2002 11 Cours Interco Reseaux PDF

Cours Interconnexion et conception de r
eseaux
(informatiques)
Jean-Luc Archimbaud
To cite this version:
Jean-Luc Archimbaud. Cours Interconnexion et conception de reseaux (informatiques). Ecole

dingenieur. A Grenoble a` lENSIMAG (cours donne 2 fois), 2002, pp.322. <cel-00561873>
HAL Id: cel-00561873

https://cel.archives-ouvertes.fr/cel-00561873
Submitted on 2 Feb 2011
HAL is a multi-disciplinary open access

archive for the deposit and dissemination of scientific research documents, whether they are published or not. The documents may come from
teaching and research institutions in France or
abroad, or from public or private research centers.
Larchive ouverte pluridisciplinaire HAL, est

destinee au depot et `a la diffusion de documents
scientifiques de niveau recherche, publies ou non,
emanant des etablissements denseignement et de
recherche francais ou etrangers, des laboratoires
publics ou prives.
Interconnexion et conception de
rseaux
Cours de 24 h pour 3ime anne
Ecole dingnieurs rseaux
2002
Jean-Luc Archimbaud CNRS/UREC
JL Archimbaud CNRS/UREC
Interconnexion et conception de rseaux 2002
Interconnexion et conception de rseaux

Rseau :
Quest-ce ?
Plusieurs rseaux interconnects ? rseau
Dans le cours : rseau informatique dentreprise de
campus
Concevoir un rseau cest actuellement :

Faire voluer lexistant
Rflchir toutes les couches
Tranches ? Applications
Utiliser les services des oprateurs sous -traitance

Travail de puzzle : assemblage de briques
Matriel - logiciel
Concevoir un rseau cest dfinir

Larchitecture physique (rseau = cble)
Carte des sites btiments salles connecter
Les supports physiques
Les quipements actifs
Larchitecture logique (rseau = rseau IP)

Les protocoles
Plan adressage Routage
Ladministration des quipements - surveillance

Les services rseaux
DNS (nommage), Messagerie, Web,
Les outils de scurit

Les connexions avec lextrieur : Internet,
Adapte aux quipements - besoins des utilisateurs

Stations Serveurs Applications
Plan du cours
Rseaux locaux - LAN
Liens physiques - cblage : Coax - TP FO sans fil
Cblage de btiment
Protocoles niveau 1-2 : Ethernets FDDI
Rappels : caractristiques du protocole IP

Elments actifs dinterconnexion Eth-IP
Rpteurs hubs (Ethernet)

Ponts (Ethernet)
Commutateurs Ethernet
Routeurs (IP)
Commutateurs -routeurs (Ethernet-IP)
Plan du cours
Liaisons longues distances
Liaisons physiques
Commutes RTC, RNIS, ADSL, X25, loues LS
Modems
ATM
Objectifs
QoS : Qualit de Service
Couches 1 et 2
Commutateurs et routage
Architectures LS et LANE
Bilan
Exemples darchitecture
Plan du cours
Architecture logique IP
Adresses IP
Plan adressage IP
Routage IP
Exemples de rpartition dutilisateurs et de services
Architecture ATM : classical IP
MPLS
Intgration voix-donnes (tlphonie informatique)
Pourquoi ?
Diffrents niveaux dintgration
Tlphonie sur IP
Services rendus
H323
SIP
Bilan aujourdhui
Plan du cours
Rseaux virtuels
Pourquoi ?
VLAN
Avec ATM
VPN (PPTP, L2TP, IPsec)
Services dinterconnexion de France Tlcom

Interconnexion niveau 2 moyen dbit
Interconnexion niveau 2 haut-dbit
Services (entreprises)
Services assurer couche 7
Noms
Messagerie
Annuaire
Services Web
Plan de cours
Qualit de service IP rappels
RSVP
DiffServ
Fonctions annexes de certains quipements actifs
Rappels
NAT
Filtrage
Multicast
Gestion des files dattente
Administration de rseau
Quoi ?
Equipes, standards
Configuration, surveillance, dpannage
Stations dadministration
Mtrologie
Plan du cours
Quelques lments de scurit
Accs lInternet
Accs depuis lInternet
A lIntranet
Aux serveurs Internet
Construction dun rseau solide

Etudes de cas
Rseau de petit laboratoire clat
Rseau de campus
Gros site dune entreprise
Rseau Renater (national)

Entreprise multi-sites
Bibliographie
Computer Networks 3rd edition (Tanenbaum)
TCP/IP Illustrated, Vol 1 - W. Richard Stevens
Constructeurs (white papers)
CISCO : http://www.cisco.com

Elements dinterconnexion Ethernet

http://www.unige.ch/dinf/jfl/elem/index.htm
Pointeurs cours, mmoires

http://reseau.plisson.org/
Cours UREC
http://www.urec.cnrs .fr/cours/
Moteurs de recherche
10
LAN : dimension
LAN : Local Area Network
Un tage
Un btiment
Diamtre < 2 km
Un site gographique : domaine priv
Plusieurs btiments (site-campus)
Interconnexion de LAN
MAN : Metropolitan Area Network

Dimension dune ville
Diamtre < 10 km
Domaine public : service doprateurs locaux
WAN : Wide Area Network

Trs longues distances : oprateurs (inter)nationaux
11
LAN : Liens physiques : critres choix

En thorie : proprits physiques
En pratique :
Cot
Cble (media)
Connecteurs (connectique)
Emetteurs et rcepteurs
Installation : pose (tirer des cbles)
Immunit aux perturbations

Foudre, lectromagntiques,
Longueur maximum possible entre deux quipements

actifs (? minimiser le nb)
Cot quipement
Besoin alimentation lectrique,
Dbits possibles (surtout dbit max) : bps

12
LAN : liens physiques : cble coaxial

Bande de base : Baseband
50 ohm transmissions numriques quelques kms
Ex : Ethernet cble jaune bus - prises vampires - 10base5 (500
m)
Large bande : Broadband (LAN, MAN, WAN)

75 ohm transmissions analogiques 100 kms
Plusieurs bandes de frquences ? plusieurs flux
Ex : cble tlvision
Bons dbits (Gbits/s) et distances, bonne immunit

Problme : cher
Equipements - encombrement ( = 1 cm) difficult de la pose
Nest plus utilis pour le LAN informatique

Il peut rester quelques cbles coaxiaux jaunes Ethernet et
Ethernet fin (Bande de base) : 10base2 (185 m) - Prises en T
Utilis dans le rseau cble des villes

Connexion ordinateur : Carte 10BaseT Modem Cble (TV)
13
LAN : cble coaxial fin et prise en T
14
LAN : Liens physiques : TP
TP : Twisted Pair : Paire torsade

Fil de cuivre isol de diamtre 1 mm
Utilis depuis trs longtemps pour le tlphone
TP catgorie (type de TP mais aussi composants)
3 : jusqu 16 Mhz : trs rpandu aux USA
4 : jusqu 20 Mhz : peu utilis
5 : jusqu 125 Mhz : le plus rpandu actuellement
Cbles 4 paires avec des pas de torsades diffrents
5E : amlioration du cblage 5 (Gigabit Ethernet)

6 : jusqu 250 Mhz
7 : jusqu 600 Mhz
Blindage des cbles :

UTP : Unshielded : pas de blindage
STP : Shielded : blindage avec tresse mtallique
FTP : Foiled : entoure dun feuillard daluminium
15
LAN : Liens physiques : TP
Nombre de paires utilises : 2 4 suivant lutilisation

Connexions point point : architecture en toile
Connecteurs RJ45 : 4 paires
Avantages :
Cblage universel : informatique et tlphone
Dbit : plusieurs Mbits/s et Gbits/s sur 100 m (jusqu quelques
centaines)
Cble et pose peu chers
Dsavantages :
Trs sensibles aux perturbations (lectromagntiques, )
Courtes distances
Beaucoup de cbles : pose par professionnels
Cest le media le plus utilis lintrieur des btiments

16
LAN : photos TP et RJ45
17
LAN : Liens physiques : FO

FO : Fiber Optic : Fibre Optique
2 types : multimode - monomode
Multimode : rayons lumineux avec rflexions : dispersion
Cur optique : diamtre 50 ou 62.5 microns
Gaine optique : 125 microns
Multimode 50 ou 62.5 (le plus courant aujourdhui)
Monomode (single mode) : rayons lumineux en ligne droite

Cur optique avec un diamtre plus petit : 9 microns
Gaine optique : 125 microns
Monomode pour de plus longues distances et plus haut dbits
Plusieurs fentres de longueurs donde possibles pour le

faisceau lumineux mis
Fentres dmission centres sur : 850, 1300 et 1550 nm
18

Connectique :
Epissures (dfinitif) ~ soudures
Connecteurs : les plus rpandus :
SC (encliquetage) et ST (baionnette)
Emetteurs :
Photodiodes (LED) : multimode , dbits moyens,
distances courtes-moyennes, peu chers
Lasers : multi ou monomode , trs hauts dbits,
longues distances, plus chers
Plus faciles installer sur de la fibre multimode
Unidirectionnel : 2 FO pour une liaison

Cbles gnralement de 2 40 fibres
19

Budget optique :
Emetteur-rcepteur : quelle attnuation optique maximale
possible peut-on avoir ?
Ex 12 dB
Affaiblissements dans chaque liaison

Distance : lg de fibre : 3.5 dB/km pour FO 62.5 - 850 nm
Connectique : pissure : 0.2 dB, connecteur : 2 dB,
Dtrioration des lments
Affaiblissement total de la liaison < budget optique
Multiplexage optique
Multiples longueurs dondes sur une mme fibre

Protocole DWDM (Dense Wavelengh Division Multiplexing)
Mutiplexeurs, dmultiplexeurs, commutateurs optiques
Choix n fibres ou multiplexage optique : cot
20
10

Avantages-inconvnients
Dbits possibles trs levs (potentiellement
immenses)
Longues distances (dizaines voir centaines de km)
Insensible aux perturbations lectromagntiques
confidentialit
Utilisation
Cest le support maintenant le plus utilis en
interconnexion de btiments, en MAN et WAN
Quelques fois en cblage de stations : cher
21
LAN : photos de FO et connecteurs
Connecteur SC
Connecteur ST
22
11
LAN : sans fil

Liaisons radio LAN (R-LAN - WIFI) : 2.4 GHz
Architecture toile
Carte sur stations (PC, ) avec antenne
Concentrateur avec antenne : borne
Connect au rseau cbl : borne
Normes IEEE 802.11

Mme rle que 802.3 pour Ethernet
Distance max station-borne : entre 50 et 200 m

Dbits max
11 Mbits/s partags (802.11b) : 10 M 10 m, 1 M 50 m
Evolutions : Jusqu 54 Mbps (802.11a), 20 Mbps et + (802.11g)
23
LAN : R-LAN
Utilisation : intrieur de btiment (en R-LAN)
Liaisons provisoires : portables, confrences,
Locaux anciens et protgs (impossible deffectuer un
cblage)
Problmes
Dbit limit
Scurit : diffusion
Contrle de lespace de diffusion

WEP (Wired Equivalent Privacy)
Fixe les adresses Ethernet
Considre comme externe : ajout IPSec,
Se dploie trs fortement actuellement

MAN aussi : boucle locale radio (BLR 8M)
24
12
LAN : sans fil
Liaisons laser
Depuis de nombreuses annes
Point point : interconnexion de rseaux
Distance : 1 ou 2 km sans obstacle
Dbits : plusieurs Mbits/s
Utilisation :
Quand cot tranches trop lev ou domaine public
Liaison provisoire
Problme : rglage de la direction du faisceau
25
LAN-MAN : sans fil

Faisceaux hertziens : de 2.4 40 GHz
Pas les mmes frquences que R-LAN
Demande une licence lART et une redevance
Maxima de dbit : de lordre de
2 - 34 voir 155 Mbits/s jusqu plusieurs km
Interconnexion de rseaux (et tlphone)

Utilisation :
Plutt en MAN
Demande une solide tude pralable (obstacles )
Interconnexion de sites distants sans besoin doprateur
Utilis par les oprateurs (France Tlcom )
Satellite : pas en LAN !

Service doprateur
Quand FO non disponible
26
13
LAN : cblage de btiment (TP)

(vocabulaire)
Construction dun btiment : pr -cblage
TP : cblage courants faibles : informatique et tlphone
Rpartiteur : local technique
Nud de concentration et de brassage
Arrives-dpart des liaisons, quipements actifs
Dans un grand btiment
1 rpartiteur gnral : RG
n sous-rpartiteurs : SR
Entre RG et SR : cblage primaire : rocades ou colonnes
Entre SR et prises stations : cblage horizontal
Structure toile
Cbles - connecteurs cordons - jarretires baies de

brassage
27
LAN : cblage de btiment (TP)

Chemins de cbles :
gaines techniques
faux plafond
goulottes,
Bureaux :
Prises murales
Recommandation CNRS : 3 prises (tl + info) par personne
Tests aprs installation : cahier de recette

Certification (classe dinstallation : classe D)
Rflectomtrie
Etiquetage plans : obligatoire
Base de donnes pour le systme de cblage ?
Travail de spcialistes
Sans bon cblage, pas de bons services
Cblage : fondations du rseau
28
14
LAN : Photo baie de brassage optique
29
LAN : tous les Ethernets

Protocoles pour LAN (au dpart)
Gigabit Eth : protocole diffrent (sauf trame) ? MAN
Trame
Adresse destination (MAC address) : 6 octets 08:00:20:06:D4:E8

Adresse origine (MAC address) : 6 octets
Type (IP = 0800) ou longueur (IEEE 802.3) : 2 octets
Donnes : taille variable < 1500 octets
Adresses (6 bytes) MAC address

Station : unique
3 premiers octets : constructeur
CISCO 00:00:0C
Sun 08:00:20
HP 08:00:09
3 octets suivants : coupleur
Broadcast : FF:FF:FF:FF:FF:FF
Multicast : 1er octet impair
30
15
LAN : Ethernet 10 M - 10Base5
Protocole : Ethernet IEEE802.3

Dbut 1980
Conu pour 10Base5 : bus : coaxial : diffusion
Mthode daccs : CSMA-CD
Carrier Sense Multiple Access-Collision Detection
Accs multiple et coute de porteuse Dtection de
collision
31
LAN : Ethernet 10 M - 10Base5

10 Mbits/s (partags)
CSMA-CD :
Emet quand le media est libre
Si autre signal sur le media durant mission : arrte lmission
RTD : round trip delay < 51.2 s ? lg max rseau

Taille minimum trame envoye (correcte) : 64 bytes
Quand trame taille < 64 bytes : collision
10Base5 : 5 cbles 500 m avec rpteurs : 2.5 km
Problmes 10Base5
Cot : cble et connectique
Sensibilit aux perturbations lectromagntiques
Besoin dune mme terre
Solution bas prix : 10Base2

Thin Ethernet - 185 m - stations en coupure
10Base5 et 10Base2 ? 10BaseT

32
16
LAN : Ethernet 10 M - 10BaseT

CSMA-CD, 10 Mbits/s, RTD < 51.2 s
Cble : paire torsade : UTP 5 RJ45
Architecture toile : centre : hub (multirpteur)
Distance max hub-station ou hub-hub : 100 m
4 hubs max entre 2 stations : 500 m lg max
33
LAN : Ethernet 10 M : 10BaseF

Pbs 10BaseT : perturbations distance
? 10BaseF
CSMA-CD, 10 Mbps, RTD < 51.2 s

Liaison : 2 FO multimode 50 ou 62.5
Connecteurs SC ou ST
Station Rpteur : 1 km
Rpteur Rpteur : 2 km
34
17
LAN : Ethernet 10 M
Rseau au sens Ethernet : domaine de broadcast
Avantage : protocole simple
Problmes :
Dbit limit (10 M partag)

Distances limites
Dpendance vis a vis de son voisin (collisions, charge)
Broadcast : charge
Pas de confidentialit (diffusion)
35
LAN : Ethernet 100 M 1000 M

100BaseT (IEEE802.3U) Fast Ethernet 1995
Idem 10BaseT (CSMA/CD, RJ45, )
avec dbit x 10 et taille rseau / 10
TP (100BaseT) ou FO (100BaseF)
Distance max : Hub Station : 100 m (TP) - 412 m (FO)
Lg max rseau 100BaseTX : 250 m
Utilisation : serveurs ? stations
Auto-ngociation dbit : 10 ou 100
1000Base Gigabit Ethernet
Idem 100Base avec dbit x 10 Taille min trame : 512 bytes

Cblage FO ou TP de trs bonne qualit
Point point, pas de diffusion
Full duplex possible
Utilisation : Serveurs - Backbone Campus MAN
ATTENTION : toutes les distances max Ethernet cites :

rseau uniquement avec rpteurs -hubs
36
18
LAN : Ethernets
10Base5
10 Mbits/s - Coax jaune - Lg max rp station : 500 m
10Base2
10 Mbits/s Coax fin Lg max rp station : 185 m
10BaseT (IEEE802.3 1990)

10 Mbits/s 2 paires UTP Lg max hub-station : 100 m
1 paire pour chaque sens de transmission
10BaseFL
10 Mbits/s 2 FO (1 pour chaque sens)
Lg max rp et/ou stations : 2 km avec multimode 62.5
100BaseTX
100Mbits/s - 2 paires UTP catgorie 5
Lg max hub-station : 100 m (rseau 250 m)
100BaseT4 (peu utilis)

100Mbits/s - 4 paires UTP Catgorie 3 ou 4
Lg max hub-station : 100 m (rseau 250 m)
37
LAN : Ethernets
100 BaseFX
100 Mbits/s 2 FO
412 m (HD) ou 2 km (FD) multimode 62.5
20 km monomode
1000BaseSX (IEEE802.3z)
Sur 2 FO avec longueurs donde 850 nm
Lg max : multimode 50 550 m 62.5 220 m
1000BaseLX (IEEE802.3z)
Sur 2 FO avec longueurs donde 1300 nm
Lg max : multimode 50 550 m - monomode 5 km et plus
1000BaseT (IEEE802.3ab 1999)

Sur 4 paires UTP Cat 5 E
Longueur max 100 m
38
19
LAN : schma rseau campus de Jussieu
39
LAN : FDDI
FDDI : Fiber Distributed Data Interface

Protocole pour rseau local informatique
Dbit 100 Mbits/s (partag)
Anneau 2 FO multimode
Nud : station (SA/ DA)-concentrateur-routeur
Rseau max : taille 100 km, 500 stations
S
Ethernet
C
S S
S
40
20
LAN : FDDI
Accs au support par jeton (3 octets)
Un jeton circule sur lanneau
Une station qui veut mettre
Capture le jeton
Envoie les trames de donnes
Libre le jeton
Retire ses trames au passage suivant
Une station rceptrice

Lit les trames qui lui sont adresses
Modifie un champ des trames (FS) pour indiquer
quelle a lu la trame
41
LAN : FDDI
Trame
Adresse destination (6 octets idem Ethernet)
Adresse source
FS (Frame Status )
Erreur
Adresse reconnue
Trame lue

Donnes : lg max 4500 octets
Pb : station FDDI ? station Ethernet

Taille des trames FDDI jusqu 4500 bytes alors que
max Ethernet est 1500
Solution pour IP : fragmentation IP
42
21
LAN : FDDI
Circulation normale : anneau primaire
Coupure anneau
Rebouclage de lanneau
Mise en fonction : anneau secondaire
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Fonctionnement normal
43
LAN : FDDI
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Coupure de lien
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Arrt de station
44
22
LAN : FDDI
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Coupure lien station simple attachement

Possibilit davoir des stations prioritaires
CDDI : FDDI sur paire torsade
Bilan :
FDDI trop cher pas assez de dbit
Maintenant remplac par Ethernet 100 ou Giga
Bon example de rseau anneau jeton
45
Rappels : caractristiques IPv4

Protocole rseau : couche 3
Mode non connect
Elments dun rseau IP :
Stations, rseaux (sens niv2), routeurs
Informations : datagrammes (paquets)

Entte datagramme :
Version (4)
TOS Type of Service : qualit de service
TTL Time To Live : 60 ? 0 (-1 chaque routeur)
Identification protocole de transport (TCP, UDP, ICMP, )
Adresse IP de la station origine
Adresse IP de la station destinataire
Taille datagramme < 64 Koctets

Souvent de taille denviron 512 ou 576 bytes
46
23
IPv4 : couche 4
Couche 4 :protocole entre stations (pas entre routeurs )
TCP : Transmission Control Protocol
Paquet TCP = segment
Mode connect
Transport fiable (contrle derreurs, accuss de rception,
retransmission, )
Spcification des applications : numros de port (origine,
destination) dans le segment
Fentrage Slow start : sadapte tous les dbits
UDP : User Datagramm Protocol
Pas de contrle
Mode non connect
Spcification de lapplication : numros de port (orig, dest)
Protocole lger, permet multicast-broadcast facilement
47
IPv4 : ICMP
ICMP : Internet Control Message Protocol
RFC792
Messages de contrle mis par les stations ou
les routeurs
Messages :
Ralentir le dbit d mission

Destination inaccessible
Demande decho
Rponse echo
Time To Live exceeded
Redirection
.
48
24
IPv4 : couche 2
IP / couche 2 : les datagrammes IP peuvent tre
transports par tous les types de rseaux :
Ethernet RFC894 et RFC1042

Liaison srie : point point (PPP RFC1331-1332)
ATM (RFC1577)
FDDI
X25
@ IP ? @ couche 2 ?
Ethernet, FDDI : broadcast : ARP, RARP
ATM : serveur ARP
49
IPv4 : exemple trame Ethernet (TCP)

Une trame Ethernet avec un segment TCP a la forme :
Entte Ethernet
@ Ethernet destination
@ Ethernet origine
Type = 800
Entte IP
Indication TCP
@ IP origine
@ IP destination
Entte TCP
Numro de port source
Numro de port destination

Donnes
50
25
IPv4 : adresses
4 bytes 194.220.156.3
Chaque coupleur de station ou de routeur a une
adresse
Partie rseau (IP) : 194.220.156
Partie station (IP) : 3
Routeur : spare (interconnecte) 2 rseaux IP
Adresses (IP) de broadcast et de multicast
194.220.157.255 : broadcast sur rseau IP
194.220.157.0
Dtails dans les cours suivants
51
Elments dinterconnexion
Ethernet - IP
Pourquoi ? Problmes
Rpteurs Hubs (Ethernet)
Ponts (Ethernet)
Commutateurs Ethernet
Routeurs (IP)
Commutateurs-Routeurs (Ethernet-IP)
52
26
Elments dinterconnexion : pourquoi ?

R-amplifier les signaux
Electriques - optiques
? Augmenter la distance maximale entre 2 stations
Connecter des rseaux diffrents

Supports : Coax, TP, FO, Radio, Hertzien,
Protocoles niveau 2 : Ethernet, FDDI, ATM, rieur
Limiter la diffusion (Ethernet)

Diminuer la charge globale
Limiter les broadcast-multicast Ethernet (inutiles)
Diminuer la charge entre stations

Limiter la dpendance / charge des voisins
Objectif in fine : garantir une bande passante disponible (une qualit de
service) entre 2 stations
Limiter les problmes de scurit

Diffusion ? coute possible : pas de confidentialit
53
Elments dinterconnexion : pourquoi ?

Restreindre le primtre de la connectivit dsire
Extrieur ? Intrieur : protection contre attaques (scurit)
Intrieur ? Extrieur : droits de connexion limits
Segmenter le rseau :
Un sous-rseau / groupe dutilisateurs : entreprises, directions,
services, )
Sparer ladministration de chaque rseau
Crer des rseaux rseaux virtuels
Saffranchir de la contrainte gographique
Pouvoir choisir des chemins diffrents dans le transport

des donnes entre 2 points
Autoriser ou interdire demprunter certains rseaux ou liaisons
certains trafic
54
27
Elments dinterconnexion : problmes

Elments conus pour rpondre a des besoins :
Qui ont volu au cours du temps
Dure de vie courte des quipements
Toujours mieux et moins cher
Rapidement moindre cot : pragmatique

Chaque lment offre certaines fonctions
les prioritaires du march de lpoque
? Problmes :
Classification, frontires sont un peu complexes
Terminologie imprcise (dpend du contexte)
Commerciaux rarement techniciens
Attention : le choix est un compromis entre les

fonctions dsires et le cot
55
Elments dinterconnexion : rpteur

Rpteur (Ethernet)
Boite noire ddie
Remise en forme, r -amplification des signaux
(lectroniques ou optiques)
But augmenter la taille du rseau (au sens Ethernet)
Exemple : distance max entre stations A - C : 500 m ? 1000 m
Station A
Station B
Coax 1
Repeteur
Coax 2
Station C
56
28
Elments dinterconnexion : rpteur

Travaille au niveau de la couche 1
Ne regarde pas le contenu de la trame
Il n'a pas d'adresse Ethernet
Transparent pour les stations Ethernet
Entre supports coaxiaux, TP et FO

Avantages
dbit 10 Mb/s
pas (ou trs peu) d'administration
Dsavantages
Ne diminue pas la charge
Ne filtre pas les collisions
Naugmente pas la bande passante
Pas de possibilit de rseau virtuel (VLAN)
57
Elments dinterconnexion : hub

Hub : muti-rpteur : toile (obligatoire TP)
Idem rpteur pour :
Fonctions, avantages, dsavantages
Pour Eth 10 et 100

Ex : Hub 8 ports TP
Station
Station
10 M
Station
10 M
10 M
10 M
Station
Station
10 M 10 M
HUB
HUB
d < 100 m
10 M
10 M
Station
Station
10 M
Station
Station
58
29
Elments dinterconnexion : hub

Fonction annexes :
Affectation dune @ MAC (@ Eth) chaque brin : scurit
Auto-negotiation dbit hub 10-100 (IEEE 802.3u)
Surveillance SNMP
Nombre maximum sur rseau Ethernet

10Base5 : 4 rpteurs
10BaseT : 4 hubs
Distance max entre 2 stations : 500 m
100BaseT : 4 hubs
Mais distance max entre 2 stations : 250 m
1000BaseX : utilise des commutateurs
Utilisation actuelle
En extrmit de rseau (stations utilisateurs)
Remplacs par des commutateurs Ethernet
En cur de rseau, pour serveurs, et mme pour stations
59
Elments dinterconnexion :hub

Remarque : borne sans fil 802.11b = hub
Face arrire hub stackable
3 x 24 ports TP (prises RJ45)
1 port FO (2 FO)
60
30
Elts dinterconnexion : pont (Ethernet)

Aussi appel rpteur filtrant ou "bridge"
Station A
Station D
500 m
Coax 1
PONT
Coax 2
500 m
Station C
Station B
Niveau de la couche 2
Traitement : valeur @ MAC destinataire ? transmet
ou non : trafic A-D ne va pas sur coax 2
Localisation des @ MAC des stations par coute
(auto-learning) ou fixe
Ignor des stations (transparent)
61
Elts dinterconnexion : pont

Avantages
Augmente la distance max entre 2 stations Ethernet
Diminue la charge des rseaux et limite les collisions
Le trafic entre A et D ne va pas sur Coax 2
Remplacs en LAN par les commutateurs

Fonctions supplmentaires : cf commutateurs
Ponts distants
Ethernet Liaison spcialise (cuivre ou hertzienne
ou laser)
Encore utiliss
62
31
Elts dinterconnexion : commutateur

Commutateur Switch Ethernet de niveau 2
10, 100, 1000 Mb/s TP ou FO
Fonction : multi-ponts, cur dtoile

Commute les trames Ethernet sur un port ou un
autre
Matrice de commutation
Station
Station
100 M
Station
Station
HUB
1G
Station
Station
COMM
Station
d < 100 m
10 M
Station
Station
63

Mmes fonctions et avantages que le pont +
augmentation de la bande passante disponible
Matriels - logiciel
Chassis ou boitier
Cartes : 2 ports FO, 8 ports TP avec dbits 10, 100, 1000 Mb/s
Systme dexploitation
Configuration : telnet, client Web
Surveillance : SNMP
Quelques critres de choix techniques (performances)
Bus interne avec un dbit max : 10 Gb/s

Vitesse de commutation nb de trames / s
Bande passante annonce : 24 Gb/s
Nb dadresses MAC mmorisable / interface
64
32

Permet : Ethernet Full duplex (TP ou FO)
Emission et rception en mme temps : 2x10 ou 2x100
Auto-negotiation possible (IEEE 802.3u)
Fonctions supplmentaires
Auto-sensing dbit (IEEE 802.3u)
Affectation statique d@ MAC et filtrage au niveau 2
Spanning Tree : vite les boucles
Construction dun arbre
A un instant : un seul chemin utilis
Rseaux virtuels : VLAN

Port dcoute qui reoit tout le trafic des autres ports
Analyseur
65

Limitations dun rseau de commutateurs
Thoriquement pas de distance maximum
Broadcast et multicast diffuss partout
1 seul rseau IP possible
Trs rpandu :
Local : workgroup switch
Campus : complt par le routeur (plus lent et
plus cher)
Remplac par le commutateur-routeur (plus cher)
quand besoin
66
33
Elts interconnexion :
commutateur et hubs
67
Elts interconnexion : routeur (IP)

Niveau 3 : aussi appel commutateur niveau 3
Il y a des routeurs multi-protocoles
On ne parlera que de IP
Interconnecte 2 ou plus rseaux (ou sous -rseaux) IP

Station
Station
Ethernet
Station
192.99.40.0
Station
Station
COMM
Eth
Routeur
192.88.32.0
hub
Ethernet
Station
Station
Station
129.88.0.0
ATM
COMM
ATM
Station
68
34

Table de routage / @ IP destination
Nest pas transparent pour les stations
Chaque station doit connatre l@ IP du coupleur du
routeur pour le traverser
Pour le protocole Ethernet

Cest une station Ethernet
Chaque port possde une adresse Ethernet
Matriels
Chassis ou boitier
Cartes : 2 ports FO, 8/16/24/32/48/64 ports TP avec
dbits 10, 100, 1000 Mb/s, LS, ATM, FDDI
69

Logiciel performances
Systme dexploitation
IOS CISCO
Configuration : avec telnet ou navigateur

Surveillance : SNMP
Performances :
Nb de paquets routs/s
Routage : ASIC
Un PC Linux avec 2 cartes Ethernet peut faire

fonction de routeur
Fonctions annexes : chapitre ultrieur du cours
70
35
Elts interconnexion :
Commutateur-routeur (IP)
Multilayers switch
Runion des fonctions commutateur et routeur
dans une seule boite
On peut configurer certains ports en
commutation, dautres en routage
Lquipement tout faire
Mais pour le configurer il est ncessaire davoir dfini
larchitecture que lon veut mettre en place
Maintenant trs performant avec des prix trs

comptitifs
Remplace les routeurs et les commutateurs
71
Elts interconnexion : commut-routeur

Exemple de rseau de laboratoire
CAMPUS
1 G FO
S1
S2
S3
S4
10 M TP
10 M TP
10 M TP
10 M TP
10 M TP
100 M TP
Serveur 1
100 M TP
F
1G O
COMMUTATEUR-ROUTEUR
Mail WWW
Serveur 2
72
36
Elts interconnexion : commut-routeur

Peut-tre quivalent :
CAMPUS
COMMUT
Serveur 1
ROUTEUR
COMMUT
Serveur 2
COMMUT
Mail
S1
WWW
S4
S2
S3
3 (sous-)rseaux IP :
Serveur 1, Serveur2 S1, S2, S3, S4 Mail, WWW
73
Elts interconnexion : action /trame

Trame Ethernet contenant un datagramme TCP
Entte Ethernet
@ Ethernet destination ? Pont - Commutateur

Entte IP

@ IP destination ? Routeur

Entte TCP

Numro de port destination ? Station (choix du service)

Donnes ? Application
74
37
Elts interco : Architecture Eth - IP

Dans une entreprise
Entre stations utilisateurs dun service
Hubs ou commutateurs
Entre serveurs ou stations demandant du dbit

(graphiques, ) dun service
Commutateurs
Entre services
Commutateurs ou routeurs
Entre lentreprise et lextrieur (Internet)

Routeurs
75
Ex interconnexion de rseaux Ethernet

Station O
10 M
10 M
Station N
10 M
Pont
Station D Station A
hub
10 M
10 M
Station E
Station P
10 M
hub
100 M
100 M
2M
Pont
100 M
COMM
Eth
10 M
Station F
100 M
Station K
10 M
10 M
Station M
Station B
10 M
Station C
Station G
Station H
10 M
hub
10 M
hub
10 M
Routeur
10 M
10 M
Station L
Station R Station Q
100 M
Station I
100 M
100 M
10 M
COMM
Eth
10 M
Station J
76
38
Trame Eth A ? C. Arrive -t- elle B ? E ? F ?
Trame Eth P ? O. Arrive -t-elle N ? M ?

Trame Eth R ? Q. Arrive -t-elle I ? J ?
Trame Eth A ? L. Arrive -t-elle K ?
A -> Broadcast Eth. Arrive -t-il B ? D ? G ? R ?
L ? Broadcast Eth. Arrive -t-il K ? O ? D ?
Collision possible entre les 2 trames :
A ? B et D ? E ? O ? N et M ? L ?
G ? H et E ? F ?
B a un coupleur dfectueux (envoie des trames sans coute ?
collisions). Cette station perturbe t-elle A ? E ? G ? R ?
F dans le mme cas. G est-elle perturbe ?
O dans le mme cas. M est-elle perturbe ?
77
B met un flot de donnes de 5 M b/s vers A en continu. Quelle

bande passante (thorique) reste-t-il A ? C ? E ? F ? R ?
G met un flot de donnes de 5 M b/s vers H en continu. Quelle

bande passante (thorique) reste-t-il F ? E ?
G met un flot continu de broadcast 20 Mbps . Quelle bande
passante (thorique) reste-t-il H ? E ? B ? R ?
O met un flot de broadcast 2 Mbps . Quelle bande passante reste-til entre N et M ?
Les flots de donnes en parallle suivants sont ils possibles ?
10 Mb/s A-B et 10 Mbps D-E ?
100 Mb/s R-Q et 10 Mbps I-J ?
10 Mb/s O-N et 10 Mb/s L-M ?

10 Mb/s F-G et 10 Mb/s F-H ?
78
39
Liaisons longues distances - oprateurs

Liaisons
Commutes = temporaires ? partages
Pb : phase (+ ou - longue) dtablissement de connexion et de
dconnexion ? difficile pour un serveur
Permanentes : entre 2 points fixes

LS : Liaisons Spcialises Lignes Loues
Oprateurs
Oprateurs Telecom traditionnels : FT, Cegetel,
Mais aussi SNCF, socits dautoroutes,
Liaisons : FO, cbles cuivre, liaisons hertziennes,
Equipements : (d)multiplexeur, commutateurs (en tous genres),
Offres sur mesure - contrats spcifiques

Offres catalogue : tudies ici
Les services valeur ajoute (dinterconnexion) seront
tudis dans un chapitre ultrieur
79
Liaisons longues distances : utilisations

Entreprises :
Liaisons inter-sites
Louent des liaisons spcialises aux oprateurs
Cot dinstallation + cot de location
Particuliers ou petites agences :
Particulier - domicile ? entreprise

Agence ? sige
Utilisent les rseaux commuts
Gnralement : cot dinstallation + location +
utilisation
80
40
Liaisons commutes : RTC

Rseau Tlphonique Commut
Equipement : modem V90 56.6 Kb/s (rception)
Emission 33.6 Kb/s
Modem micro : interne, externe sur port srie

Particulier/agence ? LAN Entreprise
Micro - Modem RTC Serveur daccs RTC (pool
de modems Concentrateur - Routeur) LAN
(Ethernet) entreprise
Fonction de r-appel : cot et scurit
Authentification des utilisateurs : protocole serveur RADIUS
Micro Modem RTC Fournisseur daccs

Internet Connexion Internet Routeur (Garde barrire) - LAN entreprise
81
Liaisons commutes : RTC

IP
Protocole niveau 2
SLIP ? PPP (Point to Point Protocol)
Micro : @ IP statique ou dynamique (DHCP)
Liaison non permanente

Le micro ne peut pas tre serveur
Toujours trs utilis

Rseau RTC partout
Toujours plus de dbit possible sur la paire torsade
82
41
Liaisons commutes : RNIS

Rseau Numrique Intgration de Service
ISDN (surtout Europe et Japon)
Rseau national de FT : Numris
Accs de base (particulier-agence) : 144 Kb/s
2 canaux B 64 Kb/s : tlphone + Internet par exemple

1 canal D 14 Kb/s : signalisation
Utilisation liaison tlphonique classique
25,5 E / mois en oct 02 (Numeris Itoo)
Accs primaire (Entreprise : PABX) : ~ 2 Mb/s

30 canaux B 64 Kb/s + 1 canal D 64 Kb/s
83
Liaisons commutes : RNIS

Connexion micro (particulier-agence)
Modem RNIS : carte micro ou modem externe
sur port srie
Modem RTC - BoitierRNIS avec 2 prises
tlphoniques
Chemin : Micro Modem RNIS Rseau Numris
(Modem RNIS) Serveur daccs RTC ou PABX Entreprise
Interconnexion de sites : routeurs RNIS (2B + D)

IP : idem RTC : PPP
Lutilisation na jamais vraiment dcoll
Europen, surtout franais : pas USA - Cher
Encore utilis en back-up ou pour liaisons provisoires
84
42
Liaisons longues distance : ADSL

ADSL : Asymmetric Digital Subscriber Line
xDSL : technologie pour transmission haut
dbit sur le RTC
85
Liaisons longues distances : ADSL

Modems :
512 Kb/s rception - 128 Kb/s mission
1 M b/s rception 256 Kb/s mission (ADSL Pro)
La liaison reste libre pour le tlphone

Bande de frquences utilise # frquences vocales
Filtres : chez particulier et au rpartiteur FT
Contraintes :
Poste tlphonique < 5 km dun rpartiteur FT
Le cas de 80 % des foyers franais
Que le rpartiteur FT soit connect un rseau ADSL

Abonnement
ADSL chez FT ou ailleurs
Chez un fournisseur accs Internet
Pack qui inclut les 2
86
43
Liaisons longues distances : ADSL

Liaison particulier entreprise :
Micro coupleur Ethernet ou port USB Modem ADSL RTC
FAI ADSL Internet Routeur LAN Entreprise
IP : idem Ethernet
Connexion permanente :
Cot installation et mensuel (pas la consommation)
Possibilit de connecter un routeur ct particulier ou agence
mais fournisseur daccs obligatoire
Offre FT :
Sans Internet : 30 E / mois ou 107 E / mois (ADSL Pro) en oct 02
De plus en plus utilis

Pbs : monopole de FT, disponibilit selon le lieu
Devrait devenir laccs standard
87
Liaisons longues distances : X25

Rseau commutation de paquets :
Couches 2-3
Circuits virtuels
Adresses X25
Oprateur historique : Transpac

Accs jusqu 64 Kb/s (ou gure plus)
Les serveurs vidotex (minitel) ont une
connexion X25
Remplac par IP sous toutes ses formes
88
44
Liaisons spcialises FT
Transfix (nationales)
2.4 K b/s 34 Mb/s

STAS : Spcifications Techniques dAccs au Service
2.4 K 19.2 K : interfaces : V24, V28
64 K 34 M : interfaces : X24/V11 ou G703-G704
Modems fournis par oprateur
Liaisons internationales : idem nationales mais plus difficiles

mettre en place de bout en bout : sur-mesure
Connexions :
Routeurs
Ponts (distants)
Commutateurs ATM
PABX Tlphoniques
89
Liaisons longues distances : modems

MOdulateur DEModulateur
Convertisseur digital/analogique ou adaptateur
digital/digital destin transporter des donnes sur
des lignes point point
Plusieurs types de modems :

RTC : Liaisons commutes : asynchrones
historiquement
LS : Liaisons permanentes : synchrones
RNIS
Cble
ADSL
TV

90
45
Modems RTC
Programmation :
Commandes AT (origine Hayes)
Fonctions :
Contrle de flux XON/XOFF ou RTS-CTS

Correction derreur (MNP 34, V42, ARQ)
Compression (MNP5, MNP7, V42Bis)
Adaptation automatique dbits et fonctions
91
ATM : plan
Objectifs
QoS : Qualit de Service
Couches 1 et 2
Commutateurs
Routage
Architectures LS et LANE
Bilan
Exemple
92
46
ATM : objectifs
ATM : Asynchronous Transfert Mode
Origine : CNET (FT R&D)
Oprateur tlphone lorigine
Supporter tout type de communication

Voix Vido - Donnes informatiques
Mieux utiliser la bande passante
Tlphonie longue distance
Fonctionner trs hauts dbits : Gbits/s

Garantir une qualit de service (QoS) chaque
utilisateur (application) de bout en bout
Dmarche trs thorique
93
ATM : objectifs
Mmes protocoles et technologies en LAN, MAN
et WAN
Caractristiques des rseaux / services attendus
Bande passante (bps) partage : garantie si possible
Temps de latence (dlai de transmission) :
minimum et constant si possible
Dpend distance, lments actifs, charge (files dattente)
Jitter (variation temps de latence) : min si possible

Taux de pertes : min si possible

ATM veut fournir ces services

? Protocoles et technologies complexes
94
47
ATM : Exemple de QoS : Tlphonie

Entendre tous les mots
Faible taux de pertes
Contrainte : bit error rate < 10-2
Dbit constant garanti

Contrainte : 64 Kbits/s sans compression ---> 5 Kbits/s avec
Recevoir au mme rythme que l'mission

Temps de latence fixe : contrainte : jitter < 400 ms
Dialogue possible
Temps de latence faible
Poste avec annulation d'echo
Retransmissions : inutiles
Mode connect bien adapt
Exemple d'incompatibilit (thorique)
Tlphone et Ethernet
95
ATM QoS : classes de service

Problme : pour supporter toutes les qualits de
service sur tous les rseaux ATM il faudrait surdimensionner :
Les liaisons : bande passante et caractristiques
Les quipements : performances et fonctionnalits
Solution ATM :
On regroupe les applications qui demandent des
qualits de service similaires ? 4 groupes
On dfinit 4 classes de services que peuvent offrir les
rseaux (liens et quipements) ATM qui
correspondent aux 4 groupes : UBR, ABR, CBR, VBR
96
48
ATM QoS : classes de services

UBR Unspecified Bit Rate
Les applications peuvent mettre un flux variable
jusqu un dbit maximum
Rseau : aucune garantie pas de contrle de flux
Service trs dgrad
ABR Available Bit Rate

Pour supporter des applications qui peuvent utiliser
toute la bande passante disponible, avec un service
Best Effort de type IP
Exemples : applications qui utilisent TCP (FTP,
HTTP, ), interconnexion dEthernets
Services rseau
Aucune garantie (bande passante, temps de latence, )
Mais mcanisme de contrle de flux
97
ATM QoS : classes de services

CBR Constant Bit Rate
Pour supporter les flux dbit constant de donnes
Exemple dapplication : tlphone
Services rseau : bande passante rserve, temps de latence fixe
VBR Variable Bit Rate

Pour supporter les applications dbit variable mais qui
demandent certaines garanties (par exemple une bande passante
minimum garantie tous les instants)
Exemple : multimdia : vido compresse dbit variable
Services rseau :
Bande passante minimum garantie

Bande passante maximum garantie pendant un temps maximum fix
Temps de latence
.
? Trs complexe raliser

98
49
ATM 1-2 : mode connect

Problme : quand demande-t-on une (des)
qualit(s) de service au rseau ?
Statiquement : labonnement
(Ou lors de la conception du rseau)
A chaque session : mode connect

Ouverture dune connexion de bout en bout
En indiquant ce dont on a besoin
Transfert dinformations
Fermeture dune connexion
Appel destinataire (ouverture connexion)

Adresse destinataire ? Numro de VP et de VC
99
ATM 1-2 : les cellules

Donnes dans des cellules
Taille fixe : 53 octets
Compromis
Petite (avantage : faible temps de propagation, )
Grande (avantage : moins de traitements, )
Facilite les implmentations hardware

Facilite l'allocation de bande passante
Ni dtection, ni rcupration d'erreur

En Tte
5 Octets
Information (Payload)
48 Octets
53 Octets
100
50
ATM 1-2 : structure de la cellule

8 bits
GFC
VPI
VPI
VCI
VCI
VCI
PT
GFC
Generic Flow Control
VPI
VCI
Virtual Path Identifier (8 bits : 256)

Virtual Channel Identifier
(16 bits : 64000 possibilits)
PT
Payload Type
Message dadministration ou
dinformation
Etat de congestion
(MAJ par commutateur)
CLP
Cell Loss Priority

"priorit" la destruction si 1
HEC
Header Error Check

sur l'en-tte de la cellule
CLP
HEC
Champ Information
48 octets
101
ATM 1-2 : UNI (standard)

UNI : User to Network Interface
Comment tablir une connexion
Comment la rompre
Format des paramtres de qualit de service
Dbit, taux derreur, temps de latence,
Format dadresse : 20 octets

Emetteur
Dbut de
l'appel
Rseau
Rcepteur
Setup
Setup
Call proceeding
Appel reu
Call proceeding
Connect
Appel
termin
Connect
Appel
accept
Connect Ack
Connect Ack, facultatif
Etablissement connexion
102
51
ATM 1-2 : adresses : 3 types

1
AFI
39
10
DCC
Data
Country
Code
HO-DSP
IDI
IDP
1
AFI
47
Initial domain identifier

Initial Domain Part
ESI
HO-DSP
IDI
IDP
SEL
DCC ATM Format
10
ICD
Code
organisation
ESI
SEL
ICD ATM Format
AFI
E.164
45
HO-DSP
ESI
SEL
IDI
IDP
E.164 ATM Format
AFI : Identificateur de l'autorit et du format
HO-DSP : High Order Domain Specific Part, utilis pour supporter des protocoles de routages hirarchiques.
ESI : End System Identifier, en fait la MAC adresse (idem Ethernet)
103
ATM 1-2 : liaisons

Point point
Liaisons spcialises cble cuivre (longues distances)
E1 (2 Mbits/s), E2 (34 Mbits/s)
T1 (1.5 Mbits/s), T3 (45 Mbits/s)
.
Liaisons FO
FO multimode 155 Mbits/s (OC 3)
FO multimode ou monomode 622 Mbits/s (OC12)
.
Liaisons TP
155 Mbps UTP cat5
52 Mbps UTP cat3
.
104
52
ATM : commutateurs ATM

Elments dinterconnexion de niveau 2
Commutateur ATM
Interconnecte des liaisons ATM (point point)
Commute les cellules sur une liaison ou une autre /
table de routage
Cellule contient les numros de VP et de VC

Etablissement des VP et VC
Statiquement
Dynamiquement lors de louverture de la connexion
105
ATM : commutateurs ATM

Structure dun rseau ATM
Station
COMM
ATM
Station
Station
Routeur
Station
COMM
ATM
COMM
ATM
Station
Station
Station
Station
hub Eth
106
53
ATM : commutateurs
VP et VC
VC
VC
VC
VC
VC
VC
VC
VP
VP
VP
Chemin de transmission
VP
VP
VP
VC
VC
VC
VC
VC
VC
VC
107
ATM : commutateurs
Commutateur de VP et de VC
VC Switch
VP 5
VC 1
VP 1
VC 2
VP 7
VC 3
VC 4
VP Switch
VC 1
VC 2
VP 6
VP 2
VC 1
VC 2
108
54
ATM : routage
Link 2 Routing Table
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch

VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6

VCI-in
Link out
VCI-out
3
6
1
1
3
4
109
ATM : routage
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
VCI = 4
VCI-in
Link out
VCI-out
VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
3
6
1
1
3
4
110
55
ATM : routage
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
VCI = 4
1
VCI = 4

VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6

VCI-in
Link out
VCI-out
3
6
1
1
3
4
111
ATM : routage
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
VCI = 4
VCI = 4
VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
VCI = 6
VCI-in
Link out
VCI-out
3
6
1
1
3
4
112
56
ATM : routage
VCI = 4
2
Switch

VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6

VCI-in
Link out
VCI-out
2
4
1
1
1
2

VCI-in
Link out
VCI-out
3
6
1
1
3
4
113
ATM : routage
VCI = 4
VCI = 4
Switch
Link out
VCI-out
2
4
1
1
1
2
VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
VCI-in
VCI-in
Link out
VCI-out
3
6
1
1
3
4
114
57
ATM : routage
VCI = 4
VCI-in
Link out
VCI-out
2
4
1
1
1
2
VCI = 4 2
VCI = 2
Switch

VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
VCI-out
3
6
1
1
3
4
115
Table de routage port 2

VCI-in Port- out
2
4
2
3
Link out
Tables de routage ATM

VCI-in Port- out
VCI-in
VCI-out
1
3
2
8
VCI-out
2
3
2
6
Commutateur
port 1
port 3
VCI-in Port- out

6
8
VCI-out
1
2
3
4
port 2
Station A
Station B
Table de routage
Table de routage
Station C
Table de routage
Station
VCI
Station
VCI
Station
VCI
B
C
2
3
A
C
2
4
A
B
6
8
116
58
Architectures ATM
On peut btir plusieurs types darchitecture sur
un rseau ATM
Liaisons spcialises point point
Des rseaux LANE : mulation de LAN
Des rseaux classical IP : architecture IP
Trait dans la partie Architecture IP
Et on peut mixer lensemble

Ce que font les oprateurs
117
Architecture ATM : Liaison spcialise

Utilisation courante : location de VC ou de VP entre 2
sites un oprateur qui possde un rseau ATM
WAN
Dbit demand pour la liaison
Certaines qualits de service assures : ABR, CBR,
Connexion des sites aux extrmits :

Commutateur ATM
Sil y a un rseau ATM sur le site, permet de garantir certaines qualits
de service jusqu lintrieur du site.
Routeur IP (fourni par le site) avec une carte ATM

Sur le site : rseaux Ethernets par exemple
Routeur fourni ou non par loprateur
Commutateur ou routeur Ethernet

Loprateur fournit lquipement ATM ?? Ethernet
ATM est invisible pour le site
118
59
Architecture ATM : LANE : buts

LANE : LAN Emulation
ELAN : Emulated LAN
Objectifs :
Interconnexions (niveau 2) de rseaux locaux comme
Ethernet travers un rseau ATM
Intgration de stations ATM comme stations
Ethernet
But : rendre invisible les commutateurs ATM aux
rseaux Ethernet ? LAN emulation
En LAN mais aussi en MAN

119
Architecture ATM : LANE : schma

Station Eth
hub
Commutateur
ATM - Eth
Station Eth
Station Eth
Station Eth
hub
Station Eth
hub
Station Eth
Commutateur
ATM
Station Eth
Station B
ATM
Commutateur
ATM
Station A
ATM
Commutateur
ATM
Serveur LANE
hub
Commutateur
ATM - Eth
Rseau ATM
Commutateur
ATM - Eth
Station Eth
Station Eth
A
T Routeur IP
M
Station Eth
Station Eth
hub
Station ETH
Station ETH
Station ETH
120
60
Architecture ATM : LANE

Emule un rseau Ethernet (de commutateurs) :
Stations Eth + Stations ATM A et B
Stations ETH ne font pas partie de ce rseau
Sur LANE : interconnexion de niveau 2

On peut utiliser dautres protocoles que IP
Logiciels :
Stations Eth : pas de logiciel spcifique
ATM transparent
Stations ATM, routeur IP, Commut ATM-Eth : LEC

LAN Emulation Client
Sur rseau ATM : serveur LANE

LECS (Configuration Server)
LES (LAN Emulation Server)
BUS (Broadcast and Unknown Server)
121
Architecture LANE : pbs rsoudre

Transformation @ Eth ? ? @ ATM
Lorsquune station ATM se connecte sur le rseau
(A, B, commutateur ATM-Eth, routeur ATM IP)
Elle connat ladresse ATM du Serveur LANE (config manuelle)
Elle senregistre auprs du Serveur LANE :
Jai telle @ ATM
Jai, ou je connais les @ Ethernet suivantes
Lorsquune station ATM veut envoyer une trame

Ethernet une station X
Interroge le Serveur LANE : quelle est ladresse ATM de la
station Ethernet X ?
Le Serveur lui indique ladresse ATM
La station ouvre une connexion ATM avec la station ATM
.
122
61
Architecture LANE : pbs rsoudre

Broadcast Eth ? Rseau mode connect ATM
Lorsquune station ATM veut envoyer un
broadcast Ethernet
Elle envoie la trame vers le Serveur LANE
Celui-ci ouvre autant de connexions que de stations
ATM sur le LANE
Il envoie la trame toutes les stations ATM
Ouverture-fermeture de connexion ATM

Mcanismes de time -out pour ne pas trop ouvrir ou
fermer de connexions ATM
On peut avoir plusieurs ELAN sur un rseau

ATM
123
ATM : bilan
Trs complexe :
Cher
Trs dlicat faire fonctionner
Utilis en MAN et WAN par oprateur :

Location de VC statiques entre 2 points (quivalent de LS)
Reconfiguration lorsque location de nouvelles liaisons
Garantit de bande passante
Cration de rseaux virtuels ELAN
Utilisation en LAN
Annes 1995-2000
Remplac par Gigabit Ethernet maintenant
Avantage restant : peut intgrer le tlphone (PABX)
Utilisation en MAN et WAN

Encore trs utilis
Remplac par DWDM, IP directement sur FO,
Bon exemple de rseau multiservices en mode connect

124
62
ATM exemple : rseau MAN (C3I2)

INRIA
Montbonnot
CNET
Meylan
VPs C3I2
10 M, 20, 30, 35,
selon les sites
Prise C3I2 155 M
C3I2
Grenoble
Domaine
universitaire
CEA
Polygone
INPG
Felix Viallet
Lyon
La Doua
CNRS
SAFIR
France
Liaison interne
au site 155 M
VPs SAFIR
2, 4 ou 10 M
Sophia
INRIA
Paris
Jussieu
Toulouse
CICT
EDF
Clamart
Rouen
Crihan
CEA
Saclay
125
Ex darchitecture : dorsale Jussieu
126
63
Ex darchitecture : tour
127
Ex darchi : interco 2 btiments distants
128
64
Ex darchi : interco 2 btiments distants
129
Ex darchi : RAP : MAN

Rseau Acadmique Parisien
Universits, CNRS, INSERM,
300 000 tudiants 40 000 personnels
99 sites Paris intra-muros
Rseau priv : ART

5 POP (Point Of Presence)
Jussieu (27 sites)

Odon (34 sites)
Auteuil (15 sites)
Malesherbes (10 sites)
CNAM (13 sites)
Ouverture: t 2002
130
65
Ex darchi : RAP : cbles

Fibre noire : Single Mode G652
69 sites
Lg totale (liaison) : 356.1 km
Mtro : 312 km
Egouts : 33 km
Gnie civil : 0.3 km
Plus petite liaison : 1 km, plus grande : 9.6 km
BLR (Boucle locale radio)/ S-HDSL ( ADSL

particulier)
23 sites 2 Mbits/s
Faisceaux hertziens
2 sites proches de Paris
131
Ex darchi : RAP : services rseau
Services
Data, voice, vido, multimdia, VPN
IP
Infrastructure
de services
ATM
Ethernet
SDH/SONET
Infrastructure
de transport optique
DWDM
DWDM
132
66
Ex darchi : RAP : Architecture

s -atm
Site B
Site A
Eth 100
Site D
cr
ATM OC3
s -atm
dwdm
SP
SP
NRD
5082 m
E
8672 m
ATM
c
cr
s-atm
dwdm
5120 m
s -atm
Malesherbes
gw-rap
10 longueurs donde
20 rseaux optiques virtuels
Jussieu
Auteuil
dwdm
dwdm
E
Odon
cr
IP
c
Site C
Gigabit Ethernet
W
W
dwdm
3100 m
8410 m
cr
Eth 100
Site F
s -atm
GigaEthernet
cr
ATM OC12
s -atm
133
Architecture logique IP : plan

Dans ce chapitre : rseau = rseau IP
Adresses IP
Affectation statique ou dynamique (DHCP)
Plan adressage IP
Routage IP
Exemple de rpartition dutilisateurs et de
services
134
67
Architecture IP : rseaux IP
hub
Station N
Routeur
Station A
Station O
Routeur
hub
Station B
Station P
Station C
Station G
Station M
LS 1 M
hub
COMM
Eth
Station H
Station L
256 Kb/s
Routeur
Station R
Station Q
Fournisseur daccs
Internet
COMM
Eth
Station J
135
Architecture IP : adresses
Une adresse IP par coupleur (machine, routeur)
Format : 4 octets notation dcimale A.B.C.D
Ex : 130.190.5.3
193.32.30.150
Une adresse doit tre unique au monde

Pour laccs depuis lInternet
? Surtout pour les serveurs
Pas obligatoire pour les stations clientes Internet

? Intervalles dadresses locales
2 ou 3 parties dans une adresse IP :

@ de rseau (@ sous -rseau) - @ machine
Elment qui spare 2 (ou +) rseaux ou sousrseaux IP : routeur (ou commut-routeur)

136
68
Archi IP : @ (ancienne classification)

Classe A : A.B.C.D avec A ? 127
1er octet : @ de rseau : 126 rseaux possibles
Reste : 254 x 254 x 254 (16 M) machines adressables
Ex : DEC : 16.0.0.0
MIT : 18.0.0.0
Classe B : 128 ? A ? 191

2 premiers octets : @ de rseau
64 x 254 : 16 000 rseaux possibles
Reste : 254 x 254 (64 000) machines adressables

Ex : IMAG : 129.88.0.0
Jussieu : 134.157.0.0
Classe C : 192 ? A ? 223

3 premiers octets : @ de rseau
31x 254 x 254 (2 M) de rseaux possibles )
Dernier octet : 254 adresses de machines

IBP : 192.33.181.0
CITI2 : 192.70.89.0
137
Archi IP : sous-rseaux (subnets)

Sous-rseaux : dcoupage dun rseau IP (classe A, B, C)
Les sous -rseaux dun mme rseau (subnett) devaient
avoir une taille identique (contrainte routeurs ) :
Masque de subnet spcifiait le dcoupage
Bits qui dsignent la partie rseau + sous-rseau = 1
192.33.181.0 dcoup en 4 sous-rseaux
Masque 255.255.255.192
192.33.181.0-192.33.181.63
192.33.181.64-192.33.181.127
192.33.181.128-192.33.181.191
192.33.181.192-192.33.181.255
Les routeurs permettent maintenant de crer des sous rseaux de tailles diffrentes
Les sous -rseaux sont connexes
Non spars par un autre rseau IP
Dcoupage en sous-rseaux nest connu que du propritaire du
rseau (site, entreprise, provider, ), pas de lInternet
138
69
Archi IP : classless
Pour obtenir une adresse de rseau (unique)
Auprs de son fournisseur daccs lInternet

AFNIC (France) RIPE (Europe)
Classe A : impossible
Classe B : presque impossible (puis)
Classe C ou partie de Classe C : OK
Nouvelle notation et dcoupage : classless

Rseau 129.88.0.0 ? Rseau 129.88/16
Rseau 192.33.181.0 ? Rseau 192.33.181/24
Rseaux (sous-rseaux avant)
192.33.181.0/26 : 192.33.181.0-192.33.181.63
192.33.181.64/26 : 192.33.181.64-192.33.181.127
192.33.181.128/26 : 192.33.181.128-192.33.181.191
192.33.181.192/27 : 192.33.181.192-192.33.181.223
192.33.181.224/27 : 192.33.181.224-192.33.181.255
139
Archi IP : @ particulires
Classe D : 224? A ? 239 : multicast
224.10.15.3 : ? groupe de stations sur lInternet (nimporte o)
Classe E : 240 ? A ? 254 : utilisation ultrieure

Adresses locales (ne doivent pas sortir sur lInternet)
10.0.0.0 10.255.255.255 : 10/8
172.16.0.0 172.31.255.255 : 172.16/12
192.168.0.0 192.168.255.255 : 192.168/16
Loopback (soi-m me) : 127.0.0.1

0.0.0.0 : quand station ne conna t pas son adresse
130.190.0.0 : le rseau 130.190/16
130.190.255.255 : broadcast
Toutes les machines du rseau 130.190/16
140
70
Archi IP : Affection @ IP une station

Configuration statique
Unix : commande ifconfig
Windows (2000 pro) : panneau de conf connexion rseau
TCP/IP
Configuration dynamique : DHCP

Serveur DHCP (Dynamic Host Configuration Protocol) dans un
rseau IP avec une plage dadresses attribuer
Station sans adresse IP fait une demande DHCPDISCOVER
@ IP source 0000
@IP dest 255.255.255.255
Contient @ Ethernet et nom de la station
Serveur DHCP rpond :

Adresse IP - Masque de sous-rseau informations de routage
Adresses DNS Nom de domaine
Dure du bail
Explication simplifie (plusieurs serveurs DHCP possibles, )

Avantage : pas de conf sur stations, portables, conomie d@
Dsavantage : qui est qui ?
141
Archi IP : pbs adresses IP

Adressage ni hirarchique, ni gographique
Tables de routages normes au cur de lInternet
Distribution des adresses
Au compte-goutte (maintenant bataille commerciale)
Uniquement 4 bytes (et certaines plages vides)

? Pnurie dadresses
FAI : adresses dynamiques aux clients
Entreprises FAI :
Adresses locales sur rseau priv
NAT : Network Address Translation
Et PAT : Port Address Translation
IPv6
142
71
Archi IP : plan dadressage

Un routeur spare 2 (ou plus) rseaux ou sous -rseaux IP
Il faut construire un plan dadressage
Dcouper lespace dadressage dont on dispose en sous-rseaux
et le rpartir entre les stations
Elments prendre en compte :

Les routeurs sparent les sous-rseaux
Proximit gographique des stations
Ou non si VLAN
Dans un sous-rseau on est dpendant de son voisin

Broadcast Ethernet par exemple
On regroupe dans un mme sous-rseau les stations qui

travaillent entre elles (dun service par exemple)
La majorit du trafic reste local au sous-rseau (vite de charger les
autres sous-rseaux
Profils de connexion et de scurit identiques
143
Archi IP : plan adressage 192.33.181/24

192.33.181.0/26
hub 192.33.181.3
192.33.181.2
Routeur 1
192.33.181.65 (B)
192.33.181.64/26
Routeur 2
hub
192.33.181.5
192.33.181.66 (A)
192.33.181.67
192.33.181.141
192.33.181.129
LS 1 M
192.33.181.224/27
192.33.181.142
256 Kb/s
Routeur 3
COMM
Eth
hub
192.33.181.128/26
192.33.181.130
192.33.181.202 (C)
192.33.181.201
Fournisseur daccs
COMM
192.33.181.200
Eth
Internet
Quelles @ manquent ils ? 192.33.181.192/27
144
72
Archi IP : plan adressage 192.33.181/24

192.33.181.0/26
hub 192.33.181.3
192.33.181.2
192.33.181.10
Routeur 1
192.33.181.231
192.33.181.65 (B)
192.33.181.64/26
192.33.181.80
Routeur 2
hub
192.33.181.150
192.33.181.5
192.33.181.66 (A)
192.33.181.67
192.33.181.141
192.33.181.129
LS 1 M
192.33.181.142
COMM
Eth
hub
192.33.181.128/26
192.33.181.130
192.33.181.230
192.33.181.145
Routeur 3 192.33.181.202 (C)
256 Kb/s
192.33.181.201
X 192.33.181.203
192.33.181.224/27
Fournisseur daccs
Internet
COMM
Eth
192.33.181.200
192.33.181.192/27
Pour ladministration des quipements, il en manque dautres

145
Archi IP : routage IP
A (192.33.181.66) veut envoyer un datagramme IP B
(192.33.181.65)
Pb : A doit envoyer une trame Ethernet mais ne connat l@ Eth
B
Elle envoie un broadcast Ethernet sur le rseau qui demande :
quelle est l@ eth de B ? (l@ Eth de A est spcifie dans la trame
Ethernet : @ Eth origine)
B rpond l@ Eth A en disant : je suis 192.33.181.65 et mon
adresse Ethernet est @ Eth B
A peut alors envoyer alors les datagrammes IP dans des trames
Ethernet (elle connat l@ Eth de B)
Mcanisme : ARP RARP
A (192.33.181.66) veut envoyer un datagramme C

(192.33.181.202)
Elle doit envoyer une trame Eth au routeur 2 : 192.33.181.80
Il lui manque cette information ? Information de routage
146
73
Chaque station doit tre configure pour spcifier
Son adresse IP (Commande Unix ifconfig)
Ladresse du sous-rseau sur laquelle elle est (Commande Unix
ifconfig)
Une table (de routage) qui indique comment atteindre les autres
rseaux (Commande Unix route add)
Exemple A
@ IP : 192.33.181.66 - @ Rseau : 192.33.181.64/26
Routes (numro IP du prochain routeur destinataire) :
192.33.181.128/26 ? 192.33.181.80
192.33.181.224/27 ? 192.33.181.80
192.33.181.192/27 ? 192.33.181.80
192.33.181.0/26 ? 192.33.181.80
Reste du monde (default route) ? 192.33.181.80
La route par dfaut (default route - default gateway) suffit
Toutes les stations doivent tre configures

Ex : mon PC dans panneau de configuration
147
Les routeurs aussi doivent tre configurs
Par port : @ IP, @ Rseau (ou sous -rseau)
Table routage
Exemple routeur 3 :
Port 1 : 192.33.181.230 - rseau 192.33.181.224/27

Port 2 : 192.33.181.145 rseau 192.33.181.128/26
Port 3 : 192.33.181.203 rseau 192.33.181.192/27
Port 4 : X rseau Y
Table routage
Route 192.33.181.64/26 ? Port 2 : 192.33.181.150
Route 192.33.181.0/26 ? Port 1 : 192.33.181.231
Route default ? Port 4 : routeur du fournisseur daccs
Exemple : envoi datagramme B ? C

148
74
Routage statique
Mise jour tables de routage : manuelle
ICMP redirect : Ce nest pas ici cest ailleurs
Problme : intervention manuelle
Quand le rseau volue : modification manuel des tables
Quand plusieurs chemins possibles et coupures
Utilis gnralement au niveau des stations, dans

certains routeurs dextrmits
Routage dynamique
Protocoles entre routeurs et entre routeurs et stations
pour mettre jour automatiquement les tables de
routages : annonces de routes
Ex : RIP, OSPF, BGP
Cf cours sur le routage
149
LInternet ne fonctionnerait pas sans bons
protocoles de routage et sans experts pour les
faire fonctionner
Cest une problmatique surtout doprateurs
Internet
A laquelle sajoutent les accords de peering
Routeurs doivent tre trs rapides

Traitement du routage directement en ASIC
Routeurs au cur de lInternet : doivent

connatre toutes les routes : impossible ?
Agrgation de plages dadresses de rseaux IP
On nest pas oblig davoir une route par dfaut
sur tous les quipements : scurit
150
75
Archi IP : rpartition dutilisateurs
151

Objectif :
Utiliser un rseau ATM pour transporter des
datagrammes IP
RFC 1483
Comment encapsuler (transporter) les datagrammes
IP dans des cellules ATM
RFC 1577
Comment construire un rseau IP sur un rseau ATM
Pb ARP par exemple
152
76

Station IP Eth
hub
Station IP Eth Station IP Eth

Station IP Eth
Routeur IP
ATM
hub
hub
Station IP Eth
Commutateur
ATM
Station IP Eth
Station IP B
ATM
A
T Routeur IP
M
Serveur ARP
Station IP Eth
Station IP A
ATM
Commutateur
ATM
ATM
Routeur IP
hub
Station IP Eth
Station IP Eth
Station IP Eth
Routeur IP
ATM
Rseau ATM
Commutateur
ATM
Station IP Eth
hub
Station IP Eth
Station IP Eth
Station IP Eth
153

Un sous-rseau IP dans un rseau ATM
Un serveur ARP
Gre une table @ IP ? ? @ ATM
Lorsquune station ATM IP se connecte

Elle connat l@ ATM du serveur ARP
Configuration manuelle
Elle senregistre auprs du serveur ARP

Indique son adresse ATM et son adresse IP
Lorsquune station ATM-IP veut mettre un

datagramme IP vers une autre station ATM-IP
Demande au ARP Serveur l@ ATM de la station IP
Ouvre un VC avec cette station ATM

154
77

Lacunes :
Pas de broadcast ou multicast IP
Un seul serveur ARP : pas de redondance : pb si panne
On peut avoir plusieurs sous -rseaux IP sur un rseau

ATM :
Passe par un routeur ATM-IP pour communiquer
ATM complexe avec IP :

Mode non connect (IP) avec techno en mode connect (ATM)
Rq : sur un mme rseau ATM on peut avoir :

Des VC ou VP permanents (ouverts en permanence) :
LS informatique : interconnexions LANs
Interconnexions PABX
Des ELAN (plusieurs LANE)

Des sous-rseaux IP
155
MPLS : buts
MPLS : Multi Protocol Label Switching
Protocole pour oprateurs de WAN IP
Lacunes dun rseau WAN IP classique
Travail dun routeur important
Il doit tudier chaque datagramme
Il doit extraire l@ IP destinatrice du datagramme IP, consulter sa
table de routage et agir en consquence
Pas de partage de charge entre plusieurs liaisons

Il ny a quune route par destination
Pas de routage qui tiendrait compte de qualits de

service demandes
156
78
MPLS
Les routeurs en bordure de rseau ajoutent (et
enlvent) une tiquette aux datagrammes selon :
La route que devra emprunter le datagramme
La classification du datagramme
Prioritaire ou non, pour application avec QoS,
Les routeurs au cur du rseau routent selon

cette tiquette
Rapide (plutt de la commutation que du routage)
Protocole pour mettre jour les tables de

routage des routeurs au cur du rseau :
Une fois par flot
Choix de route / tiquette donc / origine, QoS,
Rservation de bande passante possible
157
Intgration tlphonie informatique

Intgration voix - donnes
Intgration possible car :
Tlphone et informatique utilisent :
Mmes cbles (FO, TP) et ondes (hertziennes ou radio)
Elments actifs similaires : les tlphones sont maintenant numriques
Ordinateurs :
Equips de microphone et hauts-parleurs
Pourraient remplacer les postes tlphoniques : poste unique
Pourquoi intgrer ? : faire des conomies

En rseau dentreprise
Infrastructure et matriel : mme rseau (plusieurs sens rseau)
Mme quipe dadministration
Dans les rseaux des oprateurs : mmes conomies

Au niveau des utilisateurs : conomies sur les communications
tlphoniques longues distances
Le cot dune communication tlphonique dpend de la distance
Le cot dune communication Internet est indpendante de la
distance
158
79
Intgration voix-donnes
Pourquoi intgrer ? : apporter des nouveaux services
Evolution des services informatiques
Chat, mail ? mode de communication vocal (tlphonique)
Evolution des services tlphoniques

Communication tlphonique ? transfert de documents, vido,
Intgration des services

Annuaires : tlphoniques et informatiques (LDAP)
Messageries : vocales et lectroniques
Comment intgrer ?
Normes existent : H323, SIP

Solutions techniques (matriels) existent
Lgislation sassouplit : drgulation du tlphone
Diffrents niveaux dintgration : tranches ? rseau et services
Rappel : contraintes tlphone :

QoS (voir chapitre ATM prcdent) difficiles sur rseau IP
Existant qui fonctionne parfaitement : PABX faire voluer
159
Voix-Donnes : niveaux dintgration

Mmes tranches, fourreaux, goulottes (chemins de
cbles) sur un site
2 cblages (et quipements actifs) diffrents
2 rseaux physiques donc logiques diffrents
2 administrations diffrentes
Fait depuis plusieurs annes entre les btiments
Maintenant en pr-cblage de btiment
Cblage courants faibles
LS longue distance partage entre 2 sites

Interconnexion de PABX
Interconnexion de LAN (routeurs, commutateurs, ponts)
Ex : LS 2 Mb/s (MIC) ou hertzienne ou laser clate
(multiplexeur et d-multiplexeur)
1 M (16 voix tlphoniques) pour PABX
1 Mb/s pour interconnexion de LAN
160
80
Voix-Donnes : niveaux dintgration

Partage dun rseau ATM
VP pour PABX
VP pour informatique (routeurs , commutateurs)
FT et les autres oprateurs le font
Utilisation du rseau tlphonique pour les

donnes
Externe (RTC national) ou interne lentreprise
Ordinateur (ou routeur) Modem Rseau
tlphonique Modem Ordinateur (ou
concentrateur ou routeur ou )
V90 (56.6 Kb/s), RNIS (2x64 Kb/s), ADSL ( 1 Mb/s)
Utilisation du rseau IP pour la voix

Tlphonie sur IP
161
Voix-Donnes : Tl / IP : services rendus

Connexion ordinateur ordinateur (application voix)
Ordinateur Rseau IP (Eth, PPP) Ordinateur
Netmeeting par exemple
Un rseau logique diffrent du rseau tlphonique
Pas de communication possible avec postes t lphoniques classiques
Intressant pour longues distances

Economies en cot de communication
Connexion PABX PABX

Tlphones PABX passerelle Rseau IP (Eth, ATM, PPP)
passerelle PABX Tlphones
Pas de communication tlphonique possible avec ordinateur
connect dans le mode prcdent
Intressant si bonne infrastructure IP (beaucoup de dbit)
Intgration totale : le tout IP

Communications postes tlphoniques - ordinateurs possibles
162
81
Voix-Donnes : Tl / IP : H323
Origine : monde des tlphonistes ITU
Ensemble complet de standards
Architecture et fonctions dun systme de vido-confrence
Sur rseaux en mode paquet (sans connexion), sans garantie de
QoS comme IP (mais pas uniquement pour IP)
IP : RTP
Real-time Transport Protocol
Transport flux temps rel : vido, audio, dans UDP
Ajoute des informations pour que le rcepteur compense :
variation latence, arrive de datagrammes dans le dsordre,
Type de donnes transport es
Horodatage
Numro de squence
163
IP : RTCP
Real-time Transport Control Protocol
Permet davertir lmetteur de la qualit de la
transmission :
Le taux de paquets perdus
La variation de la latence

Informations sur lidentit des participants

(applications multicast)
Elments (matriels ou logiciels)

Terminal H323 :
Ordinateur avec netmeeting
Tlphone sur IP (H323)

164
82
Elments (matriels ou logiciels) suite
Passerelle : entre rseau IP et RTC (ou RNIS)
Interfaces :
Ethernet ? rseau IP
Ports TP ? tlphones classiques ou PABX
Codage/dcodage voix, mise en paquets, suppression dcho,
Garde-barri re : administration
Gestion des @adresses : IP ?? E164 (tlphoniques)

Contrle les accs
Peut refuser des appels si bande passante insuffisante
Contrle une zone (H323)
MCU-Pont : Multicast Control Unit : tlconfrence

Gre Multicast
Transmet avec adresse IP multicast si le rseau le permet
Ouvre n connexions point point

165
Exemple de rseau H323 (entre 2 sites)
Tlphone sur IP
(H323)
Routeur
Rseau IP (Internet)
Station (H323)
hub
Routeur
Station (H323)
Passerelle
Garde-barrire
Passerelle
PABX
RTC
hub
Tlphone
analogique
PABX
RTC
Station (H323)
Tlphone sur IP
(H323)
Tlphone
analogique
Tlphone
analogique
166
83
Voix-Donnes : Tl / IP : SIP
SIP : Session Invitation Protocol
Origine : IETF : Informatique
Gestion de sessions multimedia avec 1 ou n
participants
Adresses : sip:bob@193.10.3.1
Utilise RTP au-dessus de UDP ou TCP
Station IP ?? Station IP : le protocole dfinit
Appel Ngociation des paramtres
Communication
Fermeture de connexion
167
Voix-Donnes : Tl / IP : SIP
Autres services
Location server (registrar)
Pour quun client puisse senregistrer quand il change dadresse
IP (mobile, ISP avec adresse dynamique par exemple)
Proxy server
Serveur dun ct (reoit les appels)
Client de lautre (met des appels)
Pourquoi ? : Point de contrle, de facturation
Redirect server
Reoit des appels
Indique la bonne destination laquelle sadresser : proxy ,
Peut permettre de grer la rpartition de charge entre plusieurs
serveurs
SIP beaucoup plus basique que H323

168
84
Voix-Donnes : bilan aujourdhui

Constat : la tlphonie ce nest pas simple
Besoin de QoS et habitude de bonne qualit
Fonctionnalits des PABX et postes tlphoniques sont
maintenant complexes : numros abrgs, transfert dappel,
tlconfrence, messagerie vocale,
2 quipes dexploitation avec des cultures diffrentes
Tlphonistes - informaticiens
? Intgration prudente
Annes 1999-2000 : on va tout mettre sur IP
Aujourdhui : on peut basculer certaines parties
Elt nouveau : arrive massive du tlphone portable

Habitude de communications de moins bonne qualit
Comme le transport de la voix sur un rseau Best Effort IP
Portabilit sans comparaison avec ordinateur portable

Ne va pas dans le sens dun terminal unique : tlphone-ordinateur
169
Voix-Donnes : bilan aujourdhui

Dans entreprise :
Dpend de lhistorique et de la culture
Intgration des 2 quipes dexploitation ?
Gnralement :
Lutilisateur conserve 2 quipements : tlphone et
ordinateur
Les infrastructures rseaux dextr mit (cblage
horizontal) sont diffrentes mais chemins identiques
Poste tlphonique : cblage tlphonique ? PABX
Ordinateur : cblage informatique ? hubs, commutateurs,
Interconnexion de PABX sur IP : solution de + en +

dploye
Car dbits du rseau donnes >> rseau tlphonique
Avec back-up RNIS par exemple
170
85
Voix - Video : n participants

N vers n : runions avec participants distants :
Tlconfrence (voix uniquement)
Service FT (quivalent dun MCU)
Poste tlphonique habituel ou matriel ddi
Matriel de visio-confrence (voix + image)

H323 sur RNIS ? H323 sur IP
Matriel ddi
Netmeeting + Webcam
Multicast IP :
V IC-RAT + Webcam
Rseau multicast
Acadmique surtout
1 vers n : Visio-confrence (sans question de la salle)

Idem ci-dessus
Streaming : realplayer
Unicast ou multicast IP
171
Rseaux virtuels : plan
Pourquoi ?
VLAN : Virtual LAN
Avec ATM
VPN : Virtual Private Network
PPTP
L2TP
IPSEC
172
86
Rseaux virtuels : pourquoi ?

On regroupe dans un mme rseau (Ethernet commut ou
IP) les stations qui travaillent ensemble (groupe de
travail - workgroup). Consquences :
Les applications groupe de travail :
Qui ont besoin de dcouvrir les serveurs (contrleur de domaine,
voisinage rseau, imprimantes, serveur DHCP, zone Mac, )
Et ces serveurs qui ont besoin dmettre des messages vers toutes
les stations du groupe de travail
Utilisent les broadcasts Ethernet ou IP
Le groupe qui a les mmes besoins de scurit :

Contrle laccs entrant sur le rseau la frontire du rseau
(routeur daccs)
Est assur de la confidentialit par rapport lextrieur du
groupe car il ny a pas diffusion lextrieur du rseau
173

Le groupe qui les mmes besoins de connectivit depuis
et vers lextrieur :
Effectue un contrle daccs sortant la frontire du rseau (sur
le routeur daccs)
Peut mettre en place une limitation de la bande passante utilise
vers lextrieur au point de sortie
Le groupe peut avoir le mme adressage IP et des noms

de stations dans le mme domaine :
Ralis de fait dans un rseau IP
Probl me : comment peut on avoir les mmes services

avec un groupe gographiquement dispers ?
Solution : avec des rseaux virtuels
174
87

Exemples de groupes disperss
Universit UJF sur plusieurs sites Grenoble et un Valence
Besoin de regrouper les sites dans un seul rseau logique
Entreprise multi sites interconnects par Internet :

Mme besoin
Formation dingnieurs sur 2 sites ENSIMAG-ENSERG

Mme besoin
Unit CNRS (UREC) sur 4 villes

Mme besoin
Exemples de services disperss

Services administratifs (DR) du CNRS
Services comptabilit dune entreprise multi-sites
Mais aussi des groupes mobiles

Ordinateurs mobiles
Dmnagements, rorganisations ? clatements gographiques
des quipes
175
Rseaux virtuels : principes

Regrouper logiquement un groupe de stations
disperses gographiquement
Dans un mme rseau : Ethernet ou IP ou
Buts :
Utilisation dapplications groupe de travail
Scurit
Contrle de bande passante
Noms et adresses IP
Mobilit
Plusieurs techniques suivant les buts, WAN/LAN,

VLAN
ELAN
VPN
176
88

Virtual LAN
But : crer un rseau virtuel de niveau 2
Un domaine de broadcast (Ethernet)
Possible avec des commutateurs Ethernet

Pas avec des hubs
Intelligence dans les commutateurs (et routeurs )
Diffrents types de VLANs

Par ports (de commutateur) : niveau 1
Par adresse MAC (Ethernet) : niveau 2
Suivant la valeur dautres champs : niveau 3
Protocole, @ IP,
177
Rseaux virtuels : VLAN par ports

Chaque port de commutateur est affect un VLAN
Exemple :
VLAN 1 : A,B,C,D,E,F,I,J
VLAN 2 : G,R,K,M,L
VLAN 3 : H,Q
Station
Station D
hub
Station C
3
Station H
Station K
Station M
Commutateur
Routeur
1
COMM
Eth 1
5
Station F
Station R
hub
Station L
Station B
hub
Station G
4
Station A
3
4
COMM
Eth 2
Station Q
Station I
2
1
Station J
178
89
Rseaux virtuels : VLAN par ports

Configuration VLAN de Eth 1 : 3 VLANS 1-2-3
Port 1 = VLAN 1
Port 4 = VLAN 3
Port 2 = VLAN 1
Port 3 = VLAN 2
Port 5 = Voir aprs
Quand Eth1 reoit une trame de A (VLAN 1) :
Envoie vers port 2 (et port 5 : cf aprs)
Configuration VLAN de Eth 2 : 3 VLANS 1-2-
Port 1 = VLAN 1
Port 3 = VLAN 3
Port 2 = VLAN 1
Port 4 = VLAN 2
Port 5 = Voir aprs
Quand Eth1 reoit une trame de I (VLAN 1) :
Envoie vers port 1 (et port 5, cf aprs)
Configuration commutateur de Eth1 (idem Eth2) :

Port 1 : @ MAC A, B, C, D, E

179
Rseaux virtuels : VLAN par port

Diffusion
Les quipements Eth1, Eth2 et le commutateurrouteur font en sorte que :
Quand A envoie un broadcast Ethernet ? A,B,C,D,E,F,I,J
(VLAN1)
mais pas vers les autres stations
Pour communiquer entre Eth1, Eth2, Eth3

Trame Ethernet F ? G impossible
Datagramme IP : F ? Commutateur-routeur ? G
Passe par routeur ou commutateur-routeur
Remarque
Cette segmentation peut aussi tre ralise par
brassage manuel dans le local technique o sont les
commutateurs : dans certains cas
180
90
Rseaux virtuels : VLAN 802.1Q

Problme : numro de VLAN sur les truncks
Schma prcdent : lorsque le commutateur Eth 2 reoit une
trame Ethernet venant de A, pour savoir vers quelles stations il
doit la rediffuser il faut quil sache le numro de VLAN dont A
est membre
? Il faut quil trouve cette information dans la trame
Il faut que sur chaque lien entre les commutateurs

(truncks) les trames soient marques (tagges)
Protocoles propritaires : ISL (CISCO)
IEEE802.1Q
Champ type Eth : 8100

Champ numro de VLAN : 12 bits (4096)
Niveau de priorit : 3 bits ? QoS
.
Informations de la trame initiale
Schma prcdent : 802.1Q est activ entre Eth 1

Commut-Routeur Eth 2
181
Rseaux virtuels : VLAN par @ MAC

Chaque station peut appartenir un VLAN
suivant son adresse MAC
Station D
Exemple :
VLAN 1 : A, C, F, I, J, G
VLAN 2 : B, D, K, R
Station E hub
VLAN 3 : L, M, E, Q, H
Station M
Commutateur
Routeur 3
hub
Station L
Station B
Station K
hub
Station C
Station G
Station H
Station A
COMM
Eth 1
Station F
Station R
5
3
4
COMM
Eth 2
Station Q
Station I
2
1
Station J
182
91
Rseaux virtuels : VLAN par @ MAC

Configuration VLAN de Eth 1 : 3 VLANS 1-2-3
VLAN 1 : @ MAC de A, C, F, G
VLAN 2 : @ MAC de B, D, Q, R
VLAN 3 : @ MAC de E, H
Quand Eth1 reoit une trame de A (VLAN 1) :
Envoie vers port 2 (et port 5 : cf aprs)
Configuration VLAN de Eth 2 : 3 VLANS 1-2-
Port 1 = VLAN 1
Port 3 = VLAN 3
Port 2 = VLAN 1
Port 4 = VLAN 2
Port 5 = Voir aprs
Quand Eth1 reoit une trame de I (VLAN 1) :
Envoie vers port 1 (et port 5, cf aprs)
Configuration commutateur de Eth1 (idem Eth2) :

Port 1 : @ MAC A, B, C, D, E

183
VLAN par port ou par @ MAC

Avantages VLAN @MAC / port
Des stations sur des hubs peuvent appartenir diffrents VLANs
Mais la diffusion nest pas slective selon les branches des hubs
On peut avoir des stations qui sont dplaces (dmnagement

ou mobiles) sans besoin de reconfiguration
On peut identifier chaque station avec son numro de carte
Ethernet
Scurit accrue
Si adresse MAC inconnue : appartient au VLAN visiteurs
Dsavantages VLAN par @ Mac

Administration plus lourde
Rpertorier et tenir jour des tables avec toutes les adresses MAC
Si utilisateur change sa carte Ethernet : modification de

configuration
184
92
Rseaux virtuels : VLAN niveau 3

Affecter les trames Ethernet dans un VLAN
diffrent selon des champs que lon trouve dans
la trame :
Champ type Ethernet : protocole : IP, IPX, Appletalk,
Ladresse IP origine : sous -rseau

mais ce nest pas du routage
Peut tre utile quand de nombreux protocoles

sont utiliss sur un mme rseau
Support des anciennes applications
De moins en moins utile
185

Commutateurs :
Ils conservent leur fonction de base : commutation, sans diffusion
inutile
Certains peuvent ne pas avoir de fonctionnalit VLAN
Dans les exemples prcdents les commutateurs ont la
fonctionnalit daccepter plusieurs adresses Ethernet et VLAN
par port : ce nest pas toujours le cas
Routeurs :
Peuvent supporter 802.1Q. Si non, il faut autant de cartes
Ethernet que de VLAN pour que le routeur route les VLAN
Ex de VLANs dans un laboratoire

1 / par quipe de recherche pour stations de travail individuelles
Administration (peut inclure la station de chaque secrtaire
dquipe de recherche)
Test : toutes les machines de test des diffrentes quipes
Serveurs locaux
Serveurs Internet
Visiteurs
JL Archimbaud
CNRS/UREC
186
93

Le travail dadministration de VLAN nest pas
ngligeable !
Il faut bien connatre le rseau (et tre plusieurs le
connatre : pb absence)
Il faut un outil dadministration
Thorie : on peut utiliser des commutateurs de

diffrents constructeurs : IEEE802.1Q
En pratique : commutateurs homognes
Avec un outil dadministration fourni par le
constructeur
Les VLAN sont des rseaux virtuels pour LAN

Pas pour MAN ou WAN
187
Rseaux virtuels : ATM

Interconnexion de rseaux Ethernet
ELAN : principe LANE (cf chapitre prcdent)
Utilisation de VPs ATM pour interconnecter des

btiments (LAN) ou des sites (WAN) :
Rseaux Ethernet ou ATM
Rseaux IP
Fonctions :
Scurit : appel aussi VPN ATM
Garantie de qualit de service (dbit / VP)
Exemple : service ATM de Renater
188
94
Rseaux virtuels : VPN : but

VPN : Virtual Private Network
Terme gnrique qui regroupe plusieurs techniques
Relier 2 rseaux distants (ou une station et un rseau) via

un rseau ouvert (Internet) en garantissant :
Les services de VLAN pour IP : mme rseau logique IP
Etendre le rseau interne
Des services des scurit :

Confidentialit des informations transmises
Intgrit des donnes (donnes non modifies par un tiers)
Authentification de lmetteur et du destinataire (au sens station ou
routeur)
Sans rechercher une qualit de service particulire (dbit )
Eviter des infrastructures ddies base de LS

Rduction de cot en utilisant un rseau partag
Utilisation du tunneling (tunnelisation)

189
Rseaux virtuels : VPN : tunnels

Un tunnel transporte des donnes entre 2 points
sans que les lments entre les points
perturbent ce transport
Rseau de transport : transparent
Entre 2 rseaux ou entre station-serveur

Rseau 1
Rseau 2
Station A
Internet
Internet
Serveur 1
Station B
190
95
Rseaux virtuels : VPN : tunnels

Encapsulation
En entre de tunnel : donnes insres (encapsules) dans un
paquet du protocole de tunnelisation
En sortie : donnes extraites : retrouvent leur forme initiale
Tunnel IP vhiculant des datagrammes IP
Entte
@ IP Origine : @ IP entre du tunnel
@ IP Destinatrice : @ IP sortie du tunnel
Protocole : tunnel : par ex : GRE
Donnes : datagramme initial IP

Entte : @ IP station origine - @ IP station destinatrice
Donnes
Plusieurs mthodes et protocoles
PPTP (RFC2637)
L2F (RFC2341)
L2TP (RFC2661)
IPSEC
191
Rseaux virtuels : VPN : PPP

PPP : Point to Point Protocol
Permet de transporter des datagrammes IP sur une
liaison point point (RTC, LS par exemple)
Mais aussi dautres protocoles que IP
Fonctionnalits supplmentaires :
Authentification des extrmits : PAP ou CHAP
Avant tout transfert de donnes
Chiffrement des donnes (confidentialit et intgrit)

Adressage IP dynamique
Compression
192
96
Rseaux virtuels : VPN : PPTP

PPTP : Point-to-Point Tunneling Protocol
Origine Microsoft
VPN surtout sur rseau commut pour accs particulier
Station isole ? LAN entreprise
Encapsulation IP, IPX, ? PPP ? GRE ? IP

Pas uniquement IP
La station isole semble appartenir au LAN de

lentreprise
Elle peut avoir une adresse IP dans le sous-rseau IP du LAN,
comme si elle tait une station du rseau interne
Elle voit les autres stations du LAN comme si elle tait connecte
sur le LAN
Elle a les mmes droits daccs aux ressources du LAN quune
station du LAN (serveurs de fichiers, imprimantes, )
Elle utilisera la sortie Internet de lentreprise pour accder
lInternet
193

Le chemin entre la station et le LAN est scuris
En utilisant les fonctions optionnelles de PPP
Authentification
Chiffrement
Mais il faut bien configurer le serveur PPTP

pour que des stations pirates ne puissent pas se
connecter sur le LAN
Serveur PPTP
Serveur NT, Linux,
Serveur daccs PPTP - Routeur
Client PPTP
Windows NT, 95/98 , Linux, Mac,
194
97

2 utilisations
Serveur
PPTP
Station
Client PPTP
193.51.3.2
LAN interne
193.51.3/24
Internet
Internet
Station
Client PPTP
193.51.3.4
Station
Client PPP
193.51.3.2
Serveur
193.51.3.5
Serveur daccs PPP
Client PPTP
Serveur
PPTP
Internet
Internet
Station
Client PPP
193.51.3.4
LAN interne
193.51.3/24
FAI
Serveur
193.51.3.5
195
Rseaux virtuels : VPN : L2TP

L2TP : Layer 2 Tunneling Protocol
Runion de PPTP et L2F (CISCO)
Devrait remplacer PPTP

3 cas de configuration possibles :
Tunnels L2TP : clients L2TP et serveur L2TP (idem
PPTP)
PPP : clients PPP et FAI - Tunnels L2TP : FAI et
serveur L2TP (idem PPTP)
LAN Serveur L2TP Tunnels L2TP Serveur
L2TP - LAN
Scurit
Utilisation possible des fonctions de PPP
Pour protger le tunnel : IPSec
196
98
Rseaux virtuels : VPN : IPSec

IPSec : IP Security Protocol
IETF : Pour mettre un peu dordre dans les diffrentes
mthodes de tunneling et de scurisation
Scurisation des changes au niveau IP
Chaque datagramme est authentifi et/ou chiffr
Inclus dans IPv6 (intgr dans toutes les piles IPv6)

Optionnel dans IPv4
Evolution majeure de IP
Peut-tre mis en uvre sur tout quipement IP
Routeur, serveur, station de travail,
Peut-tre mis en uvre de bout en bout ou sur un

tronon du chemin
197

Enttes ajouts :
AH : Authentication Header
ESP : Encapsulation Security Payload
Datagramme avec AH
Entte IP AH (Entte TCP/UDP Donnes) en clair
AH (Authentication Header)
SPI : Security Parameter Index ? SA (Security Association)
Index dune table qui pointe sur tout ce qui est ncessaire au rcepteur
pour interprter cette entte : algorithmes de crypto utiliss
Numro de squence
Evite le rejeu du datagramme
Signature lectronique du contenu du datagramme (? entte IP)

Checksum chiffr
Garantit intgrit et authentifie lorigine
198
99

Datagramme avec ESP
Entte IP Entte ESP (Entte TCP/UDP Donnes) chiffrs
[Authentication ESP]
Entte ESP (Encapsulation Security Payload)

SPI : Security Parameter Index ? SA (Security Association)
Numro de squence
Authentification ESP
Optionnelle
Signature authentification : checksum chiffr : similaire AH
AH inclut lentte IP pas ESP
Utilis en mode tunnel pour la signature (pas AH)
2 Modes dutilisation
Mode transport
Mode tunnel
199
Rseaux virtuels : VPN : modes IPSec

Mode transport
Lentte IP dorigine nest pas contenue dans
lencapsulation
Entte IP AH Entte TCP Donnes
Entte IP ESP (Entte TCP Donnes) chiffres
Entte IP AH ESP (Entte TCP Donnes)
chiffrs
Mode tunnel
Entte IP (nouveau) AH Entte IP (origine) Entte TCP Donnes
Entte IP (nouveau) - ESP - (Entte IP (origine) Entte TCP - Donnes) chiffres - [Authen ESP]
200
100
Rseaux virtuels : VPN : IPSec tunnel

Le mode tunnel permet les fonctionnalits des
VPN que lon a vues :
Stations distantes ou sous -rseau distant considrs
comme une partie du LAN (avec le mme adressage)
Scurit dans le transport
194.21.2.3
194.21.2.5
Routeur
IPSec
Internet
Internet
Routeur
IPSec
194.21.2/24
194.21.2.4 IPSec
201
Rseaux virtuels : VPN : IPSec-Scurit

Security associations : SA
IPSec permet dutiliser diffrents algorithmes, cls, de
cryptographie
Les 2 extrmits doivent se mettre daccord
Pour chaque connexion IPSec : 1 ou 2 SA

Une SA pour AH
Une SA pour ESP
SA
Algo dauthentification (MD5, )
Algo de chiffrement (DES, )

Cls de chiffrement
Cls dauthentification
Dure de vie des cls
202
101

Gestion des cls
Manuelle
IKE Internet Key Exchange (ancien nom : ISAKMP)
Procdure pour que les 2 extrmits se mettent daccord :
protocoles, algorithmes, cls
Management des cls : fourniture de cls de manire scurise
IPSec
Trs solide, bien conu et intgr dans toutes les piles
IPv6
Devrait beaucoup se rpandre
Distinction Auth / Chiff : OK pour les lgislations
Mais attention : scurit IP (pas utilisateur )
203
Services de FT : plan
LS (transfix), RNIS (numeris), ADSL : cf avant
Interconnexion niveau 2 traditionnelle moyen dbit
Frame Relay
Transrel
Interconnexion niveau 2 haut-dbit
Turbo DSL
Intra-Cit
Inter LAN
SMHD
SMHD - Giga
MultiLAN
Services IP (pour entreprises)
Les Classiques Olane

Global Intranet
Global Extranet
Collecte IP/ADSL
204
102
Services FT : interconnexion
traditionnelle moyen dbit
Frame Relay
Remplacement de X25 : rseau commut commut

avec circuits virtuels
Dbits de 19.2 Kb/s 8 Mb/s
Connexion rseaux FR dentreprise
Rseau international
Transrel
Service point point
Interconnexion de rseaux Ethernet, Token Ring
Interfaces (quipements : ponts)
Ethernet 10 ou 100 Mb/s
Token Ring 4 ou 16 Mb/s
205
Services FT : interco HD : Turbo DSL
Mme zone (gographique)

Agences ou particuliers ? Site central
Liaisons permanentes
Raccordement site central
ATM 30, 60, 90 ou 120 Mb/s
Raccordement extrmits
ADSL jusqu 2 Mb/s 320 Kb/s
206
103
Services FT : interco HD : Intra-Cit

MAN : Voix et donnes
Boucle locale FT
Connexions point point (LS virtuelles) de 2
sites quivalents 2 Mb/s, 10 Mb/s ou 100 Mb/s
Interfaces
G703 : PABX : 2 Mb/s
Ethernet 10 ou 100BaseT : 2 Mb/s, 10 Mb/s, 100 Mb/s
Connexion entreprise
PABX, routeur IP, commutateur Ethernet
207
Services FT : interco HD : Inter LAN

MAN : donnes
Client : PME (petit budget)
Connexions point point (LS virtuelles) ou multipoint de
sites quivalents 2, 4, 20, 40, 60, 100 Mb/s
Interfaces
Ethernet 10 ou 100BaseT ou GigaEthernet
ATM
Diffrents niveaux de qualit de dbit

Dbit minimum garanti (on peut avoir plus si rseau peu charg)
Dbit permanent garanti
Dbit non garanti (?)
Connexion entreprise
Routeur IP, commutateur Ethernet, commutateur ATM
208
104
Services FT : interco HD : SMHD

MAN : n sites
SMHD : Service Multisites Haut-dbit
Protocole SMDH
Boucle FO MAN ddie 155, 622 ou 2.5 Gb/s
Scurisation : chaque site est raccord avec 2
parcours diffrents
Les sites se partagent la bande passante de la

boucle
Liaisons permanentes ou temporaires entre sites
2, n x 2, 34, 45 ou 155 Mb/s
Interfaces
G703, Ethernet 10 et 100 Mb/s
209
Services FT : interco HD : SMHD Giga

Nouveau
MAN 3 sites minimum
Technologie DWDM
Multiplexage optique
Ce nest donc pas le protocole SMHD
Liaisons (jusqu 32 par lien)

622 Mbps ? 2.5 Gigabit/s
Trs hauts dbits
Interfaces daccs
Fast Eth, Giga Eth, Fiber Channel, ..
Bientt 10 Gigabit/s
210
105
Services FT : interco HD : MultiLAN

WAN : 92 villes franaises et aussi international
Raccordements (physiques) : 2, 34 ou 155 Mb/s
Connexions point point (LS virtuelles) de dbits de 256
Kb/s 100 Mb/s
Interfaces
ATM
Ethernet 10 ou 100BaseT

Infrastructure de rseau FT : ATM

Connexion entreprise : PABX, commutateur ATM,
quipement vido, routeur IP, commutateur Ethernet
Applications : voix (PABX), donnes (LAN), vido
211
Services FT : IP : Classiques Oleane

Connexion Entreprise Internet
Types de raccordement
Lien permanent avec possibilit de back-up Numeris
Connexion RTC, Numeris, GSM
ADSL
Equipement de connexion
Routeur IP fourni ou non
Services valeur ajoute
Adresses IP
Hbergement, gestion DNS, serveur Web
Boites aux lettres (anti-virus possible)
Proxy Web
.
212
106
Services FT : IP : Global Intranet

Crer un rseau priv virtuel pour lentreprise
Sites : moyen dbit
Postes utilisateurs fixes ou mobiles : bas dbit
Techniques
CV ATM
Filtrage adresses IP
Tunelling IP
Authentification des utilisateurs
Equipements de connexion
Routeur fourni ou non
Poste utilisateur
Accs
Permanent 64 Kb/s ? 2 Mb/s
Commut : RTC, Numeris, GSM
ADSL
213
Services FT : IP : Global Extranet

Service dinformation de lentreprise (Extranet)
accessible par RTC ou Internet
Clients, Partenaires, Fournisseurs
Facture : tlphone particulier

Numros dappel rservs
Technique : tunnels IP
Micro
particulier
Micro
particulier
Micro
particulier
RT
C
Numris
RTC
Serveur
daccs FT
Rseau
Rseau
IP
IPde
deFT
FT
Serveur
daccs FT
Routeur
FT
Routeur
Entreprise
Interface du
service FT
Internet
Internet
Serveurs
214
107
Services FT : IP : collecte IP/ADSL

Pour les fournisseurs daccs Internet (FAI)
Pour collecter le trafic des abonns ADSL
Routeur FT chez le FAI
Interfaces Ethernet 10, 100 ou 1000 Mb/s
Dbits : 10 Mb/s? 4 Gb/s
Les routeurs FT sont transparents : tunneling

Micro
particulier
Micro
particulier
Micro
particulier
Micro
particulier
AD
SL
Rgion X Routeur
FT
Rseau
Rseau
IP
IPde
deFT
FT
Concentrateur
ADSL
ADSL
AD
SL
ADSL
Concentrateur
ADSL
Routeur
FT
Routeur
FT
Routeur
FAI
Interface du
service FT
Internet
Internet
Rgion Y
215
Services assurer : plan

Services obligatoires assurer (couche 7)
Uniquement aspect architecture choix - stratgie
Noms (machines)
Principes
Plan de nommage
Messagerie
Annuaires
Services Web
216
108
Services : noms
Buts techniques
Traduction : nom de machine ? adresse IP
http://www.inpg.fr ? datagramme IP :
Ouverture connexion TCP sur port 80
Adresse IP destinataire : ?
Comment : www.inpg.fr ? 195.83.76.58 ?
Ping www.inpg.fr
Datagramme ICMP - @ destination 195.83.76.58
Dans lautre sens aussi : @ IP ? nom de machine

Configurations, contrles daccs, fichiers de trace, explicits
avec des noms
Mais aussi messagerie lectronique

jla@urec.cnrs.fr ? serveur messagerie SMTP mail.urec.cnrs.fr
217
Services : noms
Pour que cela fonctionne dans lInternet
Noms uniques
Systme trs solide : des serveurs DNS direct et reverse
Dynamique : ajout de noms dcentralis dans les serveurs DNS
Unicit
Nommage hirarchique arborescent avec des domaines
.com, .edu, .org, , .fr, .de, .uk,
Plan de nommage dans les organismes-entreprises
Solidit Dynamique
N serveurs de noms administrs localement
Un serveur primaire par zone
Plusieurs serveurs secondaires
Copies rgulires des informations primaire ? secondaires
Caches
Postes de travail
Serveurs (primaires secondaires)
Serveurs DNS : machines ddies, aux bons emplacements

218
109
Services : plan de nommage

Choix du nom de domaine (pour une entreprise)
Pas technique : image de lentreprise
Serveurs Web,
Adresses lectroniques
Un nom a maintenant une valeur commerciale
Sous .com
Quelques $
Pas de vrification
Sous .fr
Plusieurs dizaines (centaines) deuros
Vrifications
AFNIC : association ? systme sain
Drives
Rservation de noms tels que cnrs.com pour revente
Certains pays (en voie de dveloppement) :
Socit but uniquement lucratif qui gre le top level domain du pays
219
Services : plan de nommage machines

Choix de sous-domaines : technique
Un sous -domaine
? un serveur DNS direct
? un administrateur
Un serveur DNS reverse

? un sous -rseau IP
? un administrateur
On regroupe souvent serveur direct et reverse

Quand ajout de machine : MAJ des 2 ncessaire
En cas de problmes : facilit de localisation

Nom ? O ?
Possibilit dalias sur les noms

Trs souple
220
110

Exemple : UREC (Paris, Grenoble, Lyon, Marseille)
Domaine urec.cnrs .fr
Sous-domaines grenoble.urec.cnrs.fr et paris.urec.cnrs.fr
Un serveur DNS Paris (un administrateur)

Primaire : urec.cnrs.fr, paris.urec.cnrs.fr, reverse rseau IP
Paris
Secondaire : grenoble.urec.cnrs.fr, reverse rseau IP Grenoble
Un serveur DNS Grenoble (un autre administrateur)

Primaire pour grenoble.urec.cnrs.fr, reverse rseau IP grenoble
Secondaire : urec.cnrs.fr, paris.urec.cnrs.fr, reverse rseau IP
Paris
Lyon, Marseille : nommage machines laboratoires locaux

Alias dans DNS urec.cnrs.fr,
www.urec.cnrs.fr ? www.paris.urec.cnrs.fr : visibilit
Idem autres services : mail,
Autres services dans domaine services.cnrs.fr ? urec.cnrs.fr
221

Exemple : IMAG (fdration de 8 laboratoires)
Domaine imag.fr - pas de sous -domaine
Un serveur DNS primaire imag.fr
N serveurs DNS secondaires imag.fr
Pour lextrieur (authoritative) : 3
En interne, au moins un par laboratoire
Equipe dadministrateurs soude

Choix des noms de toutes les machines centralis
Bases de donnes mise jour par chaque administrateur de labo
Script de mise jour automatique du DNS primaire
Serveurs Web de labo : nom du labo le nom : image

www.imag.fr, www-id.imag.fr, www-clips.imag.fr,
Choix pas de ss-domaine ? visibilit de la fdration

Une autre possibilit aurait t : un sous domaine par laboratoire
222
111
Services : plan nommage machines

Choix
Divers : image, organisation entreprise, organisation des
administrateurs, histoire,
Quils soient clairs : document de rfrence :
Comment est-ce organis ?
Qui fait quoi ?
Visibilit / extrieur
Pour les noms des serveurs
Pour le nom des stations clientes : intrieur : choix technique
Adressage priv - NAT

2 nommages : 2 DNS : interne externe
Les noms de stations internes ne sont plus visibles de lextrieur
Mais il faut nanmoins que les stations internes communiquent
entre elles : document de rfrence toujours utile
Les FAI offrent des services de DNS

Pb : quand rachat entreprise ? changement de nom ?
223
Services : messagerie
Messagerie Internet : protocole SMTP
Messagerie interne dans lentreprise peut tre
diffrence : passerelle ncessaire
Dans ce chapitre : messagerie interne SMTP, logiciel
Sendmail ou Postfix
Plan
Choix de la forme des adresses

Rpartition des serveurs
Mthodes daccs aux boites aux lettres
Format des messages
224
112
Services : messagerie : adresses

Adresses de messagerie : quelle stratgie ?
De prfrence forme canonique : Prnom.Nom@
Exemple : Jean-Luc.Archimbaud@urec.cnrs.fr
Avantages
Adresse unique (sauf homonymes)
Adresse parlante : peut viter un annuaire
Faire appara tre sous -domaines ou non ?

Pierre.Durant@etudes.edf.fr ou Pierre.Durant@edf.fr ?
Prennit de ladresse et forme simple / centralisation
Utiliser des adresses gnriques

webmaster@.., postmaster@, info@,
Peut-tre pour des fonctions : direction@, secrtariat@,
Avantage : prennit quand la personne change de fonction
225
Services : messagerie : adresses

Transformation dadresses - redirection
Diffrents mcanismes peuvent modifier les champs To et
From sur les messages arrivants ou partants
Serveurs-relais de messagerie : messages arrivants
To : Francis.Duval@edf.fr ? Francis.Duval@der.edf.fr
Serveurs-relais de messagerie : messages partants

From : jla ? From : Jean-Luc.Archimbaud@urec.cnrs.fr
Comptes utilisateurs : .forward (messages arrivants)

To : jla@imag.fr ? To : Jean-Luc.Archimbaud@urec.cnrs.fr
Ne pas en abuser
Doit simplement rsoudre les cas particuliers
Diffrencier adresse professionnelle et personnelle ?

(au travail)
Probl me : correspondance prive : dbat non tranch
Cacher les adresses pour limiter les SPAM ?

226
113
Services : messagerie : serveurs

2 services assurer :
Relais de messages et hbergement de boites aux lettres
Entrant : un seul serveur relais avec les boites aux lettres

Accessible depuis lInternet
Avec machine back-up quand indisponible
DNS : plusieurs MX records
Probl me de scurit : attaque des boites aux lettres
Entrant : un serveur relais sans boite aux lettres

Accessible depuis lInternet
Redirige vers 1 ou plusieurs serveurs internes suivant ladresse
du destinataire :
Si adresses avec sous-domaine ? le serveur interne du sous-domaine
Sinon, base de donnes : une adresse ? son serveur interne
Boites aux lettres sur serveurs internes

Serveurs internes non accessibles depuis lInternet
Sortant : prfrable de passer par un seul serveur relais

Canonisation des adresses, surveillance, traces,
227
Services : messagerie : serveurs relais

Service surveiller de prs
Trs souvent attaqu
Trace des abus
Interdire le relayage : @ externe ? @ externes

Probl me SPAM : obligatoire
Installer un anti-virus
Evite MAJ sur chaque poste interne
Lutter contre le SPAM

Outils avec mots cls et/ou black lists (pas de solution miracle)
La solution est la signature lectronique
Lutte anti-virus - SPAM : accord du personnel ncessaire

Exemple IMAG
Un relais de messagerie externe (reoit To : X@imag.fr )

N serveurs de messagerie internes avec boites : 1 / labo
Table : @ dune personne ? serveur de messagerie interne
Gestion idem DNS
228
114
Services : messagerie : accs aux boites

Connexion interactive sur le serveur
Qui contient les boites aux lettres : commande Mail Unix
Pb : il faut grer autant de comptes interactifs que de boites
POP - Post Office Protocol

Accs depuis une station personnelle avec outil (navigateur, )
Les boites aux lettres sont transfres sur la station personnelle
IMAP - Internet Message Access Protocol

Accs depuis une station personnelle (navigateur, )
Les boites aux lettres restent sur le serveur
IMAP/POP ?
De plus en plus de IMAP
Dpend de lutilisation :
Veut-on garder sur le serveur les messages (place, sauvegarde, ) ?
Les utilisateurs sont ils connects lorsquils utilisent la messagerie ?
Versions scuris es : POPS IMAPS

Authentification ou non des clients
229
Service : messagerie : formats messages

MIME - Multipurpose Internet Mail Extensions
Standard pour format de messages contenant tous types de
donnes : texte, video, voix,
S/MIME Security
Version scurise de MIME
Certificats lectroniques
Signature lectronique
Authentification
Intgrit
Chiffrement
Concurrent : PGP
Principal pb messagerie : pas authentification expditeur

SPAM, Virus, pas de valeur juridique,
Messagerie : service externalisable

230
115
Annuaires : un standard
LDAP - Lightweight Directory Access Protocol
Communications client-serveur (scurises si voulu)
Modle de donnes
Arborescence hirarchique
Classes dobjets
Nommage
Modle fonctionnel
Recherche, comparaison, ajout,
API
Rplication

Un annuaire LDAP
Peut utiliser un logiciel de base de donnes : oracle
LDAP : Interface standard daccs
231
Annuaires LDAP : utilisations

Classique de personnes : adresses lectroniques
Accs avec navigateur compltion dadresse
Gestionnaire de liste de diffusion,
De certificats lectroniques
De droits daccs
A des systmes, des applications,
Remplacement de NIS, NIS+
De ressources
Grilles de calcul
Equipements (rseau)
Besoin davoir une rflexion sur larchitecture

Un seul annuaire ou n / utilisation ou groupe
Sparer LDAPs publics et privs (internes)
Scurisation de lannuaire, pb de SPAM (limitation du nb
daccs),
232
116
Services Web
Accs aux serveurs Web externes (Internet)
Autorisation ou non ?
Dcision de direction, pas dadministrateur rseau
Proxy ou non ?
Attention aux problmes de scurit
Virus dans documents rcuprs
Excution de code localement : javascript,
? Proxy utile
Serveurs Web de lentreprise

Diffrencier administration technique / contenu
Dfinir les droits daccs et une mthode de mise jour
Pour Intranet
Informations internes
Serveurs dans un sous-rseau non accessible depuis lextrieur
Pour Extranet Internet

Information publiques
Serveurs dans un sous-rseau public
233
Fonctions annexes quipements actifs

PLAN
Administration
Tunnels
IPSec
NAT
Filtrage
Multicast
Gestion files dattente
234
117
Fonctions annexes quipements actifs

Administration
Agent SNMP
Traces ? syslog
Compteurs : charge, nb de datagrammes, de bytes,
Tunneling
Cf chapitre sur les rseaux virtuels : VPN
Dans les routeurs, stations IP
Pour scurit mais aussi IPv6 dans IPv4, multicast
dans unicast,
IPSec
Cf chapitre sur les rseaux virtuels
Dans les routeurs, stations IP
235
Fcts annexes qts actifs : NAT

NAT Network Address Translation (traduction)
Fonction dans routeur daccs (entre site et Internet)
Traduit les adresses IP
Modifie lentte des datagrammes IP changs avec lextrieur
Dans les sens sortant et entrant
Une station du site

Possde une adresse interne 10.1.1.2
Elle est configure avec cette adresse
Les machines internes communiquent avec elle avec cette adresse
Connue de lextrieur avec ladresse 193.96.49.64 (@ externe)

Les machines de lInternet communiquent avec elle avec cette adresse
Le systme est transparent pour les stations

Le routeur entre le site et lInternet fait la traduction
236
118

Site
Extrieur
@ orig 10.1.1.2
@ dest 129.88.35.3
@ orig 193.96.49.64
@ dest 129.88.35.3
@ orig 129.88.35.3
@ dest 10.1.1.2
Station
10.1.1.2
@ orig 129.88.35.3
@ dest 193.96.49.64
1.2
.1. .4
10 .1.1
1.4
ig 10
.1. .2
or st
10 .1.1
@ de
ig 10
or st
de
@
Routeur
NAT
LAN
Station
129.88.35.3
Internet
Internet
Station
10.1.1.4
Table de traduction dans le routeur NAT

@ interne 10.1.1.2 ?? @ externe 193.96.49.64
237

Traduction statique
10.1.1.2 ?? 193.96.49.64
10.1.1.3 ?? 193.96.49.66
? Besoin autant dadresses IP officielles que de stations
Traduction dynamique
Pool dadresses officielles (externes) pouvant tre attribus
Ex : 193.96.49.0/24
Attribution dune adresse externe lors du premier datagramme

reu par le routeur
Adresse libre au bout dun temps dinactivit
Ex : pas de datagramme avec cette adresse reu depuis 3 heures
? On peut avoir plus de stations que dadresses IP officielles
On mixte : serveurs : statique - clients : dynamique

238
119
NAT : PAT Port Address Translation

Site
Station
10.1.1.2
@ orig 10.1.1.2:1504
@ dest 129.88.35.3:80
@ orig 193.96.49.64:1504
@ dest 129.88.35.3:80
@ orig 129.88.35.3:80
@ dest 10.1.1.2:1504
LAN
Station
10.1.1.4
Extrieur
@ orig 129.88.35.3:80
@ dest 193.96.49.64:1504
Routeur
NAT
@ orig 10.1.1.4:1580
@ dest 129.88.35.3:80
Station
Internet
Internet
129.88.35.3
@ orig 193.96.49.64:1505
@ dest 129.88.35.3:80
@ orig 129.88.35.3:80
@ dest 10.1.1.4:1580
@ orig 129.88.35.3:80
@ dest 193.96.49.64:1505
Table de traduction dans le routeur NAT (PAT)

@ interne 10.1.1.2:1504 ?? @ externe 193.96.49.64:1504
@ interne 10.1.1.4:1580 ?? @ externe 193.96.49.64:1505
239

Contenu de datagrammes (donnes) modifier
Pour certains services :ICMP, FTP, H323,
Besoin de 2 serveurs DNS

Un interne : non accessible depuis lextrieur
Contient toutes les adresses internes
Un externe : dans la DMZ

Contient les adresses externes
Les noms des stations clientes sont alatoires
Serveurs accds depuis lInternet

Adresses statiques
Ladressage interne peut stendre sur n sites

Avec un VPN
Un routeur NAT pour communiquer avec lextrieur
240
120
NAT : pourquoi ?
On manque dadresses officielles IP (4 bytes)
On ne peut plus numroter toutes les stations IP de la plante de
manire unique
En interne, sur les sites, numrote les stations avec les @ prives
10/8, 172.16/12, 192.168/16
Plusieurs sites peuvent utiliser les mmes adresses
Exemple : site avec une @ rseau officielle 193.96.49.0/24

5000 machines internes
Numrote ses stations avec une adresse rseau prive : 10/8
Peut numroter des millions de machines
Quelques adresses 193.96.49.0/24 rserves aux serveurs

Accds depuis lInternet : DNS externe 193.96.49.1, Web externe
193.96.49.2, Mail 193.96.49.3 (avec PAT ce peut tre le mme numro)
Pool dadresses 193.96.49.[4,254] disponibles (NAT)

Attribues dynamiquement aux stations locales quand elles
communiquent avec lInternet
250 machines internes peuvent communiquer avec lInternet
simultanment : beaucoup plus si on utilise PAT
241
NAT : plus et moins

Avantages
On dispose dun espace dadresses norme en interne
Pas de limitation dans larchitecture des sous-rseaux
Pas de problme quand nouvelles stations numroter
Les stations clientes ont des @ IP dynamiques

Plus difficiles attaquer : meilleure scurit
Dsavantages
Scurit : les stations clientes sont anonymes
Difficile de savoir quelle station interne a attaqu un site ext erne
Contrle daccs / @ IP effectu sur certains serveurs

Impossible sauf si traduction statique
Rompt le principe IP de connectivit de bout en bout

Peut avoir des effets de bord sur certaines applications
Retarde larrive de IPv6

242
121
NAT : conclusion
De trs nombreux sites lutilisent
Peu universitaires car premiers venus sur Internet, ils
disposent de beaucoup dadresses officielles
Systme trs bien huil maintenant
NAT / DHCP
DHCP : autre manire dconomiser des adresses
Mais beaucoup moins dconomie que NAT
DHCP : une station a besoin dune adresse officielle ds quelle
communique avec lextrieur mais aussi avec lintrieur
Pas de possibilit de PAT
On peut faire les 2

DHCP : pour ses fonctions de configuration dynamique
NAT : pour ses fonctions de traduction dadresse
243
Fcts annexes qts actifs : filtrage

Consiste laisser passer ou non certains flux
selon les informations trouves dans
Les enttes des trames Ethernet
Les enttes des datagrammes IP
Les enttes des segments TCP, UDP
Ponts, Commutateurs
Filtrage de niveau 2
Sur le contenu des enttes des trames Ethernet
Routeurs
Filtrage de niveau 3
Sur les enttes IP, TCP, UDP
244
122
Filtrage : rappel trame Ethernet IP

Entte Ethernet
@ Ethernet destination
@ Ethernet origine
Champ type : protocole : 0800 IP, 0806 ARP,
Entte IP
@ IP origine
@ IP destination
Protocole : 1 ICMP, 6 TCP, 17 UDP,
Entte TCP ou UDP

Numro de port source (application station source)
Numro de port destination (application station
destination)
245
Filtrage : niveau 2
Ponts commutateurs / port
Sur les enttes Ethernet
Exemple : filtrer sur un port

Certains protocoles : Appletalk, IPX,
Car il ny a pas de stations qui utilisent ces procotoles sur ce port
Diminue la charge du ct du port
Filtre les trames multicast ou broadcast de ces protocoles
Evite les erreurs

Des utilisateurs sans comptence qui pourraient lancer ces
protocoles sur leur station et perturber les autres stations
Certaines adresses Ethernet origine

Stations trop bavardes, polluantes
Certaines adresses Ethernet destination multicast,

broadcast
But principal : diminuer la charge

246
123
Filtrage : niveau 3
Dans les routeurs
Sur les enttes IP, TCP, UDP
But principal
Scurit (protection de stations, de services, de serveur)
Limitation des flux applicatifs (pas de chat, P2P, )
Deux politiques :
Par dfaut : tout est autoris (P1)
On interdit ce que lon ne veut pas
Par dfaut : tout est interdit (P2)

On autorise ce que lon veut
Deux types de filtrages

Sur les adresses IP (de stations ou de (ss-)-rseaux)
Sur les numros de ports (applications)
247
Filtrage : niveau 3
Filtrage sur @ IP de station ou de (ss-)rseau
Sens entrant (Internet ? Site) / @ IP destination
P1 : interdit laccs des stations protger
P2 : autorise uniquement laccs certains serveurs (publics)
Sens entrant / @ IP origine

P1 : interdit lentre de datagrammes de stations dangereuses
(black-list)
P2 : autorise laccs que depuis certaines stations
Sens sortant (Site ? Internet) / @ IP origine

P1 : interdit certaines stations de sortir (sur lInternet, )
P2 : autorise uniquement certaines stations sortir
Sens sortant / @ IP destination

P1 : interdit laccs des serveurs contenu peu recommandable
P2 : nautorise laccs que vers des serveurs rpertoris
248
124
Filtrage : numros de port

Applications IP : mode client serveur
Serveur : wellknown ports
HTTP : 80, Telnet : 23, SMTP : 25,
Client
1024, 1025, 1026, pour FTP, Telnet,
1023, 1022, 1021 pour rexec, rlogin, rsh, rcp,
Exemples de filtre sens entrant (Internet ? Site)

P2 : Laisse passer uniquement les datagrammes avec
port destination = 80 vers @IP destination 194.33.2.5
Autorise uniquement laccs HTTP sur le serveur Web 194.33.2.5
Si un autre utilisateur interne installe un serveur Web, il ne sera pas
accessible depuis lextrieur
P1 : Filtre tous les datagrammes avec port destination = 23

Interdit laccs en telnet sur toutes les machines internes depuis
lextrieur
249
Filtrage : numros de port

Exemple de filtre sens sortant (Site ? Internet)
P2 : laisse passer tous les datagrammes avec numros
de ports source > 980
?Autorise toutes les stations tre cliente sur des
serveurs Internet
P2 : laisse passer les datagrammes avec port dest=25
uniquement vers station 129.88.32.2
? Oblige toutes les stations interne passer par le relais
de messagerie 129.88.32.2 pour envoyer du courrier
250
125
Filtrage : exemple de politique

Site 192.56.62/24
Extrieur
192.56.62.X
Clientes uniquement
192.56.62.90
A isoler
LAN
Internet
Internet
Routeur
192.56.62.80
Filtres
Serveur Telnet
192.56.62.70
Serveur DNS
SMTP, Web
251
Filtrage : ex (simplifi) de politique 2

Les filtres sont excuts en squence (ACL CISCO)
Pour chaque datagramme
Si condition remplie : action - exit
Sinon : continue les filtres
Si @ IP dest = 192.56.62.90 : filtre

Isole 192.56.62.90
Si @ IP dest = 192.56.62.80 et port dest = 23 : laisse

passer
Ouvre accs au serveur telnet : 192.56.62.80
Si @ IP dest = 192.56.62.70 et port dest = (53 ou 25 ou 80)

: laisse passer
Ouvre accs au serveur DNS, SMTP, Web 192.56.62.70
Si port dest > 980 : laisse passer

Laisse passer le trafic vers stations clientes internes
Reste : filtre
Interdit tous les autres trafics
252
126
Filtrage : bilan
Les filtres peuvent tre installs lintrieur du
site
Sur les routeurs entre services, quipes, par
exemple
Entre sous -rseaux ou VLAN
Avec lInternet : politique 2 recommande

On interdit tout sauf
Si P1 : nouvelle vulnrabilit dcouverte ? MAJ des
filtres
Si fonction dans une boit ddie avec interface

graphique ? Garde-barrire
Fonction appel filtrage statique dans les gardesbarrires
253
Filtrage : bilan
Filtrage dans les routeurs
Beaucoup utilis en entre de campus, laboratoires
En entreprise plutt entre sous -rseaux internes
En entre (site-Internet) : garde-barrire
Limitations techniques
Bas sur des numros de port : les applications
peuvent utiliser dautres numros que les wellknown
port (pb cheval de Troie)
Rebonds applicatifs indtectables
Tunnels applicatifs non dtectable (HTTP par
exemple)
? filtrage statefull dans garde -barri re ncessaire
254
127
Fcts annexes qts actifs : multicast IP

Applications habituelles : unicast
Point point
1 metteur ? 1 rcepteur
Le rcepteur devenant ensuite metteur
Adresses Ethernet et IP unicast
Applications multicast
1 metteur ? n rcepteurs (diffusion cible)
Radio (plutt broadcast)
Tlvision
Non crypte : broadcast
Crypte (Canal + ) : multicast
Tl-sminaire, tl-runion, vido-confrence,

Dans ce cas un rcepteur peut aussi devenir metteur
255
Multicast IP
Rcepteur 1
Rcepteur 2
Rcepteur 3
Rcepteur 4
Rcepteur 5
Emetteur
Media idal de transport : air

Ondes radio avec metteurs terrestres, satellites,
Pas de problme sauf partage des frquences
256
128
Multicast IP
Rseau filaire IP avec technique classique
On transporte n fois les mmes donnes
On utilise beaucoup de bande passante
Rcepteur 1
Emetteur
Internet
Internet
Rcepteur 2
Rcepteur 3
Rcepteur 4
Rcepteur 5
Pour ne transporter quune fois les donnes :

Adresses, protocoles, routages, multicast
257
Multicast IP
Participants une appli multicast : groupe multicast
Identification du groupe multicast : @ IP
Une adresse IP de classe D : 224.0.0.0 ? 239.255.255.255
Emetteur ? groupe : @ IP destination = @ IP multicast
Choix dune adresse multicast : statique

Choix dune adresse multicast : dynamique
Annuaire de groupes multicast en cours (ex : application SDR)
Responsable du groupe ? annuaire
Je veux ouvrir une session cours ARR pour tel crneau horaire
Fournis moi une adresse multicast
Annuaire
Donne une adresse multicast au responsable : 224.2.0.1
Publie : cours ARR a telle @ multicast
Participants au groupe
Consultent annuaire et rcupre ladresse multicast du groupe
258
129
Multicast IP
Protocoles : UDP, RTP, RTCP (cf H323),
Lmetteur mettra ses donnes
Avec @ IP destination multicast : 224.2.0.1
@ IP origine : son @ IP (unicast)
Les rcepteurs se mettront lcoute

Pour recevoir les datagrammes avec cette @ dest
Emetteur-rcepteurs sur mme rseau Ethernet

Utilisation du multicast Ethernet
Premier octet de l@ impair
IEEE a attribu 01.00.5E.X.Y.Z pour applications multicast IP
@ Destination Ethernet : 01.00.5E.X.Y.Z

IP : 224.2.0.1 ? Ethernet 01.00.5E.02.00.01
259
Multicast IP : routeurs
Pb : quand il y a des routeurs entre metteur et rcepteurs
Rcepteur
R2
hub
R8
Rcepteur
hub
R7
R3
R1
R5
Emetteur
R4
Rcepteur
R6
hub
Rcepteur
Rcepteur
Rcepteur
hub
Les routeurs : @ dest 224.2.0.1 : que faire ?

R3 doit les renvoyer vers R4 et R7 mais pas vers R2
? tables de routages et protocoles de routage spcifiques

260
130
Multicast IP : protocoles de routage

Protocole entre stations et premier routeur
Principe : stations : je veux mabonner
Je veux recevoir le flux multicast 224.2.0.1
R4, R6, R8 vont recevoir ce message
R2 ne va pas le recevoir
Exemple : IGMP
Internet Group Management Protocol
Le routeur met un datagramme toutes les minutes
Qui veut sabonner des groupes multicast ?
Les stations intresses rpondent

Le routeur le redemande rgulirement
Pour savoir si de nouvelles stations sont intresses
Pour savoir si les anciennes abonnes sont toujours intresses
261
Multicast IP: protocoles de routage

Protocole entre routeurs
Exemple PIM Protocol Independant Multicast
But : arriver un arbre de diffusion : 2 principes
Dense mode
Les routeurs envoient tous les routeurs tous les flux multicast
Au dpart. Exemple : R3 vers R4, R7, R2
Les routeurs non intresss demandent darrter lmission

R2 indique R3 : il y a personne chez moi dintress par 224.2.0.1
R3 arrtera dmettre vers R2 ce flux : pruning
Sparse mode
Le routeur metteur senregistre auprs du RP
RP : Rendez vous Point
Je vais diffuser vers 224.2.0.1
Aucun routeur nmet encore ce stade
Quand station intresse : senregistre auprs du RP

Celui-ci avertit les routeurs concerns dmettre
262
131
Multicast IP
Quand partie du rseau non multicast : tunnels
Ex : uniquement les routeurs de sites R1, R4, R6 et R8
supporte le multicast (au cur rseau doprateur)
Rcepteur
R2
hub
R8
Rcepteur
hub
R7
R3
R1
R5
Emetteur
R6
R4
Rcepteur
hub
Rcepteur
Rcepteur
Rcepteur
hub
263
Multicast IP
Rseaux (routeurs) : complexe
Travail doprateur : trs important
En France uniquement Renater offre rellement ce
service
On peut faire des tunnels
Aujourdhui
Beaucoup dexprimentations autour du multicast

Rseau MBONE (oprationnel)
Tlvision sur Internet : ide abandonne
Radio sur Internet : pas multicast
Vidoconf rence : 3 solutions
Multicast IP
H323
RNIS
264
132
Fcts annexes qts actifs :

gestion des files dattente
Dans les routeurs : files dattente
En entre : gnralement gres basiquement
En sortie, pour chaque interface, choix :
Taille de la file dattente
Important car quand elle est pleine le routeur jette les datagrammes
La classification
Permet de faire passer en priorit certains datagrammes (voix / FTP par
exemple)
Gestion des files dattente : fondamental dans un rseau

en mode non connect (IP)
Diffrentes techniques implmentes
FIFO
WFQ
PQ
CQ
265
Gestion des files dattente : FIFO

FIFO First In First Out
Mcanisme simple :
Une file dattente / interface de sortie
Emission par ordre darrive
Plus : simple donc logiciels performants

Pas de problme quand rseau peu charg et files
dattente de taille suffisante
Pas de perte de datagramme
Temps de traitement (latence) court
Dans le cas contraire

Temps de traitement peut-tre trop long pour certaines sessions
TCP ou autre (par exemple sil y a un gros transfert FTP en
cours, il va bloquer le flux H323 dune communication voix)
Perte de datagrammes (file dattente pleine)
Latence trop grande
TCP ? retransmission, slow start, : service trs dgrad
266
133
Gestion des files dattente : PQ

PQ : Priority Queuing
Plusieurs files dattente / interface de sortie
Une file par priorit
La file la plus prioritaire est envoye avant les autres
Le routeur peut dterminer la priorit selon
Le protocole niveau 3 : IP/IPX

Le protocole niveau 4 : TCP/UDP
Les applications : Telnet/FTP/H323/
Pb : certains types de trafic (priorit trop basse)

peuvent ne jamais tre mis
Coupures de session, : catastrophe
267
Gestion des files dattente : CBQ

CBQ : Class Based Queuing
Ou CQ - Custom Queuing
Amlioration du PQ
Exemple : 3 files dattente / interface de sortie

Haute, moyenne et basse priorit
A chaque rotation le routeur envoie 10
datagrammes de la file haute, 6 de ma moyenne, 3 de
la basse.
Evite que la basse priorit ne soit jamais mise

Peut tre une mthode pour partager une bande
passante (entre classes de services)
Pb : ncessite du CPU pour du trs haut dbit
268
134
Gestion des files dattente

WFQ : Weighted Fair Queuing
Modification du CBQ en prenant en compte le volume
de donnes (nb de bytes) dans la rpartition
Evite que les flux avec des gros datagrammes
dcrasent ceux avec des petits datagrammes
Exemple defficacit de ces mcanismes

Exprience CISCO sur une liaison surcharge
Flux Telnet, FTP, Voix combins sur un routeur
Sans ces mcanismes : occupation bande passante 57 %
Avec ces mcanismes : occupation bande passante 98 %
Pb : rglage de ces mcanismes

Le constructeur fournit des exemples
Mais a dpend de lenvironnement : flux,
269
Fcts annexes qts actifs : bilan

Les routeurs peuvent tre trs simples configurer et
administrer
Entre 2 Ethernet, avec uniquement la fonction de routage pour
connecter un rseau de classe C avec lextrieur
Une dizaine de lignes de configuration
Mais aussi trs complexes

Si on rajoute : comptabilit, tunnels, IPSec, routage dynamique,
filtrage, NAT, multicast, files dattente,
Plusieurs centaines, voire milliers de lignes de configuration
Demande des experts : chaque ligne de configuration est
importante
Choix lors de lachat dun nouveau matriel

Tendance prendre toujours le mme constructeur
Exprience, habitude des ingnieurs
Attention au monopole
Des Clones dOS de routeurs connus existent
270
135
Qualit de service QoS (IP)

Internet (IP) de base : best effort
Le rseau peut avoir une mauvaise qualit (pertes, ) voire
devenir inutilisable
La QoS repose sur quelques paramtres techniques

Dbit (bande passante)
Pertes
Latence (dlai de transmission)
Variation de la latence : gigue ou jitter
Mais impossibles garantir dans lInternet entre 2 utilisateurs
QoS pour lutilisateur : le rseau doit tre transparent

QoS o ?
Entre deux sites

Entre deux utilisateurs
Pour un type dapplication ?
2 standards (principes) pour Internet : RSVP et DiffServ

271
Qualit de service (IP) : RSVP

RSVP : Resource Reservation Protocol
Protocole en // de TCP, UDP
Comme ICMP et les protocoles de routage
Principes
La station (rceptrice) demande une QoS au rseau (bande
passante, )
Tous les routeurs le long du chemin
Prennent en compte cette demande et rservent les ressources
ncessaires : CPU, mmoire, (ils peuvent refuser)
Tiennent jour une table avec toutes les rservations effectues
Problme : (trop) complexe

Adapt au mode connect, pas IP
Que se passe-t-il quand le routage est dissymtrique ou change ?
Flux multicast ?
272
136
Qualit de service (IP) : Diffserv

Diffserv : Differentiated Services
Les datagrammes sont marqus / contenu
Champ TOS dans IPv4, Traffic Class dans IPv6
Par la station / routeur d entre
Chaque routeur traite diffremment les

datagrammes
Mcanismes dans routeur : gestion files dattente
adapte au champ TOS ou Traffic Class
Simple mais peu prcis

Peut tre facilement implment
L ou cela peut tre utile (sur une partie du chemin)
Liaisons moyen, bas dbits
Pour certaines applications
273
Qualit de service (IP)

Quand bande passante profusion : QoS inutile
Le cas gnralement des LAN
La bande passante disponible sur FO devient norme
Problme
Besoin de QoS quand la bande passante est limite car chre
cest dire dans les WAN
Or cest le plus difficile car prsence dun oprateur et souvent
mme de plusieurs oprateurs
Comment vrifier que le client respecte le contrat ?

Non trait dans ce cours : policy
On ne pourra pas implmenter un mcanisme de qualit

de service global dans tout lInternet
Les oprateurs utilisent plutt des mcanismes lgers
Sur certaines portions, pour certains clients/applications
Entreprises : choisissent des quipements qui supportent

DiffServ, au cas o
274
137
Administration de rseau : plan

Que faut il administrer ?
Les hommes
Administrateurs et utilisateurs
Les standards
SNMP
La configuration des quipements

La surveillance
Dtection des anomalies
Le dpannage
Les stations dadministration
La scurit
La mtrologie
Qui consomme quoi ? ? Comptabilit
Performances ? Evolution (anticiper)
Remarques
275
Administration de rseau : quoi ?

Que faut il administrer ?
Tout ce que lon a vu, en particulier :
Le cblage
Disposer des plans A JOUR
Garder les cahiers de recette
Disposer de valises de tests pour les grands rseaux
Elments dinterconnexion
Hubs , ponts, commutateurs, routeurs
Configuration, surveillance, mtrologie
Services (couche 7)
DNS
Configurer, mettre jour
Relais et serveurs de messagerie

Configurer, mettre jour, surveiller (spool), mtrologie
Scurit
276
138
Administration de rseau : les hommes

Constituer une quipe dadministrateurs
Qui fait quoi ? Sur quoi ?
Oprateurs Techniciens Ingnieurs Gourous
Faut il sparer trs strictement les niveaux ?
Difficile car volution des rseaux trs rapide
Selon les stades dinstallation : besoins diffrents de comptences
Exemple entreprise : 3 quipes

Infrastructure : cblage
Ingnierie : configuration quipements dinterco, services, routage
Supervision : surveillance, mtrologie, scurit
Exemple oprateur Internet

NOC : Network Operation Center : fait marcher
Configuration, surveillance,
Procdures en cas dincidents : tickets dincidents, base de donnes,
NIC : Network Information Center : interface avec les utilisateurs

Nommage, informations aux utilisateurs, hot line,
277
Administration de rseau : les hommes

O sarrte le service dadministration rseau ?
Administration des serveurs Web ?
Installation des clients de messagerie sur les postes utilisateurs ?
.
Astreinte ?
Selon les besoins de lentreprise : cela cote cher
Peut tre externalise
Assistance (hot line) pour les utilisateurs
Ca ne marche pas !
Obligatoire
Centrale puis dispatching
Locale puis appel lassistance centrale si besoin
Difficile pour un utilisateur de sparer rseau / application
Il faut une trs bonne organisation humaine

Ne pas hsiter dcentraliser (noms, adresses, )
Comptences : formation continue obligatoire
278
139
Administration de rseau : standards

ICMP
Echo, TTL exceeded, Dest unreachable, redirect,

Utilis par les outils ping, traceroute par exemple
Avantage : support par toute station IP (ordi , routeur, )
Peut sembler anodin mais en fait trs utilis
SNMP - Simple Network Management Protocol

Agent (serveur) dans hub, commut, routeur, station,
Manager depuis station dadministration

MIB : informations (@, ) standard ou constructeur
Fonctions : GET SET TRAP sur UDP
Scurit embryonnaire ? config ne se fait pas avec SNMP
RMON RMON2 : MIBs pour sondes

Les standards permettent davoir un mme outil pour
administrer des matriels htrognes
279
Administration de rseau :
configuration des quipements
Avec telnet ou interface Web
Pas SNMP
Telnet est souvent plus prcis (pour les spcialistes)
Attention aux mots de passe : ajouter filtrage / @ IP
Perte de la configuration quand arrt de lquipement ?

Stockage des diffrentes configurations
Gnralement : TFTP
Permet de sauvegarder une configuration sur un serveur
Inversement de charger cette configuration depuis ce serveur dans
lquipement actif
Attention : pas de mot de passe dans TFTP
Outils de constructeurs qui permettent de grer plusieurs

versions de configuration et dOS
280
140
Administration de rseau : surveillance

But : dtecter (rapidement) des anomalies
2 types dinformations utiles
Alarmes : lien coup, lment arrt, daemon/service inactif,
Relevs (courbes, tableaux, ) sur une courte priode indiquant
des charges, utilisations anormales (inhabituelles)
Longue priode ? mtrologie
Transport : liens, quipements actifs

Traps SNMP mis par les quipements
Outils base de ping et/ou traceroute depuis un point
Lors rcupration de compteurs SNMP, sondes : courbes
inhabituelles
Services : messagerie,
Daemon (service) inactif, spool plein,
Ex doutil : Big Brother
Depuis une station interroge un daemon spcifique sur chaque machine
de service
Dtecte si service inactif, remonte des alarmes sur des seuils,
281
Administration de rseau : surveillance

Alarmes et relevs
Arrivent sur ou partent de la station dadministration
Alarmes peuvent gnrer des mails aux admins
Des lments de charges, activits anormales

permettent de dtecter des problmes de scurit
Brusque trafic vers une station, dune application,
Les construire avec lexprience

On peut rcuprer normment dinformations
Lesquelles sont pertinentes ?
Les utilisateurs sont souvent plus rapides que les

outils
Pour avertir : a ne marche pas !
282
141
Administration de rseau : dpannage

O se situe le problme ? Quand localis : rponse simple
Faire preuve de logique
Premire question : quest-ce qui a chang ?
Procder par limination
Ex de dmarche : telnet www.inpg.fr ne marche pas

Est-ce que la machine est accessible : ping www.inpg.fr ?
Si non, o sarrte laccs : traceroute www.inpg.fr ?
Tout de suite : problme trs local
Ping machine locale ? pb sur routeur sortant ou sur rseau local
Cblage ? Essai dune prise voisine
Si arrt un routeur : lequel ?

Sur le site distant : tlphone ladministrateur distant
Sur le site local
Est-ce uniquement vers ce site : essaie datteindre un autre site de lInternet

Si oui, service arrt ? Problme de filtrage ?

283
Administration de rseau : dpannage

Demande de connatre
La thorie : protocoles, fonctions des quipements,
Son rseau, ses utilisateurs et leurs applications
Analyseurs de protocoles
Quand vraiment on ne peut pas faire autrement

Ex de logiciel du domaine public :TcpDump
Station portable avec logiciel commercial
Il faut bien connatre les protocoles
Problmes logiciels : dautres ont eu le mme pb

Ne pas hsiter utiliser les moteurs de recherche,
news,
284
142
Admin rseau : station dadministration

Objectif : disposer dUNE station qui
Permette de configurer tous les quipements et de stocker toutes
les configurations
Reoive toutes les alarmes (Traps SNMP, )
Permette dexcuter des scripts de surveillance dvelopps,
Dessine (automatiquement) la carte du rseau : liens, stations,
quipements actifs, services
Affiche en rouge ce qui ne marche pas
Rcupre des donnes de mtrologie, les stocke, les affiche
Trois types
Stations gnrales (Sun, HP, IBM, )
Beaucoup de temps pour les matriser
Stations de constructeurs dquipements (CISCO)

Stations artisanales avec outils du domaine public
Actuellement personne vise lunicit (LA station)

Les grands sites ont les 3 types de stations prcdentes
285
Administration de rseau : scurit

De plus en plus de problmes de scurit lis au rseau
Intrusion depuis lInternet sur des machines internes

Attaque de serveurs Internet : Web, messagerie, DNS
Virus dans les messages lectroniques, SPAM
Vers se propageant par le rseau
Spoofing d@ IP, d@ de messagerie
Charge de liens (trafic parasite) ? deny de service
Organisation coopration troite entre responsable

scurit et administrateur rseau
Surveillance du rseau ? peut indiquer des probl mes de
scurit
Architecture de rseau ? permet dappliquer facilement une
politique de scurit
Maintenant la scurit est un critre de choix important

dans larchitecture et les quipements
286
143
Administration de rseau : mtrologie

But : rpondre aux questions
A quoi sert le rseau ? A quelles applications ? A qui ? Quand ?
Qui lutilise ? ? comptabilit si ncessaire
Y-a-t-il des goulots dtranglement ? Des problmes de
performances ? ? Qualit de service
Quelle volution ? ? Anticiper les besoins
Commander laugmentation de dbit dune liaison avant sa saturation
Ensemble de compteurs ? tableaux, courbes,

Qui fournit les informations ?
Equipements en coute passive sur le rseau
Sondes RMON, RMON2
Logiciel IPTrafic
Pb : nb dquipements ncessaires, o les mettre (pb commutation)
Equipements actifs du rseau : commutateurs, routeurs

Comptent diffrentes choses ? compteurs sp cifiques ou MIBs
Sont interrogs par telnet ou SNMP
Peuvent ne plus compter correctement quand dautres urgences (charge)
287
Administration de rseau : mtrologie

Quelles informations ?
Charge et taux de collisions / interface
Issues de comptage de diffrents champs des datagrammes
@ IP (? numros de rseaux), ports (? applications)
Exemples dinformations fournies

Le graphe journalier, hebdomadaire de la charge de chaque
brin Ethernet, de chaque liaison, du taux de collision
La rpartition entre HTTP, MAIL, FTP, sur chaque liaison
Les 20 stations les plus consommatrices
Le pourcentage de trafic intra-entreprise et extra-entreprise
Le pourcentage de bande passante de laccs Internet consomm
par chaque service de lentreprise
MRTG : logiciel graphique

Visualise le trafic sur les interfaces des commutateurs, routeurs,
stations
Informations dans MIBs, obtenues par SNMP
288
144
Administration de rseau : remarques

Fondamentale quand rseau denvergure
Surveillance :
Confidentialit des relevs
Respect de la vie prive
Constats
Les quipements et les liaisons fonctionnent bien
IP est trs solide
? Consquence ngative sur le besoin dadministration
Il faut se construire soi-mme sa boite outils

Pas une seule solution avec un seul produit
Difficile de conduire une approche thorique globale
Beaucoup doutils du domaine public existent

Mais chaque outil a un but particulier
Un administrateur doit bien savoir ce quil veut obtenir
289
Administration de rseau : remarques

Exemple de choix de logiciels du domaine public
Outil de dpannage : tcpdump
Outil de surveillance de liaison : MTR
Sonde
Indique quoi est utilis le rseau : charge, stations les plus bavardes, qui dialogue avec qui,
avec quels protocoles,
Sur une courte priode
Outil de surveillance de services : Mon
Utilise ping et traceroute

Dtecte rapidement une anomalie sur une liaison (coupure, engorgement). Sort des
statistiques.
Outil de surveillance de trafic : NTOP
Analyseur sur station Unix
Services surveills : messagerie, Web, FTP, SMTP, POP, IMAP,

Alerte (mail) quand indisponibles
Outil de mtrologie : Cricket bas sur MRTG

Interroge des routeurs, commutateurs en SNMP
Charge, trafic sur une longue priode
Outil de mtrologie orient comptabilit : acct-cisco

Comptabilit (et rpartition de charge) sur un routeur CISCO
290
145
Elments de scurit
De protection contre les agressions externes en
provenance de lInternet (donc via le rseau)
Garde-barrire
Equipement entre lextrieur (hostile) et lintrieur
(de confiance) : routeur, quipement spcifique
3 ensembles principaux de contrle
Filtrage IP de base : cf cours sur les fonctions annexes des
routeurs
Filtrage IP statefull : analyse des sessions applicatives
Relais applicatifs
Ex telnet : login sur garde-barrire puis login sur machine interne
Permet de concentrer les contrles sur une machine
Difficile davoir des dbits trs levs (Gigabits : non)
Fiabilit : prvoir un quipement de secours

Entre rseau interne de lentreprise et lInternet
291
Elments de scurit
Architecture segmente : un exemple
Internet
Internet
R NAT
WWW
Sonde G-B
Service administratif
Service R&D
R
Relais
Mail
Service X
DNS
Mail WWW DNS

Calcul Stockage
Serveurs internes
DMZ
Serveurs Internet
292
146
Elments de scurit
Un pb de cette architecture : travail distance
Comment consulter son courrier distance ?
Comment accder lIntranet distance ?
Solutions : cf connexion depuis lInternet
Un autre pb : portables
O les connecter en interne (peuvent transporter des virus ou
vers) ?
Garde-barrire
Ne pas se reposer uniquement sur sa protection
Sonde de dtection dintrusions

Sonde avec bibliothque de signatures dattaques
Logiciel de simulation dintrusions

Test de vulnrabilits travers le rseau
Rq : jamais de scurit 100 % (ne pas connecter ?)

293
Accs lInternet (Web)

Station interne LAN entreprise ? Internet
Connexion directe (sans NAT)
@ IP officielle station ? @ IP serveur Web
Connexion directe avec NAT

@ IP prive station ? @ IP serveur Web
NAT
@ IP officielle ? @ IP serveur Web
Proxy-cache Web : serveur dans DMZ
@ IP station ? @ IP proxy Web

@ IP proxy Web ? @ IP serveur Web
2 sessions TCP (HTTP) : StationProxy et Proxy Serveur Web
Cache, gain bande passante, filtrage, traces, anti-virus
Scuris : 3ime mthode > 2nde > 1re

Accs lInternet : autorisation ou non aux salaris ?
294
147

Serveurs Internet Extranet de lentreprise
O les mettre ?
Dans la DMZ
Zone Dmilitarise, semi-ouverte
Chez un fournisseur daccs ou hbergeur
Stations ddies
Serveurs aux CNRS
Plutt apache et Linux
Un peu IIS et Win-NT : bcq trop de pbs de scurit
Prvoir un mcanisme de MAJ

Bien les scuriser
295

au rseau de lentreprise
Comment travailler distance ?
Consulter sa messagerie et mettre des messages

Accder (interactif) aux stations internes
Transfrer des fichiers
Accder globalement toutes les ressources de lIntranet (rseau
interne)
De manire scurise (pas de mot de passe en clair sur le rseau)
Consulter sa boite aux lettres

Accs interactif, POP, IMAP trop dangereux
SSL : POPS, IMAPS, Passerelle Web (HTTPS)
Chiffrement uniquement
Chiffrement et authentification du client : certificat client
Emettre des messages

Relais public ou Sendmail-TLS
296
148

au rseau de lentreprise
Accs interactif et transfert de fichiers
Scurisation niveau application : SSH par exemple
Garde-barrire
Accder toutes les ressources internes

VPN
PPT, L2TP, IPSec
Tous ces mcanismes demandent des

comptences pointues pour ne pas crer des
trous de scurit
Personnel trs mobile : tout sur le portable ?
Attention aux vols
Prvoir sauvegardes
297
Construire un rseau solide

Fiabilit, disponibilit, tolrance aux pannes,
Faire une architecture (physique et logique) simple
IP est trs souple : ne pas abuser des possibilits pointues
Faire des cahiers des charges (pour chaque volution)

Quest-ce quon veut comme fonctionnalits ?
Laisser rpondre les intgrateurs
Choisir des quipements spcialiss

Un PC avec Linux nest pas un routeur
Ne pas hsiter multiplier les machines ddies /services

Web FTP Mail - DNS -
Services rseaux
Sous Unix ou sous NT ?
Selon comptences habitudes schma directeur
298
149
Construire un rseau solide

Faire en fonction des moyens dont on dispose
Identifier ce qui est vital et non
Cela va dpendre des applications
Lexprience est trs utile

De chaque incident on tire une leon
Il est difficile de travailler uniquement en thorie
Ex de question : les quipements et les liaisons sont ils fiables ?
Comment le savoir sans exprience ?
Les routeurs par exemple sont jusqu prsent trs fiables
Faire appel aux entreprises du mtier
Ne pas faire son cblage soi-mme

Utiliser les services des oprateurs
Mais comprendre et contrler (le domaine volue vite)
299
Rseau solide : disponibilit

Des liaisons
Chaque contrat avec oprateur garantit :
Dlai dintervention
Dlai de rtablissement : 4 h par exemple

Etablir le mme principe en interne

Pb bien connu : coup de pelleteuse
Des quipements dinterconnexion (matriel)
Spare
Contrats de maintenance
Garantie : souvent vie maintenant
Dans locaux rservs et protgs (accs, feu, climatisation ?, )
Des serveurs
Classique informatique
Ces aspects sont trs important (pbs engendrs graves)

Les informaticiens peuvent avoir tendance le sous-estim
300
150
Rseau solide : tolrance aux pannes

Pannes
Rupture de liens
Arrt dquipements actifs et de services
Liaisons (niveau 1)
Rseau maill sur site
Cbles mais aussi tranches
Btiment : deux accs diffrents ?
Liaisons externes LS
2 LS diffrentes ? : rare
Oprateurs : assurent le maillage
Back up par rseaux commuts : souvent

Dbits infrieurs : est-ce que les applications fonctionnent toujours
? ? Est-ce utile ?
2 points darrives des liaisons externes diffrents ?

301

Niveau 2 : difficult : Ethernet = bus (? toile)
Pas de structure danneau ou de maillage : pas
de maillage possible en extrmit
(dans rseau capillaire : stations)
Sauf manipulation (changement de prise )
Au cur : rseau maill de commutateurs

possible
Algorithme de Spanning Tree
Mais construction dun arbre
Un seul chemin utilis un moment
Lautre inutilis : gaspillage
302
151

Niveau 3 IP :
Routage dynamique sur rseau maill de routeurs
Fonctionne trs bien : permet de basculer dun chemin
un autre sans intervention manuelle
Pb (similaire Eth) : un instant une seule route vers
une destination
On peut avoir 2 chemins diffrents pour une destination mais
avec des poids diffrents
Quand tout va bien : utilise le chemin avec le poids le plus fort
Bascule sur lautre quand le premier chemin est coup
Pas de rpartition de charge / destination
Mais on peut rpartir plusieurs destinations entre des chemins

diffrents
Avec des poids diffrents permettant de basculer tout le trafic sur un
chemin ou lautre en cas de rupture dun des chemins
303

Services : serveurs secondaires
DNS : ce service doit tre trs fiable
Bien rpartir les serveurs secondaires
Au moins un sur le mme site
Pas ct du primaire (en cas de coupure de lien, )
2 autres ailleurs
Messagerie (relais) : serveurs secondaires

DNS : MX records / domaine avec poids diffrents
Mcanisme supplmentaire de file dattente sur serveur metteur
Reste 4 j par dfaut si serveur distant ne rpond pas
Mais cest moins que la dure des priodes de fermeture des entreprises
Serveurs Web de lentreprise

Si service important : image de marque, source de revenue, outil
de travail (B2B) avec fournisseur/client
Rplication de serveurs : solutions commerciales disponibles
304
152
Rseau solide : scurit

Problme scurit souvent trs coteux
Serveurs indisponibles, rseau bloqu, vols dinformation,
Or attaques viennent maintenant du rseau
Outils imparfaits
Disparates (un peu tous les niveaux )
Ne colmatent quune partie des trous : toujours de nouveaux
IP et Internet : conus sans souci de scurit

Principe dun rseau global, galitaire, sans frontire
Pas conu pour modle raliste : rseaux internes (entreprises) et un
rseau dinterconnexion
Pas de limitation de dbit / station ou application

Transport en clair des informations (mot de passe donc)
Pas garantie metteur dans messagerie lectronique
Actuellement la scurit est une partie trs importante

du travail dun administrateur de rseaux
305
Rseau solide : qualit de service

Le rseau est vital pour toutes les activits
On demande plus au rseau
Et ses administrateurs
Pas uniquement de garantir la connectivit

Que le ping marche ne suffit plus
Mais que les applications fonctionnent correctement
? Qualit de service
Savoir rserver des bandes passantes (avec certaines
qualits)
Des utilisateurs (fonctionnellement des sous-rseaux IP)
Des applications (fonctionnellement des numros de ports)
Mcanismes
Cf chapitres : files dattente routeurs et QoS
306
153
La conception de rseaux
Assemblage de briques un peu disparates
Mais larchitecte doit avoir une vision globale
Cbles ? applications
Connaissances dans des domaines trs divers
Le rseau demande un budget consquent

Difficile faire accepter la direction
Arguments trop techniques
Mtier difficile
A risques
Si le rseau ne marche pas ? catastrophe pour lentreprise
Forte volution des technologies

Remise niveau continuel des connaissances
Sens relationnel obligatoire

Psychonet parfois
Mais intressant
307
Etudes de cas : plan

Rseau de petit laboratoire clat : UREC
Rseau dune PME sur 2 sites
Rseau de campus
Rseau dun gros site dune entreprise
Rseau Renater (national)

Rseau oprateur tlcom
Rseau grande entreprise multi-sites
308
154
Rseau UREC : stations Paris-Grenoble

Paris
7 personnes
5 bureaux, salle machines (climatise)
Grenoble
4 personnes + stagiaires
6 bureaux, salle machines (climatise), local technique
Choix OS
Stations personnelles : bureautique ? Windows

Serveur fichiers interne et sauvegarde ? Windows
Serveurs Internet (DNS, Mail, Web, ) ? Linux
Dveloppement, tests ? Cela dpend
309
Rseaux UREC : cblage

Cblages effectus par 2 socits spcialises
Cahier de recette : plans, reprage des prises, rsultats tests
TP catgorie 5 : 100 Mbps OK
Post-cblage Grenoble
Pr-cblage Paris (nouveaux bureaux)
Lors du dmnagement Paris : abandon de la FO
3 prises par personne : 2 informatiques, 1 tlphone
Cur toiles
Local technique Grenoble, salle machine Paris
Armoires de brassage
Chemins de cble
Goulottes dans les bureaux et faux plafonds ailleurs
Evolution court terme

Bornes sans fil : portables, visiteurs
310
155
Rseaux UREC
Equipements actifs
Paris et Grenoble : un commutateur routeur

2 ports FO Gbps Ethernet
48 ports TP 10-100 Mbps Ethernet
Contrat de maintenance
Avant : routeurs , commutateurs Ethernet et ATM,
Hub Ethernet, Stations Eth et/ou ATM
Connexion extrieure : prise Giga Eth rseau de
campus
Plan dadressage
1 numro de classe C officiel Paris
1 numro de classe C officiel Grenoble
Sous-rseaux sur les sites : utilisation des VLAN
311
Rseaux UREC sur 2 sites : VLAN

Stations utilisateurs
Serveurs internes : fichiers, log, mail, Web Intranet
Serveurs Internet : DNS, mail, Web,
FO
Campus
Commut
Routeur
Stations visiteurs
Stations tests
Autre possibilit : faire des VLAN tendus sur 2

sites
Pas vraiment de besoin (serveurs mail dupliqus)
Trop de dpendance dun site / lautre (pb si coupure
Renater par exemple)
312
156
Rseau UREC : noms machines

(Rappel : dj expliqu avant)
Domaine urec.cnrs .fr
Ss-domaine grenoble.urec.cnrs.fr : toutes machines de Grenoble
Ss-domaine paris.urec.cnrs.fr : toutes les machines de Paris
Alias
www.urec.fr ? elea.paris.urec.cnrs.fr
mail.urec.cnrs.fr ? thinos.paris.urec.cnrs.fr
services.cnrs.fr ? kaki.grenoble.urec.cnrs.fr
Serveur DNS serveur Paris

Primaire urec.cnrs.fr et paris.urec.cnrs.fr
Secondaire grenoble.urec.cnrs.fr
Serveur DNS Grenoble

Primaire grenoble.urec.cnrs.fr
Secondaire paris.urec.cnrs.fr et urec.cnrs.fr
Serveurs DNS secondaires : Jussieu, Grenoble,

313
UREC : messagerie
Objectifs architecture
Adresses standards : Prnom.Nom@urec.cnrs.fr
Utiliser 2 serveurs (back up) : Paris et Grenoble
MX urec.cnrs.fr ? Serveurs :
Mail.paris.urec.cnrs.fr (prioritaire)
Mail.grenoble.urec.cnrs .fr
Alias par personne :

Jean-Luc.Archimbaud@urec.cnrs.fr ? JeanLuc.Archimbaud@grenoble.urec.cnrs.fr
Service accs aux boites aux lettres :

IMAP en local
IMAPS avec certificats lectroniques distance
314
157
UREC : autres services (pour lUREC)

Web Intranet :
Contrle daccs par certificat
Annuaire LDAP : interne

Service listes de diffusion : SYMPA
Multicast : routeurs configurs pour le recevoir
NAT : pas utilis
Videoconf (actuellement tlconfrence)
Etude pour lachat dun matriel H323 ddi (cran
)
Administration
Un administrateur Paris, un Grenoble
Utilisation de BigBrother
315
UREC : scurit
Base sur la segmentation et le filtrage
Connexion vers lextrieur
Tout est possible pour toutes les stations du personnel
Pour les autres (serveurs, machines tests, ) : limite au
maximum
Connexion depuis lextrieur

Vers certains serveurs locaux, depuis certains rseaux
Filtres IP : aucun accs possible :
Extrieur ? ? machines tests, serveurs internes

Extrieur ? machines utilisateurs
Machines tests ? machines utilisateurs
Filtres IP : accs restreints :

Extrieur ? serveur Web : uniquement Web

316
158
UREC : scurisation accs distants

Actuellement : n applications
Telnet, FTP, IMAP, HTTP vers Intranet
Scurisation
Filtrage : uniquement depuis certaines stations
Mot de passe ? SSL des applications (telnets, ftps, imps, https)
avec utilisation des certificats lectroniques
A ltude : IPSec avec certificats lectroniques

Station distante considre comme station locale
Probl mes :
Paramtrage de IPSec (fragmentation UDP)

Plus de dbit ncessaire sur la liaison
Montages en tous sens demande bande passante
LA STATION NOMADE DOIT ETRE DE CONFIANCE
Pas dautres connexions lInternet possible depuis cette station
317
Rseau de campus
CNRS Meudon : 10 btiments
Cblage :
Interconnexion FO
Intrieur des btiments TP Cat5
Niveau 2-3
Cur de rseau : commutateur 100 et GigaEth

A lentre de chaque btiment : routeur
A lintrieur des btiments : commutateurs hubs
Sortie vers Renater : routeur
Adressage IP
3 classes C
318
159
Rseau de campus : services

Messagerie
Serveur Web
Internet
Intranet : contrle daccs par numro IP
Scurit
Filtres sur les routeurs
Contrle daccs et traces sur les serveurs (tcpwrapper)
Equipe
2 ingnieurs
Groupe des correspondants de laboratoire
319
RENATER : services
REseau NAtional de la Technologie, de lEnseignement et
de la Recherche
GIP : Min Ens Sup, CNRS, INRIA, CEA,
Service interconnexion IP
Rseaux rgion
Rseaux mtropolitains (MAN)
Gros sites
Autres oprateurs franais : GIX : SPHINX
Connexion internationale
Autres services
IPv6
Multicast
VPN
CERT
320
160
RENATER : architecture
Oprateurs
N oprateurs pour les liaisons (FO)
Principaux : TD et FT
Un oprateur pour ladministration des quipements
actifs (routeurs ) : CS
Architecture
ATM (VC avec IP) ? IP sur SDH
VPN : VC ATM ? IPSec
NRDs : Nuds de raccordement

Locaux techniques avec routeurs
Dans sites en rgion
321
322
161

2002 11 Cours Interco Reseaux PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

2002 11 Cours Interco Reseaux PDF

Transféré par

Droits d'auteur :

Formats disponibles

Cours Interconnexion et conception de r

To cite this version:

Jean-Luc Archimbaud. Cours Interconnexion et conception de reseaux (informatiques). Ecole

HAL Id: cel-00561873

HAL is a multi-disciplinary open access

Larchive ouverte pluridisciplinaire HAL, est

Jean-Luc Archimbaud CNRS/UREC

Interconnexion et conception de rseaux 2002

Interconnexion et conception de rseaux

Concevoir un rseau cest actuellement :

Utiliser les services des oprateurs sous -traitance

Interconnexion et conception de rseaux 2002

Concevoir un rseau cest dfinir

Larchitecture logique (rseau = rseau IP)

Ladministration des quipements - surveillance

Les outils de scurit

Adapte aux quipements - besoins des utilisateurs

Interconnexion et conception de rseaux 2002

Rappels : caractristiques du protocole IP

Rpteurs hubs (Ethernet)

Interconnexion et conception de rseaux 2002

Interconnexion et conception de rseaux 2002

Interconnexion et conception de rseaux 2002

Services dinterconnexion de France Tlcom

Services assurer couche 7

Interconnexion et conception de rseaux 2002

Fonctions annexes de certains quipements actifs

Interconnexion et conception de rseaux 2002

Construction dun rseau solide

Rseau Renater (national)

Interconnexion et conception de rseaux 2002

Elements dinterconnexion Ethernet

Pointeurs cours, mmoires

Interconnexion et conception de rseaux 2002

MAN : Metropolitan Area Network

WAN : Wide Area Network

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : critres choix

Immunit aux perturbations

Longueur maximum possible entre deux quipements

Dbits possibles (surtout dbit max) : bps

Interconnexion et conception de rseaux 2002

LAN : liens physiques : cble coaxial

Large bande : Broadband (LAN, MAN, WAN)

Bons dbits (Gbits/s) et distances, bonne immunit

Nest plus utilis pour le LAN informatique

Utilis dans le rseau cble des villes

Interconnexion et conception de rseaux 2002

LAN : cble coaxial fin et prise en T

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : TP

TP : Twisted Pair : Paire torsade

5E : amlioration du cblage 5 (Gigabit Ethernet)

Blindage des cbles :

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : TP

Nombre de paires utilises : 2 4 suivant lutilisation

Cest le media le plus utilis lintrieur des btiments

Interconnexion et conception de rseaux 2002

LAN : photos TP et RJ45

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : FO

Monomode (single mode) : rayons lumineux en ligne droite