daccs et refuser des connexions.

La visioconfrence en multi point

Une sance de visioconfrence se droule rarement entre seulement deux intervenants.Plusieurs sites sont en gnral concerns. Des dispositifs spcifiques doivent tre mis enplace pour permettre tous les intervenants de travailler dans les mmes conditions : chaquesite doit recevoir les images et le son en provenance de chacun des autres lieux. Il doitpouvoir visualiser un seul site la fois (celui qui prend la parole est affich en plein cran)ou plusieurs sites en simultan (lcran est divis), intervenir dans la conversation, travailleren temps rel sur des documents informatiquesHors rseaux universitaires (ils disposent dautres possibilits), on utilise gnralement unquipement supplmentaire auquel tous les sites doivent tre connects (pont multi-points ouMCU Multipoint Conferencing Unit). Cet quipement centralise les flux issus de tous lessites et assure ensuite leur re-distribution vers lensemble des quipements participant lavisioconfrence. Ce sont donc des liaisons point point qui sont tablies entre le pont etchacun des postes participants. Au moment de linitialisation de la session devisioconfrence, soit cest le pont qui appelle les participants, soit cest linverse.

Un pont peut tre autonome ou intgr dans lune des stations. Dans le premier cas, cest lepont (et le rseau auquel il est reli) qui supportera la multiplication des flux, chacune desstation ne supportant quun flux unitaire et somme toute quivalent ce quil serait pour uneliaison classique en point point (par exemple 256 Kb/s). Dans le second cas, tous les fluxconvergeant vers la station qui intgre le pont, elle aura (ainsi que le rseau local sur lequelelle est situe) grer un flux qui sera multipli par le nombre dinterlocuteurs extrieurs(dans notre exemple, 256 Kb/s multipli par 3 soit 768 Kb/s pour une visioconfrence entre4 points)Un pont externe peut tre achet ou lou sparment la demande une socit tierce. Ilpeut tre mixte RNIS et IP. Un pont MCU peut grer simultanment plusieursvisioconfrences (sauf pour les modles bas de gamme).


Les trois configurations possibles pour une visioconfrence : en 1, liaison point point en 2, visioconfrence entre quatre points avec un pont intgren 3, session entre quatre points avec un pont externe.

Interconnecter les deux familles RNIS et IP : les passerelles

Le monde de la visioconfrence est partag entre les quipements qui fonctionnent sur RNISet ceux qui sappuient sur IP. Il tait ncessaire de pouvoir tablir des liaisons entre ces deuxentits. Une passerelle (gateway dans la littrature anglaise) est un quipement permettant lacommunication entre une zone de visioconfrence fonctionnant sous RNIS et un sitefonctionnant sous IP, cest dire entre des terminaux qui rpondent la norme H323 et desterminaux qui sappuient sur H320. Entre ces deux familles de normes, bon nombre de protocoles sont diffrents. La passerelleva assurer leur translation, notamment pour ceux qui concernent les formats de transmission


(cest dire H225 en H221) ou les procdures de communications (H245 en H242). Lapasserelle procdera aussi la transformation des adresses des terminaux (adresses sous laforme IP pour la norme H323, adresses dans un format tlphonique pour la normeH320) mais elle ne ralisera gnralement pas de translation au niveau des donnes vido etaudio, les codecs utiliss tant communs aux deux systmes.

La passerelle va galement assurer une remise en forme de toutes les donnes. Sous RNIS,elles circulent en flux continu alors que sur IP, elles sont dcoupes en paquets. Lorsque lesdonnes vont transiter du monde RNIS au monde IP, la passerelle va raliser le dcoupagedu flux continu de donnes et procder la cration des paquets. Elle va y ajouter des enttes(ces donnes supplmentaires qui nexistent pas sous RNIS, qui contiennent notamment lesinformations ncessaires pour lacheminement des paquets et quil faut galementtransmettre). Ces donnes supplmentaires vont gnrer un dbit supplmentaire qui pourraatteindre 20 30% du dbit initial. A qualit gale une visioconfrence sur rseau IPconsommera donc une bande passante suprieure celle utilisant RNIS. Globalement, onadmet gnralement quil faut un dbit de 384 Kb/s sous IP pour obtenir une liaisonquivalente une visioconfrence avec RNIS 256 Kb/s. La passerelle effectueravidemment lopration inverse pour les donnes circulant dans le sens IP vers RNIS


Documents

Visio Sur IP