Académique Documents
Professionnel Documents
Culture Documents
MONTAGNIER
s o l u t i o n s
r s e a u x
wwweditions-eyrollescom
40
par la pratique
par la pratique
Rseaux dentreprise
782212 112580
ISBN : 2-212-11258-0
Rseaux
dentreprise
JEAN-LUC MONTAGNIER
Ingnieur consultant spcialis dans les rseaux et les
tlcoms, Jean-Luc Montagnier assure des missions de
conception darchitectures, daudit et dassistance
matrise douvrage, aussi bien auprs de PME que de
grands comptes. Jean-Luc Montagnier est lauteur de
Pratique des rseaux dentreprise, lun des ouvrages de
rfrence en langue franaise sur les rseaux.
s o l u t i o n s
r s e a u x
JEAN-LUC MONTAGNIER
Prface
Nen dplaise aux nostalgiques des odeurs dencriers et des plumes doies, des belles images
de Jour de fte , des joies et des ambiances fbriles, quand la lettre tant attendue partie
dj depuis plusieurs jours ! arrivait enfin, la Correspondance a cd la place la Tlcommunication, le seul papier au multimdia.
Lchelle du temps de la communication sest incroyablement comprime. Souvenez-vous
quhier encore des compagnies colombophiles existaient dans nos armes alors, que pendant
la guerre du Golfe, les anti-missiles amricains recevaient leurs donnes de tir depuis les
tats-Unis pour intercepter les cibles ennemies repres par les avions radars quelques secondes seulement aprs leur lancement.
Tout autant que le temps et consquence directe de lvolution fantastique des technologies
de linformation, lespace sest galement virtuellement rtrci. Le monde entier apparat
dsormais porte de main, porte de clic .
Si toutes les entreprises ne sont videmment pas mondiales, lconomie dans laquelle elles
voluent lest totalement. Le rythme de lactivit conomique est limage dInternet et du
haut dbit, il est haute vitesse . La culture de linstantane sest impose ! Peu de chance
pour celles qui ne peuvent pas suivre.
On laura compris, dans un tel environnement les missions du responsable tlcommunication dentreprise sont de toute premire importance. Dun service de second plan, hier rattach aux services gnraux et occupant quelques modestes bureaux dans la priphrie
immdiate du rpartiteur tlphonique, les tlcommunications sont dornavant organises
en direction, souvent associes avec linformatique. Elles justifient des efforts financiers
importants de lentreprise tant pour le recrutement de ses cadres et techniciens que pour les
investissements souvent coteux dans les quipements rseau. De tels efforts lui sont ncessaires pour rester dans la course.
II
Toute proportion garde, cette volution historique inluctable est, si on peut dire, rattrape
par la conjoncture gopolitique qui marque ce dbut de sicle. Les menaces mergentes
conduisent ainsi les entreprises btir de vritables plans de secours, voire dvelopper le
concept de homeland security . L encore, les rseaux sont un lment cl des mesures de
protection dcides. En effet, bien souvent, ces mesures prvoient, aux fins de protection, un
clatement important des structures et des systmes informatiques, plaant naturellement les
rseaux au cur de celles-ci. Il est noter que nous retrouvons l les motivations qui ont
conduit, il y a longtemps, le Department Of Defence amricain la cration du protocole IP.
Vritables systmes dirrigation de lactivit conomique mondiale, les rseaux de tlcommunications et plus largement encore les systmes dinformation sont une cible de
choix pour des pirates ou guerriers des temps modernes. Sans aucun esprit de provocation
nous pouvons affirmer que nous sommes en guerre mais, et cest bien l tout le paradoxe
et la dangerosit de la situation, nous ne le savons pas ou navons pas pleinement conscience
de la menace qui pse.
videmment, il ne sagit pas de la guerre avec un grand G , de celle dont les images
dhorreur venues du bout du monde inondent nos journaux tlviss et nos magazines. Pas
du tout, la guerre dont il est question est beaucoup moins spectaculaire, tout fait silencieuse. Elle se droule au quotidien, sans quaucune goutte de sang ne soit jamais verse.
Qui sen plaindrait ?
Les enjeux associs cette guerre sont trs diffrents de ceux gnralement attachs aux
conflits militaires. Pour autant, ils nen sont pas moins importants. En effet, il sagit - pour
ne citer que les principaux - de la sauvegarde de notre patrimoine industriel et intellectuel,
de la prservation de notre identit culturelle et, en consquence, du maintien de notre capacit porter au-del de nos frontires, influer sur les vnements et tenir notre rang de
grande puissance conomique.
Les menaces sont nombreuses, puissantes et multiformes. Sans sombrer dans une paranoa
dmesure, force est de constater, quobserves avec le filtre de la menace qui pse, plusieurs situations parfaitement connues et admises sont pour le moins inquitantes.
Prenons comme seule illustration de ces situations mais il en existe bien dautres quil serait trop long de relater ici - les rseaux de communication de donnes quil sagisse du rseau Internet ou des rseaux de communication des entreprises au sens le plus large. Ceuxci, nous lavons vu, sont aujourdhui parfaitement indispensables la vie conomique de
toute nation dveloppe et de plus en plus ncessaires la vie sociale. Lensemble de ces rseaux interconnects constitue un norme maillage lchelle mondiale ; chaque nud de
ce maillage, on trouve un routeur , machine informatique avec un systme dexploitation
particulier, qui assure le juste aiguillage des communications. Ne nous sommes-nous
jamais pos la question de la menace constitue par le fait que le systme dexploitation de
ces routeurs, par lesquels excusez du peu transitent toutes nos communications des plus
banales au plus stratgiques, est presque toujours le mme, celui dun constructeur bien
connu, et que ces routeurs sont une immense majorit issus de ce mme constructeur ?
Bien sr, il nest pas srieux de vouloir tout bouleverser dans lordre tabli en matire de
march des NTIC et plus largement de toute lindustrie du savoir qui, il faut bien le constater, est assez largement entre les mains des acteurs nord amricains. En revanche, il apparat
Prface
III
plus que jamais ncessaire de sensibiliser et au-del de mobiliser tous les responsables tlcommunication et tous les responsables informatique, sur lesquels reposent dsormais des
enjeux fondamentaux pour les entreprises qui les emploient, afin quils prennent pleinement
conscience de ces menaces pour que celles-ci ne soient pas oublies dans les choix quils seront amens faire.
Les rseaux de tlcommunication sont donc totalement indispensables la vie conomique,
leur fiabilit et leur performance doivent tre la hauteur des enjeux quils supportent, ils
constituent une cible privilgie pour un ensemble de menaces.
Louvrage de Jean-luc Montagnier trouve ainsi pleinement sa place au cur de cette problmatique. Il apportera aux architectes et responsables de tlcommunications les rponses
claires et documentes aux questions essentielles que ceux-ci sont amens se poser dans
leur quotidien ou dans les choix plus stratgiques quils sont conduits faire. Un volet complet traitant de la scurit des rseaux abordera plus spcifiquement les rponses techniques
quil convient dadopter.
Dun ouvrage de rfrence, cette nouvelle dition devient un vritable ouvrage dactualit et
pour longtemps encore, soyons-en sr.
Olivier Koczan
EADS Defence and Security Systems
PREMIRE PARTIE
Le contexte ............................................................................................................................................ 4
Les choix de base................................................................................................................................... 5
Quel rseau ?.................................................................................................................................................... 5
Quelle topologie ? ............................................................................................................................................ 5
VI
CHAPITRE 2
21
47
VII
Larchitecture ...................................................................................................................................... 56
Mise en place dun rseau local dtage......................................................................................................... 56
Extension du rseau dtage........................................................................................................................... 57
77
Introduction ......................................................................................................................................... 78
Les principes de transmission radio..................................................................................................... 79
Le signal radio................................................................................................................................................ 79
La modulation du signal................................................................................................................................. 80
Le multiplexage des canaux de frquence...................................................................................................... 81
Le codage....................................................................................................................................................... 82
Proprits des ondes radio.............................................................................................................................. 83
Exemples dapplication.................................................................................................................................. 83
VIII
DEUXIME PARTIE
LES RSEAUX IP
CHAPITRE 5
111
IX
CHAPITRE 6
135
161
185
XI
TROISIME PARTIE
209
XII
CHAPITRE 10
233
XIII
CHAPITRE 11
261
297
XIV
QUATRIME PARTIE
327
XV
Les problmes poss par les transmissions audio et vido ................................................................ 338
Estimation du temps de transit ..................................................................................................................... 339
Le transport des donnes multimdias ......................................................................................................... 340
CHAPITRE 14
343
XVI
379
409
XVII
CINQUIME PARTIE
441
XVIII
Les vers.........................................................................................................................................................450
XIX
La confidentialit............................................................................................................................... 469
Les algorithmes de chiffrement.................................................................................................................... 469
Efficacit des algorithmes de chiffrement.................................................................................................... 471
Les protocoles de scurit ............................................................................................................................ 473
Les protocoles dchange de cls ................................................................................................................. 474
La gestion des certificats.............................................................................................................................. 475
La signature numrique................................................................................................................................ 476
Lenveloppe numrique ............................................................................................................................... 477
Les contraintes lgislatives .......................................................................................................................... 477
ANNEXES
Normes et standards
487
Le cblage.......................................................................................................................................... 487
Normes CEN relatives au cblage ......................................................................................................... 487
Normes EIA/TIA relatives au cblage.................................................................................................... 487
Normes ITU-T relatives au cblage....................................................................................................... 487
XX
Organisation de lInternet
505
Glossaire
513
XXI
Bibliographie
529
Sites web
531
Index
537
547
Avant-propos
Jai retrouv, il y a peu, un ouvrage faisant partie de ceux qui ont abreuv une gnration
dtudiants en rseaux & tlcom, un pav de plus de 900 pages. Il faisait partie dune de
ces bibles immanquables que lon se devait de lire. Celui qui navait pas lu le Machin ou
le Truc passait assurment ct de quelque chose, et risquait de compromettre ses
examens.
Sur les 900 pages ddies aux rseaux, une seule tait consacre TCP/IP sous une rubrique
bizarrement intitule La productique . Il y tait dit que cette architecture tait dmode et
que, depuis quelques annes, tous les utilisateurs de ce type de rseau taient amens voluer vers larchitecture OSI. Le livre datait de 1987, TCP/IP avait 18 ans et lInternet explosait aux tats-Unis.
Cela ma rappel les quelques temps passs travailler au cur de la Silicon Valley en tant
que programmeur. Jtais alors en charge de dvelopper des couches logicielles autour de
TCP/IP. Un de mes collgues avait affich lentre de son bureau un manifeste intitul
Why OSI ? . Parmi les rponses saugrenues, il y avait celles-ci : parce que cest normalis , parce quil y a 7 couches , parce que cest compliqu , etc.
Voil un des problmes de lEurope : dun ct un centre dactivit qui cre la technologie
de demain, de lautre des commentateurs avertis. Dans lentreprise, contentons-nous donc
dutiliser au mieux ce quon nous propose.
J.-L. Montagnier
XXIV
Avant-propos
XXV
Le syndrome de Vinci
Faut-il alors donner du temps une technologie pour que celle-ci simpose ?
Par exemple, IP na pas connu une diffusion plantaire immdiate : ce protocole sest impos rapidement dans les universits et les centres de recherche, puis plus lentement dans le
monde des entreprises.
Cela nest cependant pas un gage de russite ; il suffit de se souvenir de ce qui est arriv
lATM : technologie cense tout faire, elle sest avre trop complexe mettre en uvre et
reste, aujourdhui, cantonne aux rseaux des oprateurs. Lchec dans les rseaux locaux
est patent.
Le problme des technologies trop en avance sur leur temps est quelles sont soumises au
syndrome de Vinci1 :
Dix ans aprs, elles sont dpasses (techniquement ou conomiquement) par dautres
technologies ou de plus anciennes qui ont volu avec leur temps.
Cest ce qui aurait pu arriver IP si les protocoles OSI avait t plus performants, et cest ce
qui est arriv ATM face un Ethernet tout terrain qui a su sadapter au fil du temps.
Dans dix ans, on pourra se poser de nouveau la question : Ethernet et IP ont-ils atteint leurs
limites par rapport aux besoins du moment ? Si oui, quelle est la solution qui rpond au
principe de lapport minimal ?
Artiste de gnie, Lonard de Vinci tait galement Premier ingnieur et architecte du Roi, Mcanicien dtat .
Cependant, nombre de ses projets sombraient dans les limbes, parce que trop novateurs ou irralisables avec les
moyens techniques de lpoque. Ses talents dingnieur taient surtout mis contribution pour raliser des automates de ftes foraines et de spectacles.
XXVI
Guide de lecture
Louvrage est structur en quatre parties : les rseaux locaux, les rseaux IP, les rseaux
tendus et la gestion avance des flux IP.
Cette organisation correspond une progression technique, qui suit lvolution dune architecture rseau, allant de la plus simple la plus complexe, telle quelle peut tre rencontre
par les responsables rseaux et tlcoms dans le monde de lentreprise.
Contenu
Les rseaux IP
Dans sa deuxime partie, louvrage traite du protocole IP et son interaction avec Ethernet en
termes dadressage et dencapsulation. Les outils dadministration sont ensuite expliqus en
tablissant le lien entre le fonctionnement des protocoles et leur mise en uvre. La gestion
des noms, qui permet de dcoupler les applications du rseau, occupe une place part tant
donne lampleur du sujet. Enfin, la nouvelle version dIP, qui commence apparatre avec
les terminaux UMTS et chez les oprateurs, est dcrite dans le dtail.
Chapitre
Contenu
Avant-propos
XXVII
Contenu
Contenu
XXVII
Contenu
PREMIRE PARTIE
Les rseaux
locaux
1
Installer
son premier rseau local
La connexion lInternet a t loccasion pour nombre dentre nous de se frotter aux rseaux en manipulant ses composants : modems, cbles, logiciels de communication, navigateurs et messageries.
De retour au bureau, ltape suivante consiste construire son propre rseau pour les besoins de son entreprise, cest--dire un intranet. Le rseau offre, en effet, de formidables
possibilits de dveloppement : pouvoir vendre des produits au monde entier sans ouvrir de
boutiques dans chaque pays, collecter des informations sur des sujets prcis, changer des
documents avec ses fournisseurs, etc. Avec les rseaux, nous entrons de plain-pied dans la
socit de linformation.
Dans une entreprise, le rseau est tout dabord local, cest--dire limit un ou plusieurs btiments. Commenons donc par l.
Dans ce chapitre, vous apprendrez ainsi :
Le contexte
Avec la connexion lInternet, vous avez commenc, sans le savoir, construire les prmisses dun rseau. Vous en avez utilis tous les composants : cbles, matriel de connexion
(dans notre cas le modem), logiciels TCP/IP, etc. Il sagissait du type de rseau, parmi les
nombreuses autres variantes possibles, qui tait le plus appropri pour connecter un seul
poste de travail.
Maintenant, le but est de relier plusieurs PC
entre eux (de 2 10), par exemple, le vtre
ceux de la secrtaire et du comptable ; ou,
chez vous, entre votre bureau, la cave et la
cuisine (histoire de samuser). Les PC sont
distants de quelques mtres.
Il sagit donc de crer un rseau adapt ce
besoin. Par consquent, on utilisera des matriels adapts aux rseaux dentreprise ( chaque problme sa solution).
Le rseau qui correspond notre situation est
appel rseau local (LAN, Local Area Network). Pour le mettre en place, vous avez besoin :
On retrouve les mmes briques assembler que pour une connexion Internet. La carte rseau remplace ici le modem (RTC, ADSL ou cble) qui sert se connecter lInternet. Une
telle carte est conue pour le rseau local (LAN Local Area Network), tandis que le modem est utilis pour les rseaux longue distance (WAN Wide Area Network).
55
Quelle topologie ?
Historiquement, le bus a t la premire topologie pour Ethernet : elle repose sur un cble
spcifique en cuivre, appel cble coaxial, qui parcourt tous les bureaux dans lesquels il y a
un PC connecter.
Figure 1-1.
Composant d'un rseau
Ethernet en bus.
Tresse mtallique
Dilectrique
Gaine de protection
Cble blanc ou
gris dit Ethernet
fin qui parcours
les bureaux
me en cuivre
La carte rseau du
PC se connecte ici
Prise BNC en T
(avec un ergot)
Le cble est dit Ethernet fin par comparaison une autre variante dEthernet, de moins
en moins rpandue, qui utilise un cble plus pais de couleur jaune.
Aujourdhui, la topologie la plus rpandue est celle de ltoile qui consiste relier tous les
PC un quipement central appel concentrateur (hub, en anglais). Le cble est constitu de
quatre paires de fils de cuivre torsades et est termin par des connecteurs RJ45.
Figure 1-2.
Composant
d'un rseau Ethernet
en toile.
Cordon de raccordement
entre la carte rseau du
PC et le concentrateur
Conducteur en cuivre
Prise RJ45
Concentrateur
Gaine en polythylne
Il existe de nombreuses variantes de cbles de fils de cuivre en paires torsades selon limpdance, le diamtre des fils et la nature des protections. Elles seront tudies au chapitre
suivant.
Ethernet
Bus
toile
Cble cuivre
Coaxial
Paires torsades
Connecteurs
BNC
RJ45
Vitesse
Limit 10 Mbit/s
10 Mbit/s et plus
Modification du rseau
Difficile
Trs facile
Remarque
Adapt aux
77
En dfinitive, lEthernet en bus est la solution la plus conomique lorsque lon veut connecter quelques PC qui sont regroups dans une seule pice. LEthernet en toile est plus cher
puisquil ncessite un concentrateur (de 75 300 en entre de gamme selon le nombre de
ports RJ45).
moins que vous ne disposiez de matriel de rcupration de type BNC, la topologie en
toile est conseille. En effet, elle vous permettra de faire voluer votre rseau tout en
conservant les cartes et le concentrateur.
Figure 1-3.
Rseau Ethernet
en toile et en bus
Concentrateur
Au bout du bus, il
faut obligatoirement
un bouchon.
Figure 1-4.
Connectique AUI / BNC.
Port AUI
Transceiver
AUI / BNC
Prise BNC
mle
Carte rseau
mle
femelle
femelle
Ergot
Cble
Ethernet fin
Connecteur
BNC en T
Si vous dmarrez avec un rseau en bus, il est conseill dacheter une carte quipe de deux
connecteurs, un BNC et un RJ45 (la diffrence de cot est minime). Cela vous permettra de
la rutiliser si vous changez de rseau.
Le cot dune carte dpend de ses performances, et notamment du bus :
entre de gamme avec bus ISA (moins performante que PCI) : de 40 120 HT.
99
Dans le haut de gamme, les cartes performantes sont celles qui changent les donnes avec
lordinateur via un DMA (Direct Memory Access), composant lectronique spcialis.
Pour notre rseau, une carte dentre de gamme suffira. Les cartes haut de gamme sont plutt destines aux serveurs.
Figure 1-5.
Connectique AUI / RJ45.
Carte rseau
Drop cble
De cordons de raccordement
Le cordon de raccordement (galement appel cordon de brassage) est ncessaire pour
connecter chaque carte rseau au concentrateur. Pour notre rseau, le plus simple est de poser un cblage volant, cest--dire constitu uniquement de cordons de brassage. Dautres
types de cblages plus complexes et plus chers seront tudis au chapitre suivant, car
au-del de dix PC le cblage volant devient ingrable et source de problmes.
Le support de transmission que nous avons
choisi est un cble cuivre en paires torsades
dont chaque extrmit est pourvue dune
prise RJ45. Sa longueur ne doit pas excder
cent mtres, selon la qualit du cble et
lenvironnement lectrique. Pensez notamment loigner vos cbles de toutes sources
de perturbations : appareils lectriques tels
que la cafetire, le ventilateur, laspirateur, le
moteur de lascenseur, le transformateur de
courant, etc.
Il existe de nombreux types de cbles. Toutefois, pour notre premier rseau, le choix na
gure dimportance. Prcisons simplement, et
sans entrer dans les dtails, quil est conseill
dacheter un cble UTP (Unshielded Twisted
Pair), 100 Ohms, catgorie 5. Cest le moins
cher, il rpond des normes prcises et il est
parfaitement adapt nos besoins.
10
Le cble utilis entre le PC et le concentrateur doit tre droit ; les fils mission et rception
ne doivent pas tre croiss. Le croisement est, en effet, ralis dans la prise RJ45 du concentrateur. Pour sen assurer, il suffit de mettre lun ct de lautre les deux connecteurs RJ45
du cble, orients dans le mme sens, et dexaminer la couleur des huit fils (gnralement, le
connecteur RJ45 est transparent). Si le cble est droit, les couleurs apparaissent dans cet ordre : bleu, orange, noir, rouge, vert, jaune, marron et gris. Ethernet utilise les fils numrots
1,2 (mission) et 3,6 (rception).
Si, en revanche, vous connectez deux PC directement (sans concentrateur), le cordon doit
tre crois (ce qui est logique).
Dun concentrateur
Le concentrateur est un appareil qui rgnre les signaux. En effet, le signal mis par la
carte Ethernet saffaiblit en parcourant le cble et, au-del de cent mtres, il peut devenir
trop faible. Cette distance correspond en fait au maximum autoris par la norme entre un PC
et le concentrateur. Un signal mis par un PC est rgnr sur tous les autres ports du
concentrateur (il joue le rle de rpteur).
Figure 1-6.
Fonctionnement
d'un rseau Ethernet
en toile.
Carte rseau
Concentrateur
Cordon de brassage
RJ45/RJ45
Le signal mis par ce PC
(codage Manchester)
Cela nous amne la remarque suivante : sil ny a que deux PC connecter, un concentrateur est inutile ; les deux cartes rseau peuvent tre relies directement via un cordon de
brassage nexcdant pas cent mtres. Un cble ne disposant que de deux extrmits (loi physique incontournable de notre univers), la connexion de trois PC ou plus passe obligatoirement par un concentrateur
La plupart des concentrateurs sont dits intelligents . Cela signifie quils disposent de
mcanismes permettant de dtecter les erreurs (signal trop faible, collisions, etc.) et de
dsactiver le port par lequel ces erreurs ont
t dtectes afin de ne pas perturber les autres ports (fonction de partitionnement).
Quel concentrateur choisir ? Dans notre cas,
un modle dentre de gamme est nettement
suffisant. Le critre de choix est alors le
nombre de ports RJ45, qui conditionne le
nombre de PC connecter : 4, 5, 6, 8, 12, 16,
24, 32 et 48 ports sont des valeurs couramment proposes.
1111
Dans notre cas, cette fonction nest pas intressante, car il existe un autre moyen de chaner
les concentrateurs. Les concentrateurs sont, en effet, couramment quips dun port
uplink de type RJ45 et/ou AUI et/ou BNC (attention au choix !) qui permet de chaner
les concentrateurs.
12
Figure 1-7.
Chanage des concentrateurs.
Up
Concentrateur
Up
Cordon de brassage
RJ45/RJ45 droit
Le bus externe permet une pile de concentrateurs dtre vue comme tant un seul et unique
lment, ce qui peut tre utile pour ladministration distance via SNMP.
Les stackables offrent galement dautres fonctions, telles que la segmentation port par port
ou par groupes de ports. Un rseau Ethernet est constitu dun segment matrialis par le cble du bus ou le concentrateur de ltoile. Un concentrateur segmentable permet de crer
plusieurs segments Ethernet indpendants : un logiciel interne permet daffecter un port
(parfois cette action nest possible que par groupes de 4 ou 8 ports) au segment Ethernet 0,
et lautre au segment Ethernet 1. Aucun trafic ne passe entre les deux rseaux ; les PC situs
sur des segments diffrents ne peuvent donc pas communiquer entre eux.
Lintrt de la segmentation est de crer des rseaux protgs (un pour la comptabilit spar des autres, par exemple) ou de pallier un problme de charge : sil y a trop de trafic sur
un segment, il est possible de segmenter le rseau en rpartissant les PC de part et dautre en
fonction de leur besoin de communication.
Fonctionnalit
Description
Intrt
Intelligent
De 75 150
Administrable
De 150 300
Empilable
(+ administrable)
De 300 460
Augmentation du nombre de
ports
30
Segmentation
Souplesse dvolution
150
Souplesse dvolution
150
1313
De logiciels de communication
Tout rseau ncessite du matriel et des logiciels, linstar dune connexion lInternet qui
requiert un driver (pour piloter la carte rseau), une pile TCP/IP et au moins un navigateur.
Le pilote est fourni par le constructeur de la carte. Cependant, si ce dernier a pass des accords avec Microsoft, il sera fourni en standard avec Windows. Cest le cas, par exemple,
des cartes 3com, Dlink, HP, etc.
La pile TCP/IP est la mme que celle utilise avec lInternet. En effet, nimporte quel type
de carte peut tre utilis avec diffrentes piles TCP/IP du march (celles de Windows
Netmanage de FTP software WRQ, etc.). Cela est rendu possible grce une interface daccs standardise sous Windows, appele NDIS (Network Driver Interface Specification).
Par exemple, lors de linstallation de laccs distant, Windows a install un driver NDIS
pour votre modem driver fourni par le constructeur ou livr en standard avec Windows qui dispose dune interface NDIS. Vous pouvez le vrifier en allant dans le menu
DmarrerParamtresPanneau de configurationRseau qui affiche lcran suivant
(Windows 95).
14
Ainsi, TCP/IP utilise-t-il les mmes commandes NDIS, quel que soit le priphrique piloter (une carte rseau, un modem, etc.), grce un driver propre chaque matriel mais qui
respecte la mme interface logicielle.
TCP/IP
Lapplication un PC Windows
quip dune carte 3Com.
TCPIP.SYS
Interruption
logicielle
Rception
des donnes
NDIS
Interruption
matrielle
ODI
Pilote
(driver)
Carte rseau
NDIS
3c509.sys
Carte 3Com
3c509
Une fois linterface daccs au pilote standardise, nimporte quel logiciel rseau peut tre implant. Le principe consiste ouvrir un lien au moyen dinterruptions logicielles, de mmoires partages, de descripteurs
de tampons, etc. Lopration sappelle bind (liaison), et le lien un SAP (Service Access Point).
Au-dessus de TCP/IP, on retrouve des applications diverses, comme notre navigateur Internet qui pourra tre utilis sur notre rseau local, que lon appellera alors intranet. Dautres
applications sont possibles en local, commencer par le partage des fichiers et limpression.
Dans lenvironnement Windows, cela est ralis par un protocole appel Netbios (Network
Basic Input Ouput System) qui fonctionne au-dessus de TCP/IP. On ne retrouve pas Netbios
sur lInternet. En effet, dune part il est spcifique Microsoft, dautre part il nest pas adap-
1515
t ce type de rseau. Netbios est avant tout conu pour le rseau local et devra tre install
sur le PC en mme temps que TCP/IP.
Figure 1-8.
Insertion d'une carte rseau dans un PC.
Bus PCI ou ISA
16
Le programme propose de choisir le driver dans une liste. Sil ny figure pas, cliquez sur
Disquette fournie . Cliquez ensuite sur OK .
Selon les cartes, une bote de dialogue vous demande de spcifier la valeur de certains paramtres.
les interruptions matrielles, appeles IRQ (Interruption Request), utilises par la carte
pour avertir le driver quune trame vient darriver, par exemple ;
les ports dentre-sortie (I/O port, Input Output) qui correspondent des registres (mmoire partage par la carte et le PC) permettant au driver denvoyer des commandes la
carte (envoyer une trame, par exemple) ;
1717
La documentation vous indique la marche suivre. Gnralement, les valeurs par dfaut
conviennent. Elles doivent tre modifies seulement si vous possdez dautres cartes qui utilisent les mmes IRQ et/ou ports I/O.
Cliquez sur OK pour terminer lopration. Le PC affiche alors une srie dcrans et vous
demande de rinitialiser lordinateur.
Pour reprendre lanalogie avec les adresses postales, une adresse IP est compose dun numro de rseau (le nom dune rue) et dun numro de station au sein de ce rseau (le numro
de votre maison).
Par convention, ladresse IP scrit avec quatre numros, de 1 255, spars par des points,
par exemple 192.162.0.1. Une partie de cette adresse dsigne un rseau, lautre le numro de
18
station au sein de ce rseau. Le protocole IP utilise un masque pour distinguer les deux parties. Dans cet exemple, il sera gal 255.255.255.0, indiquant que les trois premiers chiffres
de ladresse dsignent le numro de rseau, et le dernier celui de la station.
Dans notre cas, il faut sarranger pour configurer toutes nos stations dans le mme rseau logique IP. Nous choisirons donc le rseau 192.168.0 et affecterons nos PC les numros
compris entre 1 et 254, ce qui donne une plage dadresses comprise entre 192.168.0.1 et
192.168.0.254.
Sur chaque PC (Windows 9.x), il faut donc aller dans le menu DmarrerPanneau de
configurationRseau pour configurer ces adresses. Vous obtenez alors lcran illustr
sur la figure ci-aprs.
Station n1 dans le
rseau IP 192.168.0.
Pour linstant nous navons pas besoin den savoir plus, car nous avons cr un petit rseau.
Le chapitre 5 prsente, dans le dtail, tous les mcanismes de ladressage.
1919
Utilisez une prise lectrique protge par un disjoncteur ddi aux quipements informatiques afin dviter tout parasite provenant dun autre appareil lectrique (cafetire,
aspirateur, etc.).
Placez le concentrateur en hauteur, dans un endroit ar et loign de toute source lectrique importante (moteur dascenseur, encore la cafetire, etc.).
Sil est administrable, le concentrateur pourra tre configur ultrieurement pour des fonctions spcifiques lies ladministration SNMP et la cration de segments.
La connexion des PC est galement simple : il suffit de raccorder un cordon de brassage au
PC et de choisir, au hasard, un des ports du concentrateur.
Figure 1-9.
Un rseau local
Ethernet simple.
Concentrateur
Adressage IP :
Adresses = 192.168.0.3
Masque = 255.255.255.0
Pile IP
Driver
192.168.0.3
192.168.0.1
192.168.0.2
Comme vous le voyez, ce type dinstallation convient un faible nombre de PC, de prfrence regroups dans un bureau. Rapidement, il devient ncessaire dorganiser le cblage et
la mise en place des concentrateurs dune autre manire. Cest ce que nous allons voir au
chapitre suivant.
2
Mettre en place
un systme de cblage
Le cblage volant, tel quil a t install pour notre petit rseau lors du chapitre prcdent,
ne peut pas tre gnralis grande chelle. En effet, au del de dix postes, il devient rapidement source de problmes : pos mme le sol, il est encombrant, voire gnant (on se
prend les pied dedans). Il est de ce fait soumis une usure plus rapide.
Une premire amlioration consiste le faire circuler dans des parties protges de
limmeuble : on peut le poser sous un faux plafond ou sous un faux plancher ou encore le
faire passer dans une goulotte le long des murs.
Mais, chaque nouvelle connexion ou chaque dmnagement de PC, il faut dplacer le
cble et trouver un nouveau cheminement, ce qui prsente des inconvnients majeurs :
Cette opration est extrmement difficile, voire impossible si la longueur des cbles est
de plusieurs dizaines de mtres.
Le cheminement des cbles est difficile matriser : on arrive invitablement des situations dans lesquelles les cbles informatiques sentrecroisent avec les cbles lectriques qui sont sources de perturbations importantes. Le rseau peut ne plus fonctionner
cause de cela.
Il est donc impratif de mettre en place un systme de cblage permanent (fixe et stable dans
le temps) et volutif (qui sadapte tous les besoins prsents et futurs). Pour cela, il convient
de respecter un certain nombre de rgles.
22
Si limmeuble existe, un audit pralable est ncessaire afin de reprer les locaux, les
sources de courants forts, les cbles existants, les cheminements possibles des futurs
cbles, etc.
Pour les grandes ralisations, lAPS nest que lbauche de plusieurs scnarios. LAPD
(avant-projet dtaill) permet alors de choisir la solution en fonction de critres techniques organisationnels et conomiques.
Le dossier de consultation (le cahier des charges) peut tre form de trois documents
principaux : le CCTP (cahier des clauses techniques particulires), puis ventuellement
le CCTG (cahier des clauses techniques gnrales) et, si vous travaillez avec
ladministration franaise, le CCAP (cahier des clauses administratives particulires).
Cette phase se termine par la slection dune entreprise de cblage.
La premire tche est avant tout de reprer les lieux, ou de se contenter dexaminer les plans
si limmeuble nexiste pas encore.
Dans les deux cas, lobjectif est de mettre en place un cblage systmatique, cest--dire
dquiper entirement limmeuble. Si seuls quelques tages sont concerns, la dmarche est
plus ou moins la mme.
Il ne sagit donc pas de savoir o sera situ tel ou tel utilisateur, mais dinstaller des prises
partout dans le but de connecter nimporte qui nimporte quelle prise pour nimporte quel
type dapplication. On parlera alors dun prcblage multimdia ou VDI (voix, donnes,
image).
Lavant-projet
Lors dune opration de prcblage, il est important de systmatiser limplantation des prises dans tout limmeuble. Une fois le chantier achev, tout amnagement complmentaire
sera plus dlicat, plus long et plus coteux. Le chantier de cblage est loccasion unique de
raliser une fois pour toute une infrastructure sans avoir y revenir avant dix ou quinze ans.
La densit communment admise est denviron un botier VDI pour 7 10 m2 de bureaux,
un botier pouvant regrouper de deux quatre prises. Cette densit peut tre plus leve pour
certaines applications spcifiques comme les salles de march : on peut trouver jusqu dix
prises par position (occupant 3 m2 environ).
23
On peut prendre comme repre une trave dlimite par une largeur de fentre. Selon les besoins, on pourra installer un botier VDI de deux quatre prises par traves. Gnralement,
il faut une prise pour le poste de travail informatique, une autre pour le tlphone, et une
troisime pour un besoin particulier (une ligne tlphonique directe, une imprimante en rseau, etc.).
Il est important de noter que le botier VDI doit se trouver proximit dun bloc de prises
lectriques : cela parat une vidence, mais il faut penser se coordonner avec lentreprise
qui ralise les travaux courants forts.
Les locaux concerns sont non seulement les bureaux, mais aussi les locaux collectifs : local
photocopieur, caftria (on y pose souvent des bornes dinformation), salles de runions,
salles de confrences, halls dentre (pour les bureaux daccueil, les locaux des gardiens,
etc.).
En outre, il faut aussi prvoir le cblage pour la GTB (gestion technique du btiment), bien
que celui-ci soit souvent ralis par une entreprise spcialise avec laquelle il faudra de
toute faon se coordonner. La GTB regroupe des besoins comme la dtection incendie, les
alarmes, la scurit daccs aux locaux, la surveillance, etc.
De mme, il y a toute une srie dquipements annexes qui peuvent requrir lemploi dune
prise :
etc.
Une fois limplantation des prises dfinie, il faut prvoir de la place pour le cheminement
des cbles et la cration des locaux techniques. Le principe retenu est quasi systmatiquement une topologie en toile : les cbles relient les prises VDI dautres prises en local
technique. Les diffrentes normes dfinissent une longueur maximale de quatre-vingtdix mtres pour les cbles en cuivre.
De ce fait, il faut prvoir plusieurs locaux techniques au sein de limmeuble et donc des cbles pour les relier entre eux. Plusieurs facteurs dterminent le nombre et la position des locaux techniques :
La densit des prises : on admet quun local peut centraliser jusqu 250-350 prises ; audel, son exploitation devient complexe (trop de cbles, trop grande concentration
dquipements).
Larchitecture des rseaux informatiques et tlphoniques : de nos jours, ils reposent sur
une topologie en toile avec des quipements installs chaque tage et dautres qui ont
une fonction fdratrice.
24
Larchitecture dun systme de cblage suit donc celle des rseaux : on dfinit ainsi deux niveaux de locaux techniques :
Les LTE (locaux techniques dtages) qui concentrent les prises VDI et accueillent les
quipements de communication de distribution (concentrateurs, commutateurs, etc.).
Les LN (locaux nodaux) qui sont relis tous les locaux techniques et accueillent les
quipements de communication fdrateurs (PABX, commutateurs fdrateurs, routeurs, etc.).
Un troisime niveau de concentration est parfois ncessaire dans le cas o les distances sur
un tage excdent quatre-vingt-dix mtres. On peut alors trouver la dnomination de LTR
(local technique rapproch) ou de LTP (local technique de proximit). Ce type
darchitecture nest cependant pas conseill, car trop complexe et mal adapt aux architectures rseaux.
Tous ces locaux sont autant despaces prlevs sur la superficie utile de limmeuble. Prparez-vous donc quelques ngociations avec larchitecte (si limmeuble est construire) ou
avec le responsable des services gnraux (sil existe dj). Le tableau suivant donne une
ide de la surface rserver ces locaux techniques.
Local
Superficie moyenne
6 m2 (3 m x 2 m)
Local nodal
24 m2 (6 m x 4 m)
Local nergie
8 m2 (4 m x 2 m)
Local oprateur
9 m2 (3 m x 3 m)
Salle informatique
28 m2 (7 m x 4 m)
Bien entendu, ces superficies doivent tre ajustes en fonction du nombre de prises cbler.
Figure 2-1.
Gaines et locaux techniques
pour un systme de cblage.
LTE
LTE
LN
LTE
LTE
LN
25
26
Ensuite, il faut valuer la puissance lectrique consomme par les quipements informatiques. On pourra mme prvoir des disjoncteurs spars, un par baie ou pour un groupe
dquipements.
Il faut enfin prvoir une climatisation dans chaque local technique, et donc valuer la dissipation calorifique des quipements (exprime en Watts ou en BTU British Thermal Unit).
Ces valeurs sont donnes par les constructeurs de tout quipement informatique.
Tous ces besoins seront regroups dans un document appel APS (avant-projet sommaire) et
communiqus aux corps dtat concerns (architecte, lectricien, socit de climatisation,
etc.).
Ltude dingnierie
La phase dexpression des besoins est suivie dune tude permettant darrter un certain
nombre de choix importants :
27
LTE
LTE
Rocades inter LTE
en fibre et en cuivre
LTE
LN
Cbles en fibre et
en cuivre vers la SI
LTE
Rocade inter LN en fibre
SI
LN
Une ou plusieurs SI
spares ou non des LN
Distribution
en cuivre
28
Pour ajouter plus de scurit, on peut envisager de doubler les liaisons entre les LTE dun
mme tage ainsi quentre les LN, chacune dentre elles passant alors par deux gaines techniques diffrentes.
Attention, cependant, les installations tlphoniques classiques requirent encore des
connexions en cuivre entre les postes et le PABX central. Les contraintes de distance tant
moins fortes (quelques centaines de mtres), il faut donc envisager du cble en cuivre, dit
multipaire, entre les LTE et les locaux nodaux.
De nos jours, on privilgiera une architecture tlphonique identique celle du rseau local
avec des units dportes dans chaque tage (de type Voice Hub, tels que proposs par Alcatel) et raccordes en fibre optique un petit PABX central. Si vous optez pour cette solution, vous navez plus besoin de cbles multipaires entre le local nodal et les LTE.
29
feuille daluminium entourant toutes les paires ou chaque paire, soit par un blindage consistant en une tresse mtallique, soit par les deux (blindage collectif et cran par paire).
Il faut cependant noter que, dune part les techniques de codage utilises par le Fast Ethernet
et le Gigabit rendent ces protocoles plus rsistants aux perturbations, et dautre part que la
qualit des torsades confre aux cbles des performances conformes aux catgories 6 et 7.
Ces deux lments militent en faveur de lUTP, cble non crant et non blind, qui revient
lgrement moins cher que les versions blindes.
Indiquons cependant que le cot du cble ne reprsente quune faible part (environ 20 %) du
cot total dun chantier de cblage, la plus grosse part tant celle de la main duvre pour la
pose. Mais, les cbles crants et/ou blinds ncessitent la mise en place dune terre informatique qui grve le budget de petites ralisations.
En conclusion, le cble UTP convient pour des ralisations de petite et grande taille ; le cble STP (avec un cran collectif) est conseill pour btir un rseau volutif vers les hauts
dbits, au-del du Gigabit ; et le SFTP (avec un cran par paire et un blindage collectif) offre une garantie supplmentaire, mais non ncessaire, si vous disposez du budget requis.
Catgories 5, 6 ou 7 ?
Actuellement, la catgorie 5 (100 MHz de frquence maximale) est la plus rpandue et supporte le Gigabit Ethernet sur ses quatre paires (250 Mbit/s par paire). La catgorie 6 permet
de doubler le dbit (250 MHz) et sa normalisation est stable. En revanche, le cble catgorie
7 na toujours pas de connecteur normalis.
Cble
Caractristiques
tat de la norme
Cat 5 / Classe D
TIA/EIA-568-A
Ratifi en octobre 1995
Cat 5E
TIA/EIA-568-B
Ratifi en mai 2001
Cat 6 / Classe E
TIA/EIA-568-B.2-1
Ratifi en juin 2002
Cat 7 / Classe F
Spcifications en cours
30
Conducteur en cuivre
Gaine en polythylne
La qualit dun cble cuivre dpend bien sr de la qualit du matriau, mais aussi des lments suivants :
du diamtre des fils, exprim en AWG (American Wire Gauge) :
22 AWG = 0,63 mm ; 24 AWG = 0,5 mm (le plus courant) ; 26 AWG = 0,4 mm ;
de limpdance caractristique, exprime en Ohm, qui reprsente la rsistance du cble, le 100 tant
la plus courante (les 120 et 150 peuvent encore tre rencontrs) ;
de la manire de torsader les fils dune paire et les paires entres elles ;
de sa protection contre les champs lectromagntiques : sans protection (UTP, Unshielded Twisted
Pair) autre que celle offerte par la torsade, avec un cran collectif (FTP, Foilded Twisted Pair) consistant en une feuille daluminium entourant les paires, avec un blindage collectif (STP, Shielded Twisted
Pair) consistant en une tresse mtallique entourant les paires, ou avec les deux (SFTP, Shielded &
Foilded Twisted Pair) consistant en un blindage collectif et un cran par paire.
La norme TIA/EIA-568 prcise les paramtres mesurer pour vrifier la qualit des cbles (TSB 36) et des
prises RJ45 (TSB40) :
lattnuation, exprim en dcibels pour cent mtres, qui mesure laffaiblissement du signal (U1-U1) ;
la paradiaphonie NEXT (Near End Cross Talk), exprime en dcibels, qui mesure la diffrence entre la
quantit de signal U1 produite par une paire et celle U2 qui est engendre sur une autre paire ;
la paradiaphonie cumule (Powersum Next), exprime en dcibels, qui mesure la somme des paradiaphonies engendres sur une paire par toutes les autres paires ;
le rapport signal/bruit ACR (Attenuation to Crosstalk Ratio), exprim en dcibels, qui mesure la diffrence entre la puissance dun signal induit U2 et celle dun signal attnu (ACR = NEXT - attnuation).
Puissance du signal gnr
sur la paire n1 son origine.
Near
Far
U1
Paire 1
U1
U2
U2
Paire 2
La meilleure qualit est obtenue pour une faible attnuation ainsi que pour une paradiaphonie et un rapport
signal/bruit levs. Laffaiblissement est proportionnel la racine carre de la frquence.
31
Le tableau suivant prsente quelques valeurs de rfrence spcifies par la norme TIA/EIA568-B.2-1 pour la catgorie 6.
Frquence
Attnuation
Next
PSNext
ACR
PSACR
ELFEXT
PSELFEXT
Return
Loss
MHz
Max dB/100m
Min dB
Min dB
Min dB/100m
Min dB/100m
Min dB/100m
Min dB/100m
Min dB
10
6,0
59,3
57,3
53,3
51,3
50,0
47,0
25,0
62,5
15,5
47,4
45,4
31,9
29,9
34,1
31,1
21,5
100
19,7
44,3
42,3
24,4
22,4
27,8
27,0
20,1
250
33
38,3
36,3
5,3
3,3
22,0
19,0
17,3
Attnuation
Next
PSNext
ACR
PSACR
ELFEXT
PSELFEXT
Return
Loss
MHz
Max dB
Min dB
Min dB
Min dB
Min dB
Min dB
Min dB
Min dB
10
6,5
56,6
54,0
50,1
47,5
43,2
40,2
19,0
62,5
16,9
43,4
40,6
26,5
23,7
27,3
24,3
14,1
100
21,7
39,9
37,1
18,2
15,4
23,3
20,2
12,0
250
36,0
33,1
30,2
-2,9
-5,8
17,2
14,2
8,0
32
Il faut noter que tous les types de cble (UTP, FTP, STP, SFTP, 100 ou 120 Ohms) peuvent
tre conformes aux normes catgorie 5, 6 ou 7. Les deux ne sont pas lis.
Multimode ou monomode ?
Une fibre monomode offre de meilleures performances mais cote plus cher que la multimode, de mme que les cartes rseau correspondantes. De plus, la multimode convient
presque tous les usages pour la mise en place de rseaux locaux au sein dun btiment ou sur
un campus.
Toutefois, si les distances sont rellement importantes, le choix de la monomode simpose.
Elle pourra tre envisage pour connecter dautres sites hauts dbits dans le cadre dune
boucle optique sur un campus ou avec un oprateur.
62,5/125 ou 50/125 ?
Cette question porte sur les diamtres du cur et de la gaine optique de la fibre, exprims en
microns. Un cur de plus petit diamtre affaiblit moins le signal et permet donc de le vhiculer sur de plus grandes distances.
Un cble
90 mtres
Multimode 62,5/125
300 m 850 nm
550 m 1 300 nm
Multimode 50/125
550 m
850 nm et 1 300 nm
Monomode
3 km 1300 nm
Cependant, la fibre optique qui convient tous les usages actuels et pour laquelle les quipements actifs sont le plus rpandus est la multimode 62,5/125. Cest galement la moins
chre. Tous les rseaux Ethernet, du 10 Mbit/s au Gigabit, fonctionnent avec une longueur
donde de 850 nm ou, plus rarement, de 1 300 nm.
33
Ainsi, le Gigabit Ethernet peut fonctionner sur un cble UTP catgorie 5 en respectant lEMC uniquement si
lAC est suprieur 50 dB.
34
Gaine de protection
Tresse mtallique
Dilectrique
me en cuivre
Coeur
Multimode
gradient dindice
Propagation
des faisceaux
lumineux
Multimode
Saut dindice
Monomode
Source lumineuse
Bande passante
Diamtre du cur
Diamtre de la gaine
Type de fibre
Multimode saut d'indice
Composition
Cur / Gaine
Verre de silice / verre de silice
ou plastique
ou verre composite
Verre de silice / verre de silice
ou verre composite
Verre de silice / verre de silice
Monomode
Laser
3 50 GHz/km
de 2 8
de 15 60
Affaiblissement en dB/km
850 nm
1 300 nm
2
0,5
2,5
---*
3,4
---*
2
0,5
3,5
1,5
2
0,5
1 500 nm
0,2
---*
---*
0,2
---*
0,2
35
36
RJ45 pour la paire torsade (la prise RJ11 du tlphone peut sinsrer dans une prise
RJ45 femelle, mais pas linverse) ;
Paire 1
Paire 2
Paire 3
Paire 4
1 2 3 4 5 6 7 8
Paire 1
Paire 3
Fil
1
Paire
3
Couleur
blanc/vert
Fil
1
Paire
2
Couleur
blanc/orange
2
3
3
2
Vert
blanc/orange
2
3
2
3
orange
blanc/vert
4
5
6
1
1
2
bleu
blanc/bleu
orange
4
5
6
1
1
3
bleu
blanc/bleu
vert
7
8
4
4
blanc/marron
marron
7
8
4
4
blanc/marron
marron
TIE/EIA T568A
Paire 2
Paire 4
1 2 3 4 5 6 7 8
TIE/EIA T568B
Pour des questions de simplicit, les mmes types de prise sont poss en bureau et en local
technique. Cela permet dutiliser les mmes cordons de brassage.
Les baies
La hauteur utile dune baie est gnralement de 36 ou 42 U (un U quivalant 4,44 cm) ;
ses largeur et profondeur peuvent varier entre 800 800 cm, 600 800 cm ou 600 600
cm. La taille de 800 800 a ma prfrence, car elle offre suffisamment despaces latraux
pour y faire passer des cordons de brassage et suffisamment de profondeur pour y loger tous
types dquipements actifs.
Dans tous les cas, elle doit tre quipe de rails crnels fixs sur les montants droit et gauche, de manire offrir une largeur de 19 pouces (48,26 cm). Les rails doivent tre fixs
lavant et larrire, en retrait de 10 15 cm par rapport aux faades. Cet espace permettra
de fermer la porte lorsque tous les cordons de brassage seront installs. Dtail pratique, mais
qui est parfois oubli
37
Les baies peuvent tre ddies au cblage ou mixtes cblage/quipements, accueillant, par
exemple, un panneau de brassage dans leur partie haute et les quipements actifs dans leur
partie basse.
Lorganisation du local
Une des rgles de base est de positionner les quipements actifs proximit des panneaux
de brassage, afin de limiter la longueur des cordons et galement les sources de sacs de
nuds .
Par ailleurs, tous les quipements susceptibles dtre connects des lignes tlcom (autocommutateurs et routeurs) doivent de prfrence tre situs proximit de larrive de ces
lignes dans la baie de loprateur. Il faut dans tous les cas prvoir des cbles de dport (avec
ferme CAD et/ou panneaux RJ45) entre les deux types de baies, surtout si le local oprateur
est distinct du local informatique.
Figure 2-4.
Agencement
du local nodal.
Gaine technique
PABX
LAN
Local Op
nergie
Routeurs
38
Le local nodal peut trs bien tre situ dans la salle informatique ou tre spar pour des
questions dorganisation, les exploitants rseaux ne devant pas avoir accs aux serveurs, et
inversement pour les exploitants systme.
Si les serveurs sont proches des quipements actifs, ils pourront tre directement connects
ces derniers laide des cordons circulant dans les guides cbles et/ou le chemin de cble.
Si, en revanche, ils sont loigns, ou si la salle informatique est distincte du local technique,
un panneau de distribution (prises RJ45 et/ou SC) devra tre install proximit de chaque
serveur, dans une baie mixte cblage/serveur, et reli par un cblage un panneau de distribution analogue dans le local technique.
le maintien du site dans un bon tat de propret si limmeuble est dj occup, et en particulier lvacuation des gravats sa charge ;
Le CCTP doit dcrire lexistant (linfrastructure dimmeuble et le cblage, sil existe), tay
par des plans (plan de masse, tage type, sous-sol). Il doit ensuite fournir tous les lments
techniques qui permettront aux soumissionnaires de rpondre. Ses donnes sont en fait une
synthse de ltude ralise dans les phases prcdentes. Il sagit de dcrire :
les rgles despacement par rapport aux sources de courants forts (cbles lectriques,
moteurs dascenseur, alimentations coupure, tubes non, etc.) ;
les rgles dingnierie que lentreprise devra imprativement respecter concernant les
cbles, les chemins de cble, la connexion des prises, le raccordement la terre informatique, etc.
39
Dans une autre partie, le CCTP dcrit les prestations attendues, savoir :
le raccordement la terre informatique et, si ncessaire, la ralisation de la terre informatique partir du puits de terre jusqu la distribution.
la documentation des travaux raliss tels que le cheminement exact des cbles et la position exacte des prises reports sur les plans ;
ltiquetage des prises avec des tiquettes graves autocollantes (et non pas des Dimos
ou du papier qui seffacent ou se dcollent au bout de quelques mois).
pour le cblage cuivre : types de cbles de distribution et de rocades, types de connecteurs, etc. ;
les types de botiers VDI : nombre et types des prises (RJ45, CD, etc.) ;
le descriptif des tests sur chaque prise et les valeurs mesurer lors des tests rflectomtriques (voir plus loin).
Afin de comparer facilement les rponses, un modle de bordereau de prix tel que celui prsent ici pourra tre joint.
Dsignation des ouvrages
Percements
Chemins de cble
Raccordement la terre lectrique
ens
m
ens
Qt
P.U. HT P.T. HT
40
Le reproche que certains peuvent faire une description aussi dtaille est quelle est du ressort de lentreprise, que cest son mtier. Certes, mais le but est ici de bien dfinir le niveau
de prestation que lon attend. Si on ne le fait pas, les soumissionnaires feront des rponses
minimales :
en calculant la longueur des cbles au plus juste (en les faisant passer en ligne droite
sans respecter les contraintes dcartement des sources de courant fort) ;
etc.
Ce type de rponse paratra attractif sur le plan financier, mais passera sous silence de nombreux aspects importants.
Il peut galement tre tentant de confier la ralisation du cblage une socit spcialise en
lectricit. Cela serait une erreur, sauf si bien sr elle dispose des comptences requises en
courant faible. Car le cblage informatique na rien voir avec llectricit : ce sont deux
mtiers diffrents qui font appel des expertises sans aucun rapport entre elles.
Enfin, la certification de lentreprise pour le systme de cblage propos est un gage de qualit : non seulement elle offre la garantie du constructeur pendant dix quinze ans mais, de
plus, elle signifie que les techniciens ont suivi une formation spcifique de la part du constructeur sur le type de matriel propos.
En fin de chantier, un reprsentant du constructeur vrifie (en plus de la recette dont nous
parlerons plus loin) la qualit de linstallation, et appose son certificat de garantie. Celui-ci
assure la remise en tat, pendant dix quinze ans, selon le constructeur, de nimporte quel
composant dfectueux (cble, connecteur, panneau de brassage). Si lentreprise disparat
dans lintervalle, le constructeur prend le relais ou dsigne une autre socit.
41
Il est galement indispensable de procder des visites rgulires du site (une deux fois
par semaine selon ltat davancement des travaux). Lobjectif est ici de contrler la qualit
des travaux en cours afin de procder dventuelles rectifications avant la fin du chantier.
Mieux vaut dtecter le plus en amont possible tout problme pouvant ncessiter la reprise
des travaux supposs achevs.
Le chantier termin, il est ncessaire de procder sa recette. Celle-ci comprend la vrification exhaustive, qualitative et quantitative de lensemble des composants installs, ainsi que
lanalyse des documents remis (cahier de tests, plans, etc.). Il sagit notamment :
de raliser des tests complmentaires sur un chantillon de prises avec le mme rflectomtre fourni par lentreprise de cblage ;
Le cbleur doit ainsi tester toutes les prises avec un rflectomtre et fournir tous les rsultats. Ceci permet de sassurer des performances du systme de cblage pos (cbles + prises)
et de vrifier que les mesures sont dans les normes. Cest galement loccasion pour le cbleur de rparer dventuelles prises dfectueuses.
42
Prise n 22
du 1er tage
ID circuit :
Rsultat :
Propritaire :
Niveau :
No de srie :
Version SW :
Inj. Srie # :
Fiche de test
1.022
Passe
Socit X
Date : 01/09/97
type de cble : Cat 5 SFTP ses catgorie 5 sont
tests et compars la
NVP :
classe D de la norme
Taille :
Fabricant :
EN50173.
Connecteur :
Utilisateur :
38T95KB0205
V04.10
38T95K00879
Extrmit #1 :
Btiment:
Etage
Limpdance du cble est garantie
Armoire:
par
le
constructeur
15%...
Bti:
Noeud:
Carte:
porte:
Test
Cblage
Longueur
m
Dlai
ns
Impdance
ohms
Rsistance
ohms
Capacit
pF
Affaibliss
dB
@Frquence
MHz
Limite
dB
Comb. de paires
Perte de PARA(REFLEC)
@Frquence 20.0-100.0
Limite : Class D
Marge actif (REFLEC)
@Frquence 20.0-100.0
Limite : Class D
Perte de PARA(INJ)
@Frquence 20.0-100.0
Limite : Class D
Marge actif (INJ)
@Frquence 20.0-100.0
Limite : Class D
- Cblage Class D
Rsultat attendu
local : 12345678S
Dist. : 12345678S
min
max
3.0
100.0
0
32767
85.0
115.0
0.0
40
40
5600
Class D
dB
MHz
dB
dB
MHz
dB
dB
MHz
dB
dB
MHz
dB
Rsultat de test
local : 12345678S
Dist. : 12345678S
Paire12
Paire36
Paire45
Paire78
23.5
24.0
23.6
23.3
109
111
109
108
105.0
102.0
102.0
98.0
4.7
4.9
4.0
4.4
1100
1102
1108
1084
4.7
4.9
4.8
4.8
97.0
100.0
97.0
100.0
22.8
23.2
22.8
23.2
12/36
12/45
12/78
36/45
36/78
45/78
39.1
41.7
36.8
37.1
37.4
40.2
77.5
68.5
100.0
96.5
97.0
76.5
25.8
26.5
24.0
24.2
24.2
25.8
34.2
37.7
32.5
32.6
36.3
Mesure dans
les deux 32.0
sens : ct instrument
100.0
100.0de signal
96.0
97.0
76.0
de mesure87.0
et ct injecteur
4.0
7.1
4.0
4.9
4.7
9.7
37.8
40.2
38.9
77.5
87.0 la norme
69.5
Marge
= le delta entre
25.8
25.0
26.4
et ce33.9
qui est mesur.
35.6
35.3
77.0
9.5
93.0
5.6
69.0
11.4
36.9
96.0
24.3
32.2
96.0
4.9
38.9
73.5
26.1
35.1
73.0
10.4
37.6
97.0
24.2
32.8
97.0
4.7
Une description des paramtres saisis manuellement par la personne qui a procd aux
tests. Parmi les champs importants, on trouve ID Circuit qui correspond au numro
de la prise tel quon le trouve sur ltiquette et les plans dimplantation.
Deux tableaux indiquant les caractristiques et les performances du cble mesures par
le rflectomtre. Ces valeurs ne sont, en thorie, pas modifiables manuellement.
43
Le premier tableau montre les caractristiques du cble pour chaque paire. Les plus importantes sont la longueur, limpdance et laffaiblissement.
La premire colonne indique les valeurs limites paramtres dans le rflectomtre au moment du test. Les colonnes suivantes indiquent les valeurs mesures pour chaque paire : 1-2,
3-6, 4-5 et 7-8. Les valeurs les plus importantes vrifier lors de la recette sont :
La longueur : celle-ci varie de quelques centimtres dune paire lautre. Ceci est d
la prcision de lappareil de mesure, au pas de torsade lgrement diffrent, et
ventuellement la courbure du cble tout au long de son cheminement.
Le deuxime tableau indique les mesures de paradiaphonie pour chaque combinaison de paires. L encore, la fiche de test indique la frquence laquelle les plus mauvaises valeurs ont
t mesures. Par exemple, pour la combinaison 12/36, on a une paradiaphonie de 39,1 dB
77,5 MHz alors que pour la combinaison 12/78, la plus mauvaise valeur est obtenue 100
MHz.
Les combinaisons de paires vrifier dpendent du rseau que lon va installer. Par
exemple, il faut considrer les paires 12/36 pour le 10bT, 12/78 pour le 100bT et toutes les
paires pour le Gigabit.
Si des anomalies sont constates, la recette peut donner lieu des rserves. Les rserves sont
leves seulement lorsque lentreprise de cblage a corrig les dfauts. Le procs verbal de
recette peut alors tre sign.
La fibre optique doit galement faire lobjet dun test rflectomtrique dans les deux sens et
aux deux longueurs dondes de rfrence. La plupart des quipements rseau utilisent, en effet, la longueur donde de 850 nm, mais il nest pas exclu quavec le 10 Gigabit, la longueur
de 1 300 nm soit la seule possible.
Le schma suivant prsente, titre dexemple, une courbe issue des tests rflectomtriques
dune fibre optique. La chane de liaison comporte le rflectomtre, une bobine damorce
(un cble dune fibre optique de plusieurs dizaines de mtres enroul), la fibre tester y
compris les connecteurs dorigine et dextrmit, et une bobine de terminaison.
44
db
-5
0
5
10
15
3 db/km 3
0,58 db
2,94
db/km
2 0,66
db
-0,06 db
762 m
1 0,9 db
2,14 db
Extrmit
2,84
db/km
0,74 db/km
0,26 db
1,7 db/km
0,96 db
5
10
0,53 db
556 m
15
0,26 db
1,75 db
1219 m
Linterprtation des rsultats est toujours dlicate. Dans le cas prsent, il se peut que la fibre
soit lgrement coupe ou prsente un rayon de courbure trop faible (un angle droit par
exemple).
Par ailleurs, un photomtre permettra de mesurer avec prcision la longueur de chaque fibre
et de sassurer ainsi que leur longueur ne dpasse pas les normes imposes par Ethernet (cf.
chapitre 3)
La recette termine, vous pouvez utiliser votre cblage pour constituer votre rseau local et
ventuellement votre rseau tlphonique tel que le montre le schma suivant.
Prise murale
RJ45
Goulotte de
descente
1.022
Prises 1er tage
Commutateur
Concentrateur
Routeur
45
3
Architecture
des rseaux locaux
Le systme de cblage tant maintenant prt lusage, on peut alors commencer y installer
un rseau.
La conception dune architecture rseau est labore en fonction du nombre de postes de travail connecter. On peut considrer les cas suivants :
Bien quarbitraires, ces bornes correspondent des ordres de grandeur et des sauts technologiques. En effet, plus le nombre de postes est important, plus il faut rpondre un certain
nombre de contraintes et dexigences qui napparaissent quavec la complexit du rseau.
Larchitecture rseau est bien sre lie au systme de cblage, mais celui-ci doit avoir t
conu pour en limiter les contraintes, cest--dire sadapter toutes les situations. Le chapitre prcdent a aid uvrer en ce sens. Tous les systmes de cblage sont en toile, de
mme que la topologie ; les quipements actifs seront donc positionns dans les locaux techniques. Ils serviront connecter les postes de travail aux serveurs.
Dans le cas le plus simple, la conception dune architecture consiste choisir et positionner les quipements actifs, puis les connecter entre eux en utilisant le cblage.
4848
Utilisation
10 Mbit/s
100 Mbit/s
1 Gbit/s
Ct poste de travail, la plupart des cartes rseau fonctionnent 10 et 100 Mbit/s, et sont au
mme prix que les cartes 10 Mbit/s. En outre, la plupart des commutateurs offrent des ports
dtection automatique de vitesse (port autosense).
Niveau 2
PLS
Niveau 1
Reconciliation
Reconciliation
MII
MII
PLS
AUI
MAU
AUI
PMA
PMA
PCS
PMA
MDI
10 Mbit/s
1 Mbit/s
10 Mbit/s
PCS
PMA
PMD
MDI
MDI
Reconciliation
GMII
PHY
PMD
MDI
100 Mbit/s
Cble
Gigabit
Au niveau 2, la couche MAC (Medium Access Control) a pour rle de transporter les donnes entre deux
points dun segment Ethernet. Pour ce faire, elle encapsule les donnes dans une trame MAC, identifie
metteurs et destinataires par des adresses MAC et assure que les donnes sont transmises sans erreur,
grce un code de contrle.
Les cartes rseaux se synchronisent sur ce prambule pour lire les trames.
MTU (Maximum Transfer Unit) Ethernet = 1 500 octets
Prambule
7
Longueur
2
0 46
4
(nbre doctets)
Prambule = 10101010 x 7
Start Frame Delimiter = 10101011
Chaque carte rseau est identifie par une adresse MAC unique sur 6 octets (par exemple,
01-00-0A-FB-5D-52). Toute trame MAC mise comporte les adresses de lmetteur et du destinataire. La
carte rseau ne prend en compte que les trames MAC qui lui est destine. Exception cette rgle : une
carte peut mettre une trame spciale, appele trame de diffusion (ou trame de broadcast), qui sera lue
par toutes les autres cartes (adresse destination dont tous les bits sont 1 FF-FF-FF-FF-FF-FF).
La couche MAC est galement responsable de grer laccs au segment Ethernet quand il est partag par
plusieurs nuds. Lorsque deux stations mettent simultanment, la somme des deux signaux dpasse un
seuil qui est interprt comme tant une collision. Dans un tel cas, chaque station arrte dmettre et attend un temps alatoire avant dessayer de rmettre leur trame. Cette mthode de gestion de la contention
est appele CSMA/CD (Carrier Sense Multiple Access / Collision Detection).
49
5050
Hub 1
ON
OFF
ON
OFF
# K 5864AZ5
# K 5864AA3
Connecteurs en face
arrire servant relier
les deux concentrateurs
sur le mme bus.
Hub 2
Up
51
Les modles stand alone visent le march dentre de gamme ; ils sont parfaits pour crer un
premier rseau local tel que celui du premier chapitre.
Les modles empilables sont envisageables ds quil y a des possibilits dextension. Par
exemple, votre socit dispose de cinquante postes de travail, et vous commencez par en
connecter dix dans un premier temps. Vous pouvez alors acheter un hub 12 ports, puis un
autre 12 ports plus tard.
Un concentrateur, ou un commutateur, comprend un nombre limit de ports (gnralement
8, 16, 24 ou 32). Or, la plupart du temps, un local technique concentre beaucoup plus de
postes de travail (jusqu plusieurs centaines). La solution est alors de chaner les stackables
entre eux via un bus spcial, ddi cet effet ; il sagit dun cble externe reliant les quipements entre eux pour nen faire quune unit logique. Attention, le bus tant propritaire,
seuls les quipements dun mme constructeur pourront tre chans entre eux, gnralement de 5 8 au maximum.
Une autre solution consiste installer des chssis, certes plus chers, mais qui offrent de plus
grandes capacits daccueil. Ces quipements permettent de crer plusieurs segments indpendants des dbits diffrents.
Figure 3-2.
Principes
et fonctionnalits
d'un chssis.
Alimentations
redondantes et en
partage de charge
Ventilateur
Ports RJ45
Matrice de slection
du segment
Il est possible dinsrer diffrents types de cartes dans un chssis : concentrateur Ethernet,
commutateur Ethernet, carte Token-Ring, FDDI, ATM, etc. Il est galement possible de
combiner les dbits (10, 100 et 1 000 Mbit/s) sur des segments spars. Mais, attention, il
nest en aucun cas possible de mlanger des dbits sur un mme segment Ethernet. De
mme, les rseaux Token-Ring, FDDI et ATM crs seront indpendants.
5252
Codage en
ligne
Manchester
Manchester
NRZI
NRZI
PAM5
NRZ
NRZ
Codage
complet
----4B/5B
4B/5B
8B1Q4
8B/10B
8B/10B
Paires cuivre
utilises
1,2 / 3,6
--1,2 / 7,8
--Toutes
-----
Frquence du signal
/ Longueur donde
10 MHz (15%)
850 nm
62,5 MHz
850 nm
125 MHz
850 et 1 300 nm
1 300 et 1 550 nm
Distance
maximale
100 m
2 000 m
100 m
2 000 m
100 m
220 550 m*
550 5 000 m*
* Selon le type de fibre optique et la qualit des quipements (voir chapitre 12).
Ces variantes utilisent toutes le mme principe daccs au support de transmission (dtection de collision
en half duplex), les mmes trames Ethernet et le mme adressage MAC (Medium Access Control).
Il existe deux types dquipements : les concentrateurs (hubs), qui partagent un segment Ethernet entre
plusieurs ports, et les commutateurs (switch), qui crent un segment Ethernet par port.
Certains concentrateurs peuvent tre partags en plusieurs segments indpendants, tandis que le commutateur est capable dinterconnecter des segments qui sont physiquement indpendants.
Un domaine de collision comprend un ou plusieurs concentrateurs Ethernet ; une trame mise sur un port
est rgnre sur tous les autres ports des concentrateurs chans (via un cordon de brassage) ou empils
(via un bus externe par un cble spcifique). Le commutateur ne laisse pas passer les collisions, mais une
trame de broadcast mise sur un port sera rgnre sur tous les autres ports.
Un segment Ethernet = un domaine de collision
Un domaine de diffusion MAC
(domaine de broadcast)
Concentrateur
Concentrateur
Concentrateur
Commutateur
Un PC connect un port du commutateur est seul sur le segment Ethernet : aucune collision nest donc
possible, et il dispose de toute la bande passante. Inversement, tous les PC connects un concentrateur
partagent la mme bande passante (10, 100 ou 1000 Mbit/s) et peuvent mettre des trames en mme
temps, do une probabilit de plus en plus importante de collision qui crot avec le nombre de PC.
53
Empilable
Chssis
volutivit
Ajout dlments empilables limit cinq Ajout de cartes limit par le nombre de
environ
slots
Segmentation
Capacit de traitement
Alimentation
Redondance dalimentation
Oui
Oui
Oui
Utilisation
En dfinitive, lempilable sera choisi pour des faibles densits (moins de cent postes par local technique) ; les chssis seront privilgis dans les autres cas. Dune manire gnrale,
plus le rseau concentre de postes de travail, plus la fiabilit des quipements doit tre importante.
Les chssis seront donc choisis l o le besoin en bande passante est lev et o la fiabilit
est primordiale, cest--dire des points de concentration stratgiques du rseau.
Concentrateur ou commutateur ?
Lautre dcision prendre consiste choisir entre les concentrateurs et les commutateurs.
Les premiers se contentent de gnrer le signal, alors que les seconds permettent de crer un
segment par port. Ces derniers sont bien sr plus chers.
Pour une utilisation bureautique du rseau (traitement de texte, comptabilit, base de donnes, connexion un serveur, etc.), les concentrateurs suffisent pour connecter les postes de
travail car il y a peu de trafic entre eux. Pour amliorer les performances, on peut jouer sur
la vitesse (10 ou 100 Mbit/s).
Lutilisation des commutateurs senvisage dans plusieurs cas de figures :
lorsquon emploie des applications multimdias (voix et vido) gnrant des dbits
importants et ncessitant des temps de rponse courts ;
dune manire gnrale, lorsque le flux rseau est important et que les temps de rponse
sont mauvais ;
5454
Si vous constatez un nombre lev de collisions li une charge rseau importante, vous
pouvez, dans un premier temps, segmenter le rseau (cest--dire le couper en deux). Dans
ce cas, les PC situs sur un segment ne pourront plus communiquer avec ceux situs sur
lautre.
Au lieu dacheter un second concentrateur, lachat dun commutateur rsoudra le problme :
les postes seront rpartis sur les deux quipements, et les segments ajouts seront interconnects.
Les 10 Mbit/s de ce port sont partags
par les stations connectes sur le hub.
Figure 3-3.
Concentrateur
et commutateur.
Commutateur
Concentrateur
Cordon de brassage
55
cette possibilit car les trames sont commutes la vole (elles ne sont pas stockes en mmoire).
On trouve sur le march les formules suivantes :
,Les cartes rseau autosense 10/100 posent des problmes avec les commutateurs qui sont
galement autosense, car il ny a pas de ngociation de dbit ; chacun essaie de se caler
sur la vitesse de l'autre. Il est donc recommand de dsactiver cette fonction au niveau de
la carte et de fixer la vitesse manuellement (configuration laide de Windows).
Les commutateurs permettent galement daugmenter les dbits de plusieurs manires :
avec le mode full duplex entre un PC et un port du commutateur ou entre deux commutateurs ;
Figure 3-4.
Augmentation
des dbits
grce
aux commutateurs.
Commutateur
Commutateur
3 cordons de brassage
5656
Le mode full duplex ne permet pas d'augmenter la vitesse de transmission, mais consiste
sparer les canaux mission et rception. Le dbit global est ainsi augment, et peut, thoriquement, tre multipli par deux. Dans la pratique, ce mode est donc intressant pour les
serveurs et les liaisons intercommutateurs qui peuvent avoir traiter un flux simultan dans
les deux sens.
La carte rseau doit galement supporter le mode full duplex.
l'inverse, lagrgation consiste crer une seule liaison logique constitue de plusieurs
liaisons physiques. Le dbit obtenu est alors gal la somme des dbits des ports agrgs.
Cette technique, normalise 802.3ad, est utilise pour interconnecter deux commutateurs
gnralement de mme marque. Certaines cartes rseau supportent ce mode de fonctionnement.
Fonctionnalit
Concentrateur
Commutateur
Segment
Un par port
Segmentation
Non
Port Uplink
Administrable
SNMP en option
Autres fonctionnalits
Les VLAN (Virtual LAN) seront tudis au chapitre 12. Pour linstant, nous nen avons pas
besoin.
Larchitecture
Mise en place dun rseau local dtage
Ayant en tte toutes les possibilits des quipements notre disposition, la conception dune
architecture rseau simple consiste assembler les concentrateurs et les commutateurs en
exploitant au mieux les capacits du cblage.
Partons dun cas simple : une cinquantaine de PC situs au mme tage dun immeuble
quelconque. Les utilisateurs ont juste besoin dchanger des donnes entre eux et de partager des applications (un serveur web, une base de donnes, des traitements de texte, etc.).
Le schma suivant dcrit larchitecture de base qui en rsulte.
Figure 3-5.
Rseau local
sur un tage.
57
LTE
Concentrateur
Deux concentrateurs
stakables empils
Concentrateur
5858
Figure 3-6.
Extension d'un rseau local
sur plusieurs tages.
LTE-2
LTE-1
Concentrateur
Concentrateur
Sil y a davantage de PC, ou, dune manire gnrale, sil ny a plus de cbles de rocade en
nombre suffisant (en gnral, entre 6 et 12), il suffit de crer un autre rseau sur le mme
modle. Le problme est maintenant de connecter les rseaux construits sur les deux tages
pour que tout le monde puisse accder aux mmes donnes et aux mmes applications.
La solution la plus simple consiste connecter les deux concentrateurs en cascade, via un
cble de rocade en cuivre.
Figure 3-7.
Un rseau local
tendu sur plusieurs tages.
LTE-2
De plus en plus de PC doivent tre
connect cet tage : il ny a plus de
cbles de rocade disponible.
Concentrateur
Port uplink
59
Les rponses ces questions dpendent avant tout du trafic prvisionnel, des perspectives
dvolution et des performances mises en balance par rapport au cot. Si limmeuble comprend trente autres tages, on peut supposer quil faudra tt ou tard tendre le rseau. Si, en
revanche, limmeuble nen comprend que six, on sait que la configuration sera fige pour un
bon moment.
Larchitecture doit donc tre conue pour couvrir les besoins futurs et non seulement ceux
du moment. Elle doit donc tre volutive, cest--dire tre btie sur des quipements que
lon pourra rcuprer (recycler pour dautres usages).
6060
Larchitecture couramment utilise est de type collapse backbone (littralement, rseau fdrateur effondr). Le principe consiste concentrer le backbone en un seul point : au lieu
davoir un rseau qui parcourt tous les tages, le backbone est ralis dans un commutateur
unique. Cela revient crer une architecture en toile deux niveaux, un premier concentrant les PC chaque tage et un second concentrant les quipements dtage en un point
central, en gnral la salle informatique ou un local nodal ddi aux quipements rseau.
Figure 3-8.
Conception
dun rseau fdrateur.
LTE-2
Commutateur
Port uplink
100bF
LTE-1
Concentrateur
Concentrateur
Concentrateur
100bT
Port uplink
Local Nodal ou Salle Informatique
Commutateur Fdrat
61
Pour un rseau de taille moyenne (de 200 800 utilisateurs), lquipement central doit tre
de grande capacit en termes daccueil et de performances. Le choix se portera donc sur un
chssis qui offre une matrice de commutation haut dbit. Le rseau fdrateur nest alors
pas limit 10 Mbit/s, mais 100 Mbit/s par tage et la capacit de la matrice de commutation du commutateur central, gnralement plusieurs gigabits.
Concentrateur 10 Mbit/s
10 Mbit/s
100 Mbit/s
Commutateur 10 Mbit/s
100 Mbit/s
1 Gbit/s
Le choix du dbit des PC dpend, quant lui, du volume de trafic gnr et du type
dapplication (du flux bureautique au flux multimdia). Mais le passage du concentrateur au
commutateur vite ou retarde laugmentation du dbit, ce qui permet de conserver les cartes
rseau existantes dans les PC.
Plus de 40 PC
Serveur
6262
Type de trafic
Rseau dtage
Fdrateur
Applications bureautiques
(Word, Excel, bases de donnes)
Concentrateurs 10bT
Commutateurs 10/100bT
Commutateurs 10/100bT
Commutateurs 100bT
Commutateurs 100bT
Commutateurs Gigabit
Le cot est un autre critre de dcision, sans doute le plus important. Lors du choix dune
technologie (concentration ou commutation) et du dbit, il faut tenir compte du nombre de
cartes rseau pour les PC ainsi que du nombre dquipements.
Cot en Euros HT
Carte 10bT
De 38 120
De 75 185
Concentrateur 10bT
De 75 770
De 385 1 000
Commutateur 10bT
De 770 2 300
De 2 300 3 000
Concentrateur 1000bT
Nexiste pas
Commutateur 1000bT
De 7 600 13 800
63
Les carts de prix sont dus des diffrences dans les fonctionnalits proposes (concentrateur administrable ou non, empilable ou non, avec ou sans slot dextension, etc.). Un exemple en a t donn au premier chapitre concernant les concentrateurs 10bT. Le choix de la
fibre optique fait galement monter les prix.
6464
Figure 3-9.
Utilisation des capacits des commutateurs
pour monter en charge.
LTE-2A
LTE-2B
Commutateur 10bT
Commutateur
100bF
LTE-1B
LTE-1A
Commutateur 10bT
Commutateur 10bT
Commutateur 10bT
100bT
Salle Informatique
Commutateur fdrat
Commutateur 100bT
Commutateur fdrat
65
panne dalimentation ;
coupure dun cble entre les commutateurs (erreur de manipulation lors du brassage
dans les locaux techniques) ;
dbranchement dun cble, dun convertisseur ou de tout autre petit botier : eh oui, un
transceiver ou un connecteur mal enfoncs dans la prise tendent non pas se remettre
en place deux-mmes (dommage), mais plutt tomber sous leffet des vibrations et de
la pesanteur...
Lincendie ou linondation sont plus rares, mais, quand ils se produisent, il nest pas question de reconstruire un systme de cblage et un rseau avant quelques heures, voire plusieurs jours.
La mise en place dun rseau redondant repose dune part sur un systme de cblage qui offre lalternative de plusieurs cheminements, dautre part sur la mise en place dquipements
de secours.
La redondance est gnralement limite au rseau fdrateur, mais, dans des cas critiques
(salles de march, processus industriels en flux tendus, etc.), il peut tre ncessaire de
ltendre jusquau poste de travail.
On peut alors prvoir dquiper ces derniers en carte deux ports : quand le premier perd le
contact avec le port du concentrateur, il bascule sur le second, connect un autre concentrateur situ dans un autre local technique. Ct serveur, on peut envisager la mme solution
ou encore prvoir deux cartes ou plus, ce qui offre lintrt du partage de charge en fonctionnement normal.
6666
Figure 3-10.
Cas
d'un rseau
redondant.
LTE-2A
LTE-2B
Commutateur 10bT
Commutateur 10bT
LTE-1B
LTE-1A
Commutateur 10bT
Commutateur 10bT
Commutateur 10bT
Cordon crois
Salle Informatique A
Commutateur fdrat
Lien en attente de
la dfaillance dune
liaison uplink
Commutateur 100bT
Deux chemins de
cbles diffrents.
Salle Informatique B
Commutateur fdrat
Les quipements fdrateurs sont ici des commutateurs relis entre eux pour former un seul
rseau fdrateur. Cette liaison doit tre de dbit lev afin dabsorber tous les flux issus des
tages et allant vers un serveur connect au commutateur fdrateur oppos. On peut envisager ici du Gigabit Ethernet. Les liaisons entre les commutateurs fdrateurs et les quipements dtage peuvent tre ralises en cuivre ou en fibre optique, le choix dpendant de la
distance.
67
CHAPITRE 3
L'agrgation de liens offre ici une protection supplmentaire car chaque lien passe par deux
gaines techniques diffrentes : en cas de perte d'une des liaisons (coupure du cble, incendie,
etc.), l'autre reste oprationnelle et permet un fonctionnement en mode dgrad 1 Gbit/s au
lieu de 2 Gbit/s.
Il est noter que cette architecture redondante nest possible que parce que les quipements
sont des commutateurs. Ceux-ci changent des informations sur la topologie du rseau et dterminent les routes actives et celles qui ne le sont pas. Le protocole utilis sappelle le
spanning tree.
La mme architecture avec des concentrateurs serait impossible car le segment Ethernet ferait une boucle, ce qui est interdit par la norme IEEE. Pour assurer le mme niveau de redondance, une configuration quivalente avec des concentrateurs serait donc beaucoup plus
complexe et ncessiterait de doubler le nombre de cbles. De plus, seule lutilisation de la
fibre optique permet ce type de redondance.
Figure 3-11.
Redondance
avec des concentrateurs
Ethernet.
LTE-1B
LTE-1A
Concentrateur
Concentrateur
Concentrateur
Concentrateur
Liens actifs
Liens en attente
Salle Informatique A
Salle Informatique B
Concentrateur
Concentrateur
Lien en attente de la
dfaillance du premier
6868
Inversement, avec le spanning tree, les liens sont tous actifs, mais une des routes est invalide par les commutateurs. En cas de rupture dun lien, une nouvelle route sera calcule, gnralement au bout de trente secondes.
Figure 3-12.
La redondance
avec le spanning tree.
Commutateur
Commutateur
Commutateur
Ethernet partag
Ethernet commut
quipement
Concentrateur
Commutateur
Segment
Architecture matrielle
Architecture logicielle
Algorithme de routage
Aucun
Spanning tree
Couche rseau
Fonction
69
La carte recevant une trame Ethernet ne la prendra en compte que si ladresse MAC de destination de la trame est identique celle qui est inscrite dans sa mmoire. La seule exception
cette rgle concerne les adresses de broadcast et, ventuellement, les adresses multicast.
En rsum, les cartes sont programmes pour accepter les trames qui leur sont destines,
plus toutes les trames de broadcast ainsi que les trames multicast qui ont t configures.
Figure 3-13.
change
des trames
Ethernet.
g
Non, la trame nest pas pour moi,
je nai pas la mme adresse MAC
que ladresse destination de la
trame. Je lignore.
g
Concentrateur
Up
Les trames qui sont acceptes sont remises au protocole de niveau 3, qui correspond
lidentifiant trouv dans le champ Type , soit 00800 pour IP. Celles qui ne sont pas destines la station sont ignores.
7070
Le schma montre ladresse dans lordre de transmission des bits, alors quen reprsentation hexadcimale, lordre des bits au sein de chaque octet est invers (cf. exemple au dbut du chapitre 15). Ainsi, le
premier octet " 02 " indique que le bit U/L est " 1 ". Le site standards.ieee.org/search.html permet de rechercher les OUI affects par lIEEE.
Table
Port Adr
1
X
2
Y
Switch 1
1
2
Switch 2
1
2
Table
Port Adr
1
X
2
Y
Hub 2
Hub dtage
Adresse MAC = y
71
Il faut noter que, si le serveur na jamais mis de trame, son adresse MAC Y nest pas
encore connue des commutateurs. Ces derniers transmettront alors la trame sur tous les autres ports, dont le port n 2. De plus, la mme situation se produit pour toutes les trames de
broadcast et de multicast.
Pour viter ces problmes, il faut quune des deux routes soit interdite. Cest l quintervient
le spanning tree. Le but de ce protocole est de dfinir une route unique vers un commutateur dsign racine en se basant sur des cots et des priorits.
Compte tenu des processus dlection, il est important de bien paramtrer les cots (exprims en nombre de sauts et/ou dpendant du dbit du port) ainsi que les priorits. Les valeurs
par dfaut (fixes en usine) peuvent en effet aboutir choisir des chemins qui ne sont pas les
meilleurs. Prenons le cas de notre rseau local redondant.
Figure 3-14.
Consquence
dun spanning tree
mal paramtr.
Switch 6
Switch 5
d
son initialisation, chaque switch se dsigne
racine, puis compare les identifiants des autres
BPDU qui arrivent. Finalement, tous les switches
enregistrent le switch 6 comme racine.
e
Rsultat : le flux entre la station et
le serveur transite par deux
commutateurs au lieu dtre direct.
Switch 3
Switch 4
R = port racine
D = port dsign
En pointill, les liens
invalids : les ports
ont t bloqus par
le spanning tree.
Switch 1
Switch 2
D
R
D
R
7272
1 octet
1 octet
1 octet
2 octets
Identificateur de
protocole=0
Version=0
Type de
BPDU
Flag chgt
de topologie
Priorit de la racine
(0 = la plus basse)
Priorit du port du
commutateur
ge du message
Intervalle denvoi
des BPDU
ge maximum
Afin de dtecter les changements de topologie (apparition ou disparition dun commutateur), la racine envoie rgulirement (toutes les deux secondes par dfaut) un BPDU dannonce (comprenant seulement les
trois premiers octets) sur tous ses ports. Les commutateurs transmettent ce BPDU sur leurs ports dsigns.
Les BPDU sont envoys dans des trames Ethernet multicast dadresse MAC 01:80:C2:00:00:10 transportant les trames LLC identifies par le SAP 0x42.
Tous les commutateurs ont la mme priorit (par exemple 32 768) et le mme cot sur chaque port de mme dbit (par exemple 19 pour les ports 100 Mbit/s). Le switch 6 a t dsign racine parce que son identifiant (priorit + adresse MAC) tait le plus bas. Le mme
processus de slection a dtermin les routes menant vers la racine uniquement en se fon-
73
dant sur les valeurs des adresses MAC, puisque toutes les autres valeurs (priorit et cot)
sont identiques.
Rsultat, certains flux ne sont pas optimiss et peuvent dgrader les performances.
Reprenons les diffrentes phases de calcul de larbre spanning tree. Les commutateurs dsignent la racine. Afin doptimiser les flux, il est prfrable que ce soient les commutateurs
fdrateurs qui assurent ce rle. Leur priorit doit donc tre abaisse par rapport aux commutateurs dtage. tant donn quil sagit de Catalyst 5000, la commande est la suivante :
Console> (enable)set spantree priority 10000
VLAN 1 bridge priority set to 10000.
Figure 3-15.
lection
du commutateur racine.
Ma priorit
est 40000
Ma priorit
est 40000
Switch 4
BPDU
BPDU
BPDU
BPDU
Switch 1
Switch 2
BPDU
Ma priorit
est 10000
Ma priorit
est 11000
Chaque commutateur choisit ensuite son port racine, celui dont le cot de chemin vers la racine est le plus bas. Sur un Catalyst, le cot de chaque port dpend de son dbit : 4 pour 1
Gbit/s, 19 pour 100 Mbit/s, et 100 pour 10 Mbit/s. La commande suivante permet de changer la valeur par dfaut :
Console> (enable)set spantree portcost 1/1 4
Figure 3-16.
Choix
des ports racines.
Switch 3
Cot + 100
Switch 4
10 Mbps
etc.
BPDU
100 Mbps
Switch 1
100 Mbps
BPDU
Switch 2
1 Gps
BPDU
Cot = 19
BPDU
Cot =4
d
Cot + 19
7474
Sur chaque segment Ethernet, le commutateur dsign est celui dont le port racine a le cot
le plus bas. En cas dgalit, la priorit dtermine ce cot. tant donn que tous les ports
ayant un mme dbit ont le mme cot et la mme priorit par dfaut, le choix seffectuera
en fonction de ladresse MAC. Pour viter les mauvaises surprises, il est possible dabaisser
la priorit dun port pour tre sr quil soit dsign en cas de routes multiples :
set spantree portpri 1/1 32
Figure 3-17.
lection
des commutateurs dsigns.
Cot vers la
racine = 19
Switch 3
Cot vers la
racine = 23
Switch 4
Le switch 2 est lu
sur ce segment.
R
Le switch 1 a
t lu racine
Switch 2
R
D
En dfinitive, les chemins redondants ne sont pas utiliss, et le partage de la charge entre
plusieurs routes nest pas possible.
Les mmes BPDU sont envoys sur tous les ports, mme l o il ny a quun PC connect.
Le spanning tree peut donc tre dsactiv sur ces ports, ce qui prsente lavantage de diminuer (un peu) le trafic et dviter que des ajouts sauvages de commutateurs (qui seraient
connects sur ces ports) ne viennent perturber votre rseau.
set spantree disable
Le commutateur racine met rgulirement (toutes les deux secondes par dfaut) des BPDU
pour maintenir ltat du spanning tree. Si le rseau est stable (peu dincidents et de changements), il est possible daugmenter cette valeur afin de diminuer le trafic
set spantree hello 5
On peut sassurer que, sur le switch 1, le spanning tree sest stabilis dans une bonne configuration.
Console> (enable) show spantree
VLAN 1
Spanning tree enabled
Designated Root
00-1f-00-40-0b-eb-25-d2
Designated Root Priority
45
Designated Root Cost
0
Designated Root Port
1/1
Vlan
---1
1
1
1
1
1
1
75
Port-State
------------forwarding
forwarding
forwarding
not-connected
not-connected
not-connected
forwarding
Cost
----4
19
19
19
19
100
100
Priority
-------32
32
32
32
32
32
32
Fast-Start
---------disabled
disabled
disabled
disabled
disabled
disabled
disabled
Le processus de cration de larbre spanning tree peut durer plusieurs dizaines de secondes.
Ce temps est, en ralit, proportionnel au nombre de commutateurs.
Pendant cette phase, aucun commutateur ne traite de trame au cours des 15 premires secondes (valeur par dfaut) ; le rseau sarrte donc de fonctionner chaque fois quun commutateur est allum ou teint quelque part dans le rseau.
La phase dapprentissage est encore plus longue lorsque tous les commutateurs sinitialisent
en mme temps (suite une panne de courant, par exemple). En effet, les BPDU sont reus
par plusieurs ports dont lun peut tre lu racine, puis invalid par la suite si un commutateur
situ en aval a invalid sa route. Le temps de stabilisation de larbre peut ainsi atteindre plusieurs minutes.
Dans certains cas, notamment sur les commutateurs fdrateurs, il peut tre intressant de
diminuer ce temps, surtout si larchitecture rseau est conue sans aucune boucle.
set spantree fwddelay 5
Inversement, si ce temps est trop court par rapport au dlai de construction de larbre, des
trames peuvent commencer circuler et potentiellement tre dupliques dans le cas de routes multiples. Il vaut alors mieux augmenter le paramtre forward delay au-del des 15
secondes par dfaut.
La meilleure solution consiste activer plus rapidement les ports qui ne sont pas concerns
par le spanning tree, cest--dire ceux sur lesquels est connecte une seule station.
set spantree portfast 1/2 enable
On peut remarquer que lchange de BPDU et llection dun commutateur dsign impliquent que chaque port du commutateur soit identifi par une adresse MAC (comme une
carte rseau).
Lalternative cette optimisation repose sur la nouvelle version du spanning tree, appele
RSTP (Rapid Spanning Tree Protocol) et issue du groupe de travail IEEE 802.1w. Le protocole RSTP est compatible avec le spanning tree et sera, terme, intgr dans le standard
802.1d.
7676
Application
GARP
Commutateur
Ports
GID
GID
Application
GARP
Participant GARP
GID
GID
A B C
Attributs
A B C
Dclaration dattributs
GIP
Enregistrement dattributs
laide de ces composants, un port recevant la dclaration dun attribut lenregistre et le dclare (i.e. le propage) aux autres ports. Inversement, lannulation dun attribut est propage vers un port si tous les autres
ports ont annul lenregistrement de cet attribut.
Le PDU (Protocol Data Unit) utilis par GIP est constitu de messages contenant des listes dattributs regroups par types.
Version du protocole
00 01
2
Liste dattributs
Attribut Attribut N
Message
Fin Type attribut
Longueur
Action
Valeur
Fin
Nombre doctets
Nombre doctets
0 = LeaveAll : annule toutes les dclarations pour les attributs du type Type attribut .
1 = JoinEmpty : dclare lattribut, sans lenregistrer. Reste lcoute des dclarations.
2 = JoinIn : dclare lattribut qui a t enregistr.
3 = LeaveEmpty : annule la dclaration de lattribut, sans lavoir enregistr.
4 = LeaveIn : annule la dclaration de lattribut, aprs lavoir enregistr.
5 = Empty : attribut non enregistr et pas de dclaration faire. Reste lcoute des dclarations.
Les PDU GARP sont transports dans des trames LLC identifies par le SAP 0x42. Les applications GARP
sont identifies par des adresses MAC qui leur sont rserves : 01-80-C2-00-00-20 pour GMRP et 01-80-C200-00-21 pour GVRP.
4
Lalternative
du sans fil
Pourquoi sembarrasser de cbles ?
Le systme de cblage est, en effet, source de complexit et de cot. Il est galement synonyme de rigidit : se dplacer dun bureau vers une salle de runion ou dune pice lautre,
ncessite de cbler entirement les bureaux ou sa maison.
Les concepteurs de rseaux Ethernet proposent ainsi une version sans fil de ce protocole, reposant sur les ondes radio. Les applications tant multiples, de nombreux protocoles se disputent le march.
Les rseaux Ethernet sans fil rpondent aux inconvnients du cblage, mais posent dautres
problmes inhrents aux ondes radio, telles que les interfrences et la confidentialit des informations. LEthernet sans fil requiert ainsi ses propres rgles dingnierie et a donc des
limites.
Dans ce chapitre, vous apprendrez ainsi :
7878
Introduction
Le monde du sans fil est trs vaste puisquil couvre de nombreuses applications qui nous
sont familires : radio, tlvision, tlphone et maintenant transmission de donnes.
Dun point de vue utilisateur, on peut classer le monde du sans fil en quatre catgories qui se
distinguent par la taille de la cellule. La cellule dsigne la porte de londe entre lmetteur
et le rcepteur, en dautres termes la distance maximale entre les deux.
Type de cellule
Large
Macro
Micro
Pico
Taille de la cellule
Position de lantenne
20 km
Toits, pylnes
150 100 m
Plafonds, murs
Application
Tlphonie
(GSM, UMTS)
Quelques
centaines de
Kbit/s
1 3 km
Toits, pylnes,
faades
Boucle locale
radio
Quelques
Mbit/s
10 30 m
Sac, oreillette,
PDA
Rseau
personnel
Quelques
Mbit/s
Rseau local
sans fil
10 50
Mbit/s
Les technologies employes sont non seulement adaptes ces diffrentes applications,
mais galement aux conditions rglementaires imposes dans chaque pays. En effet, le domaine des ondes radio couvre un espace de frquence limit, allant du Kilo-Hertz aux dizaines de Giga-Hertz. Cet espace doit donc tre partag, et les utilisateurs ne manquent pas :
militaires, aviation civile, chanes de tlvision, stations de radio, oprateurs tlcoms, entreprises et maintenant les particuliers.
Les autorits gouvernementales de chaque pays, lART en France (Autorit de rgulation
des tlcommunications), la FCC aux tats-Unis (Federal Communication Commission),
contrlent cet espace et le grent. Des bandes de frquence sont ainsi attribues sous forme
de licences payantes et limites dans le temps. Certaines plages sont cependant libres,
cest--dire quelles peuvent tre utilises gratuitement, sans licence. Cela est le cas des
bandes de frquence autour de 2,4 GHz et de 5 GHz, celles qui nous intressent dans ce
chapitre consacr aux rseaux locaux sans fil.
Les bandes de frquence prcises utilises par ces technologies dpendent de celles alloues
par les autorits gouvernementales. Elles peuvent donc varier dun pays lautre.
La puissance des metteurs est galement rglemente, puisquelle influe sur la taille des
cellules. Il est ainsi possible dutiliser les mmes frquences des endroits distincts, si la
porte des ondes est rduite. Nous connaissons tous cela avec les radios FM : dune rgion
lautre, des stations diffrentes peuvent mettre sur la mme longueur donde.
79
Le signal radio
Un signal radio est une onde lectromagntique se propageant travers lespace. Selon sa
frquence, il traverse la matire ou est rflchi. ce titre, la lumire se comporte comme
une onde lectromagntique. Ces phnomnes bien connus de rflexion, de translucidit, de
transparence et dopacit sappliquent galement aux ondes radio.
De mme, la propagation dune onde lectromagntique dans lespace peut tre visualise
par analogie avec celle dune onde sur leau, provoque par le jet dune pierre, lmetteur de
londe tant en loccurrence la pierre. Les principes sont les mmes, bien que leur nature soit
diffrente.
Londe lectromagntique est gnre par loscillation dun champ lectrique qui gnre un
champ magntique, qui lui-mme oscille et donc gnre un champ lectrique, et ainsi de
suite. La frquence de loscillateur dtermine donc celle du signal.
Le schma suivant permet de se situer dans les gammes de frquence connues.
10 KHz
10
1 GHz
10
Ondes
radio
6 THz
6x10
12
Micro
ondes
30 cm
4x10
14
Infra
rouge
50 m
700 nm
8x10
14
Visible
400 nm
Ultra
violet
3x10
16
3x10
Rayons
X
10 nm
19
Frquence en Hz
Rayons
gamma
0,1 nm
Longueur donde
GSM, WLAN...
VLF
LF
MF
nergie
Non seulement ces ondes diffrent par leurs frquences, mais aussi par la manire dont elles
sont gnres, savoir par transition : du spin (ondes radio), rotationnelle (micro-ondes), vibrationnelle (infrarouge) ou lectronique (visible et ultraviolet).
La puissance dun signal radio se mesure en milliwatts ou en dcibels, un ratio logarithmique de la puissance du signal divis par 1 mW. Tout comme la luminosit diminue avec la
distance, la puissance du signal diminue proportionnellement au carr de la distance.
8080
La modulation du signal
Une onde est classiquement reprsente par une sinusode et est caractrise par la longueur
entre deux points de rfrence, par exemple la crte du signal.
Priodicit t de londe en secondes
Frquence f en Hertz = cycles par seconde
Voltage
en volts
Amplitude en
volts ou en watts
f=1/t=v/
Longueur donde en mtres
Vitesse de propagation de londe
8
= 3x10 en mtres par seconde
Dans un signal, la porteuse est le signal de rfrence ne transportant aucune donne. Les
donnes sont transmises en modulant le signal selon diffrentes manires : par son amplitude, sa frquence ou par sa phase.
Pour les signaux analogiques, on parle de modulation de frquence (FM) ou de modulation
damplitude (AM). Pour les signaux numriques, on retrouve lquivalent avec, en plus, des
variantes :
0
Signal de modulation
Temps
Amplitude
(volts)
Amplitude
(volts)
Amplitude
(volts)
Amplitude
(volts)
Amplitude
(volts)
81
Il est galement possible de combiner les modulations ASK et PSK, technique appele APK
(Amplitude/Phase Keying) ou QAM (Quadrature Amplitude Modulation). Il existe galement des variantes la modulation de frquence, telle que GFSK (Gaussian Frequency Shift
Keying), et la modulation de phase, telle que GMSK (Gaussian Minimum Shift Keying) et
BPSK (Binary Phase Shift Keying).
En outre, le signal peut tre transmis une frquence donne (diffusion en bande troite),
comme cela est le cas pour la radio, ou tre diffus sur une plage de frquences (diffusion en
largeur de bande) comme cela le cas pour les transmissions de donnes. Dans ce dernier
cas, le canal dsigne ainsi la frquence au centre de la largeur de bande et la bande passante dsigne ainsi le spectre de frquence sur laquelle le signal est diffus. De fait, les canaux doivent tre suffisamment espacs afin dviter les interfrences mutuelles.
Lavantage de la transmission en largeur de bande par rapport la transmission en bande
troite, est quun signal parasite naltre quune partie du spectre de frquence, et ces consquences sur le signal originel peuvent mme tre supprimes en rception grce
lapplication de fonctions mathmatiques.
FDMA (Frequency Division Multiple Accessing), qui consiste affecter un canal par
utilisateur (la bande de frquence est dcoupe en canaux avec une porteuse pour chacun) ;
TDMA (Time Division Multiple Accessing), qui dcoupe le canal en tranches de temps,
une par utilisateur (un canal GSM utilise 3 tranches de temps) ;
8282
CDMA (Code Division Multiple Accessing) qui partage le canal laide dune adresse
affecte chaque utilisateur (principe retenu pour lUMTS).
cela, viennent sajouter des techniques de gestion de la bande passante, cest--dire la
manire dutiliser le spectre de frquences pour transmettre une trame, le but tant dutiliser
au mieux la largeur de bande afin daugmenter les dbits :
FHSS (Frequency Hopping Spread Spectrum), qui met sur quelques canaux simultanment parmi plusieurs dizaines en en changeant alatoirement plusieurs fois par seconde ;
DSSS (Direct Sequence Spread Spectrum), qui consiste mettre sur toute la largeur de
bande autour du canal ;
Le codage
Les techniques de transmission numriques ne transmettent pas des bits indpendamment les
uns des autres, mais des groupes de bits cods par des symboles. Dans le cas dune modulation de phase, un jeu de symboles pourrait tre, par exemple :
Bits
Symbole
00
01
10
11
0
/2
3/2 (= -/2)
Un symbole correspond donc une forme de signal, dpendant de la technique de modulation employe, comme, par exemple
qui peut reprsenter la valeur 01.
83
Lintrt est que la transmission dun groupe de bits rsiste mieux aux interfrences : les
processeurs spcialiss dans le traitement du signal, les DSP (Digital Signal Processor),
comparent la forme du signal reu une table de rfrence (en dautres termes, une table des
symboles). Mme si une partie du signal est altre, le DSP sera quand mme capable de reconnatre la forme si celle-ci ressemble de manire non ambigu un symbole de rfrence.
Les fonctions mathmatiques utilises par ce type de processeur sont les transformations de
Fourier rapides (FFT Fast Fourier Transform).
Plus la puissance dmission est leve, plus la couverture est grande, mais avec une
consommation dnergie plus grande.
Plus la frquence radio est leve, meilleur est le dbit, mais plus la couverture est faible.
Par ailleurs, les signaux se comportent diffremment dans lenvironnement selon leur frquence :
Dans la gamme des micro-ondes, les gouttes de pluie attnuent davantage les signaux
haute frquence que les signaux basse frquence.
Une partie du signal peut traverser les objets et une autre tre rflchie, linstar de la
lumire sur une tendue deau.
Les ondes basse frquence, de lordre du Kilo-Hertz, sont rflchies par les couches
hautes de latmosphre et peuvent donc tre reues au-del de lhorizon cr par la
courbure de la terre.
Les micro-ondes sont en partie rflchies par la plupart des objets. Un signal dorigine
peut ainsi tre rflchi plusieurs fois. Le rcepteur capte donc plusieurs signaux avec de
lgers dcalages de temps.
Dans le haut du spectre des micro-ondes, au-del de 5 GHz, les ondes ne pntrent quasiment pas les objets. Lmetteur et le rcepteur ont besoin dtre en vue directe sans
obstacle, configuration appele clear line of sight dans la littrature anglo-saxonne.
Exemples dapplication
La norme Bluetooth 802.15.1 permet de grer jusqu 7 connexions simultanes de diffrentes natures : 3 canaux synchrones 64 Kbit/s (pour la voix et la vido) ou 2 canaux synchrones 64 Kbit/s avec 1 canal asynchrone asymtrique (721 Kbit/s / 57,6 Kbit/s) ou
symtrique (432,6 Kbit/s dans les deux sens) pour les donnes. La norme emploie la technique FHSS sur 5 canaux parmi 79 (4 parmi 23 en France) avec un espacement de 1 MHz entre les canaux. Bluetooth change 1 600 fois de canal par seconde, comparer avec Home
RF qui saute de frquence 50 fois par seconde et qui, comme Bluetooth, combine transmission de donnes et tlphonie en fournissant 4 canaux DECT et un canal de donnes 1,6
Mbit/s.
8484
De son ct, la norme Wi-Fi 802.11b emploie la technique DSSS avec des modulations de
type PSK, tandis que Wi-Fi 802.11a utilise la technique OFDM avec des modulations de
type PSK et QAM.
La norme 802.11b utilise le codage Barker pour les dbits de 1 et 2 Mbit/s, le codage CCK
(Complementary Code Keying) pour les dbits de 5,5 et 11 Mbit/s.
Nom
commercial
Catgorie
Applications
802.11a
802.11b
802.11g
ETSI 300 652
HomeRF
IrDA
802.15.1
802.15.3
802.15.4
802.16
Wi-Fi
Wi-Fi
Wi-Fi
HiperLAN 2
HomeRF 2.0
Infra-rouge
Bluetooth
Bluetooth 2
Zigbee
---
WLAN
WLAN
WLAN
WLAN
WLAN
WPAN
WPAN
WPAN
WPAN
WMAN
Rseau local
Rseau local
Rseau local
Rseau local
Rsidentiel et SOHO
Connexion des priphriques aux PC
Connexion des PC, PDA et tlphones
Connexion des PC, PDA et tlphones
Priphriques faible consommation
Boucle locale radio
La plupart des standards WLAN sont dicts par le groupe de travail 802.11 de lIEEE, qui
spcifie les couches physiques de transmission radio ainsi que la couche logique (niveau 2)
appele MAC (Media Access Control), celle que lon retrouve partout dans le monde Ethernet.
Les technologies relatives au WPAN sont issues des industriels et ont t intgres, par la
suite, dans les travaux de lIEEE.
Les technologies WMAN, utilises depuis des dcennies mais jamais standardises, font
lobjet depuis peu, de travaux au sein du groupe de travail 802.16 de lIEEE.
Les applications
Linstallation dun WLAN peut tre intressante domicile, si vous avez plusieurs utilisateurs, si vous jouez en rseau, etc. Il vite linstallation dun cblage plus ou moins bricol.
Dans une entreprise, il permet aux utilisateurs de se dplacer entre leurs bureaux et les salles
de runion. Il permet galement de desservir une zone ou un btiment dans lesquels les tra-
85
vaux de cblage sont difficiles ou onreux. Il permet enfin, dinterconnecter deux btiments
proches, typiquement sur un campus ou spars par une cour, sans avoir tirer un cble.
Dans les lieux publics, il est envisageable de crer des zones de couverture, appeles hot
spots dans les salles dattente des aroports, les gares, voire dans le mtro. La rglementation pour un usage extrieur tant plus stricte, le dveloppement des hot spots dpendra
dune part des autorisations dorganismes de rgulation tels que lART et la FCC, et dautre
part de la concurrence venant des technologies GPRS et UMTS.
Nom
commercial
Hiperlan 1
Hiperlan 2
Wi-Fi
Wi-Fi
Wi-Fi
HomeRF
Nom
commercial
Bluetooth
Bluetooth 2
Zigbee
FIR (Fast infrared)
Dbit
thorique
20 Mbit/s
54 Mbit/s
54 Mbit/s
54 Mbit/s
11 Mbit/s
1,6 Mbit/s
Porte
maximale
n.c.
30 m
40 m
70 m
90 m
50 m
Bande de frquence
5 GHz
5 GHz
5 GHz
2,4 GHz
2,4 GHz
2,4 GHz
Technique de
transmission
GMSK/FSK
OFDM
OFDM
DSSS/OFDM
DSSS
FHSS
Dbit
thorique
1 Mbit/s
12 Mbit/s
250 Kbits/s
4 Mbit/s
Porte
maximale
30 m
10 m
75 m
1m
Bande de frquence
2,4 GHz
2,4 GHz
2,4 GHz
(850 nm)
Technique de
transmission
FHSS
n.c.
DSSS
optique (LED)
Objet
Gestion de la qualit de service.
IAPP (Inter-Access Point Prorocol) : protocole dchange entre bases (permet le roaming multivendeurs).
Conformit aux normes europenne relatives la gestion des bandes de frquence et la
puissance dmission.
WPA (Wi-Fi Protected Access) : scurisation du WLAN.
Convergence des standards 802.11a et Hiperlan 2.
8686
Les quipements doivent tre certifis Wi-Fi (Wireless Fidelity), un label du WECA
(Wireless Ethernet Compatibility Alliance), organisme charg de tester linteroprabilit
des quipements (bases, interfaces, etc.).
Les quipements doivent supporter la norme 802.11f, qui autorise le dplacement (roaming) entre bases issues de constructeurs diffrents. Cette norme spcifie un protocole
dchange entre les bases, qui permet une base de prendre en charge les communications prcdemment gres par une autre, lorsque la station choisit de passer dune cellule une autre.
Dun point de vue technique, ces normes se distinguent par les frquences utilises :
2,4 GHz pour le 802.11b, frquence connue sous le nom de bande ISM (Industrial
Scientific and Medical band), galement utilise par les fours micro-ondes, les tlcommandes de garage, etc.
5 GHz pour le 802.11a, frquence nettement moins encombre, ce qui permet dutiliser
des gammes de frquence plus larges et donc de transmettre plus haut dbit. Cette frquence est nanmoins soumise des contraintes rglementaires plus strictes, car elle est
utilise par les militaires pour leurs transmissions satellites.
2,4 GHz pour le 802.11g, qui utilise la technique de transmission DSSS pour la compatibilit avec 802.11b et OFDM pour les dbits plus levs.
Contraintes rglementaires
Selon les contraintes rglementaires de chaque pays, le standard 802.11b est autoris utiliser un nombre vari de canaux : 11 aux tats-Unis, 4 en France, 13 en Europe, 1 au Japon,
etc. De mme, la FCC aux tats-Unis autorise le 802.11a utiliser 8 canaux. Ces diffrences
influent sur les possibilits darchitecture : avec 11 canaux, 3 WLAN 802.11b peuvent fonctionner sans interfrence sur une mme zone gographique (technique de la co-location),
alors quen France un seul WLAN peut oprer dans ces mmes conditions.
Autorit de
rglementation
Bande
passante par
canal
Puissance
dmission
autorise
87
Modulation
autorise
FCC (USA)
ETSI (Europe)
ART (France) *
ART (France)
FCC (USA)
2400 2483,5
83,5 MHz
100 mW
FHSS / DSSS
2400 2483,5
83,5 MHz
100 mW
FHSS / DSSS
2400 2483,5
83,5 MHz
10 mW
FHSS / DSSS
2446,5 2483,5
37 MHz
100 mW
FHSS / DSSS
5150 5260
200 MHz
20 mW
OFDM
5260 5350
ART (France)
5150 5350
200 MHz
200 mW
OFDM
* Dans certains dpartements, lensemble de la bande est autoris lintrieur des btiments ainsi qu lextrieur
(dcisions de lART n 03-908 du 22/07/03, n 02-1009 du 31/10/02, n 02-1008 et n 02-1088).
Il est noter que lutilisation dune transmission en large bande est un pr requis
lutilisation dune frquence sans licence, car pour une transmission en bande troite, dont
lnergie est concentre sur une frquence, un signal large bande, dont lnergie est disperse sur une plage de frquences, est peru comme un bruit.
Couche
physique
(niveau 1)
MLME
PLME
802.2
MAC
(Medium Access Control)
802.11
PLCP
(Physical Layer Convergence Protocol)
PMD
(Physical Medium Dependant)
802.11a
802.11b
802.11g
La couche MAC a pour rle de grer laccs au support de transmission via un adressage (ladressage
MAC classique), une mthode de contention (CSMA/CA), une mthode de rservation (RTS/CTS) et un
format de trame identique quel que soit le support physique. Elle peut galement grer la fragmentation et
le rassemblage des trames si cela est demand. Dans des milieux perturbs impliquant de nombreuses
pertes de donnes, la retransmission dune partie de la trame prend, en effet, moins de temps que la retransmission complte. Optionnellement, elle peut grer des mcanismes de chiffrement et
dauthentification travers le protocole WEP (Wired Equivalent Privacy)
La couche PLCP ralise linterface entre les trames MAC et les caractristiques du support physique (synchronisation, dbit, etc.), tandis que la couche PMD est propre chaque technique de transmission (frquence, codage, modulation, transmission du signal, etc.).
Sur le plan de la gestion, la couche MLME (MAC Sublayer Management Entity) prend en charge la gestion
de lnergie ainsi que les procdures dinitialisation, dauthentification et dassociation, tandis que la couche
PLME (Physical Sublayer Management Entity) permet tout nud du rseau dobtenir les informations
relatives aux caractristiques oprationnelles supportes par une interface : longueur des en-ttes et des
prambules, taille maximale des MPDU, temps maximum de basculement entre les modes mission et rception, etc.
8888
Performances
Les performances dun WLAN sont caractrises par la porte, cest--dire la distance
maximale entre les postes de travail, ainsi que par le dbit.
La porte dpend de la puissance mission et du gain de lantenne, cest--dire de sa sensibilit. Ces paramtres tant imposs par la rglementation, la porte dpend, en dfinitive, de
la qualit des produits et, bien sr de lenvironnement considr (murs, meubles, personnes).
Le dbit dpend, quant lui, de la norme utilise. Actuellement, le 802.11g est le mieux plac, dautant plus quil est compatible avec les premires normes 802.11. Le dbit diminue
avec laugmentation de la distance entre metteur et rcepteur. La qualit des produits intervient, l encore, dans les performances.
Les tableaux suivants, issus des constructeurs, permettent de donner une ide des performances globales dun WLAN.
Cisco aironet 802.11b avec une puissance dmission de 100 mW.
Dbit
Intrieur
Extrieur
11 Mbit/s
5,5 Mbit/s
2 Mbit/s
1 Mbit/s
45 m
61 m
76 m
106 m
243 m
304 m
457 m
609 m
Cisco 802.11a avec une puissance dmission de 100 mW et une antenne de gain de 6dbi.
Dbit
Intrieur
Extrieur
54 Mbit/s
18 Mbit/s
6 Mbit/s
21 m
45 m
61 m
36 m
213 m
365 m
802.11b
802.11a
802.11g
45 m
11 Mbit/s
91 m
1 Mbit/s
12 m
54 Mbit/s
37 m
6 Mbit/s
18 m
54 Mbit/s
73 m
6 Mbit/s
Les dbits indiqus dans ces tableaux sont les dbits de fonctionnement spcifis par les
normes. Si une interface reoit mal les donnes 11 Mbit/s, elle utilisera une vitesse de repli
5,5 Mbit/s, et ainsi de suite.
En outre, toutes les stations se partageant la mme bande passante en half-duplex, les dbits
rels constats par les utilisateurs sont infrieurs de 30 50 % aux dbits de transmission
indiqus ci-dessus. Ainsi sur les 11 Mbit/s annoncs par le 802.11b, le dbit effectif constat
par lutilisateur oscille entre 6 et 8 Mbit/s.
89
ad-hoc, cest--dire en mode point point entre quipements (par exemple, PDAtlphone, PC-tlphone, PC-imprimante) ;
infrastructure, dans lequel le rseau est gr par des points daccs (appels bases ou
encore bornes daccs).
Typiquement, les WPAN sont btis sur le modle ad-hoc.
Le service de base, BSS (Basic Service Set), repose sur un seul point daccs raccordant
plusieurs quipements.
Une architecture infrastructure consiste en un ou plusieurs BSS raccords au rseau Ethernet filaire. Les points daccs servent alors de pont entre le rseau filaire et le rseau sans fil.
Il est alors possible de mettre en place un service tendu, ESS (Extended Service Set), permettant aux utilisateurs de se dplacer dun BSS lautre, cest--dire dtre pris en charge
successivement par plusieurs bornes. Les bornes forment alors un systme de distribution
qui leur permet dchanger des informations.
ESS
Point
daccs
WLAN
BSS
iBSS
(independant BSS)
Systme de
distribution
(un LAN, un
WLAN)
Point
daccs
WLAN
BSS
Au sein dun BSS, tous les
quipements partagent la
mme frquence.
lauthentification des stations sur un ou plusieurs points daccs, sur la base dun identifiant ou de ladresse MAC, qui permet de sinsrer dans le WLAN, sans pour autant
pouvoir changer des donnes ;
lassociation, qui permet une station dchanger des donnes via un point daccs auprs duquel elle sest pralablement authentifie :
la r-association, qui permet la station daller dune base lautre, la station transmettant la nouvelle base des informations sur lancienne. La nouvelle base se
connecte alors sur lancienne pour rcuprer des donnes ventuellement stockes
lattention de la station qui vient de quitter ladite base ;
9090
la d-sassociation, qui permet une station de quitter une base, voire le WLAN ;
la distribution permettant une base de savoir o envoyer les donnes (vers une autre
base, une station ou le rseau filaire) ;
lintgration, qui assure la conversion des trames entre le format WLAN et le format
LAN.
Afin de grer les contentions daccs la frquence qui est partage par toutes les stations,
le protocole 802.11 utilise un mcanisme similaire celui employ par son cousin filaire,
appel CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance). Selon ce principe,
une interface nmet une trame que si aucun trafic nest dtect sur la bande de frquence
partage. Dans le cas contraire, linterface attend un laps de temps alatoire avant de se mettre de nouveau lcoute, et rpte le processus.
Afin de minimiser le risque de collision, le mcanisme de rservation suivant peut optionnellement tre utilis : avant dacheminer une trame une station, la base lui envoie dabord
une trame RTS (Requests To Send). La station doit alors rpondre par un CTS (Clear To
Send) et attendre la rception de la trame. De leur ct, les autres stations recevant ce type
de trame retardent dventuelles missions de trame.
Les frquences radio pouvant par ailleurs tre perturbes, le rcepteur doit renvoyer
lmetteur une trame ACK (Acknowledgement) pour chaque trame de donnes reue. Si
lmetteur ne reoit pas dacquittement, il rmettra la trame de donnes.
Toujours pour rduire limpact des interfrences radio, le standard prvoit de pouvoir
changer des trames courtes. Linconvnient est que dans un environnement non perturb,
loverhead protocolaire est plus important quavec des trames longues. Ladministrateur devra choisir lun des deux modes lors de la configuration des quipements.
Afin de limiter la consommation lectrique des composants 802.11 dans un ordinateur portable, la station peut envoyer la base une trame PS-Poll (Power Save Poll) lui indiquant
quelle se met en mode veille. Si une trame destination de la station parvient la base,
celle-ci emmagasinera les donnes dans une mmoire tampon, le temps que la station se rveille. La station se doit denvoyer priodiquement une trame PS-Poll.
La taille dune cellule tant limite, la mobilit implique de pouvoir passer dune base
lautre sans couper les communications. Cest ce quon appelle le roaming. Afin de dterminer quelle est la meilleure base, cest--dire celle avec qui la communication est la meilleure, les stations sont lcoute des signaux mis par les bases (trames beacon). La station,
qui sest authentifie auprs de plusieurs bases, slectionne celle dont elle a reu la trame
beacon ayant le meilleur rapport signal/bruit, puis utilise le service r-association avec cette
base.
Version
Type
Soustype
Valeur des
champs
dadresses en
fonction des
valeurs des
champs DS
Octets
0
0
1
1
1
0
1
0
1
Adr1
Adr2
Adr3
DA
SA
BSSID
DA
BSSID
SA
BSSID
SA
DA
RA
TA
DA
1
Adr4
---SA
Bits
Contrle
de trame
Dure /
AID
Adresse
MAC 1
Adresse
MAC 2
Adresse
MAC 3
Contrle de
squence
Adresse
MAC 4
Donnes
FCS
0 2 312
91
9292
Contrle de trame
00 01 1011 000001000
Dure
RA
TA
FCS
00 01 1100 000001000
Dure
RA
FCS
00 01 1010 000001000
AID
BSSID
TA
FCS
Contrle de trame
00 01 1000 000001000
Dure
DA
SA
FCS
Beacon
Les trames MAC sont encapsules dans des PPDU (PLCP Protocol Data Unit), trames dont le format est
proche de la couche physique sous-jacente (cf. modle de rfrence de lIEEE).
Prambule
802.11b
Bits
Sync
SFD
56
16
En-tte
Signal Service Longueur
8
CRC
16
Trame MAC
16
En-tte PLPC
Sync
802.11a
Bits
12 symboles OFDM
12
Trame MAC
16
Au niveau de la couche PMD, la norme 802.11b dfinit lutilisation de 3 canaux parmi les 14 disponibles
dans la bande de frquence autorise. Le choix de ces canaux dpend de lautorit de rgulation de chaque
pays. Trois bornes peuvent donc mettre simultanment dans la mme zone gographique sans se gner,
autorisant ainsi la co-localisation de 3 WLAN.
Canal
2400
2412
2422
2442
9 10 11
2454
100 mw
12 13 14
2472
2483,5
Espacement = 3 MHz
10 mw
93
5150
36
40
44
5180
5200
5220
48
5240
52
56
60
64
5260
5280
5300
5320
5350
Espacement = 20 MHz
250 mw
40 mw
Une autre bande de frquence est, par ailleurs, prvue par la norme :
11 canaux dans la bande 5 470 5 725 MHz, en Europe (en cours de ngociation avec larme en
France) ;
4 canaux dans la bande 5 725 5 825 MHz aux tats-Unis.
802.11a
802.11b
Dbit en Mbit/s
Modulation
Codage
Bits (*)
Dbit en Mbit/s Modulation
Codage
6
BPSK
OFDM
1 / 48 / 24
1
DBPSK
Barker
9
BPSK
OFDM
1 / 48 / 36
2
DQPSK
Barker
12
QPSK
OFDM
2 / 96 / 48
5,5
DQPSK
CCK
18
QPSK
OFDM
2 / 96 / 72
11
DQPSK
CCK
24
16-QAM
OFDM
4 / 192 / 96
36
16-QAM
OFDM
4 / 192 / 144
48
64-QAM
OFDM
6 / 288 / 192
54
64-QAM
OFDM
6 / 288 / 216
(*) Nombre de bits cods par sous-frquence / Nombre de bits cods par symbole / Nombre de bits de donnes par symbole, les autres bits tant utiliss pour la correction derreurs.
Installer un WLAN
Le plus simple des rseaux sans fil consiste quiper tous les postes de travail de cartes WiFi qui leur permettent de communiquer directement entre eux. Toutes les applications utilisant le protocole TCP/IP sont alors accessibles : partage de fichiers, partage dimprimante,
jeux en rseau, etc.
Cette architecture, prvue par le standard 802.11, est appele ad-hoc. Les stations WLAN
forment alors un iBSS (Independant Basic Service Set).
9494
Ordinateur quip
dune carte Wi-Fi
Ltape suivante consiste ajouter une base, encore appele borne daccs ou point daccs.
Tout WLAN mettant en uvre un point daccs est appel, par le standard 802.11, une architecture infrastructure. Le point daccs et les stations forment alors un BSS (Basic
Service Set).
Antenne
omnidirectionnelle
WLAN
Ordinateur quip
dune carte WLAN
Lintrt de larchitecture infrastructure est dtendre la porte du WLAN, puisque maintenant, les stations peuvent tre situes 50 m de part et dautre du point daccs, alors que
dans le mode ad-hoc, les stations doivent tre situes moins de 50 m les unes des autres.
part cela, les performances sont identiques, car tous les quipements dun BSS ou dun iBSS
se partagent la mme bande de frquence.
Type
Forme
Rayonnement
Installation
Verticale
Tige
Diple
Omnidirectionnel double
cylindrique vertical de part
et dautre de laxe de la
tige
Sectorielle
Panneau plat
ou demi-cylindre
Omnidirectionnel
elliptique dans le plan du
panneau
Yagi
Unidirectionnel elliptique
dans laxe de la tige
Parabolique
Parabole
(type antenne satellite)
Unidirectionnel elliptique,
troit dans le plan perpendiculaire la parabole
95
Lantenne isotrope, cest--dire rayonnant de la mme faon dans toutes les directions, est
un modle thorique. En ralit, lnergie rayonne par une antenne est rpartie ingalement
dans lespace, certaines directions tant privilgies et dfinissant ce quon appelle des lobes
de rayonnement.
La qualit dune antenne est apprcie par son gain exprim en dBi (dcibels isotropes). Il
dpend de la taille de lantenne, de la frquence radio, de la capacit du rflecteur focaliser
les ondes radio et de la qualit des matriaux employs.
En mission, le gain est le rapport entre lnergie moyenne rayonne par lantenne et celle
que rayonnerait une antenne idale (isotropique) alimente avec la mme puissance. Exprim en dBi, il mesure la capacit dune antenne concentrer les ondes radio dans une direction donne. Donc, plus une antenne concentre lnergie dans une direction donne, plus son
gain est lev.
Lensemble, puissance de rayonnement multiplie par le gain de lantenne, dfinit le PIRE
(puissance isotrope rayonne quivalente) EIRP en anglais (Equivalent Isotropic Radiated
Power), exprim en milliwatts. Cest cette puissance qui est limite par les autorits de rgulation (gnralement, de 10 100 mW dans les bandes de frquence 2,4 et 5 GHz).
En rception, le gain lev dune antenne compense en partie la perte de la puissance du signal. Cette valeur exprime donc sa capacit amplifier la puissance dun signal reu. Les
antennes fournies avec les bornes Wi-Fi prsentent gnralement un trs faible gain, de
lordre de 2.5 dBi. Dans des situations gographiques particulires ou en prsence de perturbations lectromagntiques importantes, il convient donc dinstaller des antennes de meilleure qualit.
9696
Antenne
omnidirectionnelle
Switch
WLAN
Ordinateur quip
dune carte WLAN
Le rseau, qui permet aux BSS de communiquer entre eux, est appel, par la norme 802.11,
un DS (Distribution System). Lensemble des BSS connects un DS forme un ESS (Extended Service Set).
Ce type darchitecture permet de crer un WLAN sur lensemble dun immeuble, en positionnant les bornes intervalle rgulier. Deux applications sont alors envisageables :
La cration de hot-spots , cest--dire de zones dlimites telles que les salles de runion. Les zones de couverture des bornes peuvent tre disjointes.
La cration dun rseau tendu permettant aux utilisateurs de se dplacer dans tout
limmeuble. Les zones de couverture des bornes doivent alors se chevaucher afin de
permettre vos utilisateurs de se dplacer sans perdre la connexion au rseau (service
appel roaming). En outre, les bornes doivent tre situes dans le mme domaine de diffusion MAC (cf. chapitre 3) et tre configures dans le mme sous-rseau IP.
Switch
97
Ce dernier cas de figure est le plus dlicat, car il ncessite de raliser une tude de couverture. Le plus simple est de vous inspirer de la procdure suivante :
Identifier les environnements types dans votre immeuble (zones de bureaux, openspaces, zones techniques, halls dentres, etc.). Chaque environnement est, en effet, caractris par des objets rflchissant et attnuant les ondes radio (cloisons, mobilier, poteaux, etc.).
Installer quelques bornes diffrents endroits dans chacun de ces environnements types, en respectant les distances maximales indiques par le constructeur. Les meilleures
positions sont en hauteur, fixes un mur ou sous le faux plafond.
Extension du rseau
La connexion de deux immeubles, spars de quelques centaines de mtres par un WLAN,
peut savrer une alternative intressante la mise en place dun cblage. Lutilisation
dantennes unidirectionnelles est alors conseille afin de canaliser les ondes radio et
lnergie utilise.
Btiment B
Btiment A
Antennes unidirectionnelles
WLA
WLA
Borne en mode
bridge
Borne en mode
bridge
Switch
Switch
Une autre manire daugmenter la porte du WLAN est de cascader les bornes grce la
fonction de rpteur.
En contrepartie, le dbit global est divis par deux, puisque les bornes doivent partager le
mme canal pour communiquer entre elles et avec les stations. La borne recevant une trame
de la part dune station, doit, en effet, la retransmettre lautre borne et utilise pour cela la
mme frquence.
9898
Bornes en mode
rpteur
WLA
WLA
Borne en mode
bridge
Switch
WLA
Le WLAN la maison
La solution la plus simple et la moins chre repose sur une architecture ad-hoc, si les
contraintes des distances et dattnuation des signaux vous le permettent. Dans le cas
contraire, linstallation dune ou plusieurs bases sera ncessaire pour btir des architectures
similaires celles qui viennent dtre montres.
Si cependant, vous disposez dun abonnement Internet via un accs ADSL ou le cble, la
solution idale repose sur un routeur modem sans fil, quipement regroupant les fonctions
de point daccs Wi-Fi, de modem ADSL (ou cble) et de routeur.
Ordinateur quip
dune carte WLAN
Connexion vers la prise
tlphonique ou le cble
coaxial menant lInternet
ADSL
99
100
100
La technique DSSS employe par la norme 802.11b diffuse les signaux sur une largeur de
bande de 22 MHz et impose un espacement de 25 MHz entre les canaux afin dviter toute
interfrence entre les signaux.
La France nautorisant que 4 canaux, de 10 13, vous ne pouvez donc slectionner quun
seul canal pour votre rseau. En revanche, aux tats-Unis et dans les pays europens respectant les directives de lETSI (European Telecommunications Standards Institute), il est possible de co-localiser 3 rseaux en slectionnant les canaux 1, 6 et 11, respectant ainsi
lespacement de 25 MHz ncessaire pour viter les interfrences. La bande passante offerte
aux utilisateurs est ainsi de 3 fois 11 Mbit/s.
Le mcanisme RTS/CTS induit un overhead propre aux trames de services changes et aux
temps dattente avant les transmissions.
Son activation permet de limiter les collisions, et notamment de rsoudre le problme du
nud cach : deux stations A et B sont situes de part et dautre dune borne, mais de
par leur loignement, elles sont hors de porte des signaux ; A ne peut ainsi pas recevoir les
signaux mis par B et inversement.
101
102
102
103
Le protocole WEP (Wired Equivalent Privacy) offre un mcanisme dauthentification rudimentaire sur la base dun mot de passe, appel cl WEP, programm dans tous les quipements, linstar du SSID. Dune part, la mise jour de cette cl est fastidieuse, mais en plus
sa large diffusion auprs des exploitants ou des utilisateurs augmente le risque de sa divulgation.
Cl WEP
WLAN
Cryptage
RC4
Cryptage
RC4
Cl WEP
Challenge crypt
Challenge crypt
Le protocole WEP permet galement de crypter les donnes transportes par la trame, hors
en-tte. Lalgorithme de chiffrement utilis est RC4 (cl secrte de 40 bits en standard, jusqu 104 bits selon les constructeurs), qui ne prsente pas la meilleure robustesse contre les
attaques.
Deux cls sont gnres : une cl de session pour les communications entre la base et la station, ainsi quune cl de groupe pour les flux multicasts.
Gnr alatoirement, thoriquement pour chaque
trame, mais dans la pratique, trs peu souvent !
IV (Initialization Vector)
Cl WEP
MPDU crypter
Seed
Gnrarateur
pseudo-alatoire
Calcul du
checksum
MPDU = MAC
Protocol Data Unit
Squence de cls de
la longueur du MPDU
crypter + les 4
octets de lICV
Cryptage
RC4
3 octets
bourrage
2 bits
N octets
4 octets
IV
000000
N cl
MPDU crypt
ICV crypt
On le voit, les quatre lments proposs en standard ne permettent pas dassurer une scurit
optimale de votre rseau sans fil. Des audits, raliss en France et aux tats-Unis, montrent
quil est mme possible de pntrer sans difficult un rseau WLAN, simplement en se
promenant dans la rue avec son ordinateur quip dune carte 802.11.
104
104
WPA et 802.11i
La solution repose sur le standard WPA et mieux encore, sur le standard 802.11i. WPA (WiFi Protected Access) est un sous-ensemble de 802.11i, dont il reprend les composants dj
figs et ne requrant pas dupgrade matriel :
Le protocole EAP (RFC 2284) permet aux stations et aux bases de sauthentifier via un serveur dauthentification, soit intgr la base, soit hberg sur un serveur Radius.
Avant que la station ne soit authentifie, la base autorise celle-ci ne communiquer quavec
le serveur dauthentification. Le mcanisme dauthentification peut alors tre de toute nature : un mot de passe, un challenge, un certificat, une token card ou encore une carte
puce.
Dclinaisons dEAP
Mcanisme dauthentification
EAP-TLS
PEAP (Protected EAP)
EAP-MD5
EAP-SIM
LEAP (Lightweight EAP)
WLAN
Station
Phase dassociation
Point daccs
Serveur dauthentification
radius
EAP request
EAP response
EAP success
quil impose un vecteur dinitialisation et une cl RC4 diffrents pour chaque trame ;
quil permet de dtecter toute modification illgale intervenant sur des trames, en calculant une cl de hachage irrversible transporte dans le champ MIC (Message Integrity
Code) ;
quil lance des contre-mesures si une tentative de modification ou dattaque sur le mot
de passe est dtecte.
Cl temporelle
Mlangeur
de cls
IV 24 bits
Gnrs alatoirement
pour chaque trame ou
fragment de trame
MPDU
Fonction
de
hachage
Moteur
WEP
N octets
Cl MIC
105
8 octets
MIC
Fragmentation
MSDU
La norme 802.11i spcifie galement lutilisation de lalgorithme de chiffrement AES (Advanced Encryption Standard) plus robuste que RC4.
Lauthentification sappuyant
sur le domaine de compte NT,
lutilisateur dj authentifi par
Windows na pas entrer un
mot de passe supplmentaire.
106
106
Bande de
frquences
Largeur de
bande par
cellule
Taille approximative
de la cellule
Dbit
MMDS
(Multichannel Multipoint
Distribution Service)
LMDS
(Local Multipoint
Distribution Service)
IEEE 802.16
IEEE 802.16a
~200 MHz
10 15 km
1 2 Mbit/s
~500 MHz
5 8 km
155 Mbit/s
500 Mbit/s
2 155 Mbit/s
Ces technologies, notamment de par les longueurs donde utilises, ne tolrent aucun obstacle ou objet rflchissant entre lmetteur et le rcepteur autour dune zone en forme
dellipse appele zone de Fresnel. Elles sont galement gnes par les objets rflchissant
les ondes, tels un plan deau, des surfaces mtalliques ou, dans une moindre mesure, les
gouttes de pluie : le rcepteur est ainsi susceptible de recevoir plusieurs signaux dcals
dans le temps, loriginal et les rflexions de ce mme signal. Ce phnomne est connu sous
le nom de chemins multiples. Dautres objets, comme les arbres, absorbent les ondes et
contribuent les affaiblir : lmetteur peut ainsi recevoir un signal trop faible pour tre interprt.
Les dnominations MMDS et LMDS recouvrent une gamme dapplication lie une bande
de frquence autorise, et reposent sur des technologies propritaire.
Le dveloppement de la boucle locale radio devrait venir du comit IEEE 802.16 qui dfinit
les bases du WMAN (Wireless Metropolitan Area Network). la diffrence des technologies MMDS et LMDS, ce standard spcifie les couches physique et MAC ainsi que
linterfaage avec les couches suprieures (Ethernet, IP, ATM).
La couche physique repose sur plusieurs techniques de multiplexage variant selon les applications : temporel adaptatif appel DAMA-TDMA (Demand Assignment Multiple AccessTime Division Multiple Access), OFDM (OrthogonalFrequency Division Multiplexing) ou
OFDMA (OFDM Access).
Ct europen, le comit BRAN (Broadband Radio Access Networks) de lETSI travaille au
projet HIPERMAN, similaire au 802.16.
107
DEUXIME PARTIE
Les rseaux
IP
5
Dmarrer son rseau IP
Des architectures viennent dtre labores, des rseaux viennent dtre construits, des protocoles sont utiliss. Mais comment tout cela simbrique-t-il ? Comment IP, TCP et Ethernet
fonctionnent-ils ensemble ?
Ce chapitre est loccasion daller plus loin dans la connaissance de ces protocoles et de votre
rseau, et de vous donner par la mme occasion une vision plus globale des rseaux. Car,
comprendre, cest pouvoir construire des rseaux de plus en plus complexes comme le requirent les applications multimdias daujourdhui.
Jusqu prsent, nous ne nous sommes proccups que du matriel mais, avec le spanning
tree, introduit au chapitre 3, nous devons dsormais nous proccuper du paramtrage logiciel des quipements rseau.
Comprendre, cest donc matriser le fonctionnement de son rseau.
Deuxime exemple, celui de ladresse IP que nous avons utilis sans en bien comprendre les
tenants et aboutissants. Cet aspect logiciel doit maintenant tre expliqu, car les choix que
vous prenez lorsque vous commencez par construire un petit rseau peuvent ensuite peser
bien des annes plus tard, lorsque celui-ci a pris de lampleur.
Comprendre, cest donc anticiper et faire les bons choix pour lavenir.
Dans ce chapitre, vous apprendrez ainsi :
112
112
Le plan dadressage IP
plusieurs reprises dj, nous avons parl dadresses IP sans vraiment nous en proccuper.
Il est vrai que nous nen avions pas rellement lusage ; il suffisait simplement de saisir une
adresse unique pour chaque station du rseau.
Mais notre rseau prend de lampleur et nous devons dsormais organiser laffectation des
adresses. Les ISP ne procdent pas autrement au sein de lInternet.
Comme cela a t dcrit au chapitre 3, une
adresse IP scrit avec quatre numros, compris entre 1 et 255, spars par des points, par
POURQUOI UN PLAN DADRESSAGE ?
exemple 192.162.0.1. Une partie de cette
Lobjectif premier du plan dadressage est
adresse dsigne un rseau, lautre le numro
dviter la duplication accidentelle des adresde station au sein de ce rseau. Jusqu prses. Pour ladressage MAC, un plan nest pas
sent, nous nous sommes arrangs pour confiutile car les adresses sont affectes aux cargurer toutes nos stations dans le mme rseau
tes par les constructeurs. En revanche,
IP.
laffectation des adresses IP relve de votre
responsabilit, ou de celle du NIC pour le rOn peut se poser la question suivante : pourseau public Internet.
quoi faut-il des adresses IP alors quil existe
dj des adresses MAC ? Dabord, Ethernet
Le plan dadressage permet galement de
est un rseau local, qui na donc quune porcontrler le fonctionnement de votre rseau
IP. En effet, laffectation des adresses IP doit
te gographique limite. Ensuite, il existe
rpondre des rgles prcises sous peine
des dizaines de rseaux de niveau 1 et 2 diffdaboutir des dysfonctionnements (conrents avec chacun un adressage physique qui
nexions impossibles, voire intermittentes,
lui est propre. Or, les PC, mme situs sur
etc.).
des rseaux diffrents, doivent pouvoir comEn dfinitive, le plan dadressage permet
muniquer ensemble. Il faut donc un protocole
dorganiser lexploitation de votre intranet.
de niveau suprieur, dit de niveau 3 (couche
rseau), qui permet de fdrer ces rseaux
avec un adressage unique. On trouve ainsi IP
sur Ethernet et PPP, mais aussi sur TokenRing, ATM, etc.
IP permet aussi de partitionner les rseaux. En effet, de nombreux protocoles utilisent abondamment les broadcasts et multicasts, et il est prfrable de limiter la diffusion de ces types
de trames. Si votre intranet est connect lInternet, il nest pas envisageable de recevoir
des trames multicast et broadcast mises par un employ de la socit X.
De plus, linterconnexion des sites cote cher compte tenu des distances. Il est donc judicieux de limiter le trafic afin de ne pas surcharger inutilement les liaisons par des broadcasts.
La dmarche
Tout dabord, il est conseill de retenir un adressage priv, cest--dire compltement spar
de celui de lInternet, ceci pour des questions de simplicit et de scurit. Il est toujours possible dopter pour un adressage public, mais lobtention de telles adresses est trs difficile,
car il faut justifier de leur usage auprs des organismes de rgulation de lInternet.
7 bits pour le n de
rseau de 1 127
126 rseaux
de 1.0.0.0 126.0.0.0
Classe B
1 0
0.x.x.x
Rserv
127.x.x.x
Adresse de boucle locale (loopback)
x.255.255.255 Broadcast : toutes les stations sur le
rseau x
16 382 rseaux
de 128.1.0.0 191.254.0.0
Classe C
1 1 0
Rserv
Rserv
Broadcast : toutes les stations sur le
rseau x.x
8 bits pour le n de
station de 1 254
192.0.0.x
Rserv
223.255.255.x Rserv
x.x.x.255
Broadcast : toutes les stations sur le
rseau x.x.x
Deux valeurs sont rserves dans la partie station de ladresse : 0 pour dsigner le rseau lui-mme et 255
(tous les bits 1) pour dsigner toutes les stations au sein de ce rseau (broadcast).
Il existe galement une classe dadresses multicast permettant de dsigner des groupes de stations.
Classe D
Pas de masque
1 1 1 0
268 435 455 groupes
de 224.0.0.0 239.255.255.255
La classe E (premiers bits 11110) dfinit une classe dadresses exprimentales. Elle nest jamais utilise.
Ladresse 255.255.255.255 dsigne toutes les stations sur le rseau de lmetteur du paquet (broadcast IP).
113
114
114
Il se peut donc que vous utilisiez des adresses dj affectes sur lInternet, mais cela na pas
dimportance car votre intranet est isol. Cela ne vous empchera cependant pas de
linterconnecter avec lInternet.
La seconde dcision concerne le choix de la classe dadresse IP. Ce choix dpend du nombre de stations prsentes sur votre rseau. Si ce nombre dpasse 254, une classe B simpose.
Une classe A nest pas utile, car une classe B offre 65 534 adresses de stations, ce qui est
largement suffisant. De plus, une classe A est limite 126 rseaux IP, ce qui, pour les
grands rseaux, peut tre un handicap.
En rsum, notre choix sest provisoirement port sur un plan dadressage priv de classe B,
ce qui nous donne 16 382 rseaux possibles contenant chacun 65 534 stations. Aux sections
suivantes, dautres considrations viendront modifier ce choix.
Rgle 3 : sil y a plusieurs rseaux IP sur un site, choisir des numros contigus. Cela
simplifiera le routage et permettra aux routeurs dagrger les routes selon la mthode
CIDR (Classless Inter-Domain Routing) explique au chapitre 12.
Rgle 4 : limiter le nombre de rseaux IP. Cela simplifiera les connexions lInternet.
Le protocole IP impose quune station se
trouvant dans un rseau IP ne puisse pas
communiquer directement avec une station se
QUEST-CE QUUN ROUTEUR ?
trouvant dans un autre rseau IP, mme si elles sont connectes au mme segment EtherUn routeur est un commutateur de niveau 3,
cest--dire qui commute les protocoles de la
net. Les rseaux sont segments de manire
couche rseau, tels que IP. La commutation
logique ; en dautres termes, ils sont partides paquets IP est plus complexe que celle
tionns.
des trames Ethernet. On emploiera donc pluLa solution repose sur lutilisation dun routt le terme de routage.
teur dont le rle est dinterconnecter les rCe mcanisme consiste analyser ladresse
seaux IP, quelle que soit leur localisation
de destination du paquet IP et le transmettre
gographique.
sur le bon port (appel interface). Il utilise
pour cela des algorithmes de routage, tels que
On verra au chapitre 12 quil existe un moyen
OSPF (Open Shortest Path First) qui permetde lever cette contrainte impose par IP.
tent de calculer les meilleures routes en foncDe toute faon, lutilisation dun routeur
tion des numros de rseau IP.
simpose ds que vous devez relier deux sites
Comme pour les PC, une interface routeur est
sur de longues distances. LInternet comporte
associe au moins un rseau IP.
des dizaines de milliers de routeurs. Donc,
autant prendre en compte cette contrainte ds
le dbut de llaboration du plan dadressage.
115
Espace dadressage
10.0.0.0
1 rseau de classe A
De 172.16.0.0 172.31.0.0
16 rseaux de classe B
De 192.168.0.0 192.168.255.0
On peut donc utiliser ces adresses pour notre rseau priv, sans que cela soit pour autant une
obligation. Lessentiel dune interconnexion avec lInternet repose, en effet, sur la translation dadresses.
Or, pour les grands rseaux, le nombre de rseaux IP translater est source de complexit :
sil y a quarante sites mais un seul point de sortie vers lInternet, le firewall devra prendre en
compte quarante rseaux IP dans ses rgles de translation dadresses.
Afin de simplifier cette configuration, il faudrait donc pouvoir ne translater quun rseau IP
au niveau du firewall (respect de la rgle 4) tout en ayant autant de subnets IP que ncessaire
pour notre intranet. La solution repose sur la cration de sous-rseaux IP.
Les sous-rseaux IP
Le principe des sous-rseaux (subnet) consiste tendre le nombre de bits dsignant la partie rseau. Le nombre de stations par sous-rseau diminue donc dautant.
Classe
A
B
C
Nombre de bits
affects au numro
de rseau
Extension possible :
nombre de bits affects au sous-rseau
255.0.0.0
+ 1 + 22 bits
255.255.0.0
16
+ 1 + 14 bits
255.255.255.0
24
+ 1 + 6 bits
Masque naturel
116
116
La partie station de ladresse doit comporter au moins 2 bits afin que cette dernire soit
valide.
Numro de station
Conclusion
1 bit
1 = broadcast
0 = ce rseau
2 bits
11 = broadcast
00 = ce rseau
01 = station n 1
10 = station n 2
La notation dcimale (octet par octet) est rendue difficile lorsque le sous-rseau ne porte pas
sur un multiple de 8 bits. Cest pourquoi la notation / [nombre de bits affects la partie
rseau] est plus souvent utilise.
Numro de rseau /
nombre de bits rservs
la partie rseau
Masque
Commentaire
10.0.0.0 / 10
subnet de +2 bits
255.192.0.0
10.0.0.0 / 16
subnet de +8 bits
255.255.0.0
194.50.0.0 / 19
subnet de +3 bits
255.255.224.0
194.50.0.0 / 24
subnet de +8 bits
255.255.255.0
Figure 5-1.
Les masques
de sous-rseaux.
255
254
Masques
252
248
240
224
192
Bit
128
64
32
16
Notre choix initial portait sur une classe B. Si nous voulons limiter le nombre de rseaux IP
et conserver la mme souplesse que la classe B, il faut donc retenir une classe A subnette sur une classe B.
117
Cela nous offrirait 256 sous-rseaux. Si, dans le futur, ce chiffre tait dpass, on pourrait
toujours ajouter un autre rseau de classe A (il ne ferait pas partie de la RFC 1918, mais ce
nest pas rellement important) et le subnetter , ou ajouter une classe B notre plan
dadressage. Notre but est simplement de limiter le nombre de rseaux IP.
Nous choisissons donc ladresse de classe A, 10.0.0.0, issue de la RFC 1918. tant donn le
subnet choisi, notre masque sera donc : 255.255.0.0. Mais ce choix est encore provisoire.
Site
10.0.0.0/16
De 10.1.0.0/16 10.3.0.0/16
Non affect
(rserv aux extensions de Paris)
10.4.0.0/16
De 10.5.0.0/16 10.7.0.0/16
Non affect
(rserv aux extensions de Toulouse)
Etc.
De 10.248.0.0 10.255.0.0
Adresse
Masque
10.
0.
0.0
255.
252.
0.0
Bit
/14
128
8 bits
64
32
16
+ 6 bits
118
118
Site
10.0.0.0/14
255.252.0.0
Rgion parisienne
10.4.0.0/14
255.252.0.0
Rgion toulousaine
10.8.0.0/14
255.252.0.0
Strasbourg
Etc.
De 10.248.0.0 10.255.252.0
Au sein de ce rseau, il est alors possible de crer dautres subnets dont la taille varie en
fonction de limportance du site. En faisant varier la longueur du masque on cre ainsi des
subnets variables (RFC 1219).
Par exemple, au sein de la plage dadresses affecte la rgion parisienne, on peut rserver
le subnet suivant un site de moyenne importance : 10.0.0.0/20 (masque gal
255.255.240.0), soit 4 094 adresses (16 256 2), de 10.0.0.1 10.15.255.254.
Figure 5-3.
Cration dun deuxime subnet.
Adresse
10.0.
Masque
255.255.
128
Bit
/20
64
32
16 bits
0.
240.
16
+ 4 bits
Au sein de ce site, il peut ensuite tre ncessaire de crer des rseaux de diffrentes tailles,
par exemple un rseau principal et de nombreux petits sous-rseaux ddis connects, par
exemple, un firewall.
Subnets du rseau 10.0.0.0/14
Fonction
10.0.0.0/22
255.255.252.0
10.0.4.0/22
255.255.252.0
10.0.8.0/24
255.255.255.0
(*) Si le rseau principal est tendu, il suffit de changer le masque qui devient 255.255.248.0, ce qui donne le rseau 10.0.0.0/21.
Le rseau 10.0.10.0/23 peut galement tre dcoup en deux subnets de classe C (masque de
24 bits) 10.0.10.0 et 10.0.11.0.
Figure 5-4
Extension
des subnets.
Masque
Bit
255.255.
128
64
32
16
252.
254.
10.0.0.0/22
10.0.4.0/22
10.0.8.0/22
10.0.12.0/22
10.0.10.0/23
255.
1
10.0.8.0/24
10.0.9.0/24
10.0.10.0/24
10.0.11.0/24
119
Les subnets de classe C ainsi crs (10.0.8.0, 10.0.9.0, etc.) peuvent leur tour tre dcoups en de trs petits rseaux, juste assez grands pour connecter un routeur et quelques machines.
Subnets du rseau 10.0.8.0/24
10.0.8.0/27
255.255.255.224
10.0.8.32/27
255.255.255.224
10.0.8.64/26
255.255.255.192
10.0.8.128/28
255.255.255.240
10.0.8.144/28
255.255.255.240
10.0.8.160/27
255.255.255.224
10.0.8.192/26
255.255.255.192
Une autre manire dapprhender la subtilit du subnetting qui vient dtre opr est de
considrer la grille de dcoupage suivante.
2 subnets
4 subnets
8 subnets
16 subnets
de 128 ( 2) adresses de 64 ( 2) adresses de 32 ( 2) adresses de 16 ( 2) adresses
0 31
0 63
32 63
0 127
64 95
64 127
96 127
Plage dadresses
au sein du subnet
128 159
128 192
160 191
128 255
192 223
192 255
224 240
Masque
/25
/26
/27
0 15
16 31
32 47
48 63
64 79
80 95
96 111
112 127
128 143
144 159
160 175
176 191
192 207
208 223
224 239
240 255
/28
Les plages rserves permettront dtendre les plages dj affectes si le nombre de stations
devient plus important que prvu. Ainsi, le rseau Serveurs publics pourra tre tendu en
diminuant le masque de 1 bit, afin de donner le subnet 10.0.8.0/26 (255.255.255.192).
Il est noter que la cration dun sous-rseau fait perdre chaque fois deux adresses.
120
120
Les adresses des rseaux WAN ne sont pas diffuses sur lensemble du rseau ; elles ne
sont connues quentre routeurs adjacents.
Les adresses nont donc pas besoin dtre connues des rseaux utilisateurs.
Utiliser une plage dadresses distincte permet de mieux identifier les liaisons WAN.
Bien que cela ne soit pas une obligation, nous prfrons donc utiliser une autre plage
dadresses de la RFC 1918. Une classe B suffira amplement.
Nous pouvons donc rserver une plage de notre rseau 172.16.0.0/16, que nous subnetterons comme suit :
Subnets de 172.16.0.0/16
Fonction
172.16.0.0/30
255.255.255.252
Liaison Paris-Toulouse
172.16.0.4/30
255.255.255.252
Liaison Paris-Strasbourg
etc.
En tout :
16 384 subnets de 2 adresses
Pour les interconnexions multipoints, il suffira de rduire le masque dautant de bits que ncessaires pour les subnets considrs. En gnral, les rseaux multipoints WAN sont rares et
comprennent peu dadresses en comparaison des LAN.
121
Affectation
De 0.1 24.255
De 25.0 49.255
De 50.0 255.254
Dans le cas dun subnet sur une classe C, le plus simple est de ne pas affecter de plage
dadresses par type dquipement, car la probabilit de collision est encore plus forte
quavec une classe B. Laffectation des adresses pour les quipements rseau et serveur peut
commencer par le bas de la plage et sincrmenter ensuite, tandis que celle pour les PC peut
commencer par le haut de la plage et se dcrmenter ensuite.
Plage dadresses
Affectation
De .1 .254
quipements rseau (routeurs, hubs, switches, etc.) et serveurs NT, Unix, etc.
De .254 .1
On peut constater que le plan dadressage doit prendre en compte de nombreux paramtres
lis des notions qui nont pas t introduites : routage, translation dadresse, affectation
dynamique, connexion lInternet et contrle de flux. Les chapitres suivants vous permettront de juger de la pertinence ou non du plan dadressage qui vous est propos.
122
122
Figure 5-5.
Paquet IP
au-dessus
de diffrents
rseaux.
Routeurs
Serveur Web
Votre PC
Trame PPP
RTC
56 Kbits/s
Paquet IP
1 Mbits/s
Trame PPP
10 Mbps
155 Mbits/s
Trame Ethernet
Cellule ATM
Le paquet IP est achemin de proche en proche
au dessus de diffrents protocole de niveau 2.
On peut tablir lanalogie suivante : le paquet IP est une voiture ; les pneus et les suspensions sont les protocoles de niveau 2 qui ralisent ladaptation aux routes que sont les rseaux physiques. Vous roulez ainsi sur un chemin de terre (le RTC), puis sur une nationale
(Ethernet) et enfin sur une autoroute (ATM), mais toujours avec la mme voiture. ventuellement, vous changez de pneus ou de suspensions, afin de vous adapter au terrain. De mme,
le paquet IP peut emprunter le RTC (avec une trame PPP), un rseau Ethernet (avec une
trame Ethernet) ou un rseau ATM (avec une cellule ATM).
Figure 5-6.
Modle en couches
des protocoles Internet.
Applications
Telnet, FTP
SNMP, RSVP
Couche 4
TCP
UDP
Couche 3
IP
ICMP
Couche 2
Ethernet, ATM
Couche 1
Cble
Rsolution dadresse
IP MAC
ARP
Adressage logique
Adressage physique
Prambule
7
(nbre doctets)
Paquet IP
Code de contrle
derreur
46 1500
7
(nbre doctets)
Type de
protocole
RFC 1042
Ethernet 802.3
Prambule
RFC 894
Ethernet v2
Longueur
LLC /
SNAP
Paquet IP
Code de contrle
derreur
38 1492
LLC 802.2
SAP = Service Access Point
DSAP = Destination SAP
SSAP = Source SAP
OUI = Organizationally Unique Identifier
(nbre doctets)
SNAP
DSAP = AA
SSAP=AA
Type trame
LLC = 03
OUI
= 000
Type de
protocole
Il existe diffrents types de trames LLC (IEEE 802.2) impliquant diffrents modes de fonctionnement. Pour
IP, seule la trame de type Unnumbered Information (type 03) est utilise (trame simple sans acquittement).
Elle est galement utilise pour transporter IP dans ATM (Classical IP), Token-Ring et FDDI.
La couche SNAP (Sub Network Access Protocol) est ncessaire, car la trame LLC (Logical Link Control) ne
contient pas de champ quivalent au champ Type de la trame Ethernet v2. Le SAP (Service Access
Point) utilis pour transporter SNAP est 170 (0xAA). On retrouve ce principe dadaptation avec dautres protocoles comme Frame-Relay ou ATM (voir chapitre 11).
Dans le dernier champ de len-tte SNAP, on retrouve enfin le type de protocole (ethertype) utilis dont les
valeurs sont identiques celles du champ de mme nom de la trame Ethernet v2 (0x0800 pour IP, 0806
pour ARP, etc.).
Il est noter que le MTU (Maximum Transfert Unit), cest--dire les donnes utiles transportes dans la
trame Ethernet, est plus important avec Ethernet v2, lencapsulation 802.3 faisant perdre 8 octets.
123
124
124
Ladressage
Toutes les couches rseau, de la couche physique lapplication en passant par les couches
liaison, rseau et transport, utilisent des adresses afin didentifier lmetteur et le destinataire. Chaque couche utilise un systme dadressage spcifique qui rpond un besoin
prcis.
Ladressage de niveau 2 est gographiquement limit un rseau local ou une liaison point
point dun rseau tendu.
Ladressage de la couche 3 permet didentifier les stations un niveau suprieur. Il assure la
continuit entre des rseaux physiques qui utilisent diffrents systmes dadressage.
Figure 5-7.
Le rle de ladressage.
Adresse
du PC
Espace dadressage
global (niveau 3)
Adresse de la carte
Espace dadressage
local (niveau 2)
Adresse
du routeur
Adresse
Routeur
du routeur
Adresse de la carte
Adresse de la carte
Adresse
du PC
Adresse
du PC
Espace dadressage
local (niveau 2)
Adresse de la carte
Adresse de la carte
Enfin ladressage de niveau 4 permet didentifier les applications quutilisent les services de
la couche transport.
125
Le multiplexage
Chaque couche rseau dispose dun champ pour identifier le type de protocole encapsul
dans le champ de donnes. Ethernet identifie ainsi quil transporte un paquet IP, IP identifie
quil transporte des donnes TCP, et TCP identifie lapplication qui a rempli son champ de
donnes.
Figure 5-8.
Le principe de l'encapsulation
des protocoles.
Segment
Telnet
>1023
Segment
FTP
ou
23
ou
Segment
HTTP
20, 21
80
ou
Segment
SMTP
Autres
ou applications
25
...
Paquet TCP
Port
Port
Numro
Numro
Longueur Rserv Code Fentre Contrle Urgence Options Bourrage Champ des
donnes
source destination squence acquittement
1=ICMP, 2=IGMP, 6=TCP, 17=UDP, 46=RSVP, 54=NHRP, 89=OSPF
Paquet IP v4
Ver
FO
Adresse Options et
destination bourrage
Champ des
donnes
0x0800=IPv4, 0x0806=ARP,
0x86DD=IPv6, 0x8847=MPLS
etc.
Trame Ethernet v2
Prambule
Adresse
source
46 1500
0 46
(nbre doctets)
126
126
Dans le cas dune navigation sur le web, lempilement des protocoles est : segment HTTP
TCP (port 80) IP (protocole 6) , puis toutes sortes de rseaux de transport, tels que
PPP, Frame-Relay, ATM, etc.
Sur votre rseau, lencapsulation sera : IP SNAP (protocole 2048) LLC (SAP 170)
Ethernet 802.3 .
Par dfaut, Windows 2000 encapsule les paquets IP dans les trames Ethernet v2. Il est possible dactiver lencapsulation LLC/SNAP en ajoutant le paramtre ArpUseEtherSNAP
de type REG_DWORD la cl de registre HKEY_local_machine\System\CurrentControlSet\Services\Tcpip\Parameters , et en fixant sa valeur 1.
Figure 5-9.
Le rle
des couches
rseau.
Couches rseaux
Interface utilisateur
Formatage des donnes
Gestion de la session client-serveur
Application
Prsentation
Session
RFC 675
761, 793
Pile TCP/IP de
lordinateur (sockets)
segment TCP
Transport
Rseau
Liaison
Physique
RFC
791, 1011
Routage
Adressage logique
Fragmentation / rassemblage
Gestion TTL
paquet IP
Routeur
RFC 1042
t
Commutateur
Cble
page HTTP
Navigateur Web
Bit
Ce modle en couches simplifie la programmation des protocoles en leur assignant des rles
prcis, et offre plus de souplesse par le jeu des encapsulations possibles.
Lchange de paquets IP
Une carte rseau ne se proccupe que des adresses MAC pour envoyer et recevoir des donnes. En revanche, une application telle que Telnet ne connat que ladresse IP qui est purement logique : une pile IP recevant un paquet IP ne le prendra en compte que si ladresse de
destination du paquet correspond ladresse IP qui a t paramtre dans le PC. Dans le cas
contraire, il sera ignor.
Figure 5-10.
change
de paquets IP.
Les cartes sont lcoute des signaux qui circulent sur le cble.
Elles se synchronisent sur le prambule des trames MAC et
lisent les adresses MAC destination.
Concentrateur
Up
127
g
Non, le paquet nest pas pour moi,
je nai pas la mme adresse IP que
ladresse destination du paquet.
Par ailleurs, ladresse MAC de la station changera si la carte rseau est change (en cas de
panne, par exemple). De mme, son adresse IP peut tre modifie tout moment laide des
outils de configuration Windows (en cas de dmnagement, par exemple).
Lexemple prcdent montrait un paquet IP envoy dans une trame de broadcast. Ce moyen
doprer est pratique mais trs consommateur de bande passante puisque la trame est propage travers tout le rseau. Sauf quand cela est ncessaire, un paquet IP est envoy dans une
trame unicast, cest--dire directement au PC concern. Mais comment connatre ladresse
MAC de la carte du PC destinataire alors que vous ne connaissez que ladresse IP de sa pile
IP ?
Cela est, par exemple, le cas lorsque vous lancez la commande suivante, qui permet de vous
connecter un serveur Unix :
Telnet 192.50.10.1
Lapplication Telnet va demander la couche TCP douvrir une connexion avec ladresse IP
indique, et va transmettre son paquet la couche IP (avec ladresse de destination indique). Cette dernire va encapsuler le segment TCP dans un paquet IP, puis lenvoyer la
carte. Mais la carte ne sait pas quoi faire dune adresse IP ; elle ne sait grer que des adresses MAC : une trame Ethernet ne contient quune adresse MAC qui permet aux autres cartes
de la prendre ou non en compte.
La solution repose sur un mcanisme qui ralise la correspondance entre ladresse MAC du
PC destinataire et son adresse IP.
On pourrait utiliser une table de correspondance statique Adresse MAC Adresse IP. Mais
cela serait fastidieux, car il faudrait relever les adresses MAC des stations ainsi que les
adresse IP, et paramtrer la table sur tous les PC. Cela est inimaginable tant donn le nombre important de PC et les nombreux changements dadresses qui interviennent. On perdrait
en plus lavantage de dissocier ladresse physique de ladresse logique. En outre, un PC peut
tre configur avec plusieurs adresses IP.
128
128
4 bits
Version = 4 Longueur
de lentte
8 bits
16 bits
TOS
(Type Of Service)
Protocole encapsul
dans le champ donne
0 D M
F
Bourrage
Cette couche se contente de router (cest--dire acheminer) le paquet travers un rseau IP : les paquets
peuvent tre perdus (pas de garantie dacheminement), contenir des erreurs (sauf sur len-tte, qui est
contrl) ou arriver dans le dsordre. IP fragmente les paquets dont la taille excde celle des trames (le
MTU, Maximum Transfer Unit). Les fragments sont routs indpendamment les uns des autres comme autant de paquets, mais IP assemble dans le bon ordre les fragments dun mme paquet original. Le bit M
positionn 0 indique que ce paquet est le dernier fragment dune srie lorsque le bit DF est positionn 0 .
Le bit DF positionn 1 indique que lmetteur ne souhaite pas fragmenter les paquets. Dans cas, si
un routeur reoit un paquet dpassant le MTU, il envoie lmetteur un message icmp_destination unreachable type 4 lui indiquant le MTU. Il est alors de la responsabilit de lmetteur dajuster la taille de ces
paquets ou dautoriser la fragmentation.
Le champ TTL est dcrment de 1 chaque fois que le paquet passe par un routeur. Si la valeur atteint zro, le routeur dtruit le paquet. Ce mcanisme vite aux paquets de rester trop longtemps sur le rseau, soit
parce quils tournent en boucle (suite une erreur de routage), soit parce quils traversent trop de routeurs.
La valeur initiale du TTL est fixe par la station mettrice (de 32 128, en gnral).
D = dlai dacheminement court
T = dbit lev R = Grande fiabilti
TOS
Priorit D T R 0 0
C = Option recopie
dans tous les fragments
Options C Clas
se
Numro
Classe / Numro
0 / 2 IP security Option
0 / 3 Routage lche
0 / 7 Enregistrement des routes
0 / 9 Routage strict dfini par la source
2 / 4 Horodatage des paquets
Le champ TOS n'existe plus en tant que tel. Il a t redfini par les RFC 2474 (DiffServ) et 3168 (ECN) qui
sont dtailles au chapitre 14.
129
La rsolution dadresse
La seule solution est donc une rsolution dadresse automatique, cest--dire un mcanisme
permettant de trouver ladresse MAC en connaissant uniquement ladresse IP. Cest le rle
du protocole ARP (Address Resolution Protocol) li la couche IP. Ce protocole gre une
table de correspondance dynamique Adresse MAC Adresse IP, appele cache ARP.
Vous pouvez en visualiser le contenu laide de la commande Windows suivante :
arp a
00:40:0b:4b:25:d2
190.50.1.253
Si vous navez pas communiqu rcemment avec un autre PC, la table sera vide : les entres
sont, en effet, effaces au bout dun certain temps. Sous Windows, une entre ARP (adresse
MAC / adresse IP) est supprime au bout de deux minutes si le PC na pas dialogu avec la
station cible (selon le mcanisme TTL, Time To Live). Dans tous les cas, lentre reste au
maximum dix minutes en mmoire, puis elle est supprime.
Si ladresse IP recherche nest pas dans le cache, ARP va alors envoyer un paquet de requte encapsul dans une trame Ethernet de broadcast. Cette dernire va donc tre lue par
toutes les cartes rseau.
changes ARP
Requte
IP = 192.50.10.20
Donc, seule la station dont ladresse IP correspond celle demande par la requte envoie en rponse un
paquet contenant sa propre adresse MAC.
La rsolution inverse, cest--dire lobtention de ladresse IP partir de ladresse MAC, est ralise par le
protocole RARP (Reverse ARP RFC 903).
130
130
Figure 5-11.
Format
d'un paquet ARP
dans une trame
Ethernet.
0x0800 = IP
= Requte ou Rponse
00:44:AA:12:54:54
Couche
Physique
16
16
16
192.50.10.1
Adresse MAC
metteur
Adresse IP
metteur
Adresse MAC
destination
Adresse IP
destination
6 pour Ethernet
4 pour IP
6 pour Ethernet
4 pour IP
Paquet ARP
Champ des donnes = paquet ARP
Trame Ethernet
Prambule
7
Type
46 1500
0 46
(nbre doctets)
0x0806 = ARP
La valeur du champ Type est 0x806 : la carte remet le contenu du champ de donnes la couche ARP.
131
CHAPITRE 5
Telnet
Figure 5-12.
Utilisation
des ports TCP et UDP.
Client
TCP
>1023
>1023
Client
>1023
23
>1023
23
Serveur
UDP
UDP
137
137
La pile TCP/UDP du client choisit gnralement un port source suprieur 1023, et incrmente cette valeur chaque nouvelle session ouverte simultanment dautres dj actives.
16 bits
Les champs port source et port destination servent identifier une application (par exemple, 23 pour Telnet). Ces valeurs sont rserves et enregistres par lIANA (www.iana.org/assignments/port-numbers).
Les clients et les serveurs manipulent des noms (une machine Unix, un serveur de fichiers
NT) et schangent des donnes travers des ports qui leur sont rservs par lIANA (voir
en annexe La gestion de lInternet ). Sur lInternet, le service DNS permet de convertir
les noms en adresses IP (voir chapitre 7), tandis que, dans le monde Microsoft, on utilise encore le service WINS pour convertir des noms Netbios en adresses IP.
On peut considrer que ce protocole est situ au niveau de la couche 5 (couche session) : il
permet, en effet, dtablir et de grer des sessions entre applications. Dans le monde Internet, les applications comme Telnet, votre navigateur Web, FTP, etc.) grent elles-mmes
tous les mcanismes situs au-dessus de la couche transport, cest--dire TCP et UDP.
lorigine, Netbios circulait nativement dans des trames Ethernet, mais de nos jours, il est
encapsul dans IP (RFC 1001 et 1002).
Par exemple, le partage de fichiers et la messagerie Exchange utilisent le protocole Netbios
sur le port TCP 139. Par ailleurs, les serveurs WINS schangent des donnes sur le port
TCP 42.
Figure 5-13.
Netbios sur IP.
UDP
UDP
Serveur
Client
137
>1023
UDP
>1023
UDP
137
Serveur
Client
138
>1023
TCP
139
>1023
TCP
139
138
Serveur
132
132
4 bits
8 bits
16 bits
Pointeur durgence =
nombre doctets urgents restant envoyer
Longueur
de lentte
Rserv (6 bits)
U
R
G
A
C
K
P
S
H
R
S
T
Options
S
Y
N
Bourrage
Indique que les donnes doivent tre remises sans dlai lapplication.
Acquittement dun ou de plusieurs segment selon le n dacquittement
Indique la couche TCP denvoyer et de remettre les donnes sans attendre le
remplissage des tampons dmission et de rception.
RST (Reset)
Ferme la connexion TCP suite un problme.
SYN (Synchhronize) Le rcepteur doit synchroniser son n dacquittement avec le n de squence reu
FIN
Demande de dconnexion.
Des options peuvent tre ngocies entre entits TCP (champ Option ), par exemple la taille maximale
des segments transports.
La couche TCP assure le contrle derreur et le squencement des segments (les segments sont remis
dans le mme ordre que lors de leur mission). La taille de la fentre dmission indique au rcepteur le
nombre doctets quil pourra son tour envoyer sans attendre dacquittement. Elle permet galement de
demander la retransmission partir du premier segment en erreur (manquant ou erron).
La couche TCP mesure le temps coul entre lmission dun segment et la rception de laccus de rception correspondant, et calcule ainsi une moyenne glissante du temps de rponse (Round Trip Time). Elle
utilise lalgorithme de Karn pour dduire la valeur de ses temporisateurs. Ainsi, plus le temps de rponse
est long, plus TCP attendra longtemps laccus de rception avant de retransmettre. De mme, TCP estime
le nombre de segments perdus : plus celui-ci augmente, plus la fentre dmission est rduite. Ces mcanismes permettent TCP de contrler le flux de donnes en fonction de ltat du rseau (perte de segments et dbits) et donc dviter une surcharge du rseau par un nombre croissant de retransmissions devenues inutiles.
Initiateur de
la connexion
SYN=1
SEQ=600, ACK=1501
SYN=0
SEQ=1501, ACK=601
SYN= bit SYN
SEQ= n de squence des segments mis
ACK= n dacquittement des segments reus
Pour grer la fentre glissante, chaque extrmit gre deux fentres par connexion, une pour lmission (cf.
schma ci-dessous) et une autre pour la rception.
Dans cet exemple lmetteur envoit des segments comportant 128 octets de donnes,
et la taille de la fentre demande par le rcepteur est de 512 octets.
128
256
Octets mis
et acquits
384
512
Octets mis et
non acquits
640
768
Octets
pouvant
encore
tre mis
896
1024
Lacquittement TCP est cumulatif : un acquittement de numro de squence N signifie que les octets prcdents ont bien t reus.
Deux segments contenant
128 octets de donns sont
envoys.
SEQ=1502, ACK=601
SEQ=1630, ACK=601
+128
SEQ=601, ACK=1630
Bit ACK=1. Le pointeur
doctets mis et acquitts =
n dacquittement
(la fentre glisse).
+512
SEQ=1630, ACK=1113
La taille de la fentre passe 256
octets.
Nombre dapplications se contentent denvoyer peu doctets, voire un seul octet par segment TCP, comme
cela est le cas de Telnet (cf. chapitre 10). Sur un rseau non encombr et/ou haut dbit, on peut se permettre dencapsuler un octet dans un segment TCP puis dans un paquet IP (overhead de 40 octets), de
procder la mme opration pour le caractre en cho, puis de gnrer deux acquittements, un pour le
caractre envoy et un autre pour le caractre en cho. Mais dans des conditions inverses, cet overhead
nest pas supportable. Ainsi, lorsque TCP constate que les temps de rponse sont longs, il active
lalgorithme de Nagle, qui consiste accumuler les octets pour les envoyer dans un mme segment, plutt
que denvoyer chaque caractre dans des segments individuels.
133
6
Administrer
son rseau IP
Votre rseau dentreprise est dsormais oprationnel. Il stend sur plusieurs sites. Cependant, les problmes vous guettent. En effet, plus le rseau est important, plus la probabilit
quune panne survienne un endroit ou un autre est importante. Cest statistique.
En outre, plus un rseau est important, plus il est difficile grer. Il convient donc dutiliser
des outils qui simplifient sa gestion et diminuent donc le nombre potentiel de pannes.
Dans ce chapitre vous apprendrez :
136
Le ping
La commande de base est le ping (Packet Internet Groper, ou ping-pong). Ce programme
permet de savoir si une station IP est active et, plus gnralement, si le rseau fonctionne
correctement entre deux points, par exemple, entre votre PC Paris et le serveur de Londres.
Autre fonction intressante, le programme donne galement le temps de rponse mesur.
Figure 6-1.
Le ping.
c
d
ICMP_ECHO_REQUEST
ICMP_ECHO_REPLY
switch
10.0.2.50
10.0.2.40
10.0.0.1
switch
FR
Paris
172.16.0.9
Londres
172.16.0.10
10.12.0.1
10.12.1.60
10.12.1.100
La commande ping sappuie sur le protocole ICMP (Internet Control Message Protocol) qui
fait partie de la couche IP. Ce protocole est utilis pour toutes les oprations qui ont trait la
gestion du rseau IP, et ce, de faon transparente pour les utilisateurs.
137
Le traceroute
Lautre commande de base est le traceroute. Ce programme utilise des mcanismes propres
IP et ICMP pour afficher lcran la route emprunte par un paquet IP en plus du temps
de rponse. Son principe de fonctionnement est le suivant :
Le premier routeur reoit ce paquet, dcrmente le TTL de 1, et constate quil est gal
0. Il dtruit le paquet, et renvoie lmetteur un message ICMP_Time_exceeded.
Le mcanisme du TTL (Time To Live) est expliqu dans lencart Le point sur IP v4 , au
chapitre 5.
Certaines implmentations de traceroute utilisent un paquet UDP sur un port quelconque la
place dun paquet ICMP_Echo_request. La RFC 1393 (statut exprimental) propose, quant
elle, un autre algorithme qui repose sur un message ICMP_Traceroute (type 30). Il est cependant rarement implment, aussi bien sur les stations que sur les routeurs.
Figure 6-2.
Le traceroute.
switch
10.0.2.50
10.0.2.40
10.0.0.1
switch
FR
Paris
172.16.0.9
Londres
172.16.0.10
10.12.0.1
ICMP_ECHO_REQUEST, TTL=1
ICMP_TIME_EXCEEDED
TTL-1 = 0
ICMP_ECHO_REQUEST, TTL=2
TTL-1 = 0
TTL-1 = 1
ICMP_TIME_EXCEEDED
ICMP_ECHO_REQUEST, TTL=3
TTL-1 = 2
ICMP_ECHO_REPLY issus de la station cible (fin de la recherche)
TTL-1 = 1
10.12.1.60
10.12.1.100
138
4 bits
Code
8 bits
Checksum portant
sur le message
Donnes dpendant
du type et du code du message
Except pour les messages Echo et Timestamp, le paquet ICMP contient une copie partielle du paquet original ayant caus lerreur (en-tte IP + 8 premiers octets des donnes).
Le tableau de la page suivante recense les types et codes existants ce jour. Lorsque cela nest pas prcis, les messages sont gnrs par les routeurs et les stations IP. Sauf indication contraire, les messages
ICMP sont dfinis dans la RFC 792.
Type
3
Message
Destination Unreachable
11
Time exceeded
12
Parameter Problem
Source Quench
Redirect
Echo request
Echo reply
Code et description
0 network unreachable : le routeur ne connat pas la route
1 host unreachable : le routeur ne peut pas trouver la station
2 protocol unreachable : le protocole demand nest pas actif.
3 port unreachable : aucun programme ne rpond sur ce port TCP
ou UDP.
4 fragmentation needed and DF set : indique lmetteur que le
routeur doit fragmenter un paquet qui dpasse le MTU, alors que
la fragmentation nest pas souhaite par ce mme metteur.
5 source route failed
0 Si un routeur reoit un paquet avec un TTL 0, il envoie ce
message lmetteur.
1 Si une station nobtient pas tous les fragments dun message
dans le temps imparti, elle envoie ce message lmetteur.
0 Des paramtres incorrects ou inconsistants dans len-tte du
paquet IP ont t dtects (un pointeur indique la position de
lerreur dans lentte)
0 Le routeur, ou la station, est congestionn (ou rgule le trafic
selon un algorithme propre) et demande lmetteur de rduire
son flux. Les paquets en excs peuvent tre dtruits.
0 for the Network : le routeur a dtect une meilleure route et indique la station quel routeur solliciter
1 for the Host : idem pour une station
2 for the TOS and Network : idem avec le champ TOS correspondant.
3 for the TOS and Host : idem pour une station.
0 Demande au rcepteur de renvoyer un Echo reply (un identifiant
et un numro de squence identifient le message).
0 Rponse un Echo request. Les donnes contenues dans le
message Echo request doivent tre reportes dans ce message.
139
Message
Timestamp
14
Timestamp reply
15
Information request
16
17
Information reply
Mask request
18
9
Mask reply
Router Advertisement
10
Router Solicitation
Code et description
0 Indique le nombre de millisecondes coul depuis 00h00 GMT
lorsque le message Timestamp a t envoy. Utilis pour valuer le temps de transit.
0 Indique le nombre de millisecondes coul depuis 00h00 GMT
lorsque le message Timestamp a t reu, ainsi que la valeur de
ce nombre lorsque la rponse a t envoye.
0 (obsolte) Permettait aux stations dobtenir leur adresse IP. Mcanisme remplac par les protocoles RARP, puis BOOTP et
DHCP.
0 Idem (obsolte).
0 (RFC 950) Permet une station dobtenir le masque IP de son
sous-rseau.
0 (RFC 950) Rponse du routeur une demande de masque.
0 (RFC 1256) mis priodiquement par un routeur pour indiquer
ladresse IP de son interface. Permet aux routeurs de dcouvrir
leurs voisins, et aux stations de dcouvrir leur passerelle par
dfaut.
0 (RFC 1256) Lors de son initialisation, une station peut demander
un routeur de sannoncer immdiatement. Les routeurs
nenvoient, en principe, aucune sollicitation, mais attendent les
annonces.
140
La commande ping sera plutt utilise pour savoir si un nud IP est actif et joignable ainsi
que le temps de rponse de bout en bout. Elle offre en outre davantage de possibilits de paramtrage (taille et nombre des paquets, enregistrement de la route, etc.). La commande traceroute permet, quant elle, de savoir quelle route est emprunte (par exemple, le chemin
principal ou celui de backup) et quelles parties du rseau engendrent les temps de rponse
les plus longs.
De nombreux utilitaires de ce type sont disponibles sur les sites ftp.lip6.fr, tucows.clubinternet.fr et www.winsite.com.
141
Dtail du paquet
Lanalyseur rseau peut galement tre utilis comme outil danalyse pour :
Enfin, lanalyseur rseau offre souvent des fonctions volues, telles que :
une minuterie (triger) qui permet de dclencher et darrter la capture sur rception
dune trame particulire (adresse, donnes, etc.) ;
142
CHAPITRE 6
143
Serveurs DNS et
passerelles SMTP
Routeur
Cette carte a t obtenue en scannant les adresses IP dun fournisseur daccs lInternet
(ISP). Le logiciel a ainsi trouv des routeurs, des serveurs DNS, des passerelles de messagerie SMTP, ainsi quun certain nombre de stations non identifies.
La premire tche est dagencer les icnes qui apparaissent dans le dsordre.
Ladministrateur peut ensuite dessiner un rseau et positionner les objets dessus, de manire
faire correspondre la carte la ralit.
En slectionnant une icne, il est alors possible doprer plusieurs actions sur lquipement :
ajouter des informations complmentaires, interroger son agent SNMP, surveiller des paramtres de cet agent, positionner des seuils dalerte, etc.
144
ID = Identifiant de
transaction permettant
dassocier la rponse
une requte.
Version
Communaut
PDU
ID
tat
Index
var:val
Message transport
dans un paquet
UDP, port 161
0 = GetRequest
1 = GetNextRequest
Plate-forme
dadministration
quipement rseau
dot dun agent SNMP
2 = GetResponse
3 = SetRequest
=1
Message transport
dans un paquet
UDP, port 162
4 = Trap
Version
Communaut
PDU
Objet
Source
Type
Code
Temps
var:val
Adresse IP de lagent
Deux noms par dfaut :
public
= accs en lecture
private
= accs en lecture/criture
Type de trap :
0 = Cold start (remise sous tension)
1 = Warm start (rinitialisation - reset)
2 = Interface/port down
3 = Interface/port up
etc.
Presque tous les quipements rseau intgrent un agent SNMP. Ce logiciel ralise linterface entre les requtes SNMP et la base de donnes MIB (Management Information Base) qui regroupe tous les paramtres de lquipement.
CHAPITRE 6
145
Le problme de ce type de logiciel est quil faut sans cesse le mettre jour, car le rseau ne
cesse dvoluer. Lautre problme tient la gestion des alertes : le logiciel doit tre trs prcisment paramtr pour ne gnrer que des alarmes relles. Ces deux activits peuvent
prendre beaucoup de temps ladministrateur.
RFC1213-MIB DEFINITIONS ::= BEGIN
IMPORTS
mgmt, NetworkAddress, IpAddress, Counter, Gauge, TimeTicks
FROM RFC1155-SMI
Importe ces groupes de la MIB SMI
OBJECT-TYPE
et tous les objets de la MIB-I.
FROM RFC-1212;
Cette MIB dfinit le groupe MIB-II situ sous le groupe Management.
mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }
DisplayString : := OCTET STRING
Dfinition de lobjet system,
PhysAddress ::= OCTET STRING
identifiant n 1 dans le
-- groups in MIB-II
groupe mib-2
system OBJECT IDENTIFIER ::= { mib-2 1 }
interfaces
OBJECT IDENTIFIER ::= { mib-2 2 }
at
OBJECT IDENTIFIER ::= { mib-2 3 }
ip
OBJECT IDENTIFIER ::= { mib-2 4 }
Noms et identifiants
icmp
OBJECT IDENTIFIER ::= { mib-2 5 }
dans la MIB 2.
tcp
OBJECT IDENTIFIER ::= { mib-2 6 }
udp
OBJECT IDENTIFIER ::= { mib-2 7 }
egp
OBJECT IDENTIFIER ::= { mib-2 8 }
146
-- cmot
OBJECT IDENTIFIER ::= { mib-2 9 }
transmission OBJECT IDENTIFIER ::= { mib-2 10}
snmp
OBJECT IDENTIFIER ::= { mib-2 11 }
-- the System group
sysDescr OBJECT-TYPE
Description de lobjet sysDescr,
SYNTAX DisplayString (SIZE (0..255))
identifiant n 1 dans le groupe
ACCESS read-only
system.
STATUS mandatory
DESCRIPTION
"Par ex. : Cisco 761 Software Version c760-i"
::= { system 1 }
sysObjectID OBJECT-TYPE
SYNTAX OBJECT IDENTIFIER
ACCESS read-only
STATUS mandatory
DESCRIPTION
"Par Ex. : Cisco2503"
::= { system 2 }
.......................................
ifNumber OBJECT-TYPE
Description de lobjet ifNumber,
identifiant n 1 dans le groupe
SYNTAX INTEGER
interfaces.
ACCESS read-only
STATUS mandatory
DESCRIPTION "Nombre dinterfaces, par exemple, 3"
::= { interfaces 1 }
........................................
END
Pour que la station dadministration puisse interroger la MIB, il faut en premier lieu la compiler partir du fichier en syntaxe ASN.1. Le fichier texte est alors intgr sous une autre
forme (binaire gnralement) dans le gestionnaire de MIB du logiciel dadministration.
Le moyen le plus simple de visualiser la MIB dun quipement rseau est dutiliser le module ddi, propre chaque constructeur. La manipulation des variables est alors transparente, puisque le module affiche graphiquement lquipement, par exemple, un commutateur. Il suffit alors de cliquer sur un port et de slectionner les options qui vous sont
proposes : activation/dsactivation, vitesse (10, 100 ou autosense), nombre doctets mis et
reus, etc.). Par ailleurs, linterface graphique affiche les lments dans diffrentes couleurs
en fonction des alarmes (trap) qui lui sont remontes.
CHAPITRE 6
ITU-T (2)
member-body (2)
ORG (3)
Arborescence ISO.org.DoD.Internet
(= 1.3.6.1) et objets dfinis dans le
RFC 1155
DOD (6)
Internet (1)
System (1)
Addr.Trans. (3)
Interface (2)
Enterprises (1)
ICMP (5)
IP (4)
UDP (7)
TCP (6)
CMOT (9)
EGP (8)
Trans (10)
Statistics (1)
History (2)
Alam. (3)
...
RMON (16)
Extensions
HostTopN (5)
Host (4)
Filter (7)
Matrix (6)
Event (9)
Capture (8)
La structure de cette base de donnes est dcrite dans la syntaxe ASN.1 (Abstract Syntax Notation 1) normalise ISO 8824. Un fichier MIB comporte deux parties (RFC 1212), la premire dcrivant les types et
groupes dobjets (macro Definitions), la seconde dcrivant les objets (srie de macro Object-Type).
La macro Definitions contient deux clauses :
Import : importe des dfinitions dautres fichiers MIB.
Object Identifier : dfinit un nouveau groupe (nom + identifiant).
La macro Object-Type contient trois clauses obligatoires, qui prennent les valeurs suivantes :
Syntax = integer | object identifier | octet string | networkaddress | ipaddress.
Access = read-only | read-write | write-only | not-accessible.
Status = mandatory | optional | obsolete | deprecated.
Et quatre autres facultatives, qui prennent les valeurs suivantes :
Description = texte dcrivant lobjet .
Reference = rfrence un autre objet.
Index = noms dobjets dans un objet structur, par exemple, ifIndex pour lobjet ifEntry qui contient une
liste dinterfaces.
Defval = valeur par dfaut de lobjet, par exemple, sysDescr pour une syntaxe Object Identifier, ou 1
pour une syntaxe Integer.
147
148
La seconde solution est de parcourir la MIB laide dun browser de MIB. Cet outil permet
de visualiser larborescence et dinterroger ou de modifier chaque variable.
Numros uniques
dsignant chaque
branche de la MIB
Valeur de la variable
obtenue laide de la
requte SNMP GetRequest.
Suite de larborescence
Variables de la branche
mib-2 system.
Grce au browser de MIB, il est possible dinterroger une variable en particulier, puis de
programmer des actions automatiques, comme une interrogation priodique du dbit entrant
et sortant dune interface, de manire suivre lvolution de la charge dun lien. Avec une
srie de valeurs, il sera par la suite possible de produire un graphique.
Nom de communaut tel que
programm dans lagent SNMP. Sil
est diffrent, lagent ne rpondra pas.
Rsultat de plusieurs
requtes.
CHAPITRE 6
149
,Par dfaut, le PC envoie sa requte tous les serveurs DHCP et slectionne gnralement le premier qui rpond. Il est cependant possible de choisir le serveur DHCP en modifiant la cl de registre HKEY_local_machine\System\CurrentControlSet\Services
\VxD\DHCP\DhcpInfo00\DhcpIPAddress .
Il sagit de la mme configuration que nous ralisons lorsque nous nous connectons
lInternet. En effet, les fournisseurs daccs Internet (les ISP) utilisent systmatiquement un
serveur DHCP pour attribuer les adresses IP aux PC qui se connectent leur rseau via un
modem. Il sagit gnralement dune adresse publique prise dans le plan dadressage affect
officiellement loprateur par le RIPE (Rseau IP Europen).
150
Ce protocole permet, avant tout, daffecter une adresse IP une station pendant une dure
limite. chaque initialisation et lorsque la priode de validit est expire , le PC demande une nouvelle adresse. Cela procure plusieurs avantages :
Il ny a plus de risque derreur li une configuration manuelle.
Lorsquun PC est dplac et quil change de rseau IP, il nest plus ncessaire de
modifier son adresse IP.
En considrant que tous les PC ne se connectent pas en mme temps, on peut utiliser un
pool de 253 adresses (une classe C) pour connecter 500 PC, par exemple. Un ratio de un
pour quinze est gnralement utilis par les ISP. Cela permet de pallier la pnurie
dadresses publiques.
On peut galement affecter ladresse de faon permanente, mais on perd alors tous les avantages numrs prcdemment.
Plus intressant, lutilisation de DHCP peut tre tendue la configuration de tous les paramtres rseau du PC (lis la famille TCP/IP ou dautres protocoles), tels que le routeur
par dfaut, le masque IP ou encore le TTL par dfaut. Cela procure de nouveaux avantages
pour ladministrateur rseau :
Tous les quipements rseau disposent des mmes paramtres, ce qui assure une
meilleure stabilit de fonctionnement de lensemble.
Tout changement de configuration rseau est automatis. Des oprations complexes,
telles que la migration vers un nouveau plan dadressage ou lapplication dun
paramtre TCP permettant doptimiser le rseau, sont rendues extrmement simples et
rapides.
Les matriels rseau (routeurs, agents SNMP, etc.) ainsi que les serveurs doivent disposer
dadresses fixes, car ils doivent tre connus de tous. Ils peuvent faire appel DHCP pour
obtenir une adresse permanente que vous aurez pralablement rserve ou pour obtenir des
paramtres de configuration IP.
Dautres RFC peuvent dcrire des options spcifiques (par exemple la RFC 2244 pour des paramtres Novell). La liste exhaustive des options officiellement reconnues est disponible sur http://www.iana.org.
CHAPITRE 6
151
Installez au moins un serveur par site pour des questions de performance et de charge
sur les liaisons WAN.
Pour des questions de scurit (surtout lorsque le nombre de PC est important), il est
prfrable de configurer deux serveurs par site, chacun grant un pool dadresses.
La dure de validit des paramtres doit tre limite dans le temps dans le cas o les
stations ne sont jamais teintes (ce qui est le cas des serveurs, par exemple). Une dure
de 12 ou 24 heures permet de couvrir une journe de travail et de diffuser de nouveaux
paramtres assez rapidement. Pour les serveurs et quipements rseau, une dure plus
longue peut tre dfinie, mais lapplication dun nouveau paramtre prendra plus de
temps. Vous pourrez de toute faon modifier la dure tout moment.
Enfin, toutes les piles IP ne prennent pas lensemble des options possibles en charge. Il
convient donc de vrifier que celle que vous utilisez accepte les options que vous voulez distribuer via DHCP.
Affectation
De 0.1 0.64
De 0.65 0.255
De 1.0 3.254
152
Rappelons quil est souvent souhaitable de limiter le dcoupage deux tranches, une pour
les quipements rseau et serveur, et une pour les postes de travail. Les deux premires parties peuvent donc tre fusionnes.
Paris, le serveur DHCP prendra ainsi en charge la plage dadresses allant de 10.0.0.1
10.0.3.254, dcoupe en deux pools (appels scope ou tendue chez Microsoft). Le scope
ddi aux stations commencera 10.0.1.0. En cas de saturation de la premire tranche, il sera toujours possible de modifier la plage dadresses affecte ce scope.
CHAPITRE 6
153
Cette opration peut tre fastidieuse, car il faut relever les adresses MAC de tous les quipements concerns (qui sont cependant en nombre moins lev que les PC). De plus, lorsquune carte rseau est change, il faut mettre jour la base de donnes DHCP (cest une
opration en principe peu frquente, mais il faut y penser le jour o cela arrive).
Si vous ne voulez pas utiliser DHCP pour cette classe dquipements, il suffit de ne pas
ajouter de pool dadresses. Le plan dadressage facilite votre choix.
154
Si vous voulez affecter comme passerelle par dfaut ladresse IP de la station ellemme (voir chapitre 9), il faut ajouter et positionner 1 la cl de registre suivante au
niveau du pool HKEY_local_machine\System\ CurrentControlSet\ Services\
DHCPServer\ Subnets\ a.b.c.d\ SwitchedNetworkFlag , o a.b.c.d est ladresse IP du
pool.
8 bits
8 bits
8 bits
1 = Requte
2 = Rponse
Type dadresse
physique (1=MAC Eth)
Longueur de
ladresse physique
Saut incrment de 1
par les routeurs
Si la pile IP (et notamment le module ARP) peut fonctionner sans adresse IP, le bit de broadcast peut tre
mis 0 dans les requtes DHCP, ce qui permet au serveur de renvoyer ses rponses dans des trames unicast ( ladresse MAC indique par le client dans le champ chaddr). Dans le cas contraire, le bit de broadcast est positionn 1 par le client, et le serveur rpond dans des trames de broadcast MAC
(FF-FF-FF-FF-FF-FF).
Cependant, si le champ giaddr est non nul, cela veut dire que la requte a transit par un routeur. Le serveur envoie alors le paquet DHCP cette adresse IP (et donc ladresse MAC du routeur via ARP). Le port
UDP de destination est alors 67 (celui du serveur) au lieu de 68 qui dsigne le client , ce qui permet au
routeur didentifier les paquets DHCP traiter (voir plus loin).
CHAPITRE 6
Client DHCP
port UDP 68
10.11.0.253
Routeur
DHCP_DISCOVER
MAC src = 02:60:8C:EB:25:D2 / dest = FF:FF:FF:FF:FF:FF
IP src = 0.0.0.0 / Dest = 255.255.255.255 / UDP 6867
DHCP_OFFER
MAC src = 00:00:0C:40:75:AC / dest = 02:60:8C:EB:25:D2
IP src = 10.11.0.253 / Dest = 10.10.50.1 / UDP 6768
Je propose ladresse IP 10.11.50.1 / siaddr=10.10.41.100
10.10.0.253
Serveur DHCP
port UDP 67
10.10.41.100
DHCP_DISCOVER
MAC src = 00:00:0C:00:80:0C / dest = 02:60:8C:25:AB:8E
IP src = 10.10.0.253 / dest = 10.10.41.100 / UDP 6867
DHCP_OFFER
MAC src = 02:60:8C:25:AB:8E / dest 00:00:0C:00:80:0C
IP src = 10.10.41.100 / dest = 10.11.0.253 / UDP 6767
Je propose ladresse IP 10.11.50.1 / siaddr=10.10.41.100
DHCP_ACK
MAC src = 00:00:0C:40:75:AC / dest = 02:60:8C:EB:25:D2
IP src = 10.11.0.253 / Dest = 10.10.50.1 / UDP 6768
Ladresse 10.11.50.1 test affecte
DHCP_REQUEST
MAC src = 00:00:0C:00:80:0C / dest = 02:60:8C:25:AB:8E
IP src = 10.10.0.253 / dest = 10.10.41.100 / UDP 6867
Daccord pour 10.11.50. / siaddr=10.10.41.100
DHCP_ACK
MAC src = 02:60:8C:25:AB:8E / dest 00:00:0C:00:80:0C
IP src = 10.10.41.100 / dest = 10.11.0.253 / UDP 6767
Ladresse 10.11.50.1 test affecte
Le client envoie toujours ses requtes dans des trames de broadcast MAC pour plusieurs raisons :
La requte initiale (DHCP_DISCOVER) permet de dcouvrir plusieurs serveurs (un serveur principal et
un serveur de secours).
Lors de la requte de confirmation (DHCP_REQUEST), la plupart des piles IP ne peuvent activer le module ARP sans adresse IP.
Le client ne sait pas si le serveur est situ sur le mme rseau ou sil est spar par un routeur. Dans ce
dernier cas, si la trame est destine ladresse MAC du serveur, elle ne traversera pas le routeur, sauf
sil fonctionne en mode proxy ARP (voir chapitre 9), ce que la station ne peut prsupposer.
Configur en relais DHCP/BOOTP, le routeur convertit les broadcast MAC/IP en adresses unicast destination du serveur DHCP ou BOOTP.
lapproche de lexpiration de la priode de validit, le client demande renouveler son bail auprs du serveur (DHCP_REQUEST) en indiquant son adresse IP dans le champ ciaddr. Le serveur peut alors proposer
la mme adresse, une nouvelle, ou encore accepter celle demande par le client.
En principe, cest au client quil incombe de vrifier que ladresse alloue par le serveur nest pas utilise
par une autre station (le serveur peut, en effet, tre situ de lautre ct dun routeur). Le client gnre cet
effet une requte ARP sur ladresse qui vient de lui tre alloue.
155
156
La mme option peut tre dfinie plusieurs niveaux, mais les options individuelles ont
priorit sur les options dun pool, qui elles-mmes ont priorit sur les options globales.
Lexemple suivant montre les options dfinies pour un pool, ainsi que les adresses dj affectes des clients.
Pool dadresses
10.0.1.0 10.0.3.254
Numro de loption
telle que dcrite
dans le RFC 2132.
Adresses affectes
et noms des PC
giaddr=10.10.0.253. Saut=Saut+1
switch
E1
E0
Serveur
DHCP
switch
Paris
0.0.0.0
10.11.0.253
10.10.0.253
10.10.41.100
CHAPITRE 6
157
interface ethernet 1
ip helper-address 10.10.41.100
ip helper-address adresses ip dautres serveurs DHCP
Avec la commande prcdente, les trames de broadcast MAC dont le port UDP est gal 67
seront transmises dans une trame unicast (via la rsolution ARP) destination du serveur
DHCP ou BOOTP et, en retour, vers le client.
Les adresses affectes de manire fixe doivent tre rserves de manire identique sur chaque serveur.
Le serveur de Microsoft ne permet pas de mettre en place un rel partage de charge avec une
redondance complte. Pour cela, dautres serveurs DHCP plus perfectionns existent sur le
march.
158
Adresse MAC
(cf. chapitres 4 et 6)
Adresse IP et le
masque de sousrseau associ
Default Gateway
Demande la libration ou le
renouvellement des baux DHCP
Adresse MAC
(cf. chapitres 4 et 6)
CHAPITRE 6
159
Sous les deux environnements, la commande route permet de visualiser la table de routage
de la pile IP.
Route permanente (sauvegarde dans la Registry).
7
La gestion
des noms
Partie de la cblerie et de la basse filasse, nous abordons dans ce chapitre les couches applicatives, cest--dire les services rseau. Pour ainsi dire, nous nous levons dans les couches
suprieures du rseau.
Car, de nos jours, ladministrateur rseau ne peut pas se contenter de fournir le transport des
donnes. Il doit en faciliter laccs ses utilisateurs.
En outre, plus le nombre dutilisateurs est lev, plus il est important de simplifier les tches
administratives.
Il convient donc dutiliser des outils qui simplifient la vie des utilisateurs et celle des exploitants. Le service de nom, ou DNS (Domain Name System), est le premier dentre eux.
Dans ce chapitre vous apprendrez ainsi :
configurer les PC ;
162
DNS
Prsentation du DNS
Pour vos utilisateurs et vous-mme, il serait bien plus pratique dutiliser des noms de machines plutt que des adresses, linstar de ce qui se fait sur lInternet. De mme que lon
accde www.3com.com, il serait bien plus simple daccder votre serveur au moyen du
nom www.societe.fr plutt que de son adresse IP.
La premire solution repose sur lutilisation des fichiers hosts (localiss dans /etc sous Unix,
et dans \Windows sous Windows 9x). Ce fichier contient simplement la correspondance entre adresses IP et noms de machines :
10.0.0.1
10.0.0.100
10.0.0.101
par001
nt001
mail
Linconvnient de cette mthode est quil faut configurer le fichier sur chaque poste de travail, et ce, chaque changement dadresse ou de nom. On pourrait imaginer une distribution
automatique de ce fichier, mais cette opration serait trs complexe et source derreur avec
les PC. De plus, lespace de nommage est plat (tous les noms sont au mme niveau).
La seconde solution, de loin la meilleure, repose donc sur lutilisation dun systme DNS
(Domain Name System). Cest celle utilise grande chelle sur lInternet (plusieurs millions de machines rfrences dbut 2001) et qui convient galement pour vos 10 ou
10 000 PC.
un protocole dchange entre clients et serveurs dune part, et entre serveurs dautre
part.
Tous ces composants sont dcrits dans une srie de RFC dont les premiers remontent
1987.
163
com
3com
www
fr
cisco
www
ch
laposte
gouv
finances
vector
www
www
Pays puis
organisation
Pour notre DNS priv, donc usage purement interne, nous navons pas besoin de faire rfrence au pays et au nom de la socit, mais plutt la ville, au nom du site et au nom des directions (ou, selon la terminologie propre chaque socit, des divisions, des Business
Units, etc.).
Nous pouvons cependant retenir la mme approche mixte en fonction du degr de centralisation de chaque dpartement.
Reprsentation dans le DNS
Organisation centralise
Organisation dcentralise
Racine
Nom de la direction
Nom de la ville
Domaine (optionnel)
Nom de la ville
Nom de la direction
164
DNS
Il est conseill de ne retenir que les invariants ou, pour tre exact, les lments qui sont susceptibles de changer le moins souvent. Dans notre cas, ce sont les directions (cest--dire les
services situs au sommet de la hirarchie organisationnelle) et les villes principales o est
implante notre socit.
Lespace de nommage est indpendant de la localisation gographique : tous les immeubles
dune mme ville peuvent donc tre rfrencs dans le mme domaine DNS.
Par exemple, lindication dlments pouvant changer frquemment, tels que le nom du service au sein dune direction ou le nom du site dans une ville, est source de complication, et
entrane un travail supplmentaire de reconfiguration. Plus vous ajouterez de niveaux au
DNS, plus vous devrez effectuer de mises jour. En revanche, si un service au sein dune
direction devait garder son autonomie, on pourrait envisager de lui dlguer la gestion de
son sous-domaine.
Figure 7-1.
Dfinition
d'un DNS priv.
paris
compta
compta
www
www
www
www
drh
toulouse
www
www
sgbd
priv
Le serveur Web de
Toulouse sera connu sous le
nom de www.toulouse.info.
Une mme machine (ayant une adresse IP) peut tre rfrence dans plusieurs
domaines.
Une mme machine peut tre rfrence sous plusieurs noms principaux et/ou sous un
nom principal associ des alias.
La gestion dun domaine peut tre dlgue un nouveau service devenu autonome, ou
tre reprise de faon centrale.
Une direction peut grer son propre DNS (avec sa propre racine).
On le voit, le DNS permet toutes sortes de fantaisies. Il est donc de votre responsabilit den
assurer la cohrence et la simplicit. Ainsi, les fonctionnalits prsentes ci-dessus doiventelles plutt tre utilises pour faciliter les priodes de transition lors de changements
dorganisation ou de dmnagement ou, dune manire gnrale, pour rpondre des situations exceptionnelles.
0 = Requte standard
1 = Requte inverse
4 = Notify
Opcode
(4 bits)
A
A
T
C
Numro de la
transaction
Indicateurs
Nombre de
questions
Nombre de
rponses
Nombre de RR
NS
Message DNS
Nombre de RR
additionnels
Le message DNS est divis en 4 sections vides ou non : les questions, les rponses, les enregistrements NS et les
enregistrements additionnels (les autres RR). Chacune est constitue dun ou de plusieurs objets.
Format des objets (gnralement
un seul) dans la section Questions
1 RR spcifique
ou * = tous les RR
AFX = demande de transfert de
zone par un serveur secondaire
IXFR = idem mais, transfert
incrmental
Type de question
0 63 octets
Nom du domaine
du RR
Type de RR
(A, SOA, PTR)
Classe : 1 = IN
(Internet)
Classe : 1 = IN
(Internet)
Nom du domaine
concern
4 octets
TTL : validit du
cache pour ce RR
Longueur des
donnes
Afin de diminuer la taille des messages DNS, les noms apparaissant plusieurs fois peuvent tre remplacs
par des pointeurs de deux octets indiquant la position de lunique exemplaire du nom. La longueur maximale dun nom dobjet est de 63 octets, et celle dun nom de domaine complet (y compris celui de lobjet)
est de 255 octets. Les messages DNS transitent dans des paquets UDP ou TCP selon les cas (port 53).
Client
Serveur
Secondaire
Requte sur le A
UDP
>1023
Adresse IP
Primaire
UDP
53
TCP
53
SOA
53
53
La RFC 1995 prcise un mode de transfert incrmental (seules les modifications sont transfres). La RFC
1996 spcifie, quant elle, un mcanisme permettant au primaire de notifier au secondaire que le SOA
vient dtre modifi. Cela vite dattendre la fin de la priode indique dans le paramtre refresh.
165
166
DNS
Invariant
Variant
Serveur
Routeur
Localisation
Concentrateur
Commutateur
Serveur daccs
distant
Localisation
La localisation peut tre considre comme tant un variant de faible impact partir du
moment o lquipement doit de toute faon tre reconfigur (changement dadresse IP, par
exemple).
Il faut privilgier un nommage simple des quipements auxquels on accde le plus frquemment : les serveurs (auxquels accdent les utilisateurs) et les routeurs et serveurs
daccs distants (auxquels accdent les exploitants rseau). Le nom doit :
quipement
Codage retenu
Nom principal
(nom systme)
Exemple
Serveur NT
Nom neutre
(plantes)
mars
pluton
mars.marseille.
mars.paris.
Unix
Nom neutre
(musiciens)
mozart
schubert
mozart.toulouse.info.
Routeur
par001, par002
toul001
par001.info.
par001.paris.
Serveurs daccs
distants
ras-par001
ras-mar002
ras-mar002.info.
167
Un premier qui dsigne sa nature et qui correspond au nom systme dfini lors de
linstallation. Il ne change pas (sauf lors dune rinstallation).
Pour les utilisateurs, le meilleur moyen didentifier et de mmoriser le nom dun serveur est
de lui donner le nom de lapplication dont ils se servent. Un alias correspondant la fonction du serveur pourra donc tre dfini et correspondre la fonction du serveur (il varie au
cours du temps alors que le nom systme ne change que si lon rinstalle compltement la
machine).
Fonction
Codage retenu
Alias
Exemple
Convention universelle
www
www.paris.
www.toulouse.info.
www.drh.
www1
www2
www.paris.
www1.paris.
www2 .paris.
Messagerie
mail
mail1
mail.paris.
mail1.info.
Autres applications
Nom de lapplication
compta
rivage
compta.paris.
rivage.info.
168
DNS
tuellement, leur fonction, afin de faciliter leur identification. Dans notre cas, nous avons
choisi le codage suivant : [type]-[ville][tage][immeuble].
Champ
Signification
Code
[type]
[ville]
[immeuble]
la gestion dune zone, cest--dire dun domaine et de ses sous-domaines : on dit que le
serveur a autorit sur la zone ;
lchange des bases de donnes au sein dune zone : un serveur est dsign
primaire pour une zone et distribue la base de donnes aux serveurs secondaires ;
le relais des requtes DNS dun client sur un nom situ dans une autre zone ;
Tout serveur DNS est serveur cache et peut tre la fois ou seulement :
racine.
Toutes les modifications de la base de donnes dune zone doivent tre ralises sur le
serveur qui a autorit (le serveur primaire).
Mais un serveur peut tre la fois primaire pour un domaine et secondaire pour un
autre.
169
CHAPITRE 7
Un serveur DNS peut ne servir que de cache (cest--dire ntre ni racine, ni primaire,
ni secondaire).
Les clients et les serveurs DNS peuvent tre situs nimporte o sur le rseau : sur des
lieux gographiques diffrents et sur des rseaux IP diffrents.
Les postes de travail et les serveurs peuvent tre rfrencs dans nimporte quel
domaine.
Le DNS permet de faire tout et nimporte quoi. Il convient donc de respecter quelques rgles
afin de conserver une certaine cohrence au sein de votre socit. Ainsi, vous devez prvoir :
au moins un serveur DNS par site afin de ne pas surcharger les liaisons WAN ;
un arbre DNS pour toute la socit, mme si chacun gre son propre domaine.
Un ou deux serveurs
secondaires par site afin de
rpondre aux requtes locales.
londres
compta
info
paris
compta
Primaire
drh
toulouse
Primaire
Chaque serveur DNS gre une partie de la base de donnes DNS, celle reprsentant la zone
sur laquelle il a autorit. Le serveur de Toulouse ne contiendra ainsi que les objets situs
dans la zone toulouse.info .
Sous Windows NT, la manipulation de la base de donnes est ralise laide du Gestionnaire DNS, situ dans le menu Dmarrer Programmes Outils dadministration . Celui-ci sauvegarde les donnes dans la base des registres Windows (cl
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \Dns) et maintient une
copie sous forme de fichiers ASCII dans le rpertoire \Winnt\System32\Dns. Ces fichiers
respectent le format des serveurs DNS sous Unix, tels que ceux produits par la version appele BIND et dveloppe Berkeley.
170
DNS
IN
RR
[ttl]
[IN]
RR
paramtres
Dsigne le nom du domaine. Sil est omis, cest le mme que celui du SOA.
Time To Live. Indique pendant combien de secondes le resolver, qui aura fait une requte, pourra conserver cet enregistrement dans son cache. Le TTL est dfini au niveau du SOA (et donc
pour tous les RR situs dedans), mais peut, optionnellement, tre dfini pour chaque RR. Le dlai de validit du cache est le maximum des valeurs ttl et minimum.
Dsigne la classe dadresse, dans notre cas lInternet (on trouve aussi CH pour les adresses
Chaos).
Nom de la ressource (SOA, NS, A, LNAME, NX, PTR, HINFO, etc.).
Les principaux enregistrements sont SOA, NS, A, CNAME, MX, PTR, HINFO et AAA.
nom
[ttl]
[IN]
SOA
name e-mail serial refresh retry expire minimum
(Start Of Authority). Indique le nom de la zone pour laquelle le serveur a autorit (secondaire ou primaire),
ainsi que les paramtres de mise jour de la base de donnes.
name
Dsigne le serveur primaire de la zone.
e-mail
Dsigne ladresse e-mail de la personne responsable de la zone.
serial
Dsigne le numro de version du SOA.
refresh Indique le nombre de secondes au bout duquel le serveur secondaire doit redemander le SOA au
serveur primaire.
retry
Indique le nombre de secondes qui scoule entre deux tentatives de tlchargement du SOA
par le serveur secondaire.
expire
Indique le nombre de secondes au bout duquel le SOA ne sera plus valable aprs le dlai indiqu par refresh. Au-del de ce dlai, le serveur secondaire ne doit plus rpondre aux requtes
concernant ce SOA.
minimum Indique la valeur minimale du TTL des RR de cette zone.
[nom]
[ttl]
(Name Server)
IN
NS
nom_du serveur_DNS
Indique le serveur (primaire ou secondaire) qui a autorit sur la zone.
[nom]
[ttl]
(Address)
IN
A
adresse_IPv4
Indique ladresse IPv4 qui correspond au nom demand dans une requte.
alias
[ttl]
(Canonical Name)
IN
CNAME nom_principal_de_lobjet
Indique lalias dun objet.
nom
[ttl]
(Mail eXchanger)
IN
MX
priorit nom_du_MTA
Indique le nom du MTA acheminant les messages destination du domaine.
65535 = priorit basse, 1 = priorit haute.
inverse [ttl]
(Pointer)
inverse
IN
PTR
nom_machine
Indique le nom qui correspond ladresse IP demande dans une requte.
Dsigne ladresse IP inverse, suivie de in-addr.arpa.
[nom]
[ttl]
(Host Information)
IN
HINFO matriel systme
Champ dinformation concernant lobjet (type de machine et dOS).
[nom]
IN
AAAA
adresse_IPv6
Indique ladresse IPv6 qui correspond au nom demand (RFC 1886).
[ttl]
171
.
IN
NS
.
IN
NS
nt001.info.
IN
nt004.toulouse.info. IN
nt001.info.
nt004.toulouse.info.
A
10.0.0.100
A
10.4.0.165
Les instructions NS (Name Server) et A (Address) indiquent les adresses IP des serveurs racines. Il peut y en avoir autant que ncessaire, afin dassurer la redondance et le partage de
charge.
Si vous voulez construire un DNS intranet directement rattach lInternet, il faut y indiquer les serveurs racines officiels. (Vous pouvez vous procurer la dernire version sur le site
ftp://ftp.rs.internic.net/domain/named.root.) Vous obtenez alors le fichier cache suivant
(extrait) :
;
; formerly NS.INTERNIC.NET
;
.
3600000
A.ROOT-SERVERS.NET.
3600000
;
; formerly NS1.ISI.EDU
;
.
3600000
B.ROOT-SERVERS.NET.
3600000
.........
IN
NS
A
A.ROOT-SERVERS.NET.
198.41.0.4
NS
A
B.ROOT-SERVERS.NET.
128.9.0.107
172
DNS
Le serveur nt001 va
tre primaire pour
une nouvelle zone.
@
nt001
nt004.toulouse
IN
NS nt001
A 10.0.0.100
A 10.4.0.165
173
Que ce soit sous NT ou sous Unix, il est possible dditer manuellement ce fichier pour modifier les paramtres de la zone. Avec le gestionnaire DNS de Windows, on obtient lcran
suivant.
Les paramtres de la zone (SOA, Start Of Authority) sont dfinis au niveau du serveur primaire pour tre ensuite utiliss par les serveurs secondaires. Le champ Temps par dfaut
minimum pourra galement tre utilis par les resolvers pour dterminer la dure de
conservation de lenregistrement dans leur cache.
Si vous voulez limiter les changes entre serveurs, mieux vaux positionner le paramtre
refresh une valeur assez leve, gnralement 12 24 heures, sauf durant les priodes
de changement. En prvision de telles priodes, vous pouvez rduire cette valeur 1 heure
(voire moins selon vos besoins).
Vous pouvez galement activer un mcanisme de notification automatique qui permet au
serveur secondaire dtre averti immdiatement de tout changement. rception de ce signal, le serveur secondaire dclenchera alors un transfert de zone. Il suffit pour cela
dajouter, dans longlet Notification , les adresses IP des serveurs secondaires.
174
DNS
Cration dun
enregistrement A.
10.0.0.110
Dsormais, le serveur DNS enverra au client ladresse IP indique ci-dessus, toute requte
concernant ce nom.
Ou tout autre
serveur SMTP !
Nom du serveur. Un
enregistrement A
doit tre associ pour
donner son adresse IP.
Priorit de 0 (haute)
65535 (basse).
MX
MX
A
10
mail.info.
10
mail
10.0.0.100
175
Ainsi, tous les messages destination de xxx@info seront routs vers le serveur mail situ dans le domaine info .
Avec le mcanisme des priorits, il est possible de dfinir des serveurs de secours au cas o
le MTA principal serait surcharg ou en panne. Il suffit pour cela de crer un autre enregistrement MX de priorit plus basse que celui cr prcdemment :
info. IN
mail2 IN
MX
A
20
mail2.info.
10.0.0.101
Enfin, il est galement possible de dfinir un serveur poubelle recueillant tous les messages destination de domaines inconnus :
*
IN
MX
100
mail9
CNAME
CNAME
nt003.info.
ux001.paris.compta.
Grce lutilisation des alias, le changement des noms pluton et www suite un dmnagement sera plus facile oprer que celui de nt003 qui est rfrenc par des enregistrements
A .
Par exemple, on doit dplacer lapplication intranet sur une nouvelle machine plus puissante. Il suffit de modifier le CNAME comme suit :
www
IN
CNAME
nt004.toulouse.info.
Adresse de sgbd.toulouse.info. ?
pc1.londres.
10.12.1.150
nt001.londres.
10.12.0.100
Adresse de sgbd.toulouse.info. ?
Le client positionne le bit
RD 1 demandant une
recherche rcursive.
Adresse de sgbd.toulouse.info. ?
Adresse = 10.4.0.200
Le resolver garde le rsultat dans son cache pendant
TTL secondes. Cette dure est indique dans la rponse
et provient du max (ttl du RR, minimum du SOA).
Adresse = 10.4.0.200
nt004.toulouse.info.
10.4.0.165
176
DNS
La recherche peut galement tre effectue de manire itrative. Dans ce cas, le serveur
DNS indique au client le nom du serveur DNS qui peut laider, et il revient au client
deffectuer lui-mme la recherche.
Dans notre cas, nous commenons par dclarer un serveur primaire pour la zone . (ne
pas choisir le nom de fichier . , mais, par exemple, le nom racine.dns ). Puis, nous dclarons les serveurs primaires des domaines Top Level.
La
zone
.
a
t
cr.
La zone Cache nest plus affiche.
IN
SOA
2
1800
300
604800
86400)
NS
NS
nt001.info. jlm.nt001.info. (
; serial : 2me version
; refresh : toutes les 30 min.
; retry : toutes les 5 minutes
; expire : 48 heures aprs
; minimum : 24h dans le cache
nt001.info
nt004.toulouse.info
nt001.info
A
nt004.toulouse.info A
10.0.0.100
10.4.0.165
paris
info
drh
NS
NS
NS
nt001.info
nt001.info
nt002.info
nt002.info.
10.0.0.124
177
Un seul primaire !
Il est noter que le volume de donnes reprsent par un transfert de zone est peu important,
dautant plus si les serveurs supportent une mise jour incrmentale (RFC 1995).
178
DNS
De dcouvrir les routeurs dun sous-rseau IP. Le client reoit le nom des routeurs et
peut ensuite lancer une requte pour en connatre les adresses IP. Pour des questions de
scurit, il est donc dconseill dutiliser cette facilit.
un serveur de sassurer quun client qui se prsente avec une adresse IP appartient
bien un domaine autoris et/ou est bien celui quil prtend tre. Certains serveurs FTP
de lInternet ncessitent que les clients soient rfrencs dans la base DNS sous forme
denregistrement PTR.
179
Une arborescence similaire doit donc tre cre. Et, l encore, le DNS permet toutes sortes
de fantaisies.
Par exemple, il ny a pas obligatoirement de correspondance entre domaines de noms et domaines de rsolution inverse. Les serveurs primaires pour un rseau peuvent ainsi ne pas
ltre pour les domaines qui le contiennent. La cration automatique de PTR est alors rendue
difficile.
Il est donc conseill de limiter le nombre de ce type de zones une par subnet IP principal,
le rseau 10 dans notre cas.
Le fichier dinitialisation
Le serveur DNS de Microsoft peut fonctionner sans linterface graphique, la manire des
premiers serveurs DNS sous Unix. Le systme fonctionne alors uniquement partir des fichiers ASCII situs dans le rpertoire \Winnt\System32\Dns.
Pour passer en mode texte, il faut supprimer la variable EnableRegistryBoot de la base des
registres Windows au niveau de la cl HKEY_LOCAL_MACHINE\S ystem\ CurrentControlSet\Services\Dns\ Parameters .
Un nouveau fichier doit alors tre renseign : il sagit du fichier dinitialisation du DNS tel
quutilis sous Unix, appel boot :
180
DNS
Le client interroge le premier serveur de la liste puis, sil ne rpond pas, le second et
ainsi de suite.
Le client peut tre situ dans un domaine diffrent des serveurs quil interroge.
181
Lutilisateur peut formuler une demande sur un nom complet, tel que www.info. (un
nom termin par un point). Aucun suffixe ne sera alors ajout.
Sil lance une recherche sur un nom relatif, par exemple www (un nom qui nest pas termin par un point), le resolver le recherchera par dfaut dans le mme domaine que celui
configur. Sil reoit une rponse ngative, il ajoutera le suffixe .info , puis un autre suffixe en fonction de la configuration.
-----------SendRequest(), len 30
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0,
additional = 0
HEADER:
Nombre de RR
opcode = QUERY, id = 5, rcode = NOERROR
par section
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 6, additional = 6
182
DNS
QUESTIONS:
www.3com.com, type = A, class = IN
ANSWERS:
-> www.3com.com
type = A, class = IN, dlen = 4
ttl = 3645 (1 hour 45 secs)
AUTHORITY RECORDS:
La rponse est structure en 4 sections :
question, rponse, enregistrements NS et
-> 3COM.COM
les autres enregistrements.
type = NS, class = IN, dlen = 9
nameserver = FOUR11.3COM.COM
ttl = 38819 (10 hours 46 mins 59 secs)
...... suivent 5 autres RR ......
ADDITIONAL RECORDS:
-> FOUR11.3COM.COM
type = A, class = IN, dlen = 4
internet address = 129.213.128.98
ttl = 92825 (1 day 1 hour 47 mins 5 secs)
...... suivent 5 autres RR ......
Par dfaut, lenregistrement A est demand, mais il est possible de demander dautres
types denregistrements, tels que le SOA :
>set d2
>set recurse
>set querytype=soa
>www.3com.com.
> Serveur: ns1.club-internet.fr
Address: 194.117.200.10
-----------SendRequest(), len 26
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0,
QUESTIONS:
3com.com, type = SOA, class = IN
-----------------------
additional = 0
183
8
En route vers
la sixime dimension dIP
peine digrs les protocoles du monde IP, voil quun nouveau apparat. Fini donc IP,
dont on apprend quil tait le quatrime du nom, et bienvenue dans le monde IPv6. Le mystre demeure quant ce qui est advenu des autres versions.
Avec IPv6, il faut presque tout rapprendre, commencer par le format des adresses. Heureusement, la plupart des protocoles existants sont soit adapts (BGP, DNS, RSVP) soit
reprennent les principes de leur quivalent en IPv4 (ICMP, OSPF). Nous pouvons donc
rutiliser la plupart des concepts que nous avons appris.
Dans ce chapitre, vous dcouvrirez ainsi :
ladressage ipv6 ;
186
IPv6, ICMPv6
Gense dIPv6
Les besoins
Dbut 2002, il ne restait que 36 % des 4,3 milliards dadresses publiques IPv4 possibles. En
particulier, lAsie, zone conomique forte croissance, ne disposait que de 20 % de lespace
dadressage.
En outre, de nouvelles applications dInternet doivent voir le jour, comme les PDA (Personal Digital Assistants), les tlphones portables de troisime gnration (les fameux UMTS)
ou encore la domotique (eh oui, certains rfrigrateurs sont dj connects Internet !) ;
mme la console de jeu X-Box de Microsoft supporte dj IPv6.
Besoins rels ou non, applications du XXIe sicle ou de science-fiction, la pression sur les
adresses se fait de plus en plus forte, ne serait-ce que par le biais des connexions Internet
que nous connaissons dj aujourdhui. Ainsi en Asie, la Chine migre vers IPv6 et le Japon
investit massivement dans un programme de migration.
Et mme si la pression vient du march grand public, des constructeurs tels que Microsoft et
Cisco, en qute de nouveaux dbouchs dans les entreprises, souhaitent galement acclrer
le mouvement.
Les solutions
Face la pnurie dadresses qui se profilait en 1990, deux types de solutions ont vu le jour,
lune consistant ajouter des fonctions autour dIPv4 (avec la translation dadresses notamment) et lautre consistant dvelopper un nouveau protocole, appel IPv6.
Il est vrai que la translation dadresses complexifie la gestion des rseaux et atteindra ses limites. Cependant, les rseaux IPv6 sont toujours en phase pilote, et lon sachemine plutt
vers une migration lente par la mise en place de passerelles aux frontires des rseaux publics et privs.
Nanmoins, les concepteurs dIPv6 ont vu les choses en grand : un espace dadressage immense de 3,4 1038 adresses et lintgration de nombreuses fonctionnalits, qui ne sont que
des rajouts dans IPv4 :
le support de la mobilit, qui permet de conserver son adresse partout dans le monde
(fonction de roaming utilise par les tlphones portables).
Mais pour ne pas retomber dans les limitations dIPv4, les concepteurs ont sans doute rpt
les erreurs dATM : un protocole tout faire et qui remet en cause lexistant. Car, avec
IPv6, il faut apprendre manipuler un nouveau systme dadressage et un nouvel en-tte ;
rcrire de nouveaux protocoles (ICMP, IS-IS, SNMP) et adapter les existants (OSPF,
187
BGP) ; puis installer de nouveaux logiciels dans les routeurs et les ordinateurs (couches
TCP/IP, browser, Telnet, FTP, ping, etc.).
Si la lenteur de la migration est rattrape par des volutions dIPv4, alors IPv6 suivra le
chemin dATM, cest--dire quil restera cantonn dans les rseaux des oprateurs.
Mais enfin, tt ou tard, de prs ou de loin, vous serez confront IPv6 ; donc autant
sinformer ds maintenant.
le protocole ARP est remplac par une procdure simple reposant sur deux messages
ICMPv6 Neighbor Solicitation et Neighbor Advertisement ;
la dcouverte des routeurs, optionnelle avec IPv4 et dsormais obligatoire, repose sur
deux messages ICMPv6 Router Solicitation et Router Advertisement ;
les adresses de broadcasts sont remplaces par des adresses multicasts permettant de
dsigner tous les nuds ou tous les routeurs ;
le protocole IGMP est remplac par une procdure similaire, la MLD (Multicast
Listener Discovery) reposant sur trois messages ICMPv6.
Enfin, les couches TCP et UDP doivent tre mises jour car le contrle derreur porte sur
une partie de len-tte IP qui nest pas la mme entre les deux versions.
188
IPv6, ICMPv6
Adresses NSAP
Adresses IPX
Adresses unicasts globales (agrgeables selon les principes
CIDR)
Adresses unicasts locales de lien (non routables en dehors du lien)
Adresses unicasts locales de site (non routables en dehors du site)
Adresses multicasts
Nuds IPv4 dadresse x.x.x.x supportant les adresses IPv6
Reprsentation interne dun nud IPv4 dadresse x.x.x.x
13 bits
8 bits
24 bits
16 bits
64 bits
FP
TLA id
RES
NLA id
SLA id
Interface identifier
Rseau public
Rseau priv
Voir encart chapitre 3
"Les adresses MAC"
Par rapport la norme IEEE, la signification du bit U/L est inverse : 1=global
scope / 0=adresse locale. Le bit tant ainsi 0 par dfaut, cette convention
permet de simplifier lcriture des adresses locales utilises pour les liaisons
point point, ce qui donne par exemple, ::1 au lieu de 0200:0:0:1.
Champ
FP
TLA
RES
NLA
SLA
Interface identifier
U/L I/G
OUI
FFFE Sous-adresse
Description
Format Prefix (=001) : identifie le type dadresse global unicast
Top Level Agregation identifier : identifie un organisme grant un rseau public tel que le IANA pour lInternet (cf. RFC 2450).
Rserv pour tendre les champs TLA et NLA (notamment aux dlgations rgionales de lIANA (cf. RFC 2450).
Next-Level Aggregation identifier : identifie un oprateur rseau tel un ISP (cf. RFC 2450).
Site-Level Aggregation identifier : identifie 65 535 sous-rseaux au sein dune organisation (quivalent aux subnets IPv4).
Adresse de linterface au format IEEE EUI-64. Reprend ladresse MAC IEEE 802.3 en ajoutant FFFE avant la sous-adresse.
13 bits
13 bits
19 bits
16 bits
64 bits
FP
TLA id
sous-TLA
NLA id
SLA id
Interface identifier
Rseau public
Rseau priv
Le champ sous-TLA correspond aux 8 bits du champ RES, plus 5 bits prlevs sur le champ NLA.
Le champ NLA peut tre structur de manire permettre lagrgation de routes en respectant, par exemple, la topologie du rseau de loprateur.
n bits
19-n bits
NLA1
NLA
m bits
19-n-m bits
NLA2
NLA
Une adresse locale de lien nest pas route au-del du domaine de broadcast dlimit par des routeurs.
Ce type dadresse est utilis pour la communication des nuds voisins, (dcouverte de routeurs, rsolution dadresse, etc.), et pour ladressage des liaisons point point (lien srie ou tunnel).
Adresse unicast
locale de lien
10 bits
54 bits
64 bits
1111111010
Interface identifier
FP
Une adresse locale de site est utilise dans un espace dadressage priv sans possibilit de routage sur
le rseau public.
Adresse unicast
locale de site
10 bits
38 bits
16 bits
64 bits
1111111011
Subnet id
Interface identifier
FP
Une adresse unicast peut tre affecte plusieurs interfaces et des routeurs diffrents : on parle alors
dadresse anycast. Sur les 128 bits, le prfixe de sous-rseau est variable, la partie interface tant gale
0. tant donn quil ny a aucun moyen de diffrencier une adresse anycast dune adresse unicast, elle doit
tre explicitement dclare et traite comme telle dans les routeurs.
Adresse
anycast
n bits
128 n bits
Prfixe de sous-rseau
189
190
IPv6, ICMPv6
Signification
FF01::1
FF02::1
Adresse de sollicitation
de nud
En labsence de routeur, une station ne peut gnrer quune adresse locale de lien.
8 bits
20 bits
Label de flux
En-tte suivant
Limite de saut
8 bits
8 bits
En-tte suivant
Longueur extens.
8 bits
8 bits
Description
Aucune donne ne suit len-tte IPv6
Options examines par chaque nud : Bourrage, Jumbogram (RFC 2675), et Alerte routeur (RFC 2711)
0
Hop-by-hop options
qui indique au routeur de traiter le message multicast mme sil nest pas membre de ce groupe.
60
Destination options
Options examines par le destinataire et les routeurs lists dans loption "Routing"
43
Routing
Liste des routeurs traverser : impose un chemin de routage lche (loose routing)
44
Fragment
Identifie le numro de fragment du paquet IP, si celui-ci a t fragment parce quexcdant le MTU
51
Authentication
Cf. RFC 2402
50
Encapsulation security payload
Cf. RFC 2406
60
Destination options
Options uniquement examines par le destinataire
(1)
Le paquet de la couche suprieure suit immdiatement len-tte IPv6. Il ny a pas den-tte optionnel.
Ex: 58 = ICMPv6
Cf. RFC 2463
(1) Fonctionnellement Identique au champ "Protocol" de len-tte IPv4. Voir www.iana.org/assignments/protocol-numbers
Except lextension hop-by-hop, les routeurs intermdiaires nont pas besoin danalyser les extensions,
acclrant par l le traitement du paquet IP.
En-tte IPv6
Next header = 6
Paquet TCP
En-tte IPv6
Next header = 43
En-tte Routing
Next header = 6
Paquet TCP
La couche IP a pour rle de router les paquets individuellement et de traiter les flots de paquets identifis
par des labels de flux. Les paquets peuvent tre perdus ou arriver dans le dsordre. la diffrence de
son prdcesseur, IPV6 ne procde aucun contrle derreur, cette fonction faisant double emploi avec
celle ralise par la couche liaison tel Ethernet ou Frame Relay.
Les stations IP fragmentent galement les paquets pour quils puissent tenir dans les MTU des diffrentes
couches liaison traverses. larrive, les paquets sont rassembls ( la diffrence dIPv4, les routeurs
ne procdent aucune fragmentation, car le calcul du MTU ne le ncessite pas). Le champ hop limit
est dcrment dune unit chaque fois que la paquet traverse le routeur. Arriv une valeur de 0, le paquet est dtruit au cas o cela serait le rsultat dune boucle dans le rseau.
Le site www.ietf.org/html.charters/ipv6-charter.html permet de suivre les volutions du protocole dont certains aspects, tels les labels de flux, ne sont pas encore figs.
191
192
IPv6, ICMPv6
Sur les routeurs et selon le plan dadressage retenu, il faut configurer les prfixes dadresses
globales et locales de site.
Prfixe dadresse unicast globale
ipv6 unicast-routing
int e0
ipv6 address 2001:0660:0100:A7CF::/64 eui-64
Notre routeur diffuse alors le prfixe (i.e. les subnets) quil supporte sur le rseau local de
son interface Ethernet e0 .
En plus des adresses prcdemment mentionnes, le routeur est lcoute des adresses anycasts et multicasts suivantes :
Prfixe
Signification
FF01::2
FF02::2
FF05::2
193
La station rcupre le prfixe et construit ladresse en y ajoutant son adresse MAC au format
64 bits. Nous pouvons alors la visualiser sur notre station Windows XP.
Adresse unicast globale
ipv6 if 4
Interface 4 (site 1): Local Area Connection
...
preferred address 2001:0660:0100:a7cf:02d0:b7ff:fe26:cb2a,
infinite/infinite
Validit permanente
...
FP
|
unicast
2
TLA
IANA
001
194
IPv6, ICMPv6
4 bits
4 bits
80 bits
32 bits
11111111
000T
Scope
Identifiant de groupe
Porte du groupe
Nud local
Lien local
Site local
Organisation locale
Porte globale
Prfixe
FF01
FF02
FF05
FF08
FF0E
Un certain nombre de groupes permanents est utilis pour changer des messages de service ICMP.
Prfixe
FF01:1
FF01:2
FF02::1
FF02::2
FF02::D
FF05::2
FF05::1:3
Groupe permanent
Toutes les interfaces du nud
Toutes les interfaces du routeur
Tous les nuds du lien
Tous les routeurs du lien
Tous les routeurs PIM du lien
Tous les routeurs du site
Tous les serveurs DHCP du site
..
B7
26
CB
FF
1 0 1 1 0 1 1 1 0 0 1 0 0 1 1 0 1 1 0 1 0 1 1 0 1 1 1 1 1 1 1 1
0
(Lordre de transmission des bits est invers
au sein de chaque octet de la trame Ethernet)
0 0 1 1 0 0 1 1 0 0 1 1 0 0 1 1 1 0 1 1 0 1 1 1 0 0 1 0 0 1 1 0 1 1 0 1 0 1 1 0 1 1 1 1 1 1 1 1
0
3
3
B
7
2
6
C
B
F
F
3
3
Bits U/L et I/G (cf. lencart "Les adresses MAC" au chapitre 7)
titre de comparaison, vous pouvez consulter le schma au dbut du chapitre 15, qui montre le mme
principe appliqu IPv4.
Ladresse de sollicitation de nud a pour but de minimiser le nombre de nuds devant traiter la trame
multicast diffuse sur le rseau local. Son prfixe est FF02::1:FFxx:xxxx/104, xx:xxx dsignant les 24
derniers bits dune adresse IP.
Ainsi, le nud dadresse de lien FE80::02D0:B7FF:FE26:CB2A coutera galement les adresses
FE02::1:FF26:CB2A. Et seuls les nuds dont ladresse MAC se termine par 26-CB-2A prendront en
compte la trame multicast 33-33-FF-26-CB-2A, les autres ne perdant pas de temps lanalyser.
195
Le cache des voisins, quivalent au cache ARP dIPv4, indique la liste des adresses
IPv6 avec les adresses de niveau 2 associes, par exemple les adresses MAC Ethernet.
Le cache des destinations contient les adresses IP auxquelles le nud a rcemment envoy un paquet, avec pour chacune dentre elles, ladresse du prochain saut ainsi que le
MTU du chemin.
La liste des prfixes, provenant des messages dannonce des routeurs (messages ICMP
134), qui contient les prfixes directement joignables (i.e. situs sur le mme lien).
La liste des routeurs qui ont envoy une annonce (message ICMP 134) et parmi lesquels lun est susceptible dtre lu routeur par dfaut pour ce nud.
Lalgorithme denvoi des paquets permet de dcrire le format et lutilisation de ces tables.
Adresse IP de destination
Ladresse
sy trouve ?
Adresse IP de destination
Correspond
un prfixe?
oui
Non
Non
Oui
Adresse IP du prochain saut
Cache des voisins
Adresse IP Adresse MAC tat
2001:0660:0100:A7CF:02A0:9DFF:FE15:A7F9
00-A0-9D-15-A7-F9
Reachable
Routeur par
dfaut ?
Non
Oui
Adresse du prochain saut
= Adresse du routeur
Ladresse
sy trouve ?
Non
Adresse du prochain saut
= Adresse de destination
oui
Envoyer le paquet avec ladresse
MAC du prochain saut
196
IPv6, ICMPv6
8 bits
16 bits
Type
Code
Checksum
Type Message
1
Destination unreachable
128
Echo request
0
1
2
0
129
Echo reply
130
131
132
133
134
0
0
0
0
0
135
136
Neighbor solicitation
Neighbor advertisement
0
0
137
Redirect
141
Description
Le routeur ne connat pas la route
La communication est interdite par un pare-feu
Ladresse destination dpasse le domaine de routage de
ladresse source
La destination nest pas joignable
Aucun programme ne rpond sur le port TCP ou UDP
La taille du paquet dpasse le MTU de la couche liaison
Le paquet a t reu avec une limite de saut 0
Tous les fragments dun paquet nont pas t reus dans le
temps imparti
Erreur dtecte dans len-tte ou une de ses extensions
Un code dextension den-tte inconnu a t trouv
Une option inconnue a t trouv
Demande au rcepteur de renvoyer un Echo reply (un identifiant et un numro de squence identifient le message)
Rponse un Echo request. Les donnes contenues dans
le message Echo request doivent tre reportes dans ce
message.
Demande de rapport envoye par le routeur
Rapport de participation au groupe envoy par le membre
Le membre indique au routeur quil quitte le groupe
mis par une station pour dcouvrir les routeurs sur son lien
Envoy par un routeur priodiquement ou en rponse un
message de sollicitation pour indiquer les paramtres du lien
Demande de rsolution de ladresse IPv6 en adresse MAC
Rponse une demande de rsolution dadresse, envoye
spontanment en cas de changement dadresse de niveau 2
Le routeur indique au nud quun autre routeur connat une
meilleure route
Demande de rsolution de ladresse MAC en adresse IPv6
2
3
Parameter problem
142
Code
0
1
2
3
4
0
0
1
197
utilises par les stations pour la dcouverte des routeurs, des prfixes rseaux et des
paramtres utiliss (MTU, nombre maximal de sauts,) ;
utilises par les routeurs pour la fonction de redirection vers une meilleure route ;
Toutes ces procdures reposent sur 5 messages ICMP, contenant un en-tte de message ND
et ventuellement des options.
1 octet
6 octets
Type = 1
Longueur = 1
Type = 2
Longueur = 1
1 octet
1 octet
1 octet
Type = 3
Longueur = 4
Long. Prf.
L A
L (On-link) =
Ladresse incluse dans le prfixe peut tre
affecte une interface connecte ce lien
A (Autonomous) =
Le prfixe peut tre utilis pour gnrer
automatiquement une adresse (mode stateless)
1 octet
2 octets
Type = 5
Longueur = 1
Rserv = 0
MTU du lien
1 octet
6 octets
Type = 4
Long = 1+N
Rserv = 0
198
IPv6, ICMPv6
La rsolution dadresse
La procdure est relativement simple. Un nud dsirant connatre ladresse MAC partir de
son adresse IP, met une requte multicast dans le groupe de sollicitation de nuds correspondant cette mme adresse IP.
Recherche ladresse MAC correspondant ladresse IP cible
En-tte paquet
IPv6
Message ICMP
Neighbor
sollicitation
Adresse
multicast de
sollicitation
1 octet
2 octets
Type=135
Code = 0
Checksum
Rserv = 0
Adresse IP rsoudre = FE80::0250:8BFF:FE3A:3B3C
Option = 1
En-tte trame
Ethernet
Longueur = 1
Seuls les nuds dont ladresse MAC se termine par les 24 derniers bits de ladresse MAC
de la trame multicast vrifient si ladresse IP demande correspond la leur, et seul le nud
qui rpond par laffirmative renvoie une annonce lmetteur.
Rponse du nud qui correspond ladresse IP recherche
En-tte paquet
IPv6
Message ICMP
Neighbor
advertisement
Adresse
unicast
locale de lien
1 octet
2 octets
Type=136
Code = 0
Checksum
R S O
Rserv = 0
En-tte trame
Ethernet
Longueur = 1
Les informations ainsi collectes permettent de mettre jour le cache des voisins.
199
DLCI = 60
DLCI = 50
Routeur
Routeur
Adresse MAC = 08-00-58-B2-C3-D4
Adresse IP locale de lien = FE80::0A00:58FF:FEB2:C3D4
En-tte paquet
IPv6
Message ICMP
Inverse
Neighbor
Discovery
Solicitation
Adresse multicast:
tous les nuds
du lien
1 octet
1 octet
2 octets
Type=141
Code = 0
Checksum
Option = 1
Longueur = 1
Option = 2
Longueur = 1
Option = 9
Longueur = x
Rserv = 0
Si prsente, loption 9 indique la liste des adresses IP affectes linterface par laquelle la
requte est envoye.
Recherche ladresse IP correspondant au DLCI cible
DLCI = 60
DLCI = 50
Routeur
Routeur
Adresse MAC = 08-00-58-B2-C3-D4
Adresse IP locale de lien = FE80::0A00:58FF:FEB2:C3D4
En-tte paquet
IPv6
Message ICMP
Inverse
Neighbor
Discovery
Solicitation
Adresse multicast:
tous les nuds
du lien
1 octet
1 octet
2 octets
Type=142
Code = 0
Checksum
Option = 1
Longueur = 1
Option = 2
Longueur = 1
Option = 10
Longueur = x
Rserv = 0
Dans le paquet de rponse, le rcepteur met son DLCI dans loption Adresse de lien destination quil obtient de la couche niveau 2 de la trame Frame Relay quil reoit. Il y ajoute
les adresses IP associes.
200
IPv6, ICMPv6
En-tte paquet
IPv6
Message ICMP
Router
sollicitation
Type=133
Code = 0
Adresse
multicast locale :
tous les routeurs
du lien
Checksum
Rserv = 0
Option = 1
n-tte trame
Ethernet
Longueur = 1
Les routeurs envoient priodiquement des annonces et rpondent galement aux sollicitations comme celle montre ci-dessus.
Rponse du nud qui dtient dj ladresse
Routeur
Adresse MAC = 00-D0-B7-26-CB-2A
Adresse IP locale de lien = FE80::02D0:B7FF:FE26:CB2A
En-tte paquet
IPv6
Message ICMP
Router
advertisement
Type=134
Hop limit
Code = 0
MO
Checksum
Lifetime
Reachable time
Retransmission timer
Option type 5 (MTU du lien si plusieurs MTU)
En-tte trame
Ethernet
Adresse
unicast
locale de lien
Dans ce message, le routeur communique la station une srie de paramtres prciss dans
le tableau ci-aprs.
Paramtre
Signification
Hop limit
Nombre limite de sauts : valeur que la station doit utiliser dans les paquets quelle met.
Lifetime
Dure, en ms, pendant laquelle le routeur peut tre considr comme routeur par dfaut. Une
dure de 0 ms indique que le routeur ne peut pas tre considr comme routeur par dfaut.
Reachable time
Dure, en ms, pendant laquelle un nud voisin peut tre considr comme joignable aprs
avoir reu une confirmation.
Retransmission timer
MTU
Dans le cas de rseaux commuts avec diffrents supports (Ethernet v2 et 802.3, FDDI, Token-Ring).
Information de prfixe
201
Sauf indication contraire, une valeur 0 indique que le routeur ne spcifie pas de valeur.
Signification
Incomplete
Reachable
Stale
Le nud nest apparemment pas joignable, mais son tat ne sera pas vrifi avant que des donnes doivent lui tre envoyes.
Delay
Le nud nest apparemment pas joignable alors que des donnes lui ont t envoyes. Attend un certain
dlai avant de lancer une vrification.
Probe
Incomplet
Prim
Dlai de 5
Envoi de donnes
Dlai
secondes expir
TCP/UDP
Pas de rponse 3 sollicitations conscutives
Sonde
202
IPv6, ICMPv6
Si le voisin est le routeur par dfaut et vient ne plus tre joignable, le nud recherche un
autre routeur dans sa liste de routeurs.
La redirection
Un routeur a la possibilit dinformer une station quil existe un routeur voisin disposant
dune meilleure route vers la destination spcifie dans les paquets mis par la station.
De la mme manire, il peut informer une station que son destinataire est directement joignable sans passer par un quelconque routeur. Ce cas de figure se produit lorsque plusieurs
subnets IP cohabitent sur le mme domaine de broadcast Ethernet.
Indication de redirection
Routeur
Adresse MAC = 00-D0-B7-26-CB-2A
Adresse IP locale de lien = FE80::02D0:B7FF:FE26:CB2A
En-tte paquet
IPv6
Message ICMP
Redirect
Adresse
unicast
locale de lien
Type=137
Code = 0
Checksum
Rserv = 0
Adresse IP cible qui envoyer les paquets ayant ladresse IP de destination ci-dessous
Adresse IP de destination des paquets envoys par la station et reus par le routeur
Option Adresse de lien de l@ IP cible
En-tte trame
Ethernet
Option Redirect
la rception de ce message, la station envoie les paquets ladresse MAC qui lui est indique.
203
Dans le cas dune station, la procdure se poursuit par la recherche des routeurs voisins, et
en cas de succs, la station sauvegarde les paramtres Hop limit , Reachable time ,
Retransmission timer , et le MTU.
Pour chaque prfixe indiqu dans lannonce de routeur, la procdure dauto-configuration de
la station se poursuit comme suit :
En-tte paquet
IPv6
Message ICMP
Neighbor
sollicitation
Adresse
multicast de
sollicitation
1 octet
2 octets
Type=135
Code = 0
Checksum
Rserv = 0
Adresse IP rsoudre = FE80::02D0:B7FF:FE26:CB2A
Option = 1
En-tte trame
Ethernet
Longueur = 1
Si aucune rponse nest reue, ladresse est suppose tre libre et est affecte linterface.
204
IPv6, ICMPv6
En-tte paquet
IPv6
Message ICMP
Neighbor
advertisement
Adresse
multicast locale :
tous les nuds
du lien
1 octet
2 octets
Type=136
Code = 0
Checksum
R S O
Rserv = 0
En-tte trame
Ethernet
Longueur = 1
1 octet
2 octets
Type = *
Code = 0
Checksum
Dlai max
Type
130
131
132
Rserv = 0
205
Message
Listener Query
Listener Report
Listener Done
Les messages MLD sont constitus dun en-tte IP, dune extension Hop-by-hop comportant loption Router Alert , et dun des trois messages ICMP ci-dessus.
Les messages Listener Query sont envoys par les routeurs pour rechercher les membres
dun groupe (recherche spcifique une adresse multicast) ou les membres de tous les groupes (recherche gnrale).
Les membres des groupes rpondent cette sollicitation ou se manifestent deux-mmes en
envoyant un message Listener Report . Ds que lun deux quitte le groupe, il envoie un
message Listener Done .
Loption Router Alert , dcrite par la RFC 2711, indique au routeur de traiter le message
MLD, mme sil nest pas lcoute de ladresse multicast parce que nayant aucun membre
pour ce groupe.
Migrer de la v4 la v6
Thoriquement, les applications ne doivent pas tre rcrites, car elles font rfrence aux
couches TCP et UDP. Or, ces couches doivent tre modifies afin que le calcul du checksum
porte sur une partie de len-tte IPv6 (voir la fin du chapitre 5).
Avec IPv6, TCP doit calculer le checksum sur les donnes et la partie den-tte suivante,
appele pseudo en-tte :
Adresse source (16 octets)
1 octet
3 octets 0
En-tte suivant
Dans le cas de Windows, Microsoft a dvelopp une nouvelle couche TCP adapte IPv6 et
distincte de celle reposant sur IPv4. En consquence, les applications doivent tre rcrites
pour supporter la nouvelle interface Winsock conforme la RFC 2553.
Par exemple, les primitives gethostbyname et gethostbyaddr doivent respectivement tre
remplaces par getaddrinfo et getnameinfo.
Pour plus dinformations, le lecteur pourra se reporter aux RFC suivants :
RFC 2529 Transmission of IPv6 over IPv4 Domains without Explicit Tunnels ;
TROISIME PARTIE
Les rseaux
tendus
9
Mettre en place
sa premire interconnexion
Comme leur nom lindique, les rseaux locaux sont gographiquement restreints un immeuble, voire un campus. Votre socit se dveloppant, de nouveaux sites sont crs et les
rseaux locaux se multiplient.
Lenjeu est dsormais de connecter ces rseaux entre eux de sorte que tous les utilisateurs
accdent aux mmes applications quelle que soit leur localisation.
Cest le rle des rseaux WAN (Wide Area Network), cest--dire des rseaux tendus. On
parle galement dinterconnexion de rseaux, de rseaux longue distance ou de rseaux
intersite.
Dans ce chapitre, vous apprendrez :
configurer un routeur.
210
210
Le contexte
Notre rseau local est oprationnel, et les utilisateurs sont satisfaits. En plus du site parisien,
il faut maintenant offrir le mme type de service pour un nouveau site situ Orlans. Qu
cela ne tienne, il suffit dappliquer les recettes qui ont dj fait le succs de notre premier rseau.
Mais les utilisateurs de chaque site doivent communiquer entre eux : messagerie, transferts
de fichiers et connexions aux serveurs Web sont demands. Il faut donc interconnecter les
rseaux locaux de ces deux sites. Le problme est quils sont distants de plus de 100 km.
On pourrait utiliser les mmes quipements Ethernet, des commutateurs par exemple. Mais
la norme impose une longueur maximale aux liaisons Ethernet, au mieux quelques kilomtres en fibre optique. Ces contraintes proviennent de laffaiblissement du signal dune part,
et du dlai de propagation des trames, dautre part. En effet, plus les distances sont grandes,
plus le signal est affaibli et plus le dlai de propagation des trames est lev. Si ce dernier
tait plus lev que celui impos par la norme, les stations devraient attendre plus longtemps
avant de pouvoir transmettre une trame, ce qui diminuerait considrablement le dbit du rseau (moins de trames circuleraient en un laps de temps donn puisquil faudrait attendre
plus longtemps avant de transmettre). lavenir, cette contrainte disparatra mais, pour le
moment, nous devons encore en tenir compte.
Il faut donc employer dautres techniques plus adaptes ces contraintes et dfinir une architecture des rseaux tendus, appels WAN (Wide Area Network) par opposition aux rseaux locaux, LAN (Local Area Network).
Dbit
RTC
RNIS
(rseau numrique intgration de service)
De 64 128 Kbit/s
(plus rare : N x 64 Kbit/s)
LS
(ligne spcialise)
211
Dbit
DSL
(Digital Subscriber Line)
De 64 Kbit/s 6 Mbit/s
SDH
(Synchronous Data Hierarchy)
ATM
(Asynchronous Transfert Mode)
Frame Relay
De 64 Kbit/s 8 Mbit/s
(voire 34 Mbit/s)
Ces supports de transmission ncessitent des modems adapts dnomms CSU (Channel
Service Unit) ou DCE (Data Circuit-Terminating Equipment), par opposition aux quipements DSU (Data Service Unit) ou DTE (Data Terminal Equipment) qui sy connectent. Par
exemple, le modem est un DCE, et le PC un DTE. Nous nous situons ici au niveau physique.
Frame Relay
Les deux tableaux prcdents font apparatre ATM comme tant le protocole universel : il
fonctionne sur les LAN et les WAN et supporte la voix et les donnes. Mais, bien que trs
utilis par les oprateurs sur leur rseau WAN, il est trs peu utilis en LAN cause de son
cot.
212
212
Routeur
Votre PC
Serveur Web
RTC
Trame PPP
33,6 Kbps
Paquet IP
1 Mbps
Trame PPP
10 Mbps
155 Mbps
Trame Ethernet
Cellule ATM
Le paquet IP est achemin de proche en proche
au-dessus de diffrents protocoles de niveau 2.
Comment, en effet, assurer la continuit dadressage et de commutation au-dessus de protocoles aussi diffrents ? Rponse : le paquet IP est le seul lien commun. Il faut donc disposer
dquipements spcifiques qui permettent de :
Lquipement qui rpond ces besoins est le routeur, cest--dire un commutateur de niveau 3 (par opposition aux commutateurs de niveau 2, tels ceux trouvs sur Ethernet).
Quel oprateur ?
De plus, notre interconnexion de rseaux doit passer dans des zones du domaine public dont
nous navons pas la matrise. Enfin, mme en admettant que nous obtenions toutes les autorisations administratives ncessaires, la pose de cbles entre les deux sites reviendrait trs
chre.
La seule solution est de faire appel aux services doprateurs comme France Tlcom, Cegetel, Colt, etc. Dans ce domaine, le march offre un nombre impressionnant de solutions
combinant techniques et niveaux de service.
Niveau de prestation
Description technique
Service fourni
1. Support de transmission
(couche physique)
2. Rseau fdrateur
(couches physique et liaison)
213
quel dbit ?
Le dimensionnement des liaisons est un exercice dlicat et important, car il va influer sur les
temps de rponse du rseau et donc sur la satisfaction des utilisateurs. linverse des LAN,
les dbits des rseaux tendus sont limits cause des cots quils entranent.
Le dbit dpend de trois facteurs : le type de trafic, le volume de donnes gnr et les
temps de rponse requis.
Application
Type de trafic
Volume gnr
Sauvegarde
lev
Faible moyen
lev
Moyen
Messagerie
Moyen lev
Moyen lev
Transactionnel (transfert de
petits et moyens fichiers)
Faible lev
Moyen
Transactionnel (transfert de
petits et moyens fichiers)
Faible
Moyen
Conversationnel
(cho distant)
Faible
lev
(< 300 ms)
Les transferts de fichiers perturbent fortement les flux conversationnels (Telnet) et, dans une
moindre mesure, les petits flux transactionnels (serveurs Web). En consquence, les sauvegardes et les transferts de gros fichiers doivent, de prfrence, tre effectus la nuit, ce qui
prsente le double avantage de ne pas gner le travail des utilisateurs de jour et de rpartir
lutilisation du rseau sur 24 heures.
214
214
Dans un cas simple comme le ntre (messagerie, transfert de fichiers et connexion Web), un
dbit de 64 128 Kbit/s devrait tre suffisant. Compte tenu du nombre dutilisateurs (plusieurs centaines sur chaque site), un dbit de 128 Kbit/s est plus scurisant. Nous limiterons
les risques en souscrivant un contrat dune dure minimale dun an, ce qui nous permettra de
changer de dbit facilement.
Lorsque notre rseau intersite aura une plus grande ampleur, nous devrons nous livrer un
calcul plus prcis, comme nous le verrons au chapitre 10.
Mode de facturation
Frais mensuels
RNIS
Variables
LS / xDSL
Dbit et distance
Fixes
Frame Relay
Fixes
ATM
Fixes
Le premier critre prendre en compte est donc le temps dutilisation de la liaison, puis son
dbit.
Figure 9-2.
Choix dun support
pour une interconnexion
de rseaux locaux.
Temps de
connexion
Dbit >
128 Kbit/s
(*)
Dbit >
2 Mbit/s ?
Non
Oui
ATM ou
Frame Relay
La technique d'agrgation de
canaux autorise jusqu' 384
Kbit/s mais est nettement plus
chre.
NOTE
Non
RNIS
Oui
Combien
de sites ?
LS ou xDSL
>2
Solution
oprateur ?
Non
LS ou xDSL
Le seuil de deux heures par jour a t calcul pour une distance de 100 km.
Dans notre cas, la liaison devrait tre utilise toute la journe, quasiment en continu, compte
tenu du nombre dutilisateurs (quelques centaines) et des applications utilises (flux clientserveur, connexions des machines Unix, etc.). La LS point point est donc approprie.
215
Solution prive
Vous
Fourniture de la liaison
Oprateur
Oprateur
Oprateur
Oprateur
Oprateur
Oprateur
La solution oprateur ncessite moins de ressources internes (vous tes notamment moins
sollicit), surtout avec le service de niveau 3. La solution prive revient choisir le service
de niveau 1 et implique donc de grer un projet avec au moins deux interlocuteurs (le distributeur et loprateur).
Le second critre prendre en compte est dordre financier.
Tches \ Quel cot ?
Solution prive
Cot identique
Cot dinvestissement
Cot dinvestissement
Exploitation
Moins cher
216
216
La solution oprateur devrait tre la moins chre long terme (2 5 ans) et apporter le
moins de soucis. Cela nest cependant pas toujours le cas, surtout pour de petits rseaux, qui
plus est, limits la France. Les conomies les plus importantes sont, en effet, ralises
linternational.
Si vous disposez dun gros rseau, vous pouvez opter pour la solution intermdiaire qui
consiste retenir le service oprateur de niveau 2. Cette solution permet de conserver la
matrise du routage IP et de modifier plus facilement la configuration de vos routeurs. Rien
ne vous empchera par la suite dopter pour le service de niveau 3 (tous les oprateurs proposent des routeurs Cisco qui peuvent donc tre repris).
Dans notre cas (deux sites interconnecter), la meilleure solution est une LS avec une garantie de temps de rtablissement. Mais il serait intressant de comparer les cots avec un
service de niveau 3 (LS plus routeur). Les rsultats de cette comparaison peuvent varier en
fonction de nombreux critres (le moment o elle est ralise car les prix voluent vite ,
les distances entre sites, le dbit, etc.).
Admettons cependant que la solution prive soit la moins chre ou alors regardons faire
loprateur qui fait ce que nous aurions d faire.
De routeurs
Le routeur est le seul quipement permettant dinterconnecter deux sites sur de longues distances. Le rseau Internet nest dailleurs constitu que de routeurs utilisant des liaisons spcialises, ATM et Frame Relay.
Le plus simple est dopter pour une configuration fixe comprenant une interface Ethernet et
une interface WAN et ne supportant que le protocole IP. Le cot de cette configuration de
base oscille entre 1 000 et 1 300 HT. Il nous faut deux routeurs, un par site.
Quelques extensions matrielles et logicielles sont proposes.
Fonctionnalit
Description
Intrt
Cot HT
Multiprotocole
Si existant supporter
Commutation de niveau 2
150
(ou 0 car livre souvent en
standard)
Interface RNIS
Connexion au support de
transmission RNIS
450
Dans notre cas, loption RNIS est intressante, car elle offre une solution de secours
en cas de panne de la LS. Elle permet ainsi
dassurer la continuit de service avec la
mme qualit, le dbit offert tant de 64 et
128 Kbit/s, soit exactement celui de notre LS.
Lautre intrt du RNIS concerne le dbordement : lorsque la LS est charge 80 ou
100 %, le routeur peut activer linterface
RNIS, offrant ainsi un dbit supplmentaire
de 64 Kbit/s, voire 128 Kbit/s. Cette fonction
pourra tre utilise si le dbit ncessaire a t
sous-valu.
217
De cbles
Encore des cbles ! Il faut bien sr un cordon de brassage pour connecter le routeur un
concentrateur ou un commutateur Ethernet. Linterface Ethernet du routeur tant strictement quivalente une carte rseau dun PC, un cordon identique (droit RJ45/RJ45) sera
utilis.
Il faut galement des cbles spcifiques ct rseau de loprateur, en loccurrence ct ligne spcialise. Pour notre connexion Internet, nous avions utilis un cble srie entre le
PC et le modem, cble fourni avec le modem. Le principe est identique pour les routeurs :
lorsque loprateur (France Tlcom, par exemple) met en service la LS, il installe dans vos
locaux un modem auquel vous connectez le routeur via un cble srie adapt.
Figure 9-3.
Connexion
du routeur
la ligne spcialise.
Ferme de brassage
Interface Ethernet
(connecteur RJ45)
Routeur
Arrive de la LS
France Tlcom
Tte de ligne France Tlcom
ce qui implique
dacheter le cble
srie avec le routeur.
Interface normalise
X21/V11, V.35, etc.
218
218
La ligne spcialise arrive dans un local technique rserv France Tlcom. La longueur
des cbles srie tant limite, il faut dporter le modem au plus prs du routeur qui se trouve
dans un LTE ou une salle informatique. Cette partie de linstallation est prive (elle se droule dans les locaux de votre socit) et doit donc tre ralise par les services techniques
de limmeuble (souvent, les services gnraux ou les tlphonistes). France Tlcom se
contente damener la LS dans son local, dattendre la fin de linstallation du dport modem,
puis dinstaller le modem et de tester la LS avant de la mettre en service.
Les cbles srie sont de diffrentes natures. Pour la connexion Internet, nous avions utilis
un cble V.24 (connexion srie RS-232). Pour notre LS, loprateur France Tlcom nous
propose V.35 ou X21/V11.
Spcifications des interfaces
Appellation
usuelle
Mcanique
lectrique
Fonctionnelle
Longueur
du cble
Dbit
en Kbit/s
ISO 2110
25 broches
V.28
V.24
12 m
De 2,4 19,2
ISO 2693
34 broches
V.11/V.10
V.24
15 m
10 m
48, 56, 64
128, 256
V.36
ISO 4902
37 broches
V.11/V.10
V.24
15 m
10 m
48,56, 64
128, 256
X21/V.11
ISO 4903
15 broches
V.11
X.24
100 m
50 m
De 64 1 024
1 920
ETSI 300.166
G703
G703
300 m
2 048
ETSI 300.167
9 broches
G703
G704
300 m
De 256 1 984
V.24
(RS 232)
V.35
(RS 232)
G703
G703/G704
,Malgr la normalisation, des variantes peuvent cependant exister. Les plus connues sont
celles relatives la norme V.35 qui accepte une version amricaine et une version franaise en fonction du format de la prise. Les diffrences rsident dans le diamtre des broches (plus grand sur le modle amricain) et dans le type de fixation (par vis dans le
premier cas, par clip dans le second).
Figure 9-4.
Principe
de larchitecture rseau.
219
RNIS
Switch 1
Switch 2
Bri1
Bri1
E0
Routeur 1
10.0.0.1
Site de Paris
500 connexions
S0
E0
LS
Routeur 2
S0
194.168.0.1
Site dOrlans
200 connexions
Suivant les indications de notre plan dadressage (voir chapitre 5), nous avons choisi pour
notre site parisien une classe A subnette sur 22 bits. En revanche, le site dOrlans correspond une nouvelle entit rachete par la socit, et une classe C avait t choisie par notre
prdcesseur. Nous navons pas le temps de changer cette adresse et la conservons en ltat.
La question encore en suspens est de savoir si les interfaces WAN doivent galement disposer dune adresse IP et, dans laffirmative, de quelle classe dadresse.
Connecter un PC au routeur
Pour une configuration fixe, aucune prparation matrielle spcifique nest ncessaire (pas
de carte installer, rien dmonter).
En revanche, le routeur est livr avec un logiciel non configur (comme les PC). Vous pouvez le configurer dans votre bureau sans quil soit connect au rseau, ou linstaller et le
configurer sur place.
Les premiers paramtrages dun routeur ncessitent de sy connecter directement pour saisir
des commandes. Un routeur est limage dun PC : il contient un systme dexploitation
(propritaire) et une interface utilisateur (gnralement en mode texte sans fentre ni souris).
Vous avez donc besoin dun cble srie (RS-232 avec un connecteur V.24) pour raccorder le
port console du routeur au port srie dun PC.
Le type de port srie des routeurs est variable. Vous pouvez trouver un connecteur DB9
comme sur votre PC ou, plus rarement, un connecteur DB25 (lquivalent dun DB9 avec 25
broches) ou encore, de plus en plus souvent, une prise RJ45 femelle. Il faut donc trouver le
bon cble (crois !) qui dispose dun connecteur DB9 femelle ct PC (DTE) et dun
connecteur adquat mle, ct routeur. De plus en plus souvent, ce cordon est livr avec le
routeur.
Ct PC, vous devez utiliser le logiciel Hyperterminal en cliquant sur ProgrammeAccessoiresHyperterminal . Ce logiciel est un mulateur VT (Virtual Terminal) qui va vous permettre de dialoguer en mode texte avec le routeur.
220
220
Configurer le routeur
Selon les constructeurs, la connexion rseau
dun routeur lquivalent dune carte rseau dun PC sappelle port ou interface . On parlera alors indiffremment de
ports LAN ou WAN, dinterface srie, etc.
221
Par contre, faut-il en affecter une aux interfaces srie ? Si tel est le cas, il faut ddier un rseau IP pour seulement deux adresses. Mme pour une classe C, 252 adresses sont gaspilles. Ceci tant, nous pouvons utiliser autant dadresses que souhaites puisque nous avons
pris le parti dun plan dadressage priv. Cependant, il est conseill de limiter le nombre de
rseaux afin den simplifier la configuration.
Deux solutions sont conseilles : aucune adresse IP (pour les petits rseaux), ou un rseau IP
ddi aux interfaces WAN en le subnettant (pour les petits et grands rseaux).
Aucune adresse IP
Adresse IP subnette
---
La commande suivante permet dactiver IP sur linterface srie sans lui affecter une adresse.
Si des paquets sont gnrs par cette interface, ladresse IP source sera celle de linterface
Ethernet.
int s 0
ip unnumbered e 0
Par dfaut, le routeur utilise un protocole de niveau 2, en gnral HDLC ou PPP. La commande suivante permet de forcer lutilisation de PPP, ce dernier tant plus appropri aux
liaisons point point et IP.
int s 0
encapsulation ppp
Activer le routage
Le routage des paquets IP sappuie sur la partie rseau des adresses de destination des paquets. Il faut donc indiquer au routeur parisien que les paquets destination dOrlans doivent tre envoys sur linterface srie.
Dans notre cas, le plus simple est de configurer une route statique. Puisque notre interface
srie ne possde pas dadresse IP, on indique explicitement son nom.
# Sur le routeur de Paris
ip route 192.168.0.0 255.255.255.0 s0
222
222
1 octet
1 octet
2 octets
Longueur variable
2 octets
Fanion
Adresse
Contrle
Protocole
Donnes
FCS
Le champ Fanion est un dlimiteur de trame de valeur binaire 01111110 . Le champ Protocole indique le type de protocole de niveau 3 prsent dans le champ de donnes (0021 pour IP, c021 pour LCP,
c023 pour LQM, c223 pour CHAP, 8281 pour MPLS-CP, etc.). Le champ FCS (Frame Check Sequence)
est un code de dtection derreur.
Dans sa version asynchrone, chaque octet de la trame est transmis avec un bit start et un bit stop, mais
sans bit de parit, puisque le champ FCS est utilis pour dtecter les erreurs.
Le protocole LCP permet dtablir, de configurer, de surveiller et de terminer les liaisons point point. Il
permet, tout dabord, de ngocier des options, telles que :
le MTU (Maximum Transmission Unit) dont la valeur par dfaut est celle dEthernet (1 500 octets) ;
le choix du protocole dauthentification (CHAP, PAP ou aucun) ;
le choix du protocole de contrle de qualit (LQR ou aucun) ;
la rduction du champ Protocole un octet ;
la suppression des champs Adresse et Contrle lorsquils ne sont pas utiliss.
LCP peut activer un protocole dauthentification, tel que CHAP (Challenge Handshake Authentication Protocol). Un mot de passe chiffr est chang entre les deux nuds (routeur ou PC).
LCP peut activer la procdure LQM (Link Quality Monitor RFC 1989) qui coupe la liaison lorsque la qualit de service calcule tombe en dessous dun seuil prdfini. La qualit en mission est calcule en comparant le nombre total de paquets et doctets transmis avec ceux reus par la station distante. De mme, la
qualit en rception est calcule en comparant le nombre total de paquets et doctets reus avec ceux mis
par la station distante.
Le protocole NCP se dcline en autant de versions que de protocoles rseau supports. On trouve ainsi
IPCP (IP Control Protocol), DCP (Decnet Phase IV Control Protocol), MPLS-CP (MPLS Control Protocol),
etc. Les trames changes sont du mme type que celles utilises par LCP.
IPCP (RFC 1332) permet de ngocier des options spcifiques, comme laffectation des adresses IP ou la
compression des en-ttes TCP/IP. Pour viter la fragmentation des paquets TCP, la longueur maximale des
donnes peut tre ngocie pour aller au-del des 1 500 octets, et correspondre ainsi au MTU du protocole
TCP.
PPP se contente ensuite de vhiculer les paquets IP en offrant simplement la dtection derreur.
223
Grce ces commandes, les routeurs sont capables de router correctement les paquets.
Figure 9-5.
Principe du routage
des paquets IP.
Votre PC
Table de routage
Destination Interface
10.0.0.0
e0
192.168. 0.0 s0
Table de routage
Destination Interface
192.168. 0.0 e0
10.0.0.0
s0
Serveur Web
10.0.0.0
Paquet IP
192.168.0.0
ARP
IP
Ethernet
10 Mbps
IP
Paquet IP
PPP
Trame Ethernet
PPP
ARP
Paquet IP
Ethernet
Trame PPP
Trame Ethernet
10 Mbps
128 Kbps
Puisquil nexiste quun seul chemin (la ligne srie), il est possible de dclarer une route par
dfaut. Cette commande permet au routeur denvoyer sur son interface srie tous les paquets
dont il ne connat pas ladresse de destination :
# Remplace la commande ip route 192.168.0.0 255.255.255.0 s0
ip route default s0
224
224
Touches Alt+Entre
Si une route par dfaut existe dj vers un autre routeur, il est toujours possible dajouter
une route statique, comme suit :
route add p 192.168.0.0 mask 255.255.255.0 10.0.0.1
Pour aller vers ce rseau,
je passe par ce routeur
Mais, comment la rsolution dadresse fonctionne-t-elle, tant donn que ladresse MAC du
serveur situ Orlans nous est inconnue et que les trames de broadcast ARP ne peuvent
pas passer par le routeur ?
On pourrait activer la fonction Pont du routeur et ne laisser passer que les broadcasts
ARP, mais on perdrait alors lavantage de la segmentation : le rseau de Paris recevrait des
broadcasts MAC dont il na pas lusage, et inversement.
En ralit, la solution retenue par la pile IP est la suivante :
Utilisation du
masque
Oui
n rseau
identique ?
Non
225
,Il est galement possible dindiquer ladresse IP de la station elle-mme comme passerelle par dfaut. Ce faisant, la pile IP considre que tous les subnets lui sont directement
accessibles. Par consquent, si ceux-ci sont tous situs sur le mme segment Ethernet, la
station pourra directement accder toutes les autres stations. Si les subnets se trouvent
sur dautres segments interconnects par des routeurs, le routeur local doit tre configur
en mode Proxy ARP, ce qui est le cas par dfaut de nos routeurs Cisco.
226
226
Ces deux mcanismes utiliss conjointement permettent, par exemple, de migrer dun rseau
de routeurs vers un rseau de commutateurs, ou dun VLAN plusieurs subnets IP vers un
VLAN un seul subnet. Si, de plus, vous utilisez un serveur DHCP (voir chapitre 6), ce
dernier doit galement tre configur en consquence.
Voil, vous venez de raliser votre premire interconnexion de rseaux.
Tester le rseau
Pour tester le bon fonctionnement de votre rseau, vous pouvez utiliser la commande ping
(voir chapitre 6). Ce programme est disponible sur les routeurs et les PC Windows, les serveurs Unix, etc.
Il se contente denvoyer des paquets une adresse cible qui lui rpond par un paquet en retour. De plus, le ping mesure le temps de rponse aller-retour, ce qui est une bonne indication sur les performances du rseau. Toute pile IP se doit de rpondre un ping.
Rduire loverhead
Une fonctionnalit trs souvent utilise pour les liaisons bas dbit (64 128 Kbit/s), est la
compression des en-ttes TCP/IP (RFC 1144). Le principe repose sur le constat que les enttes varient peu dun paquet lautre. Seuls les octets modifis par rapport au prcdent
paquet sont donc transmis. La taille de len-tte est ainsi rduite de 40 (20 pour TCP et 20
pour IP) 10 octets en moyenne. Cette fonctionnalit est dautant plus efficace quil y a de
nombreux petits paquets traiter (connexions Telnet, par exemple).
interface serial 0
ip tcp header-compression
227
Avantages
Inconvnients
RNIS
Permet le dbordement.
Factur essentiellement lutilisation
LS
La mise en place de deux LS, par exemple 2 64 Kbit/s la place dune seule liaison
128 Kbit/s, permet de rpartir la charge sur les deux liaisons. Cette solution ncessite cependant des mcanismes plus complexes que ceux utiliss jusqu prsent : ils reposent sur des
protocoles de routages qui sont le plus souvent propritaires. En outre, deux LS 64 Kbit/s
cotent plus cher quune seule 128 Kbit/s.
Une liaison RNIS prsente lavantage de ntre active quen cas de ncessit. Si elle est
inutilise, seul labonnement de base doit tre pay : de 30 45 contre 455 610 par
mois pour une LS 64 Kbit/s courte distance.
Globalement, le secours RNIS revient donc nettement moins cher que le doublement dune
LS. Pour toutes ces raisons, cette solution est donc plus adapte notre besoin.
Solutions alternatives
Des techniques dagrgation de canaux B permettent dutiliser n canaux B 64 Kbit/s de
manire nen faire quune seule liaison logique n 64 Kbit/s. Il est ainsi possible
dagrger les deux canaux B dun accs de base (offrant un dbit global de 128 Kbit/s) ou
dagrger les canaux B de plusieurs accs de base (gnralement jusqu trois, autorisant un
dbit global de 384 Kbit/s). Cette technique requiert lutilisation dquipements spcifiques
qui peuvent tre onreux.
228
228
Si un mode dgrad est acceptable, une liaison 128 ou 256 Kbit/s pourra tre
secourue 64 Kbit/s.
Inversement, si vous voulez conserver les performances en mode secours, il faut utiliser
une seconde liaison qui aille au-del des limitations de dbit du RNIS.
Octet 16 = Canal D
16
31
1 octet =
1 IT (Intervalle de Temps)
La trame de laccs de base comprend 2 canaux B 64 Kbit/s, 1 canal D 16 Kbit/s et quelques bits de
gestion (2B+D, en abrg). Le dbit global est de 192 Kbit/s. Dune longueur de 48 bits, elle est mise en
250 microsecondes (soit 4 000 trames par seconde).
Tailles variables
Couche 3
Signalisation
Q.931
(I450-I.451)
Setup (0x05)
Rfrence dappel
Type de message
Alerting (0x01)
Longueur du message
Connect (0x07)
Donnes du message
N de tlphone,
n de canal B,
dlai de transit,
options HDLC,
etc.
1 bit 1 bit
SAPI
C/R
Dlimiteur
1 octet
EA
7 bits
1 bit
TEI
EA
etc.
Adresse
Contrle
Donnes
FCS
Dlimiteur
2 octets
1 octet
Longueur variable
2 octets
1 octet
Couche 2
HDLC LAP-D
Q.921
(I440-I.441)
B1
E D A F N
B2
E D S
B1
F L
B1
L D L F L
B2
E D S
1 bit
L D L
B1
B2
E D L
8 bits
L D L
B2
Couche 1
Accs de base
(I.420-I.430)
L D L
Prise S0
Cble catgorie 4 ou 5
Dlimiteur
Adresse
Contrle
Donnes
FCS
Codage de la
trame
4B3T ou 2B1Q
Codec voix des
canaux B :
PCM (G.711)
est de valeur binaire 01111110 . Afin dviter que les donnes lui soient identiques,
un mcanisme dinsertion de 0 est utilis lmission. Le principe consiste
insrer un 0 ds que 5 valeurs 1 conscutives ont t transmises (cet
e
algorithme nest bien sr pas appliqu aux dlimiteurs). la rception, le 6 bit suivant
5 bits ayant une valeur de 1 est analys. Sil est 0 , il est ignor et, dans le cas
contraire, il est considr comme un dlimiteur de trame.
Comporte lidentifiant SAPI (Service Access Point Identifier) permettant de distinguer
les applications utilisant les canaux B (tlphonie, tlcopie, etc.) et lidentifiant TEI
(Terminal End-point Identifier) qui permet didentifier le terminal sur le bus. Le numro
127 est rserv la diffusion (broadcast).
indique le type de la trame (Unnumbered, Information ou Supervision), et contient un
numro de squence. Le protocole utilise 20 formats de trames.
contient les donnes utiles (260 octets au maximum).
(Frame Check Sequence) est un code de dtection derreur de type CRC (Cyclic
Redundancy Check).
229
230
230
Interface Ethernet
(connecteur RJ45)
Ferme de brassage
Interface
srie (WAN)
Interface RNIS
(prise RJ45)
Arrive de
l'accs de base
France Tlcom
BAL
TNR
Dport (4 8 fils)
install par
France Tlcom
Cordon de brassage
RJ45/RJ45 droit
Sur notre routeur dOrlans, linterface RNIS (appele BRI pour Basic Rate Interface) doit
tre configure de manire ne sactiver que si la liaison principale (linterface srie) est
coupe :
isdn switch-type vn3
interface Ethernet 0
ip address 192.168.0.1 255.255.255.0
^Z
interface serial 0
ip unnumbered e0
encapsulation ppp
backup delay 2 15
231
L'interface de secours est la bri 0 qui appelle le numro de tlphone de l'abonnement RNIS situ Paris.
Dfinition dune
route statique.
En mode secours, un seul canal B est activ. Notre routeur est capable de grer deux
connexions simultanes, une sur chaque canal B, mais pas dagrger les canaux.
Scurisation de la liaison
Le problme avec le numro de tlphone est quil peut tre appel par nimporte qui. Il faut
donc appliquer quelques rgles de base. La premire est, bien sr, dinscrire votre numro
sur liste rouge. Le service didentification de lappelant pourra aussi tre utile.
Au niveau du routeur, il est possible de raliser une authentification laide du protocole
CHAP (Challenge Handshake Authentication Protocol) utilis conjointement avec PPP. Le
principe repose sur le partage dune cl secrte par les deux routeurs. Lors de lappel, le routeur appel envoie un challenge au routeur appelant. La bonne rponse est lie la cl
secrte (le mot de passe).
hostname orleans
Cl secrte CHAP
(mot de passe)
232
232
ip unnumbered e0
encapsulation ppp
Pour joindre le rseau 10.0.0.0, il faut
backup delay 2 15
appeler le routeur distant paris .
backup interface bri 0
^Z
Numro de tlphone RNIS
interface bri 0
du site parisien
ip unnumbered e0
encapsulation ppp
dialer in-band
dialer map ip 10.0.0.0 name paris broadcast 0144758899
dialer-group 1
^Z
ip route 10.0.0.0 255.255.252.0 s0
dialer-list 1 protocol ip permit
ip route 10.0.0.0 255.255.252.0 s0
Gestion du dbordement
La mme liaison RNIS peut galement tre utilise pour absorber du trafic en surplus sur
linterface srie :
int bri 0
backup load 80 10
Cette commande active linterface RNIS si la ligne principale atteint une charge gale
80 %, et la dconnecte lorsque la charge globale (principale + secours) redescend 10 %.
Le cas de la panne dun routeur nest pas trait ici. Pour offrir cette scurit supplmentaire,
dautres mcanismes doivent tre activs (voir VRRP et HSRP au chapitre 12).
10
Architecture
des rseaux tendus
Aprs avoir ralis notre premire interconnexion, nous pouvons passer ltape suivante
qui consiste crer un rseau WAN complet.
linverse dun LAN qui est par essence priv, un WAN ncessite demprunter des rseaux
publics ou oprateur qui agissent sous licence octroye par ltat.
linverse de votre LAN sur lequel vous pouvez raliser des excs de vitesse gratuitement
jusquau Gigabit, la vitesse est limite quelques dizaines de Mbit/s sur les rseaux WAN.
Et plus vous allez vite et loin, plus cest cher.
Il faut donc choisir avec discernement la technologie utiliser, et dterminer au mieux, en
fonction de vos besoins et de votre budget, la route emprunter (route dpartementale, voie
rapide, autoroute de linformation avec page, bretelle daccs, etc.).
Dans ce chapitre, vous apprendrez ainsi :
234
234
Au niveau international, lorganisme qui contrle les activits tlcoms (autorisations, projets internationaux, normes, etc.) est lITU (International Telecommunication Union) qui est
affili lONU. Tous les oprateurs nationaux sont membres de lITU.
La plupart des liaisons internationales sont le fruit dune coopration entre les oprateurs qui
utilisent les bandes passantes proportionnellement leur participation financire. Certains
oprateurs possdent en propre leurs liaisons internationales, et les louent dautres oprateurs.
235
236
236
Description technique
Service fourni
Exemples
1. Fourniture du support de
transmission brut (couche
physique)
Support de transmission +
rseau fdrateur + quipements terminaux (routeur,
tlphone, etc.)
Le service de niveau 1 permet aux clients de disposer du support de transmission qui leur est
fourni : ils peuvent installer des multiplexeurs, des commutateurs ATM ou Frame Relay, des
routeurs, etc., pour transmettre des donnes, de la voix ou de la vido.
Figure 10-1.
Service oprateur
de niveau 1
lignes
spcialises.
quipement dextrmit
install et gr par loprateur
(un modem)
237
ventuellement un multiplexeur ou
un commutateur (ATM, FrameRelay, ou autre) si plusieurs
quipements dextrmit doivent
Autant de LS quil y a
de sites distants
Point daccs
quipement terminal
CPE
POP
Routeur
CPE
POP
CPE
Routeur
Rseau oprateur
POP
CPE
routeur
quipement terminal
quipement dextrmit
install et gr par loprateur
(un modem, un commutateur,
un multiplexeur)
Point daccs
Liaison daccs
POP
Routeur
CPE
POP
Rseau oprateur
POP
CPE
routeur
Service de niveau 2
Service de niveau 3
Solution prive reposant sur le service de niveau 1. Lentreprise construit son rseau
tendu.
Solution oprateur reposant sur les services de niveaux 2 et 3. Lentreprise confie tout
ou partie de son rseau tendu un oprateur.
238
238
Figure 10-3.
Rseau priv
reposant sur des LS.
Strasbourg
Lignes spcialises
longues distances
Londres
Paris
Toulouse
Marseille
Le rseau peut tre en toile sur un site principal, distribu selon limportance relative de
chaque site, ou plus ou moins maill afin de rpartir la charge et dassurer le secours des
liaisons.
La seconde solution repose sur lutilisation dun rseau oprateur et sur des LS ou, de prfrence, des boucles locales raccordant les sites du client aux POP les plus proches.
Figure 10-4.
Rseau priv virtuel
bas sur un rseau
oprateur.
Strasbourg
Rseau de
loprateur
POP
Paris
Point daccs au
rseau de loprateur.
POP
Londres
POP
POP
Toulouse
POP
Marseille
Loprateur installe les liaisons daccs locales (ou les commande auprs de loprateur local sil na pas de licence) entre les sites du client et ses points daccs.
Pour compliquer le choix des clients, il existe plusieurs types doffres :
Les VPN de niveau 2 reposant sur Frame Relay et ATM (voir chapitre 11).
Loprateur garantit au client la bande passante demande ainsi que le niveau de service
souhait, avec des engagements de rsultats.
Les VPN de niveau 3, reposant sur IP et MPLS (voir chapitre 12). De la mme manire, loprateur sengage sur une qualit de service quivalente, voire suprieure,
celle pouvant tre offerte sur un VPN de niveau 2.
Les VPN IPsec, galement de niveau 3, reposant sur le protocole de cryptage IPsec
(voir chapitre 17). Dans ce cas, il ny a pas sparation logique, mais cration dun tunnel crypt qui garantit la confidentialit des informations vis--vis des autres utilisateurs. Si le rseau IP est celui de loprateur, celui-ci peut sengager sur une qualit de
service, gnralement de niveau infrieur aux deux prcdents VPN. Si le rseau IP est
lInternet, loprateur ne sengage quasiment sur aucune qualit de service.
239
Dans tous les cas, le client doit signer un contrat de service, appel SLA (Service Level
Agreement), avec loprateur. Ce dernier sengage fournir une qualit de service (temps de
rponse, dbit garanti, taux de disponibilit, etc.) ainsi qu payer des pnalits au client en
cas de non-respect de ses engagements.
Le rseau oprateur peut sengager sur diffrents services :
Taux de disponibilit. Loprateur garantit que son rseau sera disponible 99,9 % du
temps (cest une valeur courante).
Bande passante. Loprateur garantit que le client disposera du dbit demand (512
Kbit/s entre deux sites, par exemple) pendant 100 % du temps.
Temps de transit. Loprateur garantit le temps mis par un paquet pour aller dun site
lautre.
Ces garanties peuvent tre valables de POP POP (cest--dire dans le rseau fdrateur de
loprateur appel backbone) ou de bout en bout (cest--dire entre les sites du client), liaisons et quipements daccs compris. Cest vous de ngocier les engagements en fonction
du cot.
Loprateur exploite son rseau laide dun ou plusieurs centres de supervision, de centres
de support client (Help Desk) et dquipes projet qui lui permettent doffrir un service de
guichet unique (interlocuteur unique) :
Loprateur se charge de toutes les commandes de LS daccs auprs des oprateurs locaux, de linstallation des quipements, de la configuration de son rseau pour accueillir
le VPN du client ainsi que de la gestion du projet.
Quels que soient le site et le pays, le client peut appeler le centre de supervision pour lui
signaler un problme, et inversement.
Il ny a quune facture, et le client choisit le mode de facturation quil souhaite : centralise, rpartie par site, etc.
Loprateur fournit des statistiques sur le VPN du client et les preuves que ses engagements ont t respects. Cela nempche pas le client de mettre en place son propre systme de contrle.
Critre
Solution prive
Solution oprateur
Investissements
Cots de fonctionnement
Exploitation
Distances des LS
Une entreprise a toujours la possibilit de passer dune solution prive une solution oprateur, autrement dit dexternaliser son rseau (ce que lon appelle loutsourcing).
240
240
Lopration inverse (la rversibilit) nest pas dans lair du temps et est toujours une opration dlicate. La rversibilit peut aussi tre applique pour changer doprateur en cas
dinsatisfaction.
T1 (tats-Unis, Canada et Japon) et E1 (reste du monde), qui datent des annes 60.
HDSL (High bit rate Digital Subscriber Line), qui date des annes 80.
Dnomination
Technologie
Codage en ligne
Distance
E1
De 1 2 km
sans rpteur
2 paires
T1
De 1 2 km
sans rpteur
2 paires
HDSL
DSL
Trames transmises en 6 ms
Le dbit offert par une E1/T1 est un multiple de 64 Kbit/s. Cette unit correspond un canal
dans un lien E1 2,048 Mbit/s (32 canaux 64 Kbit/s) ou T1 (Trunk-carrier, level 1 multiplexing) 1,544 Mbit/s (24 canaux 64 Kbit/s + 8 Kbit/s de signalisation).
Les ondes sonores de la voix sont converties en signaux numriques un dbit de 64 Kbit/s,
tout comme le mouvement est converti en 24 images/seconde par une camra. Ce dbit est
li aux limitations technologiques des annes 60, et demeure encore lunit de rfrence. Les
progrs font que, aujourdhui, on peut se contenter de 8 Kbit/s, voire moins.
Lunit de base est donc constitue dun canal de 64 Kbit/s (dnomm DS0, Digital Signaling 0). Comme il est plus pratique et plus conomique de transporter plusieurs canaux en
mme temps, ces derniers sont multiplexs au sein dune liaison composite (trunk). Et,
comme dans toutes les couches rseau (nous sommes ici au niveau physique), un protocole
est ncessaire pour grer ces canaux (dbut et fin du canal, synchronisation des horloges,
etc.). Un canal est donc ddi ce protocole souvent appel canal de signalisation.
Liaison
Canaux de signalisation
2 canaux 64 Kbit/s
1 canal 16 Kbit/s
30 canaux 64 Kbit/s
2 canaux 64 Kbit/s
24 canaux 64 Kbit/s
1 canal 8 Kbit/s
241
Ces changes point point sont raliss entre deux multiplexeurs qui dialoguent via le canal
de signalisation (des bits prlevs sur le dbit global).
Un multiplexeur prend ainsi n canaux 64 Kbit/s en entre, et gnre un signal de
2 048 Mbit/s en sortie pour une E1. Un autre type de multiplexeur prend 4 canaux 2 Mbit/s
en entre, et gnre un signal 8 Mbit/s en sortie, et ainsi de suite. On dfinit ainsi une hirarchie de dbits plsiochrones (plusieurs horloges, une pour chaque type de multiplexeur)
jusqu 34 Mbit/s en Europe et 45 Mbit/s aux tats-Unis.
2
34
140
565
2 260
CEPT
E1
E3
Divergence de dbit
ANSI
1,544
T1
45
T3
Aujourdhui, cette cascade de multiplexage a t remplace par des multiplexeurs permettant dextraire directement la bande passante souhaite. On dfinit ainsi une hirarchie de
dbits synchrones (une seule horloge pour transporter plusieurs dbits). La structure des
trames et le protocole associ sont SONET (Synchronous Optical NETwork) aux tatsUnis, et SDH (Synchronous Digital Hierarchy) en Europe. Ces rseaux forment le cur des
infrastructures rseau haut dbit des oprateurs (de 51,84 Mbit/s plus de 9 Gbit/s).
155
SDH (UIT-T)
2 488
Dbits quivalents
SONET (ANSI)
622
55
155
OC-1
OC-3
622
2 488
OC-12 OC-48
242
242
(V.35, X21/V11, etc.) en signaux numriques adapts aux longues distances, xDSL par
exemple.
Le CPE (Customer Premises Equipment) est le terme gnrique dsignant un quipement de
raccordement install chez le client. Il sagit dun CSU/DSU (quipement de base), dun
commutateur ATM ou Frame Relay, dun FRAD ou dun routeur. Ces derniers peuvent ou
non intgrer un CSU/DSU.
Digital
Access
Cross
Connect
E1
Customer
Premise
Equipment
IDSL
2 paires : 144 Kbit/s + bits de
gestion des signaux = 160 Kbit/s
1 ou 2 paires
2B1Q
DACS
TNR
Bus S0
2B + D
2 paires
2B1Q
192 Kbit/s
160 Kbit/s
Multiplexeur 12
accs de base
Terminaison
Numrique
dAbonn
Terminaison
Numrique
de Rseau
Prise S0
(RJ45)
Routeur
Ct client, le RNIS se prsente sous la forme dun bus, appel bus S0, sur lequel plusieurs
quipements peuvent tre connects (tlphones, tlcopieurs, routeurs, etc.).
243
CHAPITRE 10
Figure 10-6.
Les trames IDSL
(accs de base S0).
B1
E D A Fa N
B2
E D S
L D L Fa L
B2
Bit dquilibrage
Deuxime canal B
B2
E D L
E D S
Premier canal B
Bit de synchronisation
F L
B1
L D L
B1
L D L
B2
L D L
Canal D
La deuxime technologie qui est apparue est HDSL (High bit rate DSL) sur laquelle reposent quasiment toutes les liaisons daccs (LS notamment). La raison est quune liaison
E1/T1 ncessite de coteux rpteurs tous les 1 2 km, alors que la porte du HDSL est
dau moins 3,7 km (jusqu 7,9 km sans rpteur). La rduction du nombre de rpteurs
permet ainsi de rduire les cots des LS de 30 50 % par rapport aux E1/T1.
La vraie rvolution des technologies xDSL est que cette baisse de prix permet aux oprateurs de proposer des liaisons xDSL aux particuliers pour leurs connexions tlphonique et
Internet.
Figure 10-7.
Accs E1
via HDSL.
Digital
Cross
Connect
HDSL
1 paire : 2 320 Kbit/s
2 paires : 1 168 Kbit/s par paire
3 paires 784 Kbit/s par paire
E1
DCS
Interface
E1
HDSL
Transmission
Unit - Central
Line
Terminaison Unit
Figure 10-8.
Trames HDSL
sur 2 paires.
Synchronisation :
7 symboles
2B1Q = 14 bits
SYN
HOH
1, 2 ou 3 paires
2B1Q
HTU-C
Customer
Premise
Equipment
HTU-R
2 paires
AMI
Interface
E1
HDSL
Transmission
Unit - Remote
CPE
E1
Network
Terminaison Unit
B01
B12
HOH
B13
12 blocs
B24
HOH
B13
x 4 units spares
par HOH
B48
PAD
Bourrage
Octet 1
Octet 2
Octet 3
Octet 35
Paire 1
1 bit de dbut
de bloc
Octet 4
145 bits
Octet 36
Paire 2
244
244
S-HDSL (Single pair HDSL) et SDSL (Symetric DSL) sont des versions simplifies de
HDSL.
La norme DSL la plus avance est ADSL (Asymetric DSL). Sa particularit est de prsenter
des dbits diffrents selon le sens de la transmission : le dbit destination du client est plus
important que celui offert ce dernier en mission. Ce type daccs est associ un sparateur offrant un accs analogique pour les tlphones classiques en plus de laccs numrique. Cela en fait une utilisation approprie pour les particuliers.
Figure 10-9.
Accs ADSL
pour
les particuliers.
ADSL
1 paire : 6,1 Mbit/s / 640 Kbit/s
ou
1,5 Mbit/s / 64 Kbit/s
ou
512 Kbit/s / 128 Kbit/s
RTC
ATU-C
Internet
1paire
CAP ou DMT
Sparateur
Sparateur
ADSL
Transmission
Unit - Central
Connecteurs
V.35, RJ45, RJ11
ATU-R
Votre PC, un
rseau local,
etc.
ADSL
Transmission
Unit - Remote
Sparateur inclus
ou non dans lATU
Il est noter que les TNR, HTU et ATU qui viennent dtre voqus aux figures prcdentes
sont des modems numriques (CSU/DSU).
Figure 10-10.
Format
d'une trame
ADSL.
Trame 2
Trame 67
SYN
Trame de synchronisation
Fast byte
Donnes prioritaires
Indicateurs (significations
diffrentes selon le n des trames)
FEC
Donnes
RADSL (Rate Adaptative DSL) est une version dADSL qui permet daugmenter ou de diminuer le dbit selon ce que permet la qualit de la ligne. Cest en fait une volution naturelle dADSL.
ADSL Lite (G.Lite), anciennement CDSL (Customer DSL), est lquivalent dADSL sans
le sparateur (splitter). Lobjectif est de diminuer les cots en simplifiant linstallation de
labonn (suppression du sparateur) ainsi que lexploitation pour loprateur. Les fonction-
245
nalits sont les mmes que celles fournies par ADSL/RADSL (connexion Internet + tlphone).
La dernire technologie en date est le VDSL (Very high speed DSL) qui utilise les paires
torsades en cuivre mais surtout la fibre optique. Lobjectif premier de VDSL est de transporter des cellules ATM (Asynchronous Transfer Mode). La norme repose sur un multiplexage temporel (TDM, Time Division Multiplexing) aux dbits normaliss STM (Synchronous Transfer Mode), ceux utiliss par SDH (Synchronous Digital Hierarchy).
Technologie
Dbit descendant /
Montant en Kbit/s
Distance maximale
sans rpteur
Nombre
de paires
Codage
HDSL G.991.1
(High bit rate DSL)
1 544 / 1 544
2 048 / 2 048
2
13
2B1Q
ADSL G.992.1
(Asymetric DSL)
1 544 / 512
6 144 / 640
1
1
DMT
RADSL
(Rate Adaptative DSL)
1 544 / 512
6 144 / 640
1
1
DMT
1 544 / 512
DMT
VDSL
(Very high speed DSL)
13 000 / 1 500
52 000 / 2 300
1
ou FO
DWMT / SLC
S-HDSL G.991.2
(Symetric HDSL)
768 / 768
3,7 km
2B1Q
SDSL
(Single pair HDSL)
1 544 / 1 544
2 048 / 2 048
3 km
3 km
1
1
2B1Q / CAP
IDSL
(ISDN DSL)
160 / 160
1 ou 2
2B1Q
Le dbit descendant correspond aux flux allant du rseau (par exemple lInternet) vers le
client (vous), tandis que le dbit montant correspond au flux allant du client vers le rseau.
Au sein dune mme norme, les dbits et distances varient en fonction du diamtre des fils
utiliss (norme AWG, American Wire Gauge).
Diamtre des fils
Distance maximale
22 AWG = 0,65 mm
24 AWG = 0,5 mm
26 AWG = 0,4 mm
Les dbits peuvent, par ailleurs, tre augments si les distances sont raccourcies.
246
246
Brve description
DMT
(Discrete Multi-Tone)
DWMT
(Discrete Wawelet Multi-Tone)
SLC
(Simple Line Code)
QAM 16
(Quadrature Amplitude Modulation)
2 amplitudes et 12 changements de phase permettent dobtenir 16 signaux diffrents reprsentant 4 bits de donnes.
CAP
(Carrierless Amplitude Phase)
PAM
(Pulse Amplitude Modulation)
IDSL
(accs de base RNIS, 2B+D)
HDSL
VDSL
Rseaux haut dbit ATM sur cuivre et surtout sur fibre optique
Concernant nos rseaux locaux, PPP fonctionne directement au-dessus des LS (donc de
HDSL) et de RNIS (IDSL) grce aux routeurs qui prennent en compte les interfaces E1/T1
et S0.
247
Quant ADSL, quatre modes daccs aux canaux de donnes sont possibles :
Mode synchrone. Les canaux sont accessibles sous forme dun train de bits aux dbits
STM.
Mode adaptation de paquet. Permet plusieurs applications dutiliser les canaux pour
transporter leurs donnes selon leurs propres formats.
Mode paquet de bout en bout. Les paquets IP sont envoys directement dans les trames (sans se soucier de laffection des canaux), et la commutation est effectue au niveau dADSL sur la base des adresses IP contenues dans les paquets.
Mode ATM. Permet de transporter les cellules ATM qui contiennent les trames PPP
(qui transportent IP, et ainsi de suite).
Actuellement, aucune tendance nest perceptible, car le march est naissant et les quipements peu nombreux. En France, France Tlcom promeut le mode ATM.
248
248
ADM
PABX
PABX
LS 1 Mbit/s
ADM
ADM
routeur
routeur
Site de
sauvegarde
routeur
Site central
ADM
Dans cet exemple, la boucle SDH vhicule des liens MIC 2 Mbit/s entre les PABX, des LS
1 Mbit/s entre les routeurs, et une liaison ATM 34 Mbit/s entre les deux principaux sites.
Sonet
SDH
Dbit en Mbit/s
OC-1
--
51,84
OC-3
STM-1 (*)
155,52
OC-9
STM-3
466,56
OC-12
STM-4 (*)
622,08
OC-18
STM-6
933,12
OC-24
STM-8
1 244,66
OC-36
STM-12
1 866,24
OC-48
STM-16 (*)
2 488,32
OC-96
STM-32
4 976,64
OC-192
STM-64
9 953,28
POH (1)
9 ranges de
270 octets
Le SOH est constitu de 9 ranges de 9 octets, le POH de 9 ranges de 1 octet et les donnes utiles de 9
ranges de 260 octets. La transmission seffectue de gauche droite en partant de la range du haut. Cette
technique dentrelacement permet de limiter les consquences dune erreur de transmission, le raisonnement tant quil vaut mieux perdre 1 octet tous les N octets que N octets successifs.
Une trame STM-3 est compose de trois trames STM-1 entrelaces. Len-tte est constitu de 3 x 9 octets
(toujours sur 9 ranges), puis de 3 x 261 octets. Toutes les trames STM-n sont transportes en 125 ms.
titre de comparaison, la trame Sonet est compose de 9 ranges de 90 octets transmises en 125 ms.
249
250
250
Le multiplexage WDM
Le multiplexage propos par SDH est cependant un peu rigide de par la taille incrmentale
des conteneurs ; on passe, par exemple, dun dbit de 622 Mbit/s (STM-4) 2,5 Gbit/s
(STM-16).
Les nouvelles techniques de multiplexage sur fibre optique monomode sappellent WDM
(Wavelength Division Multiplexing) et DWMD (Dense WDM) dont le principe consiste
gnrer plusieurs faisceaux lumineux dans la mme fibre, jusqu 256 actuellement. Chaque
faisceau optique, indiffremment appel canal, longueur donde ou lambda, transporte un
flux de donnes de nature et de dbit quelconque, alors que SDH multiplexe les donnes en
entre puis les transmet sur une seule longueur donde. Cependant, WDM ne prend que des
signaux optiques en entre, alors que SDH multiplexe des signaux dentre optique et non
optique.
WDM peut ainsi transporter en mme temps des signaux optiques OC-3, ATM, Gigabit
Ethernet et mme SDH, puisque ce dernier gnre un signal optique. WDM permet donc de
multiplier aisment les capacits des fibres optiques dj existantes, sans remettre en question lexistant.
Comparaison
WDM
SDH / SONET
Topologie
Boucle
Signaux en entre
Optiques
Optiques et lectriques
Faisceaux optiques
Une onde
Rgnration du signal
Amplificateur optique
Rgnrateur opto-lectrique
Dbit transport
Distances maximales
(dpend du dbit)
On le voit, toutes ces techniques de multiplexage peuvent simbriquer : ATM dans SDH ou
dans WDM, SDH dans WDM, bien que nous soyons toujours au niveau physique, cest-dire au niveau du multiplexage des signaux gnrs sur un cble.
251
loprateur, le cot est moindre, mais ce dernier vous facturera de toute faon en fonction du
dbit.
Il ne faut donc pas survaluer le dbit par rapport vos besoins, afin dviter de payer un
surcot inutile. Il ne faut pas non plus le sous-valuer, car les utilisateurs exigent des temps
de rponse corrects. La conception dun rseau intersite (rseau dinterconnexion de rseaux locaux) rsulte donc dun compromis cots/performances.
La dmarche propose pour dimensionner les liens repose sur trois tapes :
De vers
Objet
Type de flux
Systme
Priodicit
Base de donnes
Directions rgionales
sige
Comptabilit,
logistique
Client-serveur
Unix
Datawarehouse
Directions rgionales
sige
Activit commerciale
Transfert de gros
fichiers
Unix
Messagerie
Intrasite et intersite
Transfert de fichiers
(Word, Excel, applications mtier)
Exchange
SMTP
Tlcopie via
la messagerie
changes
externes
Messagerie
Exchange
TLJ
Intranet
Informations, DRH,
accs aux bases de
donnes
Transactionnel
Client-serveur
Unix, NT
TLJ
Connexions
Internet
Directions rgionales
Sige
Consultation Web
messagerie
TLJ
252
252
Cette vision synthtique est une tape vers la traduction du langage utilisateur en langage informatique. Cest aussi un bon moyen de dcrire les flux circulant au sein de la socit
(workflow) afin de btir le rseau qui lui soit le mieux adapt.
Les flux recenss peuvent tre classs en trois catgories :
les flux conversationnels ;
les flux transactionnels ;
les flux de type transfert de fichiers.
Il faut ajouter cela les applications client-serveur qui peuvent, selon les cas, sapparenter
la deuxime ou la troisime catgorie.
Quel type de flux ?
Quelles caractristiques ?
Quelles applications ?
Conversationnel
Connexions Telnet
Transactionnel
Serveurs intranet
Connexions aux sites centraux (via des passerelles)
Transfert de fichiers
Serveurs bureautiques
(FTP ou moniteur spcialis sur TCP/ IP)
Client-serveur
Ces flux doivent cohabiter au sein dun mme rseau intersite et tre transports simultanment sur une mme liaison.
Application Telnet
Caractre frapp
par lutilisateur
3
Serveur Unix,
routeur, etc.
253
CHAPITRE 10
Le type de flux qui en rsulte est par consquent irrgulier, car il dpend de lactivit de
lutilisateur et est compos de trames courtes.
Le temps de rponse est donc primordial pour ce type dapplication. Il se doit dtre le plus
rgulier possible, le principe tant quun utilisateur shabitue un temps de rponse, mme
mauvais, pourvu quil soit rgulier. Un maximum de 300 500 ms est gnralement tolr.
Quand plusieurs caractres sont saisis la suite, ce temps est gnralement rduit du fait de
leur encapsulation dans le mme paquet TCP (algorithme de Nagle RFC 896).
! Activation de l'algorithme nagle sur un routeur Cisco
! Utile pour les connexions Telnet
! A desactiver pour X-Window
service nagle
Figure 10-12.
Types de flux gnrs
par des applications intranet.
Flux montant
Formulaire
Serveur Web
Affichage dune
nouvelle page
Nouvelle page
Flux descendant plus
important que le flux montant
d
Recherche et
construction de la
nouvelle page
Les flux gnrs sont caractriss par un trafic descendant (serveur intranet vers navigateur)
plus important que le trafic montant (les donnes du formulaire ou un clic sur une URL). La
ligne est rarement mobilise (2 4 transactions par minute) tandis que le transfert dune
page (de 4 50 Ko, voire plus) ncessite la presque totalit de la bande passante pendant
quelques secondes. Le dbit instantan requis est donc une donne importante dans le calcul
de la bande passante requise par ce type de flux.
254
254
Figure 10-13.
Types de flux gnrs
par des applications
transactionnelles.
Flux continu
de donnes
Fichier
Ack
Acquittements pisodiques
,Pendant les heures ouvres, ce type de flux peut dgrader les temps de rponse des flux
transactionnels et surtout des flux conversationnels. Cette interfrence peut tre contrle
par des mcanismes de priorit positionns sur les quipements dinterconnexion tels que
les routeurs.
Application
Flux rseau
Type transactionnel
Gestion commerciale
Serveur Intranet
Datawarehouse
Architecture 3 tiers
Transfert de fichiers
Transactionnel
Larchitecture 3 tiers (client, serveur applicatif, serveur de base de donnes) gnre des flux
de type transactionnel, ct client, et de type transfert de fichiers, ct base de donnes.
255
Estimer la volumtrie
Les flux doivent ensuite tre quantifis, partir de donnes existantes, ou sur la base
dhypothses. Si lon part dun rseau existant, soit pour loptimiser, soit pour le faire voluer, on peut sappuyer sur des statistiques indiquant les volumes changs entre deux sites.
Ces donnes peuvent tre issues de facturations dtailles ou dune phase daudit consistant
en une campagne de mesure sur le terrain.
La volumtrie est calcule diffremment selon le type de flux. Souvent, elle doit tre extrapole partir dinformations partielles. Ce travail doit donc tre ralis indpendamment
pour chaque application susceptible dtre vhicule par le rseau intersite. Les rsultats
doivent ensuite tre consolids sous forme de matrice de flux prsentant les volumes changs entre chaque site. Lchelle de temps gnralement utilise est une journe de travail ;
cette priodicit permet en effet de lisser les variations.
La volumtrie globale pour un site est gnralement issue dune volumtrie unitaire estime
pour un utilisateur et calcule selon la formule suivante :
Vj = Vu U
Vj est le volume journalier calculer pour un site.
Vu est le volume journalier estim pour un utilisateur.
U est le nombre dutilisateurs pour un site donn.
Les sections suivantes dcrivent les manires destimer les volumtries quand lexistant est
peu ou pas connu.
Transactionnelles intranet
Conversationnelles Telnet
Dpend des applications (faire des tests avec un analyseur rseau) ; un cran =
2 4 Ko
Administration du rseau
256
256
257
,Vous pouvez vrifier les valeurs propres votre contexte en visualisant le contenu du cache de votre navigateur (recherchez un rpertoire appel cache situ dans le rpertoire dinstallation du navigateur).
Etc.
Lutilisation des applications multimdias pose dautres problmes, qui sont abords au
chapitre 13.
Toulouse
Paris
Strasbourg
Toulouse
---
400 intranet
40 Telnet
100 Telnet
---
Paris
Strasbourg
Etc.
Etc.
50 intranet
-----
La volumtrie doit tre calcule entre chaque site et dans les deux sens. Les liaisons tant de
type full duplex, il convient de prendre la valeur la plus haute, ce qui permet de calculer le
dbit instantan ncessaire.
258
258
TP
TS
ST
etc.
400
400
50
50
50
0,5
50
0,5
10
10
10
10
500
500
Total journalier en Mo
200
25
0,25
Nombre d'utilisateurs
40
40
100
100
0,5
0,5
100
100
50
50
400
50
25
200
Total journalier en Mo
16
2,5
20
Etc.
Volume total en Mo
960
320
240
190
Selon le sens de la connexion client-serveur, les flux montants (depuis le client vers le serveur) et descendants (depuis le serveur vers le client) apparatront dans la premire colonne
ou la deuxime. Au final, seul le maximum des deux flux doit tre pris en compte. Cest lui
qui dterminera la bande passante maximale requise.
Bp = Vj Th Ov
1
1
(8 1024
,
)
Tu 3600
est la bande passante instantane calcule pour une liaison exprime en Kbit/s.
259
Vj
est le volume journalier, estim en Ko. Cette valeur reprsente la somme des flux devant circuler sur le lien considr (le maximum pris entre les flux montants et descendants).
Th
est un coefficient permettant de calculer le trafic ramen lheure charge. On considre gnralement que le trafic journalier est concentr sur une heure charge. Cette
hypothse part du constat que, sur 8 heures de travail, les utilisateurs sont le plus actifs sur deux priodes de pointe, entre 10 h et 11 h, et entre 15 h et 16 h. Les valeurs
gnralement admises sont comprises entre 20 % et 30 % du trafic journalier concentr sur une heure.
Ov
est loverhead gnr par les protocoles de transport (TCP, IP, PPP). Ce coefficient
est gnralement affect dune valeur de 20 %. Il tient compte des en-ttes et des paquets de service (acquittements, etc.).
Tu
est le taux maximal dutilisation de la bande passante du lien. Cette correction permet
de prendre en compte le fait que lon utilise rarement 100 % du dbit nominal dun
lien. Ce taux est gnralement fix 80 % de la bande passante, ce qui donne un surdimensionnement du lien de lordre de 25 %. Pour des liaisons haut dbit, ce taux
peut atteindre 90 %.
Le rapport 1/3600 permet de ramener la volumtrie sur une heure en secondes, tandis que le
rapport 8*1,024 permet de convertir les kilo-octets en kilobits (1 octet = 8 bits, 1 Ko = 1 024
octets et 1 000 bits = 1 kilobit).
Si lon prend les valeurs standard pour ces paramtres, la formule devient :
Bp = Vj 0,30 1,2
1
1
(8 1,024 )
0,8 3600
soit, par exemple, une bande passante de 1 Mbit/s pour un volume journalier estim 1 Go.
Si la liaison doit servir de secours pour n autres liaisons de dbit DN sans que les performances ne soient dgrades, la bande passante du lien doit tre augmente de la somme de ces
dbits DN. Dans notre cas, nous choisirons un mode dgrad, afin de limiter les cots.
Liaison
Volume en Ko Vj
30 % lheure
charge Th
Overhead
protocole Ov
Taux d'occupation
du lien Tu
Dbit du lien
en Kbit/s
PT
960 000
0,3
1,2
0,8
984
TS
240 000
0,3
1,2
0,8
246
Etc.
...
...
...
...
Le dbit du lien doit tre arrondi la valeur suprieure des dbits proposs par les oprateurs, soit, dans notre cas, 1 Mbit/s entre Paris et Toulouse et 256 Kbit/s entre Toulouse et
Strasbourg.
260
260
Bp =
Vo
Tps
Bp
Vo
est le volume moyen (converti en kilobits) des donnes extraites suite une requte.
Tps
Cette dmarche est combiner avec une tude de cot, car il faut trouver un compromis
avec la performance. Il faut donc recourir une simulation des temps de rponse obtenus en
fonction des dbits des liens, et ventuellement les mesurer pour diffrentes tailles de requtes.
Par exemple, le tableau suivant compare les temps de transfert de donnes de diffrentes
tailles en fonction du dbit de la ligne.
Volume en Ko
64 Kbit/s
128 Kbit/s
10
1,25 s
0,62 s
20
2,50 s
1,25 s
30
3,75 s
1,87 s
50
6,25 s
3,12 s
Cot mensuel HT
1 200
2 200
11
Btir un rseau
de transport
Le rseau WAN qui interconnecte les rseaux LAN utilise les services dun rseau de
transport. Celui-ci vhicule galement de la voix, de la vido, etc.
Le rseau de transport correspond aux couches physique (niveau 1) et logique (niveau 2).
Sur le LAN nous avions Ethernet, sur le WAN, nous allons avoir ATM et Frame Relay.
Ces technologies rpondent des contraintes plus larges que celles dune interconnexion de
LAN. Notre rseau intersite nest donc quun utilisateur parmi dautres, tels un rseau de
PABX pour la tlphonie ou des connexions entre salles de visioconfrence.
Dans ce chapitre, vous apprendrez ainsi :
262
Service oprateur
niveau 1 : LS
Voix +
donnes ?
oui
Solution
prive ?
Non
PPP
64 Kbit/s 2 Mbit/s
Non
Frame Relay
64 Kbit/s 34 Mbit/s
Non
Oui
Besoin de
haut dbit ?
Oui
ATM
plus de 34 Mbit/s
Pour lutilisateur, un accs Frame Relay revient cependant moins cher. Les oprateurs rservent donc ATM pour des accs haut dbit (34 Mbit/s et plus), et limitent les accs Frame
Relay 34 Mbit/s, voire 8 Mbit/s.
Techniquement, ATM a tout pour simposer, mais lhistoire de linformatique nous a montr
que cela nest pas un gage de prennit. Rappelons-le, les protocoles qui se sont imposs
sont les plus simples, les moins chers et surtout les mieux adapts aux besoins des utilisateurs.
263
Critre
Frame Relay
ATM
Dbit
De 64 Kbit/s 45 Mbit/s
partir de 34 Mbit/s
Qualit de service
Rseau
WAN
LAN et WAN
Application
DSU
FRAD
DXI ou ATM
0,5 %
10,4 % au minimum
Adressage
Local (DLCI)
Local (VPI/VCI)
Normes
Transport dIP
ct de ces deux protocoles, nous retrouvons nos LS (lignes spcialises) qui sont dans
tous les cas la base dun rseau de transport Frame Relay ou ATM. Nous pouvons mme dcider de btir notre rseau uniquement sur des LS, comme nous lavons fait pour notre premire interconnexion.
264
10.12.0.1
E0
Bri0
RNIS
Paris
S0
128 Kbit/s
10.8.0.1
10.0.0.1
S1
1 Mbit/s
S0
S2
Bri0
S0
192.168.0.1
Strasbourg
512 Kbit/s
1 Mbit/s
E0
S0
E0
E0
Londres
S1 256 Kbit/s
S3 S2
128 Kbit/s
Orlans
S0
S1
S0
S0
Toulouse
E0
10.4.0.1
Toulouse
E0
10.4.0.2
128 Kbit/s
S1
Marseille
E0
10.16.0.1
265
CHAPITRE 11
Figure 11-2.
Responsabilits
des configurations
de laccs
Frame Relay.
Vous ou l'oprateur
Frame Relay
Oprateur
Frame Relay
Oprateur local
FRAD
CSU
Backbone de
l'oprateur
LS d'accs
FR
Routeur
Votre local technique
POP
Le FRAD est un quipement de conversion entre des protocoles dentre (interfaces E1,
X.21/V11, voix, donnes, etc.) et le protocole Frame Relay. Cet quipement prend les paquets IP issus dun routeur, ou les canaux voix issus dun PABX, et les encapsule dans les
trames Frame Relay. Le FRAD est reli via la liaison daccs au commutateur Frame Relay
situ dans le POP de loprateur. Plusieurs flux sont ainsi multiplexs sur une mme liaison.
Figure 11-3.
Rseau intersite
reposant
sur un rseau oprateur
Frame Relay.
E0
10.0.0.1
10.8.0.1
E0
Bri0
RNIS
128 Kbit/s
S0
Paris
S1
Bri0
Strasbourg
S0
512 Kbit/s
1 Mbit/s
10.12.0.1
S0
Frame Relay
S0
E0
192.168.0.1
Orlans
256 Kbit/s
512 Kbit/s
S0
S0
512 Kbit/s
128 Kbit/s
Toulouse
E0
10.4.0.1
Toulouse
E0
10.4.0.2
128 Kbit/s
S0
Marseille
E0
10.16.0.1
E0
Londres
266
Il ny a plus quune seule LS par site. Nous avons besoin de moins dinterfaces srie, ce
qui diminue dautant le cot de nos routeurs.
Les LS sont locales entre nos sites et les POP de loprateur, ce qui diminue galement
leur cot.
Critre
Solution oprateur
Solution prive
Caractristiques de loffre
Cots rduits.
Nous avons conserv notre LS entre Paris et Orlans, car le rseau oprateur tait plus cher
dans ce cas prcis. Cette situation permet de montrer lusage de trois rseaux doprateurs :
liaison spcialise, RNIS et Frame Relay. Par ailleurs, deux liaisons daccs ont t conserves Toulouse car le site est stratgique.
Dbit garanti
Tout dabord, le rseau garantit lutilisateur un volume de Bc (committed burst size) kilobits pendant une priode de Tc (committed rate measurement interval) secondes, dfinissant
ainsi un dbit garanti CIR (Committed Information Rate) : CIR = Bc / Tc. Lorsque le commutateur voit passer plus de Bc kilobits pendant Tc secondes (cest--dire lorsque le dbit
dpasse le CIR), le bit DE (Discard Eligibility) des trames en dpassement est positionn
1 . Cela signifie que ces trames seront dtruites en priorit en cas de congestion du rseau.
267
Figure 11-4.
Qualit de service
Frame Relay.
Trames dtruites
Taille du burst en excs : Be kilo-bits
Trames dtruites
si congestion
DE = 1
EIR
Kilo-bits
CIR
Le dbit des liaisons internes au rseau peut tre infrieur la somme des AIR des clients.
Loprateur se fonde sur des calculs de probabilit qui montrent que tous les clients
nutiliseront pas leur AIR en mme temps (surbooking), et compte sur les mcanismes de
contrle de congestion offerts par le protocole pour rsoudre les problmes. Loprateur ne
facturera ainsi que le CIR (le dbit garanti), lEIR tant gratuit ou presque.
Ds lors, tout le monde joue sur les CIR : le client pour payer le moins cher possible, et
loprateur pour dpenser le moins possible.
Le dbit de la liaison daccs peut ainsi tre de 512 Kbit/s, et celui du CIR de 64 Kbit/s ; ce
qui permet dobtenir un dbit maximal de 512 Kbit/s tout en ne payant que pour 64 Kbit/s.
Inversement, pour un site central, la somme des CIR peut tre gale 200 % du dbit de la
liaison daccs (on espre alors que toutes les applications nutiliseront pas le rseau en
mme temps).
268
Cependant, le dbit offert au-del du CIR ntant pas garanti, les temps de rponse risquent
dtre mauvais et erratiques. Il est donc conseill de dimensionner suffisamment les CIR
afin dobtenir une bonne qualit de service, notamment pour les applications que vous
considrez comme tant critiques et surtout pour les flux voix.
DLCI 50
PVC ou SVC
FR
DLCI 200
Routeur
DLCI 60
DLCI 40
DLCI 500
FR
DLCI 300
DLCI 40
PABX
PVC ou SVC
FR
DLCI 200
FR
LE POINT SUR FRAME RELAY (ITU Q.922 ANNEXE A, ANSI T1.618, FRF 1.1)
Le Frame Relay (relais de trames) est un protocole de niveau 2 multipoint, qui dfinit uniquement linterface
daccs au rseau (UNI, User Network Interface). Les nuds intermdiaires relaient les trames sans raliser le moindre contrle de flux ni aucune reprise sur erreur : les trames peuvent ainsi tre transportes par
nimporte quel protocole. Seuls les nuds dextrmit sont tenus de respecter la norme Q.922, appele
Frame Relaying Bearer Service .
Bits
Dlimiteur
DLCI
DLCI
Donnes
(1 4 096 octets)
FCS
(2 octets)
DLCI
C
F
Dlimiteur
Le champ FCS est un code de contrle derreur de type CRC (Cyclic Redundancy Check). Si une erreur
est dtecte, la trame est dtruite. Les pertes de donnes et les reprises sur erreur sont laisses
linitiative des couches suprieures (TCP dans les cas Internet/intranet). Le bit EA permet dtendre les 10
bits du DLCI 16 ou 23 bits.
Lorsque le dbit des trames atteint le CIR (Commited Information Rate), le commutateur positionne le bit
DE 1 . Si, dans le rseau, une congestion est dcele, les trames marques DE seront dtruites en
priorit. Autrement dit, le dbit peut donc dpasser le CIR, mais sans garantie.
Les congestions sont dtectes au niveau des files dattente. Lorsquun seuil est dpass, le commutateur
avertit explicitement lmetteur du flux (en positionnant 1 le bit BECN des trames circulant dans lautre
sens) et le rcepteur du flux (en positionnant le bit FECN 1 ).
La recommandation Q.922 suggre que le commutateur metteur rduise son flux de 30 % si, pour plus de
S % des trames quil reoit, le bit BECN est positionn 1 . La valeur S est calcule dynamiquement en
fonction du dbit, du dlai de transit, des paramtres Bc et Be, etc. Si le bit BCEN est toujours positionn
1 dans les trames qui continuent darriver, le flux est rduit de 50 %, puis de 75 % si le problme persiste.
La recommandation Q.922 suggre galement que le commutateur rcepteur rduise son flux de 25 % si,
pour plus de la moiti des trames quil reoit, le bit FECN est positionn 1 . Si la proportion sinverse, il
peut augmenter son flux par paliers de 1/16.
Les quipements terminaux (les routeurs, par exemple) peuvent galement interprter le bit BECN, et ragir de la mme faon que les commutateurs. De mme, ils peuvent dtecter implicitement des problmes
de congestion lorsque des trames sont perdues aprs quun certain nombre dentre elles aient t reues
avec les bits DE 1 .
Cependant, la norme Q.922 prconise que les commutateurs avertissent les quipements terminaux des
congestions via le protocole CLLM (Consolidated Link Layer Management). Les messages CLLM (envoys
dans le DLCI 1023) contiennent la liste des DLCI pouvant causer des congestions court, moyen et long
termes. Cette signalisation de niveau 3 est plus fiable que linterprtation des bits BECN et DE, car elle
vite lattente de trames (seuls vecteurs des bits BECN et DE) et vite aux couches suprieures davoir
affaire des informations internes au niveau 2.
269
270
Un PVC peut tre gr comme un SVC au sein du rseau de loprateur. Cette facilit lui
permet doffrir le reroutage du PVC en cas de panne. Le client ne voit cependant quun
PVC, appel soft PVC, switched PVC ou encore shadowed PVC.
Description
UNI ATM pour les rseaux publics = DSS2 (Digital Subscriber Signalling System No. 2)
UNI ATM pour les rseaux privs = SAAL (Signalling ATM Adaptation Layer)
UNI RNIS = DSS1 (Digital Subscriber Signalling System No. 1)
UNI Frame Relay = DSS1 (Digital Subscriber Signalling System No. 1)
Toutes ces normes reposent sur le mme protocole (format des messages, procdures, paramtres gnraux). Seuls changent les paramtres propres chaque rseau.
271
Commutateur
chez loprateur
E1
PABX
FRAD
CSU
(modem numrique)
LS d'accs
Routeur
LAN FRAD
FR
FR
FR
Le FRAD de loprateur se comporte comme un commutateur Frame Relay vis--vis du routeur, et comme un FRAD voix (voice-FRAD) vis--vis du PABX.
Si vous choisissez un service de niveau 3, loprateur prend en charge le routeur qui peut
alors tre intgr au FRAD (ou inversement, le routeur peut supporter des cartes voix, permettant de configurer en voice-FRAD). Les constructeurs tlcoms proposent des FRAD intgrant cartes voix et cartes routeur, tandis que les constructeurs informatiques proposent
des routeurs intgrant des cartes voix.
Si, comme dans notre cas, seuls des rseaux locaux doivent tre connects, le routeur peut
directement tre raccord au commutateur situ chez loprateur (dans son POP) :
interface serial 1
ip address 172.16.0.1 255.255.255.252
encapsulation frame-relay ietf
Figure 11-7.
Connexion
dun routeur
un commutateur
Frame Relay.
Commutateur
chez loprateur
FRAD
CSU
(modem numrique)
10.0.0.1
LS d'accs
E0
Routeur
S1
FR
FR
Loption ietf indique au routeur de respecter le RFC 2427 au lieu dutiliser le format
propre Cisco.
272
ENCAPSULATION DANS FRAME RELAY (RFC 2427, ANSI T1.617A, FRF 3.1)
Deux mthodes sont dfinies pour encapsuler les protocoles dans une trame Frame Relay. La plupart le
sont par la mthode SNAP (Sub Network Access Protocol) tandis que certains, dont IP, peuvent ltre soit
via SNAP, soit directement dans la trame via lidentificateur NLPID (Network Level Protocol ID).
Encapsulation SNAP
Encapsulation directe
Contrle
Dlimiteur
DLCI
PAD
NLPID = 0x80
DLCI
Contrle = 0x03 = UI
PAD
NLPID = 0xCC
Paquet IP
FCS
(2 octets)
Dlimiteur
PAD
NLPID
OUI
Si la fonction pont est active sur le routeur, les trames Ethernet, Token-Ring, FDDI, etc., sont encapsules
dans une trame Frame Relay selon la mthode SNAP.
a comme Annexe A de la
norme Q.933
Les paramtres par dfaut peuvent tre utiliss pour la signalisation Q.933 et la procdure
LAP-F. La configuration en devient simplifie. Si la liaison est de mauvaise qualit (souvent
suite un problme survenu sur la liaison daccs), il peut tre intressant de rduire la taille
initiale de la fentre 8, voire 1 :
interface serial1
frame-relay lapf k 8
273
Un CV par protocole permet de bnficier dun dbit garanti, ce qui assure que les
transferts de fichiers ne perturberont pas les flux conversationnels. Mais cette solution
cote plus cher, car les oprateurs facturent chaque CV en fonction du CIR affect.
Un seul CV est plus conomique, mais tous les flux de rseaux locaux sont mls. Le
contrle du flux doit donc tre report au niveau du routeur travers un systme
daffectation de priorit par protocole ou de rservation de ressources (voir chapitre 14).
Ces mcanismes fonctionnent gnralement bien.
274
Figure 11-8.
Exemples
de circuits virtuels.
E0
10.0.0.1
10.8.0.1
E0
Bri0
RNIS
128 Kbit/s
Paris
S0
S1
Strasbourg
512 Kbit/s
1 Mbit/s
S0
10.12.0.1
Bri0
S0
E0
Orlans
192.168.0.1
E0
S0
256 Kbit/s
512 Kbit/s
S0
S0
512 Kbit/s
128 Kbit/s
Toulouse
E0
10.4.0.1
Toulouse
E0
10.4.0.2
Londres
S0
Marseille
E0
10.16.0.1
La question du choix entre PVC et SVC ayant t discute prcdemment, nous commencerons par configurer des PVC.
Dlimiteur
Octets
1
2
DLCI
DLCI
Contrle (1 ou 2 octets)
Donnes
(1 2 048 octets)
FCS (2 octets)
DLCI
C
F
Dlimiteur
275
Trame I
Trame S
N(S)
N(R)
P/F
0 Su Su 0
N(R)
Trame U
Format de trame
I
S
U
M M M P/F M M
Type
-RR
RNR
REJ
SABME
FRMR
1
P/F
Trame I
= Information
Trame S = Supervision
Trame U = Unnumbered
N(S)
= Numro squence mission
N(R)
= Numro squence rception
P/F
= Poll/final (trame commande/rponse)
Su
= Supervision
M
= Modifier function
Les bits Su et M distinguent les 11 types de trames
(SABME, UI, DISC, XID, RR, RNR, etc.)
Description
Transport des donnes utilisateur
Receive Ready : accus de rception, et prt recevoir
Receive Not Ready : accus de rception, et non prt recevoir
Reject : trame rejete ; retransmettre partir de N(R)
Set Asynchronous Balanced Mode Extended : initialisation de la procdure
Frame Reject : trame rejete, erreur non rcuprable
Etc.
Afin de rduire le trafic de service, une fentre dmission dune taille N (entre 1 et 127) indique que le
commutateur enverra N trames daffile et attendra un acquittement en retour. La taille de la fentre varie
au cours du temps selon la qualit de la transmission (meilleure elle est, plus N est grand).
Le champ NA(S) est le numro de squence de la trame envoye par le commutateur A ; NA(R) est celui
de la trame dernirement reue du commutateur B, augment de 1. Si, aprs N trames envoyes, le commutateur A reoit un NB(R) infrieur son NA(S), cela signifie que des trames ont t perdues ou endommages. Il retransmet alors toutes les trames partir du NB(R) reu, et NA(S) devient gal NB(R).
276
De plus, linterface du routeur doit tre configure avec plusieurs DLCI (un PVC par site
distant). Paris, notre oprateur nous a affect les DLCI 40 et 60, respectivement pour Toulouse et Strasbourg :
Figure 11-9.
Exemples
de DLCI.
DLCI 60
DLCI 60
DLCI 200
DLCI 200
DLCI 50
DLCI 50
S1
Paris
172.16.0.1
FR
FR
DLCI 40
S0
Strasbourg
DLCI 40
172.16.0.2
FR
interface serial1
ip address 172.16.0.1 255.255.255.248
encapsulation frame-relay ietf
frame-relay lmi-type q933a
frame-relay interface-dlci 40 broadcast
frame-relay interface-dlci 60 broadcast
Loption broadcast indique que les broadcasts IP seront transmis sur la ligne srie, permettant ainsi des protocoles de routage comme OSPF de fonctionner (cf. chapitre 12).
277
Si vous rencontrez des problmes dincompatibilit avec ce protocole, ou si InARP nest pas
pris en charge par le routeur distant, vous devez associer manuellement ladresse IP de destination avec le DLCI :
interface serial 1
ip address 172.16.0.1 255.255.255.248
encapsulation frame-relay ietf
frame-relay lmi-type q933a
frame-relay map ip 172.16.0.6 40 broadcast
frame-relay map ip 172.16.0.2 60 broadcast
Loprateur configure les mmes DLCI sur son quipement (FRAD ou commutateur) reli
au routeur.
Du point de vue du cot, tout dabord. Loprateur facture le SVC uniquement lorsquil
est ouvert (facturation la dure et/ou au volume).
Du point de vue des performances ensuite. Si de nombreux CV doivent tre utiliss (cas
dun rseau parfaitement maill, par exemple), fermer ceux qui sont inutiles permet de
librer des ressources mmoire et CPU dans les routeurs et les commutateurs.
E.164=0144759800
E.164=0357859800
S1
Paris
FR
FR
172.16.0.1
S0
Strasbourg
172.16.0.2
FR
E.164=0475020300
278
interface ser 1
ip address 172.16.0.1 255.255.255.248
encapsulation frame-relay ietf
frame-relay svc
frame-relay lmi-type q933a
map group strasbourg
map group toulouse
Encapsulation selon
la RFC 2427
Paramtre optionnel
Les CIR et AIR sont utiliss lors de la ngociation qui a lieu louverture du SVC. Ces paramtres doivent tre identiques ceux configurs dans le commutateur.
Enfin, les commutateurs peuvent informer les routeurs de ltat du rseau de deux manires :
via les messages CLLM (Consolidated Link Layer Management) ou via le bit BECN
(Backward Explicit Congestion Notification). Nous prfrons le mode CLLM (appel foresight chez Cisco) au mode BECN, moins fiable (voir encadr Le point sur Frame Relay ).
interface s 1
ip address 172.16.0.1 255.255.255.248
encapsulation frame-relay ietf
frame-relay lmi-type q933a
frame-relay traffic-shaping
ELMI
frame-relay qos-autosense
frame-relay class operateur
!
map-class frame-relay operateur
frame-relay adaptive-shaping foresight
279
Il se peut que les fonctions CLLM et ELMI ne soient pas disponibles sur le FRAD de
loprateur ou que lon y rencontre des incompatibilits. La solution est donc de configurer
manuellement tous les paramtres. Lquivalent de la configuration prcdente est, de ce
fait, plus complexe :
interface s 1
bandwidth 512
ip address 172.16.0.1 255.255.255.248
encapsulation frame-relay ietf
frame-relay lmi-type q933a
frame-relay traffic-shaping
frame-relay class operateur
Remplace ELMI
La commande traffic-rate indique le CIR et lAIR, que nous avons respectivement positionns 256 Kbit/s et 384 Kbit/s. Si la valeur de lAIR est omise, la valeur par dfaut est celle
du dbit de la ligne indique par la commande bandwidth.
Il est possible de dfinir plus finement les paramtres de qualit de service dcrits dans la
norme Q.922. Le routeur Cisco permet mme de le faire dans les deux sens, bien que, gnralement, les oprateurs proposent des valeurs identiques afin de simplifier la configuration
des commutateurs et la grille tarifaire. Le profil personnalis prsent ici se substitue
alors au profil oprateur prcdemment dcrit :
map-class frame-relay personnalise
frame-relay cir in 1280000
frame-relay bc in 256000
frame-relay be in 256000
frame-relay cir out 2560000
frame-relay bc out 256000
frame-relay be out 128000
frame-relay idle-timer 30
CIR = Bc/Tc
EIR = Be/Tc
AIR = CIR + EIR = (Bc+Be) / Tc
280
partir des 3 valeurs CIR, Bc et Be, on peut dduire celle de Tc (2 secondes en entre et 1
seconde en sortie).
Toujours dans loptique de grer la qualit de service, vous pouvez affecter une priorit plus
faible certains protocoles en positionnant le bit DE dans les trames qui les vhiculent :
int s 1
frame-relay de-group 1 50
Par exemple, des protocoles comme FTP pourront tre marqus de cette manire afin de privilgier la voix sur IP en cas de congestion du rseau.
Les sous-interfaces
Dans certains cas, il peut tre intressant dutiliser le principe des sous-interfaces propos
par Cisco, afin dactiver un secours RNIS individuellement, par PVC, et non pas sur la chute
de linterface srie. Les sous-interfaces permettent galement de configurer le traffic shaping, ainsi que dautres paramtres Frame Relay PVC par PVC.
Sur notre routeur Cisco, linterface physique est configure en Frame Relay et est associe
des sous-interfaces logiques (une par DLCI). Nous avons choisi un DLCI par site distant,
donc un mode point point pour chaque sous-interface, ce qui permet de ne pas utiliser
dadresse IP sur la liaison WAN.
interface s 1
encapsulation frame-relay ietf
frame-relay lmi-type q933a
frame-relay traffic-shaping
frame-relay qos-autosense
interface serial1.1 point-to-point
ip address 172.16.0.1 255.255.255.252
frame-relay interface-dlci 40
class operateur
interface serial1.2 point-to-point
ip address 172.16.0.5 255.255.255.252
frame-relay interface-dlci 60
class personalise
281
Pour terminer, il est possible doptimiser lutilisation des liaisons srie en compressant les
donnes (norme FRF.9 du Frame Relay Forum).
Mthode Stacker
E0
10.8.0.1
10.0.0.1
E0
Bri0
RNIS
128 Kbit/s
S0
Paris
S1
Bri0
Strasbourg
512 Kbit/s
1 Mbit/s
S0
10.12.0.1
S0
ATM
S0
E0
192.168.0.1
Orlans
256 Kbit/s
512 Kbit/s
S0
S0
512 Kbit/s
128 Kbit/s
Toulouse
E0
10.4.0.1
Toulouse
E0
10.4.0.2
128 Kbit/s
S0
Marseille
E0
10.16.0.1
E0
Londres
282
Procdure
Description
CAC
(Connection Admission Control)
Avant dautoriser louverture dun CV, chaque commutateur vrifie quil pourra bien assurer la qualit de service demande sans remettre en cause celles dj accordes.
UPC
(Usage Parameter Control)
Chaque commutateur vrifie que le flux mis dans un CV respecte bien la QOS demande. En cas de dpassement, les cellules sont marques avec le bit CLP positionn
1 et peuvent tre dtruites.
CLP Control
(Cell Loss Priority Control)
Lquipement terminal (par exemple, le routeur) peut positionner le bit CLP 1 dans
les cellules qui ne sont pas prioritaires. En cas de congestion ou de dpassement de la
QOS, les commutateurs dtruiront ces cellules en priorit.
NRM
(Network Resource Management)
Si des signes de congestion apparaissent (remplissage dune file dattente, par exemple), les commutateurs peuvent mettre des cellules RM destination de lmetteur
dun flux (retour sur la qualit de service - feedback) linvitant rguler son trafic via le
mcanisme de traffic shaping.
Traffic Shaping
Frame Discard
Si une cellule est dtruite, le commutateur peut dtruire toutes les autres cellules appartenant aux mmes donnes (par exemple, toutes les cellules dun paquet IP).
Figure 11-12.
Gestion
de la qualit
de service
par ATM.
283
Demande ouverture CV
Contrle dadmission.
si rseau satur : refus
CAC
CLP
Control
Frame
Discard
UPC
Contrle du flux : si
dpassement, CLP=1
Files dattentes
Rgulation du flux en
fonction des priorits
Traffic
Shaping
Si congestion : dtruit
les cellules avec CLP=1
RM
Prise en compte
des cellules RM
RM
Avertit lmetteur
du problme
NRM
Si une cellule
de la trame
est dtruite,
elle dtruit
toutes
les autres
Caractristiques du trafic
Applications
Donnes
(accs de prfrence via AAL-2)
Donnes
(accs de prfrence via AAL-5)
La classe de service UBR noffre aucune garantie de service, tandis que lABR est la plus
utilise, notamment par lUNI 4.0.
284
285
CHAPITRE 11
Lintrt des SVC est que la qualit de service peut tre spcifie la demande permettant
ainsi de rduire (encore) les cots. Sur un PVC, le dbit est fix une fois pour toutes et engendre un cot fixe.
Figure 11-13.
Circuits virtuels
et VPI/VCI ATM.
vpi/vci=16/20
PVC ou SVC
ATM
vpi/vci=50/60
Routeur
vpi/vci=14/50
vpi/vci=14/60
vpi/vci=16/80
Reroutage du CV en cas de
problme sur une liaison
ATM
vpi/vci=15/80
vpi/vci=20/60
PABX
PVC ou SVC
vpi/vci=16/50
ATM
ATM
Vpi/vci=14/50
DSU
(interface ATM)
CSU
(modem numrique)
Routeur
10.1.10.1
Commutateur
chez loprateur
ATM
DXI
ATM
Lexemple suivant montre un PVC configur sur notre routeur parisien destination du rseau de Strasbourg :
interface serial 0
ip address 172.16.0.1 255.255.255.248
encapsulation atm-dxi
dxi pvc 14 50 mux
dxi map ip 172.16.0.2 14 50 broadcast
VPI = 14 / VCI = 50
286
Le paramtre mux indique que nous avons choisi lencapsulation de type multiplexage
par circuit virtuel : un seul protocole (IP dans notre cas) utilisera le PVC identifi par le VPI
14 et le VCI 50. Lencapsulation LLC/SNAP (paramtre snap la place de mux )
napporterait aucun avantage et ajouterait un overhead de 8 octets par paquet IP.
vpi/vci=14/50
vpi/vci=14/50
vpi/vci=10/10
vpi/vci=10/10
vpi/vci=20/60
vpi/vci=20/60
A0
Paris
ATM
vpi/vci=14/60
ATM
vpi/vci=14/60
172.16.0.1
interface atm 0
ip address 172.16.0.1 255.255.255.248
ATM
A0
Strasbourg
172.16.0.2
287
map-list operateur
ip 172.16.0.2 atm-vc 1 broadcast
ip 172.16.0.6 atm-vc 2 broadcast
La valeur 5 affecte inarp indique que la procdure inverse ARP est lance toutes les 5
minutes. La correspondance manuelle entre adresse IP et circuit virtuel nest donc plus ncessaire.
CPCS
AAL-5
CPCS-UU (1 octet)
CPI (1 octet)
Longueur (2 octets)
CRC (4 octets)
La seconde mthode, appele multiplexage par circuit virtuel, consiste encapsuler le protocole directement dans le PDU AAL-5, ce qui implique lutilisation dun circuit virtuel ATM par protocole.
288
8 bits
16 bits
3 bits
GFC
VPI
VCI
PTI
UI
1 bit
CLP
8 bits
HEC
EFCI OAM
Les applications transmettent leurs donnes la couche AAL (ATM Adaptation Layer) qui se charge de les
convertir en cellules, puis de les envoyer en respectant le niveau de service demand (AAL-1 AAL-5 et
SAAL).
Couche
3
Signalisation UNI
(Q.2931)
SSCF (Q.2130)
SSCOP (Q.2110)
CPCS
SAR (I.363)
Couche
1
AAL-1
AAL-2
CPI
Btag
BAS
8 bits
8 bits
16 bits
AL
Etag
Lg
PAD
8 bits
16 bits
UU
CPI
Lg
CRC
PAD
8 bits
16 bits
32 bits
AAL-3/4
AAL-5
De mme, la couche SAR structure diffremment les 48 octets du champ de donnes des cellules ATM
(appel SAR-PDU).
Cellules
En-tte (5)
SN
SNP
AAL-1
4 bits 4 bits
En-tte (5)
SN
IT
4 bits 4 bits
En-tte (5)
En-tte (5)
SN
SNP
IT
ST
MID
LI
CRC
ST
SN
MID
2 bits
4 bits
10 bits
LI
CRC
6 bits
10 bits
LI
CRC
6 bits
10 bits
AAL-2
AAL-3/4
AAL-5
En comparant les deux schmas prcdents, on constate que les PDU des AAL-1 et AAL-2 sont directement insrs dans une cellule ATM. La couche AAL nutilise donc pas obligatoirement les mcanismes de
segmentation et dassemblage.
Il existe galement une couche SSCS pour Frame Relay (I.365.1).
289
290
Un PVC pour le protocole SAAL (Signaling ATM Adaptation Layer) qui gre les SVC
(ouverture, fermeture, etc.). Le VPI/VCI utilis est 0/5.
Lutilisation dun adressage global (de niveau 3) permettant didentifier les nuds du
rseau. Ladressage utilis par ATM est de type NSAP ; trois encapsulations dadresses
sont possibles : DCC, ICD et E.164 (reportez-vous la fin de ce chapitre pour plus de
dtails).
La commande map-list permet de configurer manuellement la correspondance entre adresses NSAP et adresses IP :
Figure 11-16.
Configuration
des VPI/VCI
ATM.
vpi/vci=14/50
vpi/vci=14/50
vpi/vci=10/10
vpi/vci=10/10
vpi/vci=20/60
vpi/vci=20/60
A0
Paris
ATM
vpi/vci=14/60
172.16.0.1
ATM
A0
vpi/vci=14/60
172.16.0.2
ATM
interface atm 0
ip address 172.16.0.2 255.255.255.248
atm nsap-address
47.0091.81.000000.0061.705b.7701.0800.200c.1A2B.01
AFI|ICD |
Prfixe DSP
|
ESI
|SEL
atm pvc 1 0 5 qsaal
PVC ddi la signalisamap-group operateur
tion Q.2931
!
Strasbourg
Adresses ATM
map-list operateur
ip 172.16.0.2 atm-nsap
47.0091.81.000000.0061.705b.7701.0800.200c.1000.02 broadcast
ip 172.16.0.6 atm-nsap
47.0091.81.000000.0061.705b.88a7.0900.20ab.2000.01 broadcast
291
Une autre manire daffecter ladresse NSAP linterface est dutiliser la signalisation
ILMI (Integrated Local Management Interface). Elle permet au routeur dobtenir le prfixe
de ladresse, le DSP (champs ESI et SEL) tant toujours affect par lquipement terminal
(le routeur). Le PVC ddi ILMI est : VPI/VCI = 0/16 :
PVC ddi la signalisation ILMI
atm pvc 2 0 16 ilmi
atm esi-address 0800200c1000.02
ESI
| SEL
292
Cette commande prcise quun maximum de 384 Kbit/s sera allou notre PVC et que le
dbit moyen du trafic sera de 256 Kbit/s.
Les possibilits de paramtrage sont plus tendues en ce qui concerne les SVC puisque lon
peut demander lactivation de classes de service. Celles-ci sont dcrites implicitement par
des combinaisons de paramtres :
map-list operateur
ip 172.16.0.2 atm-nsap
47.0091.81.000000.0061.705b.7701.0800.200c.1000.02 broadcast class
traficUBR
ip 172.16.0.6 atm-nsap
47.0091.81.000000.0061.705b.88a7.0900.20ab.2000.01 broadcast class
traficNrtVBR
map-class traficUBR
atm forward-peak-cell-rate-clp1 384
atm backward-peak-cell-rate-clp1 256
map-class traficNrtVBR
atm forward-peak-cell-rate-clp1 384
atm forward-sustainable-cell-rate-clp1 256
atm forward-max-burst-size 128
atm backward-peak-cell-rate-clp1 384
atm backward-sustainable-cell-rate-clp1 256
atm backward-max-burst-size 128
La qualit de service
peut tre diffrente
dans chaque sens.
Le suffixe clp1 indique que le paramtre sapplique aux cellules dont le bit CLP est positionn 1 ou 0. Le suffixe clp0 permet dappliquer les mmes paramtres aux cellules
dont le bit CLP est 0 (cest--dire non marques en suppression).
Dans le cas de la classe de service traficUBR , aucune bande passante nest rserve pour
le SVC. Cest le mode de fonctionnement par dfaut si aucun paramtre nest spcifi.
Enfin, il est possible dactiver la procdure de contrle CAC (Connection Admission
Control) au niveau du routeur.
atm sig-traffic-shaping strict
Avec cette commande, louverture dun SVC ne sera possible que si les commutateurs ATM
sont capables dassurer la qualit de service demande.
293
Paramtre
PCR
(Peak Cell Rate)
SCR
(Sustainable Cell Rate)
MBS
(Maximum Burst Size)
MCR
(Minimum Cell Rate)
Description du trafic
Dbit maximal autoris en pointe (nombre maximal de cellules par secondes).
Paramtre
CDV
(Cell Delay Variation)
Demande dune variation maximale du dlai de transit (la gigue - jitter). Le flux
doit tre le plus constant possible ( CDV ms).
La fonction UPC utilise pour cela lalgorithme GCRA (Generic Cell Rate Algorithm) de type Leaky-bucket (1) .
MCTD
(Maximum Cell Transfer Delay)
CLR
(Cell Loss Ratio)
Autre paramtre
RM
(Resource Management)
Dlai maximal de transit des cellules entre lUNI de lmetteur et lUNI du rcepteur.
Pourcentage acceptable de cellules pouvant tre perdues (appliqu aux cellules ayant le bit CLP positionn 0 ).
Description
Traitement des cellules RM permettant dadapter le trafic en fonction de ltat
du rseau report par les commutateurs (feedback).
(1) Leaky-bucket signifie littralement seau (deau) perc . Voir le chapitre 14 ce sujet.
Le tableau suivant indique les combinaisons autorises. Ainsi, le paramtre PCR seul indique implicitement la classe de service UBR. En revanche, la configuration des paramtres
294
SCR et MBS seuls ne correspond aucune classe de service ; elle reprsente donc une combinaison invalide.
Classe
de service
Description du trafic
PCR
SCR
MBS
Autre
paramtre
Qualit de service
MCR
CDV
MCTD
CLR
CBR
rt-VBR
nrt-VBR
ABR
UBR
RM
Dautres paramtres relatifs la gestion de la qualit de service sont prvus par la norme :
CER (Cell Error Ratio). Taux maximal de cellules pouvant tre en erreur ;
SECBR (Severely Errored Cell Block Ratio). Taux maximal de cellules conscutives
(par blocs de N dfinis dans ITU I.610) pouvant tre en erreur ;
CMR (Cell Misinsertion Rate). Taux maximal de cellules pouvant tre mal insres
(cest--dire dont les erreurs portant sur len-tte nont pas t dtectes).
La dtection des erreurs et la surveillance des performances sont ralises par la couche
OAM (Operations, Administration and Maintenance ITU I.610).
Ladressage
Ladressage NSAP (ISO 8348, ITU X.213, RFC 1629)
NSAP (Network Service Access Point) dfinit un adressage global de niveau 3 permettant
didentifier les utilisateurs dun rseau ATM, Frame Relay ou RNIS. Dans le cas du RNIS,
il sagit tout simplement du numro de tlphone.
Adresse locale
Adresse globale
Protocole
Niveau 2
Niveau 3
Frame Relay
DLCI
E.164 ou X.121
ATM
VPI/VCI
RNIS
SAPI/TEI
E.164
295
Lapparent paradoxe dun adressage de niveau 3 utilis par des protocoles de niveau 2
sexplique par le fait que ces protocoles agissent en mode connect. Ladressage global est
utilis par les protocoles de signalisation (situs au niveau 3) pour tablir les communications de niveau 2 (les circuits commuts RNIS ou virtuels ATM) ; la commutation de circuits RNIS ou de cellules ATM nutilise ensuite que des adresses locales de niveau 2.
Figure 11-17.
Format gnrique
dune adresse NSAP.
IDP
Prfixe DSP
AFI
1 octet
IDI
2 octets
DSP
Pre-DSP
ESI
SEL
0 10 octets
1 8 octets
1 octet
IDP
= Initial Domain Part : format de ladresse (37=X.121, 45=E.164, etc.)
AFI
= Authority and Format Identifier
IDI
= Initial Domain Identifier
Prfixe ou HO-DSP pour High Order DSP : partie de ladresse structure en fonction de lIDI
DSP
= Domain Specific Part : partie de ladresse affecte localement
ESI
= End System Identifier : identifiant du nud du rseau
SEL
= Selector : multiplexage si le nud comporte plusieurs interfaces ou protocoles
Ladressage ATM
ATM peut utiliser trois types dadresses encapsules au format NSAP :
E.164 pour les rseaux publics, soit de manire native, soit encapsule dans une adresse
NSAP.
Figure 11-18.
Format
des adresses ATM.
AFI (39)
DCC
1 octet
2 octets
AFI (47)
ICD
AFI (45)
DFI
AA
1 octet 3 octets
DFI
AA
E.164
Rserv
2 octets
Rserv
RD
Zone
2 octets 2 octets
ESI
SEL
6 octets
1 octet
RD
Zone
ESI
SEL
Adresse ICD
RD
Zone
ESI
SEL
Adresse E.164
8 octets
AFI
DCC
DFI
AA
RD
Zone
ESI
SEL
ICD
E.164
Adresse DCC
= Authority and Format Identifier : type dadresse (39 = DCC, 47 ICD, 45 E.164, etc.)
= Data Country Code : indique le code associ au pays (ISO 3166)
= DSP - Domain Specific Part Format - Identifier : format de la suite de ladresse
= Administration Authority : autorit administrative en charge du domaine dadressage
= Routing Domain : numro de domaine de routage
= identifiant de zone
= End System Identifier : adresse MAC
= Selector : gnralement, le numro de linterface ATM
= International Code Designator : code attribu par le British Standards Institute
= numro de tlphone RNIS sur 8 octets (15 chiffres + octet de bourrage)
Dans les rseaux publics, ATM utilise une adresse E.164 native.
296
Figure 11-19.
Format
dune adresse E.164.
NSN
Pays
NDC
1 3 chiffres
Figure 11-20.
Format
dune adresse X.121.
SN
10 12 chiffres
DNIC
DCC
3 chiffres
Sous-adresse
0 40 chiffres
NTN
N
1 chiffre
Numro
10 chiffres
Pays
NSN
NDC
DNIC
NTN
DCC
N
ATM
Bit DE
Bit CLP
Bit FECN
Bit EFCI
LMI
ILMI
12
Commutation et routage
LAN / MAN / WAN
Jusqu prsent, nous avons utilis diffrentes technologies, les unes adaptes aux rseaux
locaux, les autres aux rseaux tendus.
Arrive un moment o les deux mondes doivent se rencontrer puisque la vocation des rseaux est de relier des hommes, quils fassent ou non partie de la mme entreprise.
Les rseaux locaux ont de plus en plus tendance stendre au-del dun simple site pour
former un rseau de campus, repoussant ainsi la frontire qui les spare des rseaux tendus.
Dans ce chapitre, vous apprendrez :
le fonctionnement de MPLS.
298
La dmarche
Il semble tout dabord vident quil faudra au moins un rseau local par tage, afin de
contrler les flux, et sans doute plus, car il faut toujours sattendre des besoins spcifiques
pour une population de 1 500 utilisateurs. Il est donc sage de prvoir une quarantaine de
rseaux.
Un constat simpose : sil faut descendre prs de quinze rseaux en collapse backbone, les
quipements fdrateurs doivent disposer dune trs grande capacit. De plus, un rseau redondant est absolument ncessaire pour assurer une bonne qualit de service. En effet, une
telle chelle, un problme survient ncessairement quelque part (en vertu dun principe de
probabilit).
Le point central de larchitecture concerne donc les caractristiques du rseau fdrateur
pour lequel nous nous posons les questions suivantes :
Quelle technologie ?
Quels quipements ?
Routeurs ou commutateurs de niveau 3 ?
Quelle technologie ?
Nous avons ici le choix entre Ethernet et ATM, sujet que nous avions abord au cours du
chapitre prcdent.
Bien quadapt aux rseaux WAN, les constructeurs nous proposent dutiliser ATM galement pour les rseaux locaux. Choix trange, car lutilisation de ce protocole pose un certain
nombre de problmes :
Il faut mettre en place une mcanique complexe pour adapter un rseau multipoint tel
quEthernet un rseau ne fonctionnant quavec des circuits virtuels point point.
Il faut mettre en place une mcanique non moins complexe pour interfacer les rseaux
Ethernet avec le monde ATM.
Le dbit dATM est aujourdhui limit 622 Mbit/s, 155 Mbit/s tant le dbit le plus
frquemment rencontr dans les entreprises. Face au Gigabit Ethernet, largument est
donc mince.
299
Quels quipements ?
Le rseau fdrateur concentre tous les flux entre les rseaux dtage dune part, et entre ces
derniers et les ressources communes dautre part. Cela suppose que la majorit des flux est
mise entre les utilisateurs dun tage donn.
Mais, de nos jours, la traditionnelle rpartition 80/20 (80 % du trafic local sur le rseau et
20 % vers dautres rseaux) nest plus valable. Par exemple, la constitution de groupes de
travail pluridisciplinaires amne des personnes disperses au sein de limmeuble tablir
des liens de communication privilgis entre elles.
Traduit en termes techniques, les flux rseau gnrs de manire privilgie entre les postes
de travail et les serveurs volueront sans cesse.
En outre, la constitution de rseaux isols regroupant des utilisateurs gographiquement disperss pourrait savrer ncessaire.
La solution ces besoins passe par les VLAN (Virtual Local Area Network). Cette technologie permet de dfinir des segments Ethernet logiques, indpendamment de la localisation
gographique des postes de travail. Une trame mise au sein dun VLAN ne sera diffuse
quaux stations participant audit VLAN.
Figure 12-1.
Principe des VLAN.
S 1.1
S 1.2
VLAN 1
VLAN 2
S2
300
Or, seuls les commutateurs permettent de crer des VLAN, cest--dire de segmenter le rseau correspondant des groupes dutilisateurs indpendamment de leur localisation gographique.
De plus, nous avons vu au chapitre 3 que les commutateurs sont ncessaires pour des applications multimdias (tlphonie et visioconfrence sur IP), pour de gros volumes de donnes
et pour une question de fiabilit.
Si lon veut rpondre tous ces besoins, il est donc ncessaire dinstaller des commutateurs
sur lensemble de notre rseau (eau et gaz tous les tages, pour ainsi dire !). Le choix de
ces quipements simpose donc la fois pour des questions de performances et
darchitecture.
Nous choisissons donc la solution 100 % commutateurs.
301
Quelle architecture ?
Nous voil donc conforts dans le choix des commutateurs. Mais quelle architecture retenir ? Et quel dbit ?
On le voit, pour notre rseau de 1500 postes, de nouvelles considrations viennent compliquer notre tche, de nouveaux paramtres influent sur le choix de larchitecture. En fait, tout
tourne autour du fdrateur, pice matresse du rseau. Rsumons :
1. Une architecture base uniquement sur des commutateurs de niveau 2 a le mrite de la
simplicit. Elle a t tudie au chapitre 3. Si lon veut crer des rseaux spars, il faut
employer des VLAN par port ou par adresses MAC, ce qui augmente la complexit
dexploitation.
2. Une architecture base uniquement sur des commutateurs de niveau 3 est plus coteuse.
Elle est cependant plus souple que la prcdente, car on peut choisir les classes
dadresses IP et les combiner. Larchitecture est identique celle de la premire solution,
seule la technologie change.
3. Une architecture base sur des routeurs est la moins performante de toutes et la moins
souple (pas de VLAN possible). En fait, les routeurs sont plutt destins aux rseaux
WAN.
4. Une architecture reposant sur un rseau fdrateur ATM est la plus complexe et la plus
fragile, car elle impose une combinaison de plusieurs technologies. Son dbit est, de
plus, limit 622 Mbit/s, ce qui est un handicap certain face au Gigabit Ethernet.
En fait, le routage nest ncessaire quau niveau du rseau fdrateur, car tous les commutateurs dtage y seront relis.
En dfinitive, le choix se portera sur des commutateurs de niveau 2 pour les tages, et des
commutateurs de niveau 3 pour le rseau fdrateur. Dans la pratique, ces derniers sont galement des commutateurs de niveau 2 quips de cartes de commutation de niveau 3.
Pour le reste, nous appliquerons les recettes indiques au chapitre 3.
Les commutateurs dtage sont quips de cartes 10/100bT ainsi que de deux ports uplink
Gigabit. Ils peuvent ventuellement tre dots de cartes 100bF ou de cartes gigabit pour
connecter des serveurs dlocaliss.
Les commutateurs fdrateurs sont principalement quips de cartes gigabit pour tre raccords, dune part, entre eux et, dautre part, aux commutateurs dtage. Ils peuvent ventuellement tre dots de cartes 10/100bT ou 1000bT, afin de connecter des serveurs situs
dans des salles informatiques. Les cartes 1000bT offrent, en effet, une plus grande densit
de port que leurs quivalents en fibre optique.
Les cartes en fibre optique sont utilises partout o les distances sont suprieures 90 mtres. Leur emploi est cependant systmatis au niveau du rseau fdrateur, mme en dessous de cette distance, afin de disposer de configurations homognes.
302
Figure 12-2.
Rseau fdrateur.
LTE-30A
LTE-30B
Commutateur tage
Commutateur tage
10bT ou 100bT
selon la carte
du PC
LTE-2A
LTE-2B
Commutateur tage
Commutateur tage
100bT
1000bX
Salle Informatique
Commutateur fdrat
Commutateur fdrat
Carte 100bT
ou carte 1000bT
Les ports 1 48 situs sur la carte n 2 seront ainsi affects au VLAN 100 que nous avons
appel VLAN principal .
Lopration suivante consiste activer le protocole 802.1q entre tous nos commutateurs,
afin dtendre la porte du VLAN lensemble de notre rseau. Ce protocole ne doit tre ac-
303
tiv que sur les ports qui raccordent des commutateurs entre eux, quon appellera des ports
trunk (ports de liaison) :
set trunk 3/1 dot1q
set trunk 3/2 dot1q
v2 ou 802.3
TPID
TCI
Long/Type
COS
CFI
VLAN id
3 bits
1 bit
12 bits
Donnes
CRC
0 = Format normal
1 = Champ RIF prsent
TPID = Tag Protocol Identifier : correspond au champ Type dune trame Ethernet v2
TCI = Tag Control Information : le label 802.1q insr dans la trame Ethernet v2
COS = Class Of Service : utilis par la norme 802.1p (cf. chapitre 14)
CFI = Common Format Identifier : permet de transporter le champ RIF dans le cas dun tunnel source routing
VLAN id = numro de VLAN (4 096 possibilits)
Cette trame, gnralement vhicule qu'entre les commutateurs, permet d'tendre un VLAN tout un rseau
de commutateurs. Ces derniers tent le champ 802.1q lorsquils transmettent la trame un quipement terminal (PC, serveur, etc.) de manire ce que ces derniers retrouvent une trame conforme la norme 802.3
ou Ethernet v2.
La constitution des VLAN dpend de limplmentation qui en est faite au sein des commutateurs. Il est ainsi
possible de crer des VLAN :
par port : toute trame entrant par un port est affecte doffice un VLAN ;
par adresse MAC source : toute trame disposant dune telle adresse est affecte un VLAN ;
par protocole : toute trame vhiculant de lIP, par exemple, est affecte un VLAN ;
par adresse IP source : toute trame vhiculant un paquet IP avec une telle adresse est affecte un
VLAN.
Un processus spanning tree (802.1d) est cr par VLAN. Par consquent, les trames de broadcast et de
multicast MAC mises au sein dun VLAN ne seront pas propages aux autres VLAN. En outre, les stations
dun VLAN ne pourront pas communiquer avec celles appartenant un autre VLAN. Pour permettre cette
fonction, il faut interconnecter les VLAN laide dun routeur ou dun commutateur de niveau 3.
La norme spcifie galement lutilisation du protocole GVRP (GARP VLAN registration Protocol), qui permet
de configurer les VLAN sur un seul commutateur, puis de les diffuser aux autres commutateurs participant au
spanning tree. Lattribut chang par les GID via le protocole GIP (cf. chapitre 3) est lidentifiant de VLAN sur
12 bits.
304
Le protocole MSTP (Multiple Spanning Tree Protocol), issu du groupe de travail IEEE
802.1s, permet de crer plusieurs spanning tree (cf. chapitre 3). La rpartition des VLAN sur
plusieurs spanning tree prsente lavantage de pouvoir activer des liens qui sont dsactivs
par dautres spanning tree. Il est donc possible de configurer ce protocole indpendamment
pour chaque VLAN :
set
set
set
set
spantree
spantree
spantree
spantree
enable 100
fwddelay 15 100
hello 2 100
priority 16384 100
Le paramtre 100
correspond au
numro de VLAN
Les ports Gigabit peuvent, de plus, tre configurs de manire oprer un contrle de flux.
Cela consiste en un signal envoy un autre commutateur pour lui demander de ralentir
temporairement lenvoi de trames :
set port flowcontrol send 0/0-1 on
set port flowcontrol receive 0/0-1 on
Envoie
et accepte les signaux de
contrle de flux.
Dans notre architecture, il est galement prvu dagrger deux liens gigabit entre les deux
commutateurs fdrateurs :
set vlan 100 2/0-1
set port channel 2/0-1 desirable
set trunk 2/0 desirable dot1q
La configuration des VLAN au niveau des cartes Ethernet des PC et des serveurs est possible si elles supportent le protocole 802.1q, ce qui est le cas de nos cartes 3com.
305
Il est cependant prfrable de ne pas utiliser cette facilit pour les raisons suivantes :
Pour viter cela, il faudrait raliser un contrle au niveau des commutateurs, ce qui induirait une double exploitation.
Nous pourrions galement crer des VLAN dynamiques par adresse IP. L encore,
lexploitation est dlicate et les modifications de la part des utilisateurs sont toujours possibles. Laffectation des VLAN par port a le mrite dtre simple, de faire partie de la configuration normale des commutateurs et de matriser ltendue du VLAN sur notre rseau.
1000bSX
1000bLX
Support de transmission
Distance maximale
Longueur donde
220 m
850 nm
275 m
850 nm
500 m
850 nm
550 m
850 et 1300 nm
550 m
1 300 nm
Fibre multimode 50
550 m
1 300 nm
Fibre monomode 9
5 km
1 550 nm
70 100 km
1 550 nm
306
un dbit rel de 761 Mbit/s pour des trames de 64 octets (soit 1 488 095 paquets par seconde) ;
un dbit rel de 986 Mbit/s pour des trames de 1 518 octets (soit 81 274 paquets par seconde).
Conforts dans notre choix du Gigabit, nous nous retrouvons avec plusieurs commutateurs
fdrateurs interconnecter.
Figure 12-3.
Extension
du rseau fdrateur :
le rseau de campus.
Tour principale
Btiment annexe
40 commutateurs dtage
Quelques commutateurs dtage
Autre site
Site de secours
Nous aurions pu mailler tous les commutateurs fdrateurs de manire offrir des routes
multiples. Cela est envisageable si les serveurs sont dissmins dans diffrents btiments.
Quand cela est possible, il est cependant prfrable de respecter les principes suivants :
Choisir deux commutateurs fdrateurs de campus qui fdreront galement les autres
commutateurs fdrateurs de site (ou en ddier deux autres), de manire centraliser les
flux intersites au sein dun nombre rduit de matrices de commutation. Ces deux quipements peuvent tre situs dans deux btiments diffrents.
Relier les deux commutateurs fdrateurs de campus par un lien trs haut dbit, dans
notre cas quatre liens gigabits.
Connecter les fdrateurs de site aux fdrateurs de campus par deux liens distincts en
partage de charge et en redondance, de prfrence sur deux commutateurs distincts, de
manire pallier la dfaillance dun quipement.
307
Lextension du rseau fdrateur se fait donc de manire trs simple, sans remettre en cause
les choix technologiques et larchitecture.
Il est noter que, grce aux VLAN, cette architecture permet plusieurs socits de cohabiter sur la mme infrastructure tout en tant isoles.
Ladressage et le routage IP
Nous avons dcid de crer un VLAN et daffecter de manire statique les ports ce VLAN,
que nous avons appel VLAN principal. Dautres VLAN peuvent tre cres pour des rseaux ddis.
Cela implique daffecter un subnet IP chaque VLAN, et par consquent de configurer nos
cartes de commutation niveau 3 (fonctionnellement quivalentes, rappelons-le, des routeurs). Pour notre VLAN principal, cela est ralis comme suit, conformment notre plan
dadressage tabli au chapitre 5 :
interface Port-channel 1
no ip address
interface Port-channel 1.1
encapsulation isl 100
ip address 10.0.0.1 255.255.248.0
interface GigabitEthernet0/0/0
no ip address
channel-group 1
Sous-interface qui
correspond un VLAN
VLAN 100 = VLAN principal
Par rapport au chapitre 5, nous avons rduit le masque dun bit, de manire obtenir un subnet de 2 046 adresses.
308
La redondance du routage
Si, comme sur notre site parisien, nous disposons de deux commutateurs fdrateurs, chacun
quip dune carte de commutation de niveau 3 (carte de routage), il est intressant dassurer
la redondance de la route par dfaut vis--vis des PC et des serveurs. Sur nos quipements,
cela est ralis grce la fonction HSRP (Hot Standby Router Protocol).
Le principe repose sur un groupe de n routeurs (ou cartes de commutation de niveau 3 dans
notre cas), dont lun est dsign actif. Comme dhabitude, chaque interface est associe
une adresse IP et une adresse MAC. Mais le routeur actif reoit en plus une adresse IP (dfinie comme route par dfaut) associe une adresse MAC qui seule rpond au protocole de
rsolution dadresses ARP (voir chapitre 5). En cas de dfaillance du routeur actif, un nouveau routeur est lu parmi les N-1 restants en fonction des priorits affectes au sein du
groupe HSRP, qui sapproprie les adresses HSRP (MAC et IP) :
#Commutateur 1
interface Port-channel 1.1
encapsulation isl 100
ip address 10.0.0.2 255.255.248.0
standby 1 priority 110
standby 1 preempt
standby 1 ip 10.0.0.1
Adresse de la carte
de routage
#Commutateur 2
interface Port-channel 1.1
encapsulation isl 100
ip address 10.0.0.3 255.255.248.0
standby 1 priority 100
standby 1 preempt
standby 1 ip 10.0.0.1
La route par dfaut configure sur les PC et serveurs est celle de ladresse HSRP, savoir
10.0.0.1.
Ce principe peut tre appliqu chaque VLAN. Il est alors conseill daffecter les priorits
de telle manire que chacune des cartes de commutation de niveau 3 soit active au moins
pour un VLAN, et ce afin de rpartir la charge de routage.
,Certaines piles IP, comme celle de Windows NT, intgrent un mcanisme de dtection
de panne du routeur par dfaut (dead gateway detection), tel que dcrit dans la RFC 816.
Si la station constate quelle ne parvient plus joindre son routeur par dfaut, elle en
choisira un autre parmi une liste dfinie dans le menu des proprits de TCP/IP, case
Avanc , section Passerelle . Pour activer ce mcanisme de dtection, il faut positionner 1 la cl de registre HKEY_LOCAL_MACHINE\System
\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect .
8 bits
Type
Type authentification
N id routeur virtuel
Intervalle dannonce
Priorit
Nombre dadresses
Checksum
Les paquets VRRP disposent du numro de protocole 112. Ils sont envoys dans des paquets IP destination de ladresse multicast 224.0.0.18, dont ladresse source est la vritable adresse IP du routeur et dont
le TTL est obligatoirement fix 255. Le tout est envoy dans une trame MAC dadresse source 00-00-5E00-01-xx o xx reprsente le numro didentification du routeur virtuel (identique au champ n id routeur
virtuel du paquet VRRP).
De son cot, HSRP fonctionne au-dessus dUDP avec ladresse multicast 224.0.0.2 et un TTL fix 1.
Ladresse MAC virtuelle utilise est 00-00-0C-07-AC-xx.
Un mme routeur peut participer plusieurs groupes VRRP et plusieurs groupes VRRP peuvent cohabiter
sur un LAN. Si, via le systme des priorits, on sarrange pour que chaque routeur dun LAN soit matre
pour un groupe, et, si on rpartit les passerelles par dfaut des PC sur chacune des adresses virtuelles, il
est alors possible de partager la charge de routage entre les routeurs.
Les mcanismes classiques dicmp-redirect et de proxy ARP sont toujours oprants.
309
310
La gestion du WAN peut tre centralise partir dun autre site, ce dernier gardant son
autonomie sur le LAN.
Figure 12-4.
La frontire
entre le LAN et le WAN.
VLAN principal
10.0.8.33
.35
VLAN WAN
Paris
10.0.8.36
Comme pour le VLAN principal, il faut affecter un subnet IP au VLAN WAN, puis des
adresses IP aux cartes de commutation et HSRP. Un subnet de 30 adresses, pris dans notre
plan dadressage, sera largement suffisant :
interface Port-channel 1.2
encapsulation isl 5
ip address 10.0.9.34 255.255.255.224
standby 2 priority 110
standby 2 preempt
standby 2 ip 10.0.9.33
Il suffit ensuite de configurer le routage entre nos commutateurs LAN et le routeur WAN.
La manire la plus simple de le faire est de dfinir des routes statiques, soit une par dfaut,
soit explicitement pour chaque site distant connu :
311
Inversement, nous indiquons au routeur comment joindre le VLAN principal du site parisien :
ip route 10.0.0.0 255.252.0.0 10.0.9.33
int e0
ip address 10.0.9.36 255.255.255.224
Sur Toulouse, nous avons deux routeurs WAN qui peuvent tre redondants pour des liaisons
Frame-Relay. Il est alors possible de configurer HSRP la fois sur les routeurs WAN et sur
les routeurs LAN (les cartes de commutation de niveau 3).
Avec OSPF, la premire tche est de dfinir laire 0, appele backbone area.
312
Mme si de multiples configurations sont possibles avec OSPF, il est cependant conseill de
respecter les rgles suivantes :
Laire 0 doit couvrir toutes les interfaces WAN des routeurs (cest--dire les interfaces
srie, Frame-Relay, ATM, LS, RNIS, etc.).
Une aire doit tre dfinie par site ou par groupe de sites fdrs autour dun campus.
Lintrt est de pouvoir contrler la diffusion des routes, par exemple, dempcher
quun subnet parisien puisse tre vu des autres sites.
tant donn que notre plan dadressage dfini au chapitre 5 prvoit laffectation dun subnet
complet lensemble des liaisons WAN, une seule commande sur chaque routeur est ncessaire pour affecter laire 0 :
network 172.16.0.0 0.0.255.255 area 0.0.0.0
Laire OSPF est un numro sur 32 bits qui peut tre not la manire dune adresse IP. La
notation du masque associ au subnet annoncer utilise, quant elle, une convention inverse celle utilise pour les adresses IP (les bits 0 indiquent la partie rseau).
313
CHAPITRE 12
Figure 12-5.
Configuration OSPF.
E0
10.0.0.1
10.8.0.1
E0
Bri0
RNIS
128 Kbit/s
S0
Paris
Strasbourg
Annonce
10.0.0.0/14
S1
Bri0
E0
192.168.0.1
Annonce
10.8.0.0/14
S0
10.12.0.1
S0
S0
Orlans
S0
Aire
Backbone
E0
Frame Relay
Annonce
192.168.0.0/24
S0
Toulouse
Annonce
E0 10.4.0.0/14 E0
10.4.0.1
10.4.0.2
Toulouse
S0
Annonce
10.16.0.0/14
Londres
Annonce
10.12.0.0/14
Marseille
E0
10.16.0.1
Site
0.0.0.1
Rgion parisienne
0.0.0.2
Rgion toulousaine
0.0.0.3
Strasbourg
Etc.
Cest justement le cas Toulouse, car nous avons deux routeurs, connects laire 0 dun
ct et au mme rseau local de lautre. Afin que ces deux routeurs puissent changer leurs
tables de routage et se secourir mutuellement, il faut positionner leur interface locale dans
une aire.
Sil ny a que deux routeurs, le plus simple est de tout mettre dans laire 0. Si le rseau de
Toulouse grandit au point dintgrer plusieurs routeurs (ou cartes de commutation de niveau
3), on peut envisager de crer une aire sur ce site, afin de rduire le trafic sur le WAN et de
mieux contrler la diffusion des routes :
network 10.4.0.0 0.3.255.255 area 0.0.0.2
314
8 bits
16 bits
32 bits
Version = 2
Type de
message
Longueur en nombre
doctets
Identifiant du routeur
Identifiant de laire
Checksum
(hors authentification)
Type dauthentification
entte
O
S
P
F
Nombre de LSA
ge du LSA
Options
Type de
LSA
Longueur en nombre
doctets
Identifiant du LSA
Numro de squence du LSA
(pour dtecter les paquets dupliqus et anciens)
entte
L
S
A
Les routeurs diffusent rgulirement des messages Hello afin dannoncer leur prsence leurs voisins sur
les rseaux multipoints supportant le broadcast (par exemple Ethernet). Celui dont la priorit est la plus
grande est lu routeur dsign ; il a la charge dinclure ce rseau dans ses LSA. Sur les rseaux Ethernet,
les messages sont envoys dans des paquets multicasts 224.0.0.5.
Dans la backbone area, les routeurs de bordure schangent les bases de donnes des aires auxquelles ils
sont rattachs. Ils calculent les meilleures routes qui sont ensuite diffuses aux routeurs intra-aire. Les routeurs intra-aire calculent la meilleure route pour sortir de laire (via un routeur de bordure). Le routeur frontire (qui peut tre situ nimporte o dans lAS) assure le mme rle pour les routes permettant de sortir de
lAS.
Quatre types de LSA sont changs :
router-LSA : mis par tous les routeurs dune aire pour dcrire ltat et indiquer le cot de leur interface.
network-LSA : mis par les routeurs dsigns pour annoncer les rseaux de type broadcast (Ethernet,
par exemple) ;
summary-LSA : mis par les routeurs de bordure ;
AS-external-LSA :mis par les routeurs de frontire.
Aucun AS-external-LSA nest envoy dans les aires configures en stub area. la place, le routeur de bordure diffuse une route par dfaut.
Figure 12-6.
Liens virtuels OSPF.
315
Aire Backbone
coupe en deux
RNIS
128 Kbps
Paris
Strasbourg
Londres
Orlans
Toulouse
Marseille
Toulouse
10.4.0.1
10.4.0.2
Aire 2
Il est noter que ce cas de figure nexisterait pas si Toulouse ne disposait que dun seul routeur ou si les interfaces Ethernet des deux routeurs taient situes dans laire 0.
La solution ce problme passe par la cration dun lien virtuel entre les deux routeurs de
Toulouse :
# Routeur 1
area 2 virtual-link 10.4.0.2
# Routeur 2
area 2 virtual-link 10.4.0.1
Ce lien permet dassurer la continuit de laire backbone via laire de transit de Toulouse.
316
Par dfaut, le cot associ linterface est de 100 000 divis par le dbit exprim en Kbit/s,
ce qui donne, par exemple, un cot de 1 562 pour un dbit de 64 Kbit/s. Il est nanmoins
possible de le modifier, comme suit :
int s0
ip ospf cost 300
Valeur de 1 65 535
De la mme manire, un routeur peut ne pas accepter une route si, par exemple, le site
dOrlans doit tre cach uniquement celui de Londres :
router ospf 1
distribute-list 11 in
access-list 11 deny 192.168.0.0
access-list 11 permit any
317
Chaque entre de la base dtats de liens est mise jour toutes les 30 minutes en
moyenne.
Selon les cas, larbre du plus court chemin est recalcul toutes les 13 50 minutes.
Pour 2 000 entres dans une base de donnes OSPF, la bande passante consomme par
lmission des LSA reprsente moins de 0,5 Kbit/s.
Type dannonce
External LSA
Router et Network LSA
Summary LSA
En-tte OSPF
En-tte IP
Mmoire routeur
36 octets
64 octets
108 octets
192 octets
36 octets
64 octets
24 octets
--
20 octets
Le temps CPU pour calculer larbre du plus court chemin (algorithme de Dijsktra) est de
lordre de n*log(n) pour N routes et 200 routeurs, soit environ 15 millisecondes pour un
processeur de 10 Mips. En dcoupant un systme autonome en aires, la charge CPU est rduite, car il y a moins de routeurs prendre en compte, le calcul SPF tant ralis au sein
dune aire.
318
AS 100
10.10.0.0
10.20.0.0
10.21.0.0
Sessions BGP
R10
172.16.0.1
172.16.0.5
R21
172.16.0.2
172.16.0.6
R51
R521
10.50.0.1
10.50.0.21
R55
AS 500
10.50.0.0
10.51.0.0
Un routeur BGP peut injecter automatiquement toutes les routes apprises de BGP dans
OSPF, afin quelles soient diffuses dans le reste de lAS. En retour, il ne faut pas rinjecter
les routes OSPF dans BGP, mais seulement y injecter les routes de lAS, ce qui implique
une configuration manuelle. Le routeur R51 doit donc tre configur comme suit :
Numro de lAS
router bgp 500
neighbor 172.16.0.1 remote-as 100
neighbor 10.50.0.21 remote-as 500
network 10.50.0.0 mask 255.255.0.0
network 10.51.0.0 mask 255.255.0.0
router ospf 1
network 10.50.0.0 0.0.255.255 area 0
network 10.51.0.0 0.0.255.255 area 0
redisbribute bgp 500
Il est noter que pour BGP la commande network indique la liste des rseaux annoncer,
tandis que pour OSPF, elle spcifie les interfaces prises en compte par le processus.
Les configurations des autres routeurs sont similaires, par exemple, celle de R21 :
router bgp 200
neighbor 172.16.0.6 remote-as 500
network 10.20.0.0 mask 255.255.0.0
router eigrp 65020
network 10.20.0.0
network 10.21.0.0
redisbribute bgp 500
2 octets
1 octet
Longueur du
message
Type de
message
Longueur du
champ suivant
Longueur du
champ suivant
Nom
ORIGIN
AS_PATH
NEXT_HOP
MULTI_EXIT_DISC (optionnel)
LOCAL_PREF
ATOMIC_AGGREGATE
AGGREGATOR (optionnel)
COMMUNITY (optionnel)
Actuellement, 18 attributs
1 octet
OT PEUUUU
Code attribut
Longueur attrib.
Bit = 1 signifie :
O = attribut optionnel
T = attribut optionnel transitif
P = attribut transitif partiel
E = champ longeur tendu
deux octets au lieu dun seul
U = Non utilis
Ext. longueur
Valeur attribut
Description
Origine de linformation (IGP, EGP ou incomplte)
Liste des AS traverss par ce message. Le numro dAS y est ajout en sortie.
Adresse IP du saut suivant pour aller vers les rseaux lists dans le champ NLRI
Mtrique permettant de choisir entre plusieurs points de sortie vers un autre AS
Degr de prfrence pour une route de sortie vers un autre AS
Indique quune route moins spcifique a t slectionne parmi celles indiques dans la liste
Dernier n dAS et adresse IP du dernier routeur BGP qui a form la route agrge.
Indique comment une route a t apprise et permet de dcider qui la diffuser (cf. RFC 1997)
cf. www.iana.org/assignments/bgp-parameters
Les messages Update sont propags de routeur en routeur : chaque sortie dAS, le routeur BGP ajoute
son numro dAS dans la liste AS_PATH, permettant ainsi de reconstituer le chemin dAS. Chaque routeur
BGP communique ainsi son partenaire la liste des rseaux atteignables (NLRI) via tel routeur indiqu
dans NEXT_HOP.
Sil existe plusieurs routes entre deux AS, les routeurs BGP de chaque AS calculent la meilleure route vers
lautre AS laide des attributs MULTI_EXIT_DISC et LOCAL_PREF.
Les informations de routage (NLRI) sont changes sous le format CIDR (Classless Inter-Domain Routing)
qui consiste ne coder que le prfixe des adresses (la partie rseau des adresses IP) et agrger les routes contigus.
Les routeurs BGP partenaires (internal peers si dans le mme AS ou external peers si dans deux AS diffrents) doivent avoir au moins une de leur interface dans le mme subnet IP.
319
320
Le protocole BGP requiert un maillage complet de toutes les paires de routeurs au sein dun
AS (entre Internal peers). Afin de simplifier cette configuration pour les grands rseaux, la
solution consiste regrouper les routeurs dans des clusters BGP et dsigner un leader au
sein de chaque cluster, appel Route Reflector. Les changes avec les routeurs dautres AS
(entre External peers) sont alors raliss via les Routes Reflectors qui redistribuent les routes
apprises aux routeurs BGP de leur AS respectif. Utilis au sein dun AS, le mme protocole
est appel I-BGP (Internal BGP) tandis quutilis entre AS, il est appel E-BGP (External
BGP). La diffrence rside dans les rgles de diffusion des routes apprises : un prfixe dun
voisin I-BGP ne peut pas tre annonc un autre voisin I-BGP, ce qui est en revanche possible avec des voisins E-BGP.
des choix dingnierie (dnomms communment traffic engineering), tels la rpartition de trafic entre deux liaisons parallles (load balancing), une route de secours en cas
de panne du lien principal, etc.
le traitement diffrenci des flux de paquets en fonction de la classe de service qui leur
est affecte ;
321
Lintrt de reporter un maximum de fonctions au niveau 3 est quIP est prsent partout,
quel que soit le protocole de transport. On peut ainsi grer de bout en bout et uniformment
les VPN, la qualit de service et le trafic, que ce soit dans les rseaux privs en entreprise ou
sur le rseau public Internet. En effet, MPLS est multiprotocole, car il repose sur nimporte
quel protocole de niveau 2 (ATM, Frame Relay, PPP et Ethernet ce jour) et peut tre utilis par nimporte quel protocole de niveau 3 (IPv4 et IPv6 ce jour).
Fonctionnement de MPLS
Un LSP (Label Switched Path) est matrialis par une succession de routeurs qui assignent
les mmes labels aux paquets IP ayant les mmes caractristiques (mme adresse destination, mme classe de service diffserv, etc.). Comme dans un rseau IP, les paquets sont mlangs, mais dans un domaine MPLS, les paquets dun mme LSP ne peuvent pas voir
les autres paquets IP et sont traits diffremment des autres LSP.
Dans cet exemple :
LSP de labels impairs = VPN 1
LSP de labels pairs = VPN 2
Paquet IP
Paquet IP
MPLS
Paquet IP
MPLS
Paquet IP
Paquet IP
Paquet IP
MPLS
6
Paquet IP
MPLS
Paquet IP
Paquet IP
Paquet IP
Paquet IP
Paquet IP
Paquet IP
Paquet IP
MPLS
MPLS
Paquet IP
MPLS
Paquet IP
4
7
Paquet IP
Paquet IP
Paquet IP
MPLS
MPLS
Paquet IP
MPLS
Le label peut correspondre au VPI/VCI dun CV ATM (RFC 3035) ou au DLCI dun CV
Frame Relay (RFC 3034). Dans ce cas de figure, les commutateurs ATM et Frame Relay se
comportent comme des routeurs MPLS.
Comparaison
MPLS
Circuit virtuel
CV
LSP
Identification du CV
VPI/VCI et DLCI
Label
Cration des CV
Statique
Aucun
Hirarchie de CV
Non
Oui
VPN
Niveau 2
Niveau 3
322
20 bits
3 bits
1 bit
Label
Exp
8 bits
TTL
Paquet IP
la frontire dun domaine MPLS, le paquet IP est pris en charge par un routeur de bordure (LER Label
Edge Router) qui il ajoute (en entre) ou retire (en sortie) un label. Les paquets sont ensuite commuts
par des routeurs MPLS (LSR Label Switch Router) qui ont la possibilit de modifier les labels.
Alors quun routeur classique traitera chaque paquet individuellement sur la base de sa table de routage et
de lentte IP, un LSR se contentera de commuter les paquets uniquement sur la base des labels, sans
soccuper de quoi que ce soit dautre.
Les labels sont affects indpendamment par chaque routeur MPLS. Ils nont donc quune porte locale,
entre deux LSR adjacents.
S1
10.5
S0
LER
Paquet IP
Paquet IP
Paquet IP
S1
10.6
S1
S2
S0
LER
ILM (entre)
Interface
Label
S0
S0
S1
LER
LSR
NHLFE (sortie)
S1
pop
ILM (entre)
Interface
Label
S0
S0
8
6
10.2
S0
NHLFE (sortie)
Interface Label Action
S1
S2
9
9
swap
swap
FTN (entre)
Interface
FEC
S0
S0
10.5
10.6
NHLFE (sortie)
Interface Label Action
S1
S1
8
6
push
push
NHLFE (Next Hop Label Forwarding Entry) contient les informations permettant de router un paquet MPLS tels que le saut
suivant, lopration raliser sur le label (swap, pop, push, aggregate, untag), la manire de coder le label, etc.
Plusieurs NHLFE peuvent tre associs un label entrant, comme dans le cas du multicast, par exemple.
ILM (Incoming Label Map) est une table de correspondance entre un label et un ou plusieurs NHLFE
FTN (FEC-to-NHLFE) est une table de correspondance entre un FEC et un ou plusieurs NHLFE
323
NHLFE (sortie)
Interface Label Action
S1
pop
S1
10.5
S0
LER
Jutilise le label 9
pour le FEC 10.5
10.6
S1
S1
S2
NHLFE (sortie)
Interface Label Action
S1
pop
ILM (entre)
Interface
Label
S0
9
S1
S0
Jutilise le label 9
pour le FEC 10.6
LER
S0
ILM (entre)
Interface
Label
S0
8
S0
6
S0
10.2
LER
LSR
NHLFE (sortie)
Interface Label Action
S1
9
swap
S2
9
swap
FTN (entre)
Interface
FEC
S0
10.5
S0
10.6
NHLFE (sortie)
Interface Label Action
S1
8
push
S1
6
push
Il est possible de crer des hirarchies de LSP, par exemple pour agrger des LSP dans un seul LSP sur
une partie du chemin (cration dun tunnel) linstar dATM qui agrge plusieurs VC dans un VP (cf. chapitre 11), mais sur un seul niveau alors que MPLS nest pas limit. Dans lentte MPLS, les labels sont ainsi
empils par les LER de chaque domaine sur le mode LIFO (Last In, First Out). Il est alors possible
dimbriquer plusieurs domaines MPLS, chaque domaine ne traitant que le label situ au dessus de la pile.
Domaine MPLS du client
LSR
LER
LSR
Paquet IP
9
Paquet IP
LER
6
Domaine MPLS
de loprateur
Paquet IP
Paquet IP
LSR
4
Paquet IP
LSR
9
LER
Paquet IP
Paquet IP
LER
des fins
doptimisation, le
label "2" peut tre
retir au niveau du
pnultime saut.
LER
LER
Paquet IP
Paquet IP
Paquet IP
LSP niveau 2
LSP niveau 1
la diffrence dun domaine MPLS, un tunnel LSP ne concerne que deux routeurs quils soient dailleurs
adjacents (tunnel rout saut par saut) ou non (tunnel rout explicitement).
324
Les VPN-MPLS sont fonctionnellement quivalents aux VLAN Ethernet dcrits au dbut de
ce chapitre. Les premiers agissent au niveau 2, tandis que les seconds agissent au niveau 3.
Lexemple suivant est propos titre indicatif, car les implmentations actuelles sont encore
propritaires, notamment au niveau du protocole de diffusion de labels et de lutilisation du
champ Exp . Le lecteur pourra se tenir inform des volutions de MPLS sur le site
www.ietf.org/html.charters/mpls-charter.html.
int e0/1
tag-switching advertise-tags
ip vrf VPN_client
rd 100:1
route-target both 100:1
router bgp 500
neighbor 10.5.0.1 remote-as 400
neighbor 10.5.0.1 activate
Active MPLS
Cre un VPN
QUATRIME PARTIE
La gestion avance
des flux IP
13
Les flux
multimdias
Lobjectif de ce chapitre est de prsenter les caractristiques des flux multimdias (essentiellement la voix et la vido), afin de montrer comment leurs particularits influent sur un rseau de paquets tel que TCP/IP.
Il na pas pour objet de faire de vous des experts en audiovisuel, mais plutt de vous donner
les informations essentielles vous permettant de savoir de quoi on parle, ce que lon manipule et de comprendre limpact de ces flux audio et vido sur votre rseau.
Vous dcouvrirez ainsi :
328
Les signaux audio et vido doivent tre numriss, ce qui veut dire convertir les signaux
analogiques en bits numriques.
La quantification fait correspondre une valeur lamplitude dun chantillon par rapport des valeurs-talons appeles niveaux de quantification. Lamplitude des chantillons prlevs peut varier de faon illimite, mais doit pouvoir tre reprsente par un
nombre fini de valeurs binaires. La valeur rsultant, gnralement code sur un octet,
sera gale au niveau de quantification le plus proche de celui mesur.
Par exemple, la voix gnre des signaux une frquence oscillant entre 300 Hz et 3 300 Hz,
valeur arrondie 4 000 Hz par les quipements numriques. Un chercheur, appel Shannon,
a montr que la frquence dchantillonnage devait tre gale au double de la frquence du
signal numriser. Un signal analogique de 4 000 Hz ncessite donc 8 000 chantillons par
seconde, qui sont reprsents sur 8 bits, soit un dbit de 64 Kbit/s pour coder la voix. Cette
unit, appele DS0 (Digital Signaling 0), a longtemps t la rfrence et continue encore de
ltre pour les liaisons daccs E1/T1 proposes par les oprateurs, aussi bien pour la voix
que pour les donnes.
329
330
Les quatre oprations constituant la numrisation dun signal analogique (audio ou vido)
sont ralises par des processeurs spcialiss appels DSP (Digital Signaling Processing).
Les algorithmes qui dfinissent la manire de raliser ces oprations sont appels Codec
(codeur/dcodeur).
Les codec tant normaliss ITU-T, srie G, leurs noms commencent par cette lettre. Le premier dentre eux et le plus utilis sur les liaisons E1/T1 ainsi que sur le RTC, rpond la
norme G.711. Le codage est de type PCM (Pulse Code Modulation) ; il nutilise aucun algorithme de compression. En France, la norme est appele MIC (modulation par impulsions
codes), do le nom des liaisons 2 Mbit/s proposes par France Tlcom (32 canaux DS0,
dont 2 pour la signalisation).
Le codec G.711 existe en deux variantes de codage : A-law (Europe) et -law (Amrique du
Nord et Japon).
Application
chantillonnage
Bande passante
transmise
Convertisseurs
Analogique / Numrique
Dbit brut
gnr
Tlphonie
8 KHz
8 13 bits
64 104 Kbit/s
Radio FM
16 KHz
50 Hz 7 KHz
14 ou 15 bits
32 KHz
30 Hz 15 KHz
16 bits
512 Kbit/s
Compaq Disc
44,1 KHz
20 Hz 20 KHz
16 bits
706 Kbit/s
DAT
48 KHz
10 22 KHz
24 bits
1 152 Kbit/s
331
de la sensibilit aux erreurs. Par exemple, le codec G.726 est moins sensible que G.711,
tandis que G.723 tolre un taux derreur de prs de 3%. Gnralement, la perte dun paquet IP a un impact trs important sur les codec PCM et ADPCM (la resynchronisation
de lmetteur sur les chantillons est difficile) et moins sur les codec hybrides ;
de sa complexit, donc de la puissance processeur requise pour le codage et le dcodage. Pour certains codec, lutilisation de DSP savre souvent prfrable.
Caractristiques
Dautres paramtres, trs techniques, caractrisent cependant les codec.
Codec
(standard ITU)
Algorithme
de codage
Dure de
lchantillon
Nombre
dchantillons
par trame
Longueur de
la trame
Dlai
algorithmique
Lookahead
G.711
PCM
0,125 s
1 ms
0 ms
1 ms
G.722
ADPCM
0,0625 s
16
1 ms
1,5 ms
2,5 ms
G.723.1
ACELP
MP-MLQ
0,125 s
240
30 ms
7,5 ms
37,5 ms
G.726
ADPCM
0,125 s
80
10 ms
0 ms
10 ms
G.728
LD-CELP
0,125 s
5x4
2,5 ms
2,5 ms
2,5 ms
G.729
CS-ACELP
0,125 s
80
10 ms
5 ms
15 ms
GSM 6.1
RPE-LTP
0,125 s
160
20 ms
0 ms
20 ms
GSM 6.2
VSELP
0,125 s
160
20 ms
4,4 ms
24,4 ms
GSM 6.6
CD-ACELP
0,125 s
160
20 ms
0 ms
20 ms
332
Performances
Quelle que soit sa complexit, un codec doit coder et dcoder les chantillons selon un
temps fixe dtermin par la frquence dchantillonnage. Selon la complexit de
lalgorithme, un codec requerra donc plus ou moins de puissance, value en Mips (millions
dinstructions par secondes). En outre, la puissance requise par un codec est plus importante
si le calcul est effectu en virgule flottante que sil est effectu en virgule fixe.
Les processeurs spcialiss que sont les DSP excutent en une seule instruction et en un seul
cycle horloge des calculs rptitifs comme, par exemple, (a*b)+rsultat prcdent , calculs que des processeurs gnralistes comme le Pentium excutent en plusieurs instructions
et plusieurs dizaines de cycles. Les DSP intgrent galement les dictionnaires (codebook)
utiliss par les codec Hybrides.
Les valeurs prsentes ci-aprs sont les moyennes indiques par un constructeur pour ses
DSP en virgule fixe. Elles ont t arrondies aux valeurs les plus proches. Pour les codec
temporels, la puissance de calcul est quasi identique en codage et en dcodage, alors que
pour les codec hybrides, une puissance plus importante est ncessaire au codage.
Codec
G.711
G.722 (1)
G.723.1 (1)
G.726
G.727 (2)
Dbit rseau
gnr
Longueur de
la trame
Nombre doctets
par trame
8=
Nombre de
trames par
paquet RTP
Complexit
codage /
dcodage
64 Kbit/s
1 ms
20
48, 56 et 64 Kbit/s
1 ms
6/7/8
20
13 / 13 Mips
5,3 et
6,4 Kbit/s
30 ms
20
24
15,5 / 2 Mips
10 ms
20 / 30 / 40 / 50
4 / 4,5 Mips
Codec
Dbit rseau
gnr
Longueur de
la trame
Nombre doctets
par trame
Nombre de
trames par
paquet RTP
333
Complexit
codage /
dcodage
G.728
16 Kbit/s
2,5 ms
17,5 / 12 Mips
G.729
8 Kbit/s
10 ms
10
16 / 3,5 Mips
8,5 / 2 Mips
GSM 6.1
13 Kbit/s
20 ms
32,5
2,5 Mips
GSM 6.2
5,6 Kbit/s
20 ms
14
17,5 Mips
GSM 6.6
12,2Kbit/s
20 ms
30,5
15,4 Mips
(1)
(2)
Les codec G.722 et G.723 sont des codec combins (embedded) : ils changent automatiquement de dbit.
G.727 est la version combine de G.726.
titre de comparaison, un processeur Pentium cadenc 100 MHz fournit une puissance
denviron 166 Mips (source Intel).
Qualit
En dehors des performances intrinsques dun codec rsultant des paramtres qui viennent
dtre dcrits, sa qualit dpend essentiellement de lchantillonnage et du taux de compression : plus ce dernier est lev, plus la voix apparat mtallique celui qui lcoute.
Sans compression, le codec G.711 sert de rfrence pour la qualit de la voix sur le tlphone, rfrence qui est appele toll quality. La perception de la qualit de la voix est subjective. Cest pour cela quelle est mesure travers un indice moyen de satisfaction appel
MOS (Mean Opinion Score), sur une chelle allant de 0 (trs mauvais) 5 (trs bon).
Codec
Algorithme
de codage
chantillonnage
Bande passante
transmise
MOS
Applications
G.711
PCM
8 KHz
3,4 KHz
4,2
RTC, RNIS
G.722
ADPCM
16 KHz
7 KHz
4 / 4 / 4,3
RNIS
G.723.1
ACELP
MP-MLQ
8 KHz
3,4 KHz
3,7 / 3,9
VoIP
G.726
ADPCM
8 KHz
3,4 KHz
2 / 3,2 / 4 / 4,2
DECT
G.728
LD-CELP
8 KHz
3,4 KHz
RNIS
G.729
CS-ACELP
8 KHz
3,4 KHz
Frame-Relay
RPE-LTP
8 KHz
3,4 KHz
3,6 3,8
Tlphone cellulaire
GSM 6.1
334
Codec
Algorithme
de codage
chantillonnage
GSM 6.2
VSELP
8 KHz
GSM 6.6
CD-ACELP
16 KHz
Bande passante
transmise
3,4 KHz
MOS
Applications
3,5 3,7
Tlphone cellulaire
4,1
Tlphone cellulaire
Les voix ayant une sonorit mtallique obtiennent un MOS infrieur 3 ; celles acceptables
pour une communication tlphonique, un MOS compris entre 3 et 4. Au-del de 4, la qualit est excellente.
Le choix dun codec rsulte donc dun compromis qualit/dbit sur le rseau utilis. Ainsi,
le programme Netmeeting permet-il de slectionner le plus appropri votre contexte (menu
OutilOptionsAudioAvanc ).
Normes
Remarque
MPEG-1
De 1,8 80 Mbit/s
MPEG-2
De 1,8 80 Mbit/s
MPEG-4
M-JPEG
De 8 10 Mbit/s
H.261
H.263
335
336
Description
Train de bits produits par la compression MPEG
Trames I (Intra frame), P (Predictive frame) et B (Bidirectional frame)
Unit primaire sur laquelle sapplique le codage
Groupe de macroblocs sur laquelle sapplique la synchronisation
Groupe de 6 blocs sur laquelle sapplique la compensation de mouvement
Bloc de 8x8 pixels sur lequel est appliqu lalgorithme DCT
(Discrete Cosine Transform)
Il existe 3 versions de MPEG : MPEG-1, MPEG-2 et MPEG-4. La version 3 na jamais vu le jour, car une
simple volution de MPEG-2 sest avre suffisante pour atteindre les objectifs assigns MPEG-3.
La norme MPEG-1 produit des images de toutes tailles et tous les dbits, jusqu 80 Mbit/s, dfinies par
des paramtres appels CPB (Constrained Parameters Bitstream). Les formats les plus couramment utiliss sont le SIF (Standard Interchange format) et le CCIR-601 (Comit Consultatif International Radio). Les
dbits gnrs dpendent de la rsolution et du nombre dimages par seconde.
Pixels
352 x 240
352 x 288
720 x 480
1440 x 1152
Images / sec.
30
25
30
25
Format
SIF
SIF
CCIR
Dbit maximal
4 Mbit/sec
4 Mbit/sec
15 Mbit/sec
60 Mbit/sec
Application
VHS, NTCS
VHS, PAL/SECAM
HDTV, DVD
HDTV, DVD
En plus des trames I (Intra frame) et P (Predicted frame), lalgorithme MPEG produit des trames B (Bidirectional) rsultant du codage opr sur linterpolation des trames prcdentes et futures. La squence de trames produites ressemble ainsi la suivante : IBBPBBPBBPBBIBBPBBPBBPBBI... (une trame I toutes les
douze trames).
La compression rsulte dune srie doprations applique limage complte (trames I) ou des portions
dimage (trames P), celles qui ont chang par rapport limage prcdente. Dans les deux cas, limage ou
la portion dimage est code avec lalgorithme DCT, quantifie, puis successivement code par RLE et par
entropie (selon la frquence des valeurs).
Le codage DCT (Discrete Cosine Transform) permet de reprsenter limage par des frquences, seuls les
coefficients dune fonction sinusodale tant gnrs. La quantification a pour objectif de rduire le nombre
de coefficients DCT coder (comme pour la voix, certaines informations sont alors perdues). Le codage
RLE (Run Length Encoding) remplace les valeurs successives identiques par un code de quelques octets.
Le codage par entropie consiste trier les valeurs par frquence dapparition puis les remplacer par des
codes plus petits.
337
Dbit
384 Kbit/s
64 224 Kbit/s
64 128 Kbit/s
Trame
384 chantillons PCM 48 KHz, 8 ms
1 152 chantillons PCM 48 KHz, 24 ms
1 152 chantillons
Application
Satellite
MiniDisc de Sony
MP3
Par exemple, pour une qualit CD (Compaq Disc) avec un chantillonnage 44,1 KHz, la couche III gnre
un dbit de 128 Kbit/s (trames de 417 octets).
La norme MPEG-2 utilise, quant elle, des algorithmes amliors offrant des performances de 10 20 %
suprieures celles MPEG-1 tout en tant compatible avec ce dernier. Les paramtres CBP sont remplacs par une combinaison de quatre profils (algorithmes utiliss et fonctions actives) et de quatre niveaux
dfinissant les paramtres (rsolutions minimale et maximale, chantillonnage, couches audio et vido supportes, dbit maximal, etc.).
La principale caractristique de MPEG-4 (ISO 14496) est son orientation objet. Appliqu aux images de
synthse, lalgorithme de codage dcrit les objets, leur forme, leur texture, leur dimension (2D ou 3D) en
sappuyant sur les spcifications VRML (Virtual Reality Modeling Language). Son objectif est galement de
produire des vidos bas dbit, de 64 Kbit/s 1,5 Mbit/s. Les applications vises par cette norme sont, par
exemple, DivX (Digital Video Express), les bases de donnes multimdias et interactives, le vidophone,
laudiovisuel mobile, etc.
La norme H.261 promue par lITU-T repose sur les mmes principes que MPEG, mais
consomme moins de CPU pour la compression. De plus, lalgorithme permet daugmenter la
compression, au dtriment cependant de la qualit des images qui bougent vite (sil existe
plus de 15 pixels de diffrence entre deux images, limage devient floue).
La norme H.263 est une amlioration de H.261 : elle permet de consommer 50% de bande
passante en moins et de rcuprer plus facilement les erreurs de transmission, et ce, pour une
qualit quivalente.
Le CIF (Common Intermediate Format) est le format de base dune image respectant les
normes H.26x.
Format de limage
Nombre de pixels
pour la luminance
Nombre de lignes
pour la luminance
Nombre
de pixels pour
la chrominance
Nombre
de lignes pour
la chrominance
sub-QCIF
128
96
64
48
QCIF
176
144
88
72
CIF
352
288
176
144
4CIF
704
576
352
288
16CIF
1 408
1 152
704
576
338
Gnralement, le format QCIF est utilis lorsque la bande passante est infrieure 192
Kbit/s (p <= 3). H.261 et H.263 travaillent sur des GOB (Group Of Block) de 33 macroblocs
(soit 198 blocs). Le format QCIF correspond ainsi 1 GOB.
Trames I
1024 1518 octets
Trames B et P
128 256 octets
600 Kbits/s
32 Kbits/s
En revanche, le trafic audio est plutt continu, et surtout beaucoup plus faible que les flux
vido.
Les flux audio et, dans une moindre mesure, les flux vido sont sensibles plusieurs
phnomnes :
lcho ;
le dlai de transit (encore appel latence), cest--dire le temps qui scoule entre la
prononciation dun mot et sa restitution ct rcepteur ;
Le phnomne dcho provient de la rflexion du signal sur le cble, surtout au niveau des
convertisseurs 2 fils/4 fils prsents en nombre sur le RTC. Il est surtout perceptible sur de
longues distances et est amplifi si les dlais de transit sont importants. Si ces derniers sont
assez bas (moins de 50 ms), lcho nest pas perceptible et est masqu par la conversation.
tant donn que les dlais de transit sont, la plupart du temps, suprieurs 50 ms, des appareils spcifiques, appels annulateurs dcho (ITU G.165), sont systmatiquement utiliss
sur le RTC.
Le dlai de transit affecte une conversation tlphonique : si le temps qui scoule entre la
fin dune phrase et sa rception complte par le rcepteur est trop long, les personnes commencent parler en mme temps puis sarrtent en mme temps, se coupent la parole, etc.
La norme G.114 prconise un dlai de transmission maximal de 400 ms pour le RTC. Dans
les faits, la dgradation de la qualit de la voix est nettement perceptible lorsque les dlais
dpassent 300 ms. De plus, lcho devient perceptible, ce qui ajoute la mauvaise qualit.
339
Les variations des dlais de transit (gigues) sont essentiellement dues la charge du rseau qui doit traiter diffrents types de flux. Le RTC fonctionne en mode commutation de
circuit : un canal de 64 Kbit/s est rserv pendant toute la dure de la conversation. Il y a
donc trs peu de gigue, voire pas du tout. Linconvnient est que la bande passante du rseau nest pas optimise : les 64 Kbit/s restent accapars mme lorsquils ne sont pas utiliss, pendant les silences ou en labsence de transmission.
En revanche, un rseau de paquets, de trames ou de cellules vhicule simultanment une
multitude de flux et exploite au mieux ses ressources en les partageant entre plusieurs utilisateurs. Le dlai de traitement varie donc en fonction de sa charge.
La variation du dlai cre ainsi des interruptions inattendues au milieu dune phrase ou dun
mot (un paquet voix arrive plus tard que les autres), qui peuvent rendre une conversation
inintelligible. Pour compenser la gigue, on utilise des tampons mmoire. Les trames arrivant
en retard par rapport la moyenne sont restitues immdiatement, mais celles arrivant en
avance par rapport cette mme moyenne restent plus longtemps dans la mmoire tampon.
Linconvnient est donc que le dlai de transit est augment proportionnellement la taille
du tampon. Gnralement, cette taille correspond un dlai gal environ deux fois celui du
traitement du codec. Dans la pratique, les quipements la font varier dynamiquement.
Concernant le tlphone, notons galement une spcificit lie aux fonctionnalits offertes
par le DTMF (Dual-Tone MultiFrequency). Ce signal permet un utilisateur de dialoguer
avec un serveur audiotel, par exemple pour accder au rappel sur occupation (touche 5
avec France Tlcom) ou pour consulter son compte bancaire. La compression de la voix
empche la transmission de ce type de signal. Celui-ci est donc cod, puis rgnr son arrive (G.729).
La srialisation est laction denvoyer les bits sur le cble. Plus le dbit de la liaison est lev, plus le temps de srialisation est court. Par exemple, il faut 125 microsecondes pour envoyer un octet sur une LS 64 Kbit/s contre 0,05 microsecondes sur une liaison 155
Mbit/s. De mme, plus les sites sont rapprochs, plus le dlai de propagation est court. Par
exemple, il faut compter 32 ms de dlai de propagation sur une LS 64 Kbit/s entre lEurope
et les tats-Unis.
340
titre dexemple, le tableau suivant dresse la liste des dlais ncessaires pour envoyer une
trame de 30 ms gnre par le codec G.723.
Opration
Dlai
7,5 ms (G.723)
Remplissage de la trame
2 ms (traitement du routeur)
2 ms (4 ms sans compression)
Sous-total 1
46,5 ms
2 ms (traitement du routeur)
7,5 ms (G.723)
Sous-total 2
74,5 ms
De 30 150 ms
Total
De 151 271 ms
(*) Lencapsulation dans un paquet IP ajoute 2 5 octets (avec compression des en-ttes RTP/UDP/IP, voir chapitre 16). Il faut ajouter cela les
enttes Frame Relay (6 octets) ou ATM (5 octets) ou encore Ethernet, etc.
(**) Ce temps est gal celui induit par les routeurs et/ou commutateurs et/ou passerelles, ventuellement augment de celui induit par la propagation des signaux sur les liaisons internes au rseau de loprateur.
Voix
Fax
Vido
Bonne
(dgradations
non perceptibles)
< 200 ms
Gigue < 100 ms
Perte < 2 %
< 200 ms
Gigue < 15 ms
Perte < 5 %
Limite de lacceptable
Dlai = 400 ms
Gigue = 30 ms
Perte = 10 %
Dlai = 300 ms
Gigue < 1 000 ms
Perte = 4 %
Dlai = 400 ms
Gigue = 20 ms
Perte = 10 %
341
En outre, les liens rseau doivent tre correctement dimensionns, afin de supporter les dbits gnrs par les flux multimdias. Ces derniers sont variables, car ils dpendent de la
qualit voulue pour le son et limage.
Application
Audio (voix qualit tlphone)
Vidoconfrence
Tableau partag
De 10 64 Kbit/s
Sur le rseau tlphonique commutation de circuit (RTC, RNIS), la voix occupe un dbit
fixe rserv entre lappelant et lappel pendant toute la dure de la communication. Sur un
rseau commutation de paquets, tel quIP, aucun dbit nest rserv, et celui-ci peut varier
dans le temps (par exemple, les silences ne sont pas transmis, etc.).
La voix peut ainsi tre transmise sur IP on parle alors des produits VoIP (Voice Over Internet Protocol) , directement sur Frame Relay (VoFR) ou sur ATM (VoATM).
Dans tous les cas, le transport de la voix et de la vido requiert des mcanismes spcifiques,
afin dassurer la qualit de service requise (dbit, dlai de transit, variation du dlai de transit, perte de paquets tolre).
Un autre problme, qui cette fois nest pas nouveau, est de dimensionner les liens rseau en
fonction du nombre dutilisateurs. On parlera ici de canaux, un canal correspondant une
session voix ou vido.
Une rgle simple, mais peu conomique, est de prvoir autant de canaux que dutilisateurs :
le dbit total est alors gal au dbit dun canal VoIP multipli par le nombre dutilisateurs.
Une rgle plus complexe, mais plus rationnelle, consiste sappuyer sur le nombre de communications simultanes et utiliser des modles statistiques permettant de prvoir le nombre de canaux ncessaires en fonction de diffrents paramtres, tels que le nombre
dutilisateurs, la dure moyenne des communications, le taux de dbordement acceptable,
etc.
Les modles standards sappuient sur des distributions de Poisson qui permettent de convertir la nature alatoire des appels en probabilit, sur une unit de mesure appele Erlang ou
CCS (Centum Call Seconds).
En dfinitive, un travail dingnierie important est ncessaire pour prparer son rseau IP au
multimdia.
14
La qualit de service sur IP
Par dfaut, un rseau IP se contente dacheminer les paquets au mieux de ses possibilits, et
sans distinction. Tant que la bande passante (cest--dire le dbit) est suffisante, il ny a pas
de problme. Mais, en cas de saturation, les routeurs sont obligs de rejeter des paquets, invitant tous les metteurs rduire leur flux. En consquence, lutilisateur constate une dgradation des performances du rseau.
La notion de qualit de service (QoS, Quality of Service) introduit la possibilit de partager
le plus quitablement possible une ressource devenant de plus en plus rare, car partage par
un grand nombre de flux applicatifs qui peuvent interfrer les uns avec les autres. Elle introduit galement la possibilit de dterminer diffrents niveaux de service en fonction de la
nature de ce flux (une visioconfrence, un transfert de fichier, etc.).
Au chapitre 11, vous avez sans doute remarqu que la gestion de la qualit de service est dj prise en compte par des protocoles de niveau 2, tels quATM et Frame Relay. Alors pourquoi grer la QoS sur IP ? Parce que, lorsquune application gnre des flux sur un rseau
Ethernet, qui traversent ensuite un rseau ATM ou Frame Relay pour arriver sur un autre rseau local, le seul dnominateur commun est IP.
Dans ce chapitre, vous apprendrez ainsi :
344
LS 128 Kbit/s
Routeur 1
Routeur 2
En classant les paquets Telnet en priorit haute, les paquets IP comportant le port TCP 23
seront placs dans la file dattente priorit haute, tandis que les paquets FTP seront stocks
dans la file dattente priorit basse. Nos routeurs, qui sont de marque Cisco, grent ainsi
quatre files dattente correspondant quatre priorits : haute, moyenne, normale et basse
(high, medium, normal, low).
345
Il existe un jeu de files dattente par interface rseau. La priorit doit donc tre active sur
les interfaces srie qui mettent les flux FTP perturbateurs. tant donn que le transfert de
fichiers peut avoir lieu dans les deux sens, la mme configuration doit tre applique aux
deux routeurs :
Telnet
priority-list 1 protocol ip high tcp 23
priority-list 1 protocol ip low tcp 20
priority-list 1 protocol ip low tcp 21
int s 0
priority-group 1
FTP
En positionnant une priorit basse pour les flux FTP, les transferts de fichiers prendront plus
de temps mais ne perturberont pas les sessions Telnet. Lorsque plusieurs paquets sont en file
dattente, le routeur enverra de prfrence davantage de paquets Telnet que de paquets FTP.
,Afin doffrir le mme comportement sur lensemble du rseau, il faut configurer de manire identique tous les routeurs. De mme, les interfaces Ethernet pourraient tre traites
de manire identique si les rseaux locaux taient chargs. En fonctionnement normal, le
dbit de 10 Mbit/s suffit, en effet, absorber les flux FTP et Telnet. Ce nest quen cas de
charge que la perturbation se manifeste et que lactivation des priorits permet de
conserver le mme niveau de service que celui obtenu en fonctionnement non charg.
Il est intressant de spcifier plus en dtail un flux en utilisant une access-list :
priority-list 1 protocol ip low list 10
access-list 10 permit 10.0.0.1 0.255.255.255
346
Par dfaut, tous les autres paquets seront traits de la manire suivante :
priority-list 1 default medium
Il est galement possible de contrler indirectement le dbit en dfinissant le nombre maximal de paquets pouvant tre en attente :
priority-list 1 queue-limit 20 40 60 80
Les quatre chiffres indiquent le nombre maximal de paquets pouvant tre stocks dans les files dattente haute, moyenne, normale et basse (les valeurs indiques sont celles par dfaut).
Si la file dattente est pleine, les paquets en excs sont rejets, et un message ICMP source
quench est envoy lmetteur pour lui indiquer de ralentir le flux.
Cette stratgie a des limites, car elle est double tranchant lorsque le flux de paquets est important : si la file dattente est de trop grande dimension, les paquets saccumulent, ce qui a
pour consquence daugmenter le temps de rponse global. Si, en revanche, elle est de trop
petite taille, des paquets peuvent tre perdus, notamment entre deux rseaux de dbits diffrents (depuis un rseau Ethernet 10 Mbit/s vers un lien srie, par exemple) : le routeur rejette tout paquet entrant tant que ses files dattente sont satures.
Dans notre exemple, en abaissant ainsi 60 le nombre de paquets dans la file dattente
basse, le dbit maximal du flux FTP sera encore abaiss.
347
le seuil au-del duquel les paquets vont commencer tre rejets (cest--dire la taille
de la file dattente moins une petite marge), ici 64 paquets par file ;
le nombre de files dattente pouvant tre cres dynamiquement pour les flux sans
qualit de service (de type best effort), ici 256 files pour traiter simultanment 256 flux ;
le nombre de files dattente pouvant tre rserves par RSVP (voir plus loin), dans notre
cas aucune.
Les paquets qui disposent des mmes adresses IP source et destination, des mmes ports
source et destination et du mme champ TOS (voir plus loin) correspondent un mme flux.
Une fois identifis, tous les paquets du mme flux sont placs dans la mme file dattente.
La commande bandwidth , qui indique le dbit du lien rseau en Kbit/s, permet
lalgorithme de dfinir le nombre ncessaire de tampons dmission associs linterface
(gnralement quelques-uns).
Le mot weighted dans WFQ indique que lalgorithme prend en considration la priorit
indique dans le champ IP precedence du paquet (voir le paragraphe suivant ce sujet).
348
Une approche rcente, appele ECN (Explicit Congestion Notification), consiste indiquer
explicitement TCP quil y a une congestion, plutt que de laisser cette couche le deviner
en constatant que des paquets sont rejets dans le rseau. Les congestions peuvent ainsi tre
vites plus rapidement.
int s0
service-policy input flux
policy-map flux
class generique
bandwidth percentage 35
random-detect ecn
Rguler le trafic
Une autre alternative est de rguler le flux selon le principe du traffic shaping : le but de cet
algorithme est de donner un caractre prvisible aux flux en convertissant un flux erratique
en un flux peu prs constant.
Sur nos routeurs, lalgorithme peut tre appliqu lensemble du trafic, ou une portion de
celui-ci dfinie par une access-list :
Taille du burst en bits
Dfinitions identiques
celles du Frame Relay
dcrit au chapitre 11.
Burst en excs = nombre de bits
pouvant dpasser le dbit moyen.
1
2
3
4
DSCP (RFC 2474)
Bits
10
01
00
11
6 7
ECN
Description
ECT(0) ECN-Capable Transport
ECT(1) ECN-Capable Transport
ECT non support
CE Congestion Experienced
Par ailleurs, la RFC ajoute deux bits de contrle dans len-tte TCP.
Bits
ECE
E
C
E
C
W
R
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
CWR
Description
ECN-Echo : le rcepteur indique lmetteur quune congestion
a t dtecte au niveau IP
Congestion Window Reduced : lmetteur indique au rcepteur
quil a pris en compte la congestion en rduisant sa fentre
Autres bits : voir fin du chapitre 5
Lors de louverture dune session, les deux couches TCP impliques doivent ngocier le support ou non
dECN, puis ragir lorsque le bit CE est positionn par la couche IP.
f Lmetteur TCP rduit sa fentre
ECE / ACK
TCP
TCP
CWR
IP
IP
IP
ECT
IP
ECT / CE
ECT / CE
Lorsque la file dattente RED dpasse un seuil prdfini (seuil dalerte), le champ ECN est positionn
11 . Si un autre seuil est dpass (seuil de saturation), les paquets peuvent tre dtruits. Grce ECN, la
couche TCP peut donc ragir ds le seuil dalerte, cest--dire avant la congestion, alors quauparavant, elle
ragissait aprs la congestion, lorsque des paquets taient perdus suite une saturation. La RFC 2884
discute des avantages utiliser la notification de congestion au niveau IP.
349
350
La premire commande indique que le dbit moyen est limit 128 Kbit/s, mais quun dpassement de 32 kilo-bits est autoris pendant une demi-seconde (64/128). Cela signifie que
le dbit peut atteindre 192 Kbit/s (128 + 32/0,5) pendant une demi-seconde. Cette rgulation
sapplique aux flux FTP comme cela est indiqu dans laccess-list 101.
La deuxime commande est applique une interface Ethernet afin de limiter le dbit vers
ce rseau 5 Mbit/s en autorisant une pointe 6 Mbit/s (5 + 2/(10/5)) pendant 2 secondes
(10/5).
351
FIFO
WFQ
Au sein du rseau, sur des liens bas et moyen dbits (< 2 Mbit/s), pour grer les
congestions
WRED
Au sein du rseau, sur des liens haut dbit, pour prvenir les congestions
Traffic shaping
En entre ou au sein du rseau, pour lisser un flux erratique afin de limiter les risques de
congestion ou pour adapter le flux entre des rseaux dbits diffrents
Policing
En entre du rseau, pour adapter le flux entre des rseaux dbits diffrents
un temps de rponse ;
Afin de grer la qualit de service ncessaire au traitement des flux multimdias, trois modles sont actuellement proposs :
352
La premire valeur (de 0 7) correspond la priorit indique dans le champ Precedence . Les trois paramtres suivants indiquent quant eux :
le seuil minimal, en nombre de paquets dans la file dattente, partir duquel les paquets
commenceront tre rejets ;
le seuil maximal, en nombre de paquets dans la file dattente, partir duquel les paquets
seront rejets au rythme indiqu dans le paramtre suivant ;
la fraction de paquets rejets lorsque le seuil maximal est atteint, par dfaut un sur dix.
Afin de favoriser les paquets prioritaires, le seuil minimal est dautant plus lev que la priorit est grande. Lalgorithme WRED calcule la taille moyenne de la file dattente et la compare aux seuils. En cas de congestion, les paquets des files dattentes les moins prioritaires
seront rejets en premier.
Le seuil maximal est dtermin automatiquement en fonction du dbit de linterface et de la
mmoire disponible, tandis que le seuil minimal correspond une fraction du seuil maximal
dpendant de la priorit (par exemple, 1/2 pour 0, 10/18 pour 1, 11/18 pour 2, etc.). Les
commandes sh queueing et sh int random-detect permettent de visualiser les paramtres actifs.
353
TOS
3 bits
4 bits
Le champ IP Precedence indique au routeur la manire de traiter le paquet sur la base dune priorit allant
de 0 7 (RFC 1812), les deux dernires tant rserves au trafic de service (routage, etc.) :
0 = Routine
1 = Priority
2 = Immediate
3 = Flash
4 = Flash override
5 = Critical
6 = Internetwork control
7 = Network control
Les bits TOS (la RFC utilise malencontreusement le mme terme TOS pour loctet entier ainsi que pour ces
4 bits) indiquent la classe de service souhaite :
Bit
3
4
5
6
Description
minimize Delay
maximize Throughput
maximize Reliability
minimize monetary cost
Ces 4 bits positionns 0 indiquent tout simplement le service standard (le best effort).
Si le flux est conforme ce profil (conform-action), le paquet est plac dans la file dattente
tel quel. Dans le cas contraire (exceed-action), il est rejet.
354
La fonction de policing peut galement marquer le paquet, cest--dire lui affecter une priorit en fonction du respect ou non du profil de flux. On peut augmenter la granulomtrie de
cette dernire en prcisant le protocole (et ventuellement les rseaux, voire les adresses
source et destination) sur lequel va sappliquer le marquage :
rate-limit output access-group 101 5000000 24000 32000 conform-action
set-prec-transmit 1 exceed-action set-prec-transmit 0
access-list 101 permit tcp any any eq www
Nous avons dcid ici de limiter le flux des navigateurs Web (protocole HTTP), 5 Mbit/s.
La priorit est fixe 1 (prioritaire) sil se conforme la QoS, et 0 (best effort) dans le cas
contraire.
Sur notre backbone WAN 2 Mbit/s, connect en 100bT au LAN de notre site central, nous
dcidons de limiter le dbit 1 Mbit/s pour les paquets de priorit 1. Pour ceux de priorit 0,
il est limit 500 Kbit/s. Le burst autoris est de 500 Ko, et de 500 Ko en excs.
int e 1/0
rate-limit input access-group rate-limit 100 1000000 500000 500000 conform-action transmit exceed-action drop
rate-limit input access-group rate-limit 101 500000 250000 250000 conform-action transmit exceed-action drop
access-list rate-limit 100 1
access-list rate-limit 101 0
La commande access-list rate-limit est ici utilise pour affecter une priorit basse si le
volume du flux est important, et haute dans le cas contraire. Les diffrents quipements au
sein du rseau se chargeront dappliquer la QoS, par exemple, au niveau de leurs files
dattente WRED ou WFQ.
la place de laction drop , il est possible de marquer le paquet, par exemple, en lui baissant sa priorit :
rate-limit input access-group rate-limit 101 500000 250000 250000 conform-action transmit exceed-action set-prec-transmit 1
Une file dattente WRED, applique cette fois lensemble des flux, rejettera en priorit les
paquets de plus faible priorit. Ce double mcanisme cascad, permet au flux de dpasser le
dbit autoris, sil y a de la bande passante disponible, et dans le cas contraire, de rester dans
les limites autorises.
355
CHAPITRE 14
Classe de service
Limitation
PHB / DSCP
VoIP
Premium
512 Kbit/s
Expedited forwarding / 46
HTTP
Gold
25 % de la bande passante
Assured forwarding / 18
Autres applications
Best effort
256 Kbit/s
Best effort / 0
La classe de service Expedited forwarding, telle que dfinie par DiffServ, nous semble tout
indique pour traiter la voix sur IP, tandis que les applications devant faire lobjet dun traitement particulier, tel que lintranet, tombent dans la classe Assured forwarding. Les autres
flux, a priori non identifis, seront traits sur le mode du meilleur effort.
En respectant en cela les principes de DiffServ, les flux seront classs et marqus lentre
du rseau, tandis quau sein du rseau sera maintenue la gestion de la QoS (policing).
Figure 14-1.
Classificatoin, marquage et policing
au sein dun rseau
Contrle du flux (policing)
Classification et
marquage des paquets
E0
R1
S0
E0
R51
S1
S0
S2
S0
R52
R2
356
Sur les interfaces dentre des routeurs R1 et R2, les paquets sont donc classs et marqus
int e0
service-policy input set_dscp
policy-map set_dscp
class EF
set ip dscp 46
class AF21
set ip dscp 18
class CS0
set ip dscp 0
Le DSCP 46 correspond au
PHB Expedited forwarding.
class-map EF
match ip rtp 16384 32768
class-map AF21
match access-group 102
class-map CS0
match access-group 103
tandis que sur les interfaces de sortie de ces mmes routeurs, nous devons nous assurer
que les flux sont conformes notre politique de qualit de service (policing).
int s0
service-policy output maintien_qos
Lalgorithme WFQ traite en priorit la VoIP et lui
policy-map maintien_qos
garantit au moins 512 Kbit/s de bande passante.
class premium
priority 512
class gold
25% de la bande passante
bandwidth percent 25
est alloue au PHB AF21.
class best_effort
police 256000 0 0 conform-action transmit exceed-action drop
class-map premium
match ip dscp 46
class-map gold
match ip dscp 18
class-map best-effort
match ip dscp 0
2
3
DSCP
6 7
ECN
RFC 3168
Un codepoint permet de slectionner une classe de service de type PHB (Per-Hop Behavior) appliquer au
paquet, cest--dire la manire de traiter le paquet au sein de chaque routeur. Le codepoint xxx000 (issu du
pool 1) permet dassurer la compatibilit ascendante avec le champ IP Precedence. En particulier, le DSCP
000000 dfinit le PHB par dfaut, le best effort, tel que dfini dans la RFC 1812.
Les 3 premiers bits du champ DSCP dfinissent ainsi la classe de service (slecteur de classe), sur le
modle du champ IP precedence, tandis que les 3 derniers bits dfinissent la Drop Precedence, cest-dire la priorit avec laquelle les paquets seront rejets en cas de congestion.
Cette gestion de la QoS implique la mise en uvre des fonctions dcrites ci-aprs.
Le classificateur affecte une priorit et une classe de service au paquet en fonction de rgles paramtrables (adresses IP source et destination, port TCP/UDP, etc.).
Le conditionneur applique la qualit de service en fonction du champ DSCP. Il analyse le flux de donnes
(fonction de comptage metering) et le compare la QoS demande. Il peut alors redfinir la classe de
service (fonction de marquage marking) ou rguler le trafic, soit par lissage des pointes de trafic (traffic
shaping), soit par crtage des pics de trafic (policing).
Compteur
Paquet
Classificateur
Marqueur
Shaping / policing
357
358
Sur les routeurs du cur de rseau, comme R52, seules les files dattente WRED sont appliques.
int s0 ... s1 ... S2
service-class ctrl_qos
...
policy-map ctrl_qos
class gold
bandwidth percent 25
random-detect ecn
random-detect dscp-based
random-detect dscp 18 20 40 10
...
class-map gold
match ip dscp 18
Bien quil ny ait pas de standardisation en la matire, la classification des flux gnralement admise est la suivante :
Type de flux
Code DSCP
Nom commercial
CS7, CS6
56, 48
Critical / network
Voix
EF
46
Premium
Visio
34, 36, 38
Platinium
26, 28, 30
Gold
Critique
18, 20, 22
Silver
Prioritaire
10, 12, 14
Bronze
CS0
Best effort
Les 8 classes de service sont dfinies par les 3 premiers bits du champ DSCP (slecteur de
classe) qui reprend le principe du champ IP Precedence . La plus prioritaire est CS7, et la
moins prioritaire CS0.
Dans chaque classe de type Assured Forwarding, le PHB AFx1 est davantage prioritaire que
AFx2 qui lui-mme, lest plus que AFx3. Cette priorit est caractrise par la prsance de
rejet (Drop Precedence), dfinies par les 3 derniers bits du champ DSCP.
Les PHB de type CS correspondent une Drop Precedence gale 0.
Le tableau, ci-aprs, permet de mieux visualiser la signification des bits, des pools et des
codes DSCP par rapport aux PHB ainsi que les correspondances avec le champ IP Precedence (CS0=IPprec0=routine, CS1=IPprec1=priority, etc.).
Pool
Drop precedence
Bits du champ
DSCP
0 1 2 3 4 5
Valeur
dcimale
PHB
Bits du champ
DSCP
0 1 2 3 4 5
CS0
Valeur
dcimale
PHB
CS4
0 0
0 0 0
1 0
32
0 0
0 0 1
1 0
33
0 0
0 1 0
1 0
34
0 0
0 1 1
1 0
35
0 0
1 0 0
1 0
36
0 0
1 0 1
1 0
37
0 0
1 1 0
1 0
38
0 0
1 1 1
1 0
39
0 0
0 0 0
1 0
40
0 0
0 0 1
1 0
41
0 0
0 1 0
10
1 0
42
0 0
0 1 1
11
1 0
43
0 0
1 0 0
12
1 0
44
0 0
1 0 1
13
1 0
45
0 0
1 1 0
14
AF13
1 0
46
0 0
1 1 1
15
1 0
47
0 1
0 0 0
16
CS2
1 1
48
0 1
0 0 1
17
1 1
49
0 1
0 1 0
18
1 1
50
0 1
0 1 1
19
1 1
51
0 1
1 0 0
20
1 1
52
0 1
1 0 1
21
1 1
53
0 1
1 1 0
22
1 1
54
0 1
1 1 1
23
1 1
55
0 1
0 0 0
24
0 1
0 0 1
25
0 1
0 1 0
26
0 1
0 1 1
27
0 1
1 0 0
28
0 1
1 0 1
29
0 1
1 1 0
30
0 1
1 1 1
31
CS1
AF11
AF12
AF21
AF22
AF23
CS3
AF31
AF32
AF33
1 1
56
1 1
57
1 1
58
1 1
59
1 1
60
1 1
61
1 1
62
1 1
63
AF41
AF42
AF43
CS5
EF
CS6
CS7
359
360
Toutes les trames arrivant par le port 1/4 auront un champ COS fix doffice 0, moins
quune autre valeur par dfaut ne soit affecte au port.
Il nest ainsi pas ncessaire de grer la qualit de service au niveau du poste de travail et des
serveurs. Chacun deux tant raccord un port du commutateur, celui-ci se charge de marquer les paquets. Linconvnient est que ce marquage ne distingue pas le type de flux.
Si la priorit est dj fixe par un quipement terminal ou un autre commutateur (donc gnrant une trame 802.1q), il est possible de prendre en compte le champ COS :
set qos enable
set port qos 1/3 trust trust-cos
Le champ COS des trames 802.1q arrivant par le port 1/3 sera ainsi pris en compte.
361
48 bits
Adresse source
Adresse destination
16 bits
TPID
COS
TCI
16 bits
Long/Type
CFI
VLAN id
3 bits 1 bit
12 bits
Donnes
CRC
Cette trame n'est gnralement vhicule qu'entre les commutateurs, bien que les PC soient de plus en
plus souvent capables de la grer. Si cela nest pas le cas, les commutateurs enlvent le champ 802.1q
lorsquils transmettent la trame un quipement terminal (PC, serveur, etc.).
Sept classes de service (CoS) sont ainsi dfinies :
0 = Best effort
1 = Tche de fond (batch)
2 = Rserv
3 = Excellent effort
Certains pilotes de carte rseau permettent de grer la priorit directement au niveau du PC.
Marquage
362
Cette politique ne contient quune rgle de marquage, qui consiste marquer le champ
DSCP (Differentiated Service Code Point) de tous les paquets avec la valeur indique (0 par
dfaut).
Dautres marquages sont possibles en remplaant le mot cl dscp et sa valeur :
trust-dscp : le champ DSCP nest pas modifi et est accept tel quel.
trust-cos : le champ DSCP est modifi en fonction de la valeur contenue dans le champ
COS de la trame Ethernet 802.1q.
Marquage
Policing
Ces deux rgles limitent le dbit moyen 1 Mbit/s et le dpassement (burst) 1 Mo.
Le mot-cl microflow prcise que la rgle sapplique chaque flux considr individuellement, tandis que le mot-cl aggregate prcise quelle sapplique lensemble des flux.
Vient ensuite le type de traitement appliquer au paquet lorsque le flux ne correspond pas
au profil : le rejeter (drop) ou le marquer nouveau (policed-dscp).
Dans ce dernier cas, la commande suivante permet de dfinir les correspondances, soit par
plage de valeurs, soit individuellement :
Nouvelle valeur
set qos policed-dscp-map 63-62:62 61-60:60 ... 1-0:0
set qos policed-dscp-map 41:40
Anciennes valeurs
Les valeurs montres ici sont celles par dfaut qui sont conserves si elles ne sont pas explicitement redfinies.
363
Policing
Classification
La politique ainsi dfinie sapplique aux paquets IP provenant du rseau 10.0.0.0 et ayant
leur champ Precedence 0 (mot-cl routine). Les paquets se conformant aux profils
micro_de_base et aggr_de_base seront affects de la priorit drive du champ COS
de la trame 802.1q (mot cl trust-cos).
Les valeurs qui suivent le mot-cl precedence sont celles dcrites dans le champ TOS : routine, priority, immediate, flash, flash-override, critical, internet et network.
la place de ladresse IP et de son masque, on peut mettre le mot-cl any ou le mot cl host
suivi dune adresse IP.
Nos commutateurs nous offrent la possibilit de dcrire dautres types de politiques
sappliquant aux trafics TCP, UDP, ICMP, IGMP, etc. Par exemple, il est ainsi possible
daffecter une rgle chaque application (qui se distingue par son port TCP ou UDP) :
Marquage
set qos acl ip politique_web trust-ipprec
microflow micro_de_base
any tcp www
Policing
Classification
Les ports ou le trafic associs au VLAN 1 se verront appliquer la politique Web que nous
venons de dfinir.
364
untrusted : le champ DSCP est fix 0 ou par la valeur indique dans la politique de
qualit de service.
trust-cos : le champ DSCP est fix la valeur du champ COS de la trame Ethernet.
Chaque valeur correspond un DSCP compris entre 0 et 63. Les valeurs indiques dans cet
exemple sont celles par dfaut.
Lorsque le paquet est finalement envoy sur le port de sortie, le champ COS de la trame est
driv de la valeur DSCP (conserve ou marque nouveau) :
set qos dscp-cos-map 0-7:0 8-15:1 ... 48-55:6 56-63:7
365
au niveau des commutateurs de niveau 2 afin de grer la qualit de service sur le LAN
uniquement ;
Cette dernire solution est prfrable si les sites ne sont pas tous quips de cartes de commutation de niveau 3. Par ailleurs, la bande passante est gnralement suffisante sur le LAN
pour permettre de se passer dune gestion labore de la qualit de service.
Une dernire solution est propose par les constructeurs : laffectation des priorits au niveau des cartes Ethernet des postes de travail et des serveurs, cest--dire la source
dmission des trames et paquets.
366
Il faut donc affecter une classe de service chaque application que sont susceptibles
dutiliser les postes de travail et les serveurs. Et il faut, bien videmment, que toutes les cartes soient configures de manire identique.
Cette solution est cependant difficile mettre en uvre pour plusieurs raisons :
Tous les PC et serveurs doivent tre quips de cartes supportant cette fonctionnalit.
En outre, si les utilisateurs disposent des droits administrateurs de leur poste de travail, ils
peuvent changer les paramtres de leur carte rseau, ce qui fausse la politique de qualit de
service que vous vouliez mettre en place. Toutes ces contraintes rendent donc difficile la
gestion de la qualit de service au niveau des postes de travail.
La pratique la plus courante consiste en fait classer et marquer les paquets au niveau 3,
par les commutateurs fdrateurs, voire les commutateurs dtage sils sont de niveau 3. Si
le marquage est ralis au niveau 2, les commutateurs de niveau 3 ou routeurs doivent marquer les paquets IP en faisant correspondre le champ COS avec les 3 premiers bits du champ
DSCP et en ajoutant une prcdence de rejet selon une classification plus prcise.
367
La premire fonction fait lobjet des RFC 2211 2216 qui dfinissent les lments dun rseau intgration de service. La seconde est couverte par les RFC 2205 2209 qui dfinissent le protocole RSVP (Resource reSerVation Protocol).
La RFC 2210 tablit la liaison entre les deux fonctions : elle traite du fonctionnement de
RSVP au sein dun rseau intgration de service.
RFC
Sujet trait
2211
2212
2213
2214
2215
2216
2210
2205
2206
MIB de RSVP
2207
2208
2009
368
Contrle
dadmission
Traitement
rservations
Paramtrage
Interface
dentre
Classificateur
Ordonnanceur
QOS 1
Haute
QOS 2
Moyenne
Basse
Interface
de sortie
Une demande de rservation est traite par le module de contrle dadmission qui vrifie que lapplication a
le droit deffectuer une telle requte et que le rseau peut offrir la QoS demande sans remettre en cause
celles dj accordes.
Limplmentation logicielle de lordonnanceur dpend du routeur. La plupart dentre eux utilisent nanmoins
un algorithme standard de type WFQ (Weighted Fair Queue) ou WRED (Random Early Detection) pour la
gestion des files dattente.
De mme, le classificateur peut utiliser diffrents lments pour classer un paquet dans tel ou tel niveau de
service : ladresse IP et le port TCP/UDP sont des informations de base qui peuvent tre utilises.
Enfin, le mcanisme de rservation repose sur le protocole de signalisation RSVP (Resource reSerVation
Protocol) qui permet de demander tous les routeurs concerns de rserver des ressources.
369
Les paquets RSVP sont routs saut par saut, cest--dire de routeur routeur : chaque routeur travers, les paquets remontent donc la couche RSVP, puis sont rmis. Le routage
des paquets est assur par un protocole de routage quelconque, unicast ou multicast selon le
type dadresse.
Le protocole doit tre activ sur chaque interface :
Par dfaut, 75% de la bande
passante est gre par RSVP
int s 0
ip rsvp bandwidth
Un metteur de flux multimdia envoie priodiquement une annonce de chemin un destinataire unicast ou un groupe multicast (message Path). Chaque routeur, situ entre
lmetteur et le (ou les) destinataire(s), garde une trace de cette annonce avec les interfaces
dentre et de sortie du paquet.
Chaque destinataire peut demander rserver des ressources correspondant une qualit de
service telle que dfinie dans la RFC 2210 (message Resv).
Le logiciel RSVP, qui reoit une demande de rservation, procde aux traitements tels que
spcifis par la RFC 1633 :
contrle dadmission afin de garantir que la demande ne remettra pas en cause la QoS
dautres flux (lapplication a-t-elle le droit de faire une telle demande ? Est-elle
raisonnable ? etc.) ;
Si ces contrles sont positifs, le message Resv est envoy lmetteur en suivant la mme
route que le message Path mis. Chaque routeur situ entre le destinataire et lmetteur du
flux garde une trace de cette demande, et procde au mme contrle que dcrit prcdemment. Chaque routeur peut donc accepter ou refuser la demande (voir figure ci-aprs).
RSVP ne dfinit que le moyen dtablir une qualit de service entre un metteur et un destinataire en garantissant que les routeurs rserveront suffisamment de ressources (mmoire,
CPU, files dattente, bande passante sur les liaisons, etc.) pour assurer cette qualit de
service.
Figure 14-2.
Principe de fonctionnement
de RSVP.
R2
d
Le destinataire fait une
demande de rservation de
ressource (message Resv).
Groupe
224.10.1.1
R3
R4
Groupe
224.10.1.1
Demande IGMP
370
Sur nos routeurs, il est possible de dfinir quelle bande passante va pouvoir tre gre par
RSVP :
200 Kbit/s gre par RSVP
int s 0
ip rsvp bandwidth 200 20
fair-queue 64 256 10
Lalgorithme WFQ a galement t activ pour grer la qualit de service demande. Dix files dattente sont ainsi ddis RSVP : cest, en effet, le nombre de flux auquel nous nous
attendons (10 20 Kbit/s = 200 Kbit/s). Les valeurs par dfaut, 64 et 256, ont t conserves pour les autres files dattente.
Ce qui vient dtre expliqu implique deux choses :
que les piles TCP/IP des PC et des serveurs supportent le protocole RSVP ;
Le premier point est rsolu avec Windows 98, NT, 2000 et XP. Le second est, quant lui,
rsolu par les API RSVP disponibles dans Winsock 2.0. et sous la plupart des versions
dUnix. Ainsi, certaines applications, telles quInternet Explorer ou Netmeeting, prennent
directement en charge ce protocole pour les flux audio et vido.
Mais peu dapplications prennent actuellement en charge RSVP et les spcificateurs de QoS.
Heureusement, nos routeurs offrent une fonctionnalit intressante qui consiste simuler
lmission des messages Path et Resv par un serveur ou un PC.
Dans notre cas, qui sert dexemple, un serveur doit diffuser une vidoconfrence diffrents
utilisateurs via le protocole Proshare dIntel. Larchitecture est la suivante :
serveur envoie un
c Le
message Path tous les
membres du groupe.
R1
R2
195.5.5.1
195.5.5.5
d
Le destinataire fait une
demande de rservation de
ressource (message Resv)
R3
194.10.15.1
Groupe
224.10.1.1
194.10.10.10
R4
R5
194.10.10.1
Groupe
224.10.1.1
Groupe
224.10.1.1
194.10.15.5
371
La commande suivante permet de simuler la rception de messages Path par notre serveur
vido :
Adresse du serveur suppos envoyer le message Path.
#Routeur R2
ip rsvp sender 224.10.1.1
195.5.5.5
tcp
1652
4001
195.5.5.5 e0 20 5
Le routeur agit comme si une application sur le serveur dadresse IP 195.5.5.5 lui envoyait
un message Path pour ladresse de groupe multicast 224.10.1.1.
Les paramtres qui suivent sont :
les ports destination (tcp 1652 = vidoconfrence Proshare) et source (4001) les
mots-cls udp ou un port IP quelconque sont galement accepts ;
linterface physique par laquelle est cens transiter le message mis par le serveur ;
En retour, il est ncessaire de simuler lenvoi dun message Resv par le destinataire du flux :
#Routeur R5
ip rsvp reservation 224.10.1.1 195.5.5.5 tcp 1652 4001 194.10.10.10 e0
SE rate 20 5
Le routeur agit comme si une application sur le PC envoyait un message Resv pour ladresse
de groupe multicast 224.10.1.1 et vers le serveur 195.5.5.5.
Les paramtres qui suivent sont :
linterface physique par laquelle est cens transiter le message mis par le serveur ;
372
Nous devons galement nous assurer que les flux Telnet disposeront toujours de la bande
passante suffisante et des temps de rponse corrects :
#Routeur R2
Message Path
metteur
|Rcepteur
metteur
|Rcepteur
|Flux Telnet|Rcepteur
Toutes les interfaces de sortie (par rapport au flux du serveur vers le PC) de tous les routeurs
situs sur le chemin emprunt par le flux vido doivent pouvoir grer la qualit de service
demande, ce qui est ralis travers la file dattente WFQ. Si lon ne considre que notre
flux vido, cela donne :
# Routeur
int e1
(int e0 pour R2, in s0 pour R1, int e2 pour R4)
ip rsvp bandwidth 200 20
200 Kbits/s grs par RSVP
fair-queue 64 256 10
et 20 Kbits/s affects par flux
Pour les routeurs situs au sein de notre rseau qui utiliseraient lalgorithme WRED, il est
possible de modifier les seuils de rejet appliqus par dfaut RSVP :
random-detect precedence rsvp 205 218 10
Les paramtres montrs sont ceux par dfaut ; leur signification est identique celle donne
en page 352.
WF (Wildcard-Filter) : une seule rservation est faite pour les flux de tous
les metteurs (par exemple, pour une audioconfrence o le nombre de
personnes parlant en mme temps est limit).
R
E
Flux vido
FF (Fixed-Filter) : une rservation est faite par flux (par exemple, une
rservation par flux vido mis par chaque participant dune visioconfrence).
E
E
Flux vido
Flux audio
SE (Shared Explicit) : une seule rservation est faite pour les flux de quelques metteurs (elle est adapte, par exemple, une visioconfrence
associe une confrence audio).
E
E
Flux vido
Un routeur peut recevoir des demandes de rservation en provenance de diffrents destinataires qui
concernent un mme flux mis par un mme metteur. Les QoS demandes seront alors fusionnes en
une seule qui sera remonte, et ainsi de suite jusqu lmetteur du flux. La rservation qui est remonte
jusqu lmetteur du flux dpend alors du style des rservations mises par les destinataires.
R
Ce sont les rcepteurs
qui font les demandes
de rservation
Fusion
Fusion
R
R
Un message RSVP comprend plusieurs objets, eux-mmes structurs en plusieurs champs. Par exemple,
un message Resv comprend les adresses IP de lmetteur et du destinataire du message RSVP, la priodicit denvoi du message et le style de rservation, suivi des descripteurs de flux.
Afin de tenir compte des changements de topologie (apparition et disparition des routeurs et des membres
de groupe), les messages Path et Resv sont envoys priodiquement.
4 bits
Version
4 bits
8 bits
Options
Type de message
Checksum
Rserv
Longueur du message
TTL du paquet IP
16 bits
Longueur de lobjet 1
Classe de lobjet
Type de lobjet
Classe de lobjet
.
Type de lobjet
373
374
les paramtres dcrivant les caractristiques du flux de donnes pour lequel cette
demande de qualit de service est faite.
Ces paramtres sont regroups dans des objets transports dans les messages Resv.
375
CHAPITRE 14
Objets RSVP
Ces paramtres sont regroups dans des objets transports dans les messages Resv de RSVP.
Ces objets sont dcrits dans la RFC 2210 :
flowspec : est gnr par le rcepteur vers le ou les metteurs dun flux afin dindiquer
la QoS dsire. Les routeurs peuvent modifier les informations flowspec en cours de
chemin, notamment lors de la fusion RSVP.
sender_tspec : indique les caractristiques des flux que le ou les metteurs vont gnrer.
Les routeurs intermdiaires prennent en compte cette information sans la modifier.
rsvp_adspec : est gnr par le ou les metteurs dun flux, mais modifi par les routeurs
intermdiaires. Cet objet contient des informations collectes dans le rseau, relatives
aux dlais de transit dans chaque nud, la bande passante mesure sur les liaisons,
la classe de service supporte, etc. Chaque routeur modifie ou ajoute ses propres
informations dans ce paquet.
Figure 14-3.
RSVP avec lintgration de service (RFC 2210).
Winsock
RSVP
d
RSVP Resv
RSVP Flowspec
Routeur 1
Contrle
dadmission
Classificateur
Ordonnanceur
Module
RSVP
Contrle
dadmission
Classificateur
RSVP
Routeur 2
Contrle du
trafic
Winsock
Contrle du
trafic
Module
RSVP
Ordonnanceur
RSVP Path
RSVP ADSPEC
sender TSPEC
376
rspec (request specification) : si la classe de service demande est de type garantie. Cet
objet dcrit les caractristiques de la classe de service, cest--dire le dbit (exprim en
paquets par seconde) et la gigue maximale autorise (exprime en microsecondes).
# Sur un routeur :
ip rsvp policy cops servers 10.0.20.2
Profil tlcharger pour ce port
# Sur un commutateur :
set qos policy-source cops
set port qos 1/1 roles regulation
set cops server 10.0.20.2 diff-serv
# Sur un autre commutateur :
set qos policy-source cops
set cops server 10.0.20.2 rsvp
set cops domain-name domaine_multimedia
Concernant le serveur lui-mme et son interface graphique, il existe diffrents produits, tels
que QoS Policy Manager (Cisco), Orchestream (Network Computing), PolicyXpert (HP) et
RealNet Rules (Lucent).
377
Dans le mode E-LSP (EXP-Inferred-PSC LSP), le champ Exp du label MPLS est
utilis pour vhiculer la CoS et le Drop Precedence , les trois premiers bits du champ
DSCP tant copis dans ce champ. Un LSP (Label Switched Path) peut donc vhiculer
des paquets ayant diffrentes classes de service.
Dans le mode L-LSP (Label-Only-Inferred-PSC LSP), la CoS est code dans le label
tandis que le champ Exp contient le Drop Precedence . Un LSP ne vhicule alors
que des paquets ayant la mme CoS. Cest la seule option possible pour les LSR ATM.
Le terme PSC signifie PHB Scheduling Class. Le Drop Precedence indique que faire du
paquet en cas de congestion, la manire la plus simple consistant dtruire le paquet
linstar du bit CLP dATM.
Le mode E-LSP est actuellement le plus utilis, car les oprateurs ne proposent gnralement pas plus de quatre CoS.
Concernant IntServ, une extension de RSVP, appele RSVP-TE (RSVP Traffic Engineering) et spcifie par la RFC 3209, permet de distribuer les labels en mme temps quun
chemin est rserv pour une CoS donne.
Les travaux en cours sur le sujet peuvent tre trouvs sur le site www.ietf.org/
html.charters/mpls-charter.html.
15
Le routage
des flux multimdias
Qui dit multimdia dit galement diffusion dun flux audio ou vido plusieurs destinataires, dans le cadre dune confrence, par exemple. Un mme film vido peut ainsi tre dupliqu en autant de flux quil y a de destinataires.
Afin de limiter la charge induite sur le rseau, il est bien plus judicieux de dupliquer ce flux
au plus prs des destinataires. Pour ce faire, trois mcanismes doivent tre mis en place sur
notre rseau IP :
Sans cela, notre rseau IP serait vite engorg, surtout sur les liaisons WAN pour lesquelles
le dbit est compt.
Dans ce chapitre, vous apprendrez ainsi :
380
Figure 15-1.
Diffusion des paquets unicasts.
Routeur 1
Routeur 2
Routeur 3
Routeur 4
Cet exemple montre que ce type de fonctionnement nest pas adapt une diffusion : le rseau est inond par des paquets dupliqus ds la source dmission. Les adresses utilises
(classes A, B ou C) sont, en effet, de type unicast, car une adresse est associe une machine cible. Par extension, les paquets sont dits unicasts.
Ladressage IP propose une autre classe dadresses, la classe D. Ces adresses sont dites multicasts, car elles dsignent un groupe de machines. Il ne sagit pas dune adresse de broadcast, car seules les machines qui sont configures pour accepter une adresse multicast prendront en compte le paquet.
La plage rserve pour la classe D stend de 224.0.0.0 239.255.255.255. Ladresse
224.0.0.0 nest attribue aucun groupe ; ladresse 224.0.0.1 permet dadresser toutes les
machines sur un rseau (le rseau local sur lequel est mis le paquet). Ladresse 224.0.0.2
permet dadresser, plus spcifiquement, tous les routeurs sur un rseau.
Des adresses de groupes permanents sont attribues officiellement par lIANA (Internet Assigned Number Authority www.iana.org).
Groupe concern
224.0.0.1
224.0.0.2
224.0.0.4
224.0.0.5
224.0.0.6
224.0.0.9
224.0.0.13
224.0.0.14
224.0.1.1
224.0.1.5
Music-Service
224.0.1.16
IETF-2-Video
224.0.1.15
Microsoft-ds
224.0.1.24
Figure 15-2.
Diffusion d'un paquet multicast.
381
Routeur 1
Routeur 2
Routeur 3
Routeur 4
Sans les mcanismes du multicast, le serveur devrait, tout dabord, dterminer les destinataires (leur adresse IP ou leur nom), puis envoyer autant dexemplaires du paquet quil y a de
destinataires.
Ladresse IP source est toujours celle de la station qui envoie le paquet (une adresse unicast). Aucun paquet nest mis avec une adresse source multicast. Une adresse de classe D
identifie toujours un groupe de destinataires.
382
Sur les rseaux qui prennent en charge ce type dadressage, le multicast IP utilise les fonctions de multicast du niveau 2, cest--dire des trames multicasts. Sur un rseau Ethernet, les
paquets multicasts IP sont envoys dans des trames multicasts dont ladresse MAC de
destination commence par 01-00-5E . Les 23 derniers bits de cette adresse correspondent
aux 23 derniers bits de ladresse IP.
Figure 15-3.
Correspondance entre les adresses
multicasts IP et Ethernet.
225
Adresse IP de classe D
20
1 1 1 0 0 0 0 1 0 0 0 1 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0
(Lordre de transmission des bits est invers
au sein de chaque octet de la trame Ethernet)
Non copi
0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 1 0 1 1 1 1 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 1 0
0
Un PC envoie donc tous ses paquets multicasts IP dans une trame multicast Ethernet. Le
mcanisme de routage par dfaut (voir chapitre 9) ne sapplique, en effet, quaux paquets
unicasts.
Sur les rseaux ne disposant pas de la fonction multicast de niveau 2 (X.25, Frame Relay,
ATM, par exemple), les paquets multicasts sont transports dans les trames unicasts de niveau 2.
383
Par exemple, linterface Winsock offre les primitives permettant dentrer et de sortir dun
groupe :
Ces fonctions permettent la pile TCP/IP daccepter dune part les paquets dont ladresse IP
de destination lui correspond et, dautre part, les paquets dont ladresse IP de destination est
celle du ou des groupes multicasts auxquels linterface rseau est non jointe . La pile TCP/IP
maintient ainsi une liste dappartenance pour chaque interface rseau de la machine.
Ainsi, plusieurs logiciels utilisent dj le multicast votre insu :
les serveurs WINS de Windows NT, qui se placent doffice dans le groupe 224.0.1.24
qui est utilis pour dialoguer avec des partenaires de rplication ;
Si le routeur dispose de plusieurs interfaces sur le mme rseau local, une seule doit tre
configure avec IGMP.
On peut indiquer au routeur de devenir membre dun groupe. Cela permet aux exploitants de
savoir si un groupe est joignable en utilisant la commande ping. Si personne nest actif sur
ce groupe, le routeur pourra au moins rpondre au ping :
ip igmp join-group 224.10.1.1
Considrons lexemple suivant : chacun des deux routeurs est lu Demandeur pour un rseau en fonction de son adresse IP.
Figure 15-4.
Exemple
de configuration IGMP.
Groupes 224.10.1.1
et 225.20.2.2
Groupe
224.10.1.1
200.20.20.20
200.20.20.30
200.20.20.5
Le routeur 3 a t lu Demandeur
sur le rseau 200.20.20.0
200.20.20.6
Routeur 3
194.10.10.2
194.10.10.10
194.10.10.20
Routeur 4
Le routeur 4 a t lu Demandeur
sur le rseau 194.10.10.0
194.10.10.1
194.10.10.30
gnrale
c Demande
de rapport
dun rapport :
d Envoi
jappartiens au
Groupes 224.10.1.1
et 225.20.2.2
Groupe
224.10.1.1
Groupe
225.20.2.2
groupe 225.20.2.2
384
4 bits
8 bits
16 bits
Version
MRT
Non utilis
Checksum
Adresse de groupe
Format dun paquet IGMP
TCP
ICMP
IGMP
IP
Ethernet
Le champ MRT (Max Response Time) est utilis dans les paquets de demande de rapport pour indiquer, en
diximes de secondes, le dlai maximal autoris pour envoyer un rapport dactivit. Au-del de ce dlai, le
destinataire est considr comme ntant pas actif dans le groupe.
Un membre peut galement demander sortir du groupe (message destination de 224.0.0.2). Le routeur
Demandeur met alors une demande spcifique de rapport (adresse de destination identique celle du
groupe) pour sassurer quun membre au moins est encore actif.
Les routeurs sont lcoute de tout message multicast, et prennent donc en compte tous les
rapports. La commande suivante montre le rsultat obtenu sur un routeur Cisco :
Routeur3# show ip igmp interface
Ethernet0 is up, line protocol is up
385
Le routeur 3 nest pas Demandeur pour le rseau 194.10.10.0 ; il nenvoie donc pas de requte. En revanche, il prend en compte tous les rapports quil voit passer :
Routeur4# show ip igmp groups
IGMP Connected Group Membership
Group Address
224.10.1.1
224.10.1.2
224.10.1.1
225.20.2.2
Interface
Ethernet0
Ethernet1
Ethernet1
Ethernet0
Uptime
17:15:15
1:01:01
17:15:40
1:00:45
Expires
0:02:05
0:01:05
0:01:40
0:01:50
Last Reporter
194.10.10.20
220.20.20.30
220.20.10.30
194.10.10.10
De mme, le routeur 4 nest pas Demandeur pour le rseau 220.20.20.0 ; il nenvoie donc
pas de requte. En revanche, il prend galement en compte tous les rapports quil voit
passer.
La priodicit denvoi des demandes gnrales de rapports peut tre paramtre comme
suit :
ip igmp query-interval 120
386
Le choix de lun de ces protocoles dpend de nombreux paramtres. Les paragraphes suivants dcrivent donc leurs principes de fonctionnement, afin de mieux cerner leurs consquences sur larchitecture de notre rseau.
Figure 15-5.
Diffusion
des tables de routage DVMRP.
Groupe
224.10.1.1
N1 1
LS
R2
N2
up
up
up
Groupe
225.20.2.2
N7
R1
2
200
150
150
R3
N4
R5
N5
3
R4
2
N3
Groupe
224.10.1.1
387
La commande suivante permet dactiver DVMRP sur notre routeur R1, qui est un Netbuilder de marque 3com. Elle doit tre utilise pour chaque interface grant le trafic multicast.
La commande MIP permet dactiver le protocole IGMP :
setdefault
setdefault
setdefault
setdefault
Lorsque plusieurs routeurs coexistent sur le mme rseau local, seul lun deux a la charge
de diffuser les paquets multicasts, afin dviter leur duplication. Comme pour RIP, la route
choisie repose sur le plus petit nombre de sauts (la mtrique). En cas dgalit de mtrique,
le routeur dominant lu est celui qui possde la plus petite adresse IP.
Pour forcer R3 tre le routeur dominant sur le rseau N4, il faut lui attribuer une mtrique
infrieure celle de R4 :
#Routeur R3
setdefault !2 -DVMRP metric = 5
#Routeur R4
setdefault !2 -DVMRP metric = 10
La colonne FromGateway indique le routeur le plus proche qui mne la source (un
champ vide indique que le rseau est directement connect au routeur R4).
La colonne InPort (Incoming Port) indique linterface par laquelle arrivent les paquets
multicasts mis par la source prcise dans la colonne SourceSubnet .
La colonne OutPorts (Outgoing Ports) donne la liste des ports vers lesquels seront diffuss par dfaut les paquets multicasts issus de la source indique dans la colonne SourceSubnet . Un astrisque indique que le port conduit une feuille de larbre, cest--dire
quaucun routeur ne se trouve en dessous.
En plus de la table de routage, le routeur gre une table de diffusion construite lorsque les
premiers paquets multicasts transitent par le routeur. Elle permet denregistrer les groupes
identifis pour chaque rseau source.
388
OutPorts
1 2p
2p 3
2p 3
La colonne MulticastGroup indique la liste des groupes de diffusion des paquets en provenance de la source indique dans la colonne SourceSubnet . Les autres colonnes ont la
mme signification que celles de la table de routage. Lindicateur p (prune) indique
quun message de non-appartenance a t reu ; par consquent, aucun paquet multicast ne
sera envoy vers cette interface. Dans notre cas, cela indique que R3 est dominant.
Figure 15-6.
Routage
d'un paquet
multicast.
3
1
N1
Groupe
224.10.1.1
R2
N2
et R2 ajoutent le groupe
e R1
224.10.1.1 leur table de diffusion.
Rseau Groupe
TTL
N1
224.10.1.1 200
LS
R1
2
N3
In Out
1 2, 3p
R3
2
Groupe
225.20.2.2
1
R4
Groupe
224.10.1.1
est le routeur
f R3
Dominant. Aucun trafic
N4
R5
Dans notre rseau, le routeur R1 a diffus le paquet multicast vers les interfaces 2 et 3. Il
met alors jour sa table de diffusion. Linterface 3 a par la suite t marque p (pruned)
car le routeur R2 lui a renvoy un rapport de non-appartenance. En effet, ce dernier na dtect (via IGMP) aucun membre actif pour le groupe 224.10.1.1.
De mme, le routeur R5 renvoie un message de non-appartenance au routeur R3, qui ne lui
transmettra alors plus aucun paquet pour le groupe 224.10.1.1. Le routeur R3 fait ensuite de
mme vis--vis de R1 et R4.
4 bits
4 bits
Version
Type
8 bits
16 bits
Sous-type
Checksum
Cmde = AFI
Valeur = IP
Cmde = Mtrique
Valeur = 2
Cmde = Intinity
Valeur = 6
Cmde = Subnet
Compte = 1
Cmde = DA
Compte = 1
Valeur = 255.255.255.0
Valeur = 194.10
.10.0
Le champ Cmde contient le code dune commande qui dtermine la taille et la signification du champ
Valeur. Plusieurs commandes se suivent dans un paquet. Le champ Sous-type dtermine le type de message : requte, rponse, rapport de non-appartenance ou annulation dun rapport de non-appartenance.
La commande AFI est toujours prsente : elle indique simplement que la famille dadresses est IP (seul
support). La commande DA indique une adresse destination.
389
390
Linconvnient de DVMRP est que les paquets multicasts doivent priodiquement tre envoys aux routeurs situs en aval pour tenir compte dventuels changements de topologie
ou dappartenance un groupe (pour un groupe donn, les messages dannulation ne remontent que si un multicast a t prcdemment reu et un message de non-appartenance, mis).
Il en rsulte une nouvelle cascade de rapports de non-appartenance ou dannulation remontant vers les routeurs situs en amont.
Sur un rseau, tous les routeurs ne sont pas DVMRP. La mise en place du routage multicast
est, en effet, progressive. En outre, le fait de ne pas installer de routeurs DVMRP partout
permet de dfinir des domaines dans le but de circonscrire la diffusion des paquets multicasts.
Pour assurer nanmoins la diffusion des paquets multicasts, il est possible de crer un tunnel
entre deux routeurs DVMRP spars par des routeurs qui ne savent pas router les paquets
multicasts.
Figure 15-7.
Principe
du tunneling
DVMRP.
R1
Groupe
224.10.1.1
R3
Rw2
Rw1
Rw4
R2
Rw3
Rw3
195.50.5.5
Domaine 2
R4
R5
Groupe
224.10.1.1
Sur nos routeurs 3com, la cration du tunnel IP est ralise simplement en indiquant les
adresses des deux routeurs :
#Sur le routeur R3
setdefault !1 -DVMRP mon_tunnel = 194.10.10.1 195.50.5.5
#Sur le routeur R4
setdefault !2 -DVMRP mon_tunnel = 195.50.5.5 194.10.10.1
#Activation de DVMRP sur le tunnel
setdefault mon_tunnel -DVMRP control = enable
391
Afin dattnuer les effets dun trafic multicast important sur un rseau non dimensionn
pour cela, il est possible den limiter le dbit 64 Kbit/s, par exemple :
# Sur les routeurs R3 et R4
setdefault mon_tunnel dvmrp ratelimit = 64
De mme, il est possible daugmenter la priodicit dchange des tables de routage entre
les deux routeurs (60 secondes par dfaut) :
setdefault -dvmrp updatetime = 120
Enfin, la dure de validit des entres dans la table de diffusion peut galement tre allonge
(dans notre cas, 3 600 secondes) :
setdefault -dvmrp cachetime = 3600
Figure 15-8.
Diffusion
d'un paquet
multicast
par MOSPF.
e
R1
R2
e
R3
R4
e
R5
Demande IGMP
d
Rapport IGMP
Groupe
225.20.2.2
Groupe
224.10.1.1
392
Ds le premier enregistrement dun membre de groupe via IGMP, les routeurs sont considrs par OSPF comme tant membres du groupe. Ces routeurs schangent alors des messages dannonce dappartenance un groupe. Tous les routeurs savent dsormais quel routeur
appartient quel groupe.
Sur nos routeurs 3com, lactivation de MOSPF est effectue grce la commande suivante :
#Activation digmp
setdefault -mip control = enable
#Activation de mospf sur chaque interface
setdefault !1 -mospf control = enable
setdefault !2 -mospf control = enable
Le routage des paquets multicasts au sein dune aire est ralis en fonction de la source
(adresse IP unicast de la machine), de la destination (adresse IP multicast du groupe) et du
TOS (Type of Service). Le routeur construit pour cela un arbre SPF (Shortest Path First)
dont tous les routeurs non-membres du groupe indiqu dans le paquet ont t supprims. Cet
arbre est calcul la demande lorsquun paquet multicast arrive sur le routeur.
Figure 15-9.
Calcul de l'arbre
SPF lagu.
er
R1
N2
R2
R3
N4
R5
Groupe
224.10.1.1
R1
N1
R2
N2
Groupe
225.20.2.2
R4
R3
N6
R4
N6
R6
N4
N5
R5
R6
Groupe
224.10.1.1
routeur R3 calcule le
e Le
mme arbre et route le
paquet en consquence.
N5
Groupe
224.10.1.1
N3
Groupe
225.20.2.2
Dans cet exemple, il est noter que le routeur Demandeur IGMP doit tre un routeur
MOSPF, seul capable denvoyer des messages dannonce dappartenance un groupe.
Il faut donc affecter une priorit suprieure aux routeurs MOSPF pour quils soient lus routeurs dsigns (au sens OSPF).
4 bits
8 bits
16 bits
Options
Type = 6
Longueur
Vertex ID
Longueur du Vertex
393
394
Un routeur calcule autant darbres quil y a de participants une confrence, et calcule autant de variantes de cet arbre quil y a de groupes destinataires. La prise en compte du TOS
augmente encore le nombre de combinaisons.
Le nombre darbres peut donc tre trs important. Cest pour cette raison quils sont calculs
la demande et que le rsultat est conserv en mmoire cache. Cela implique galement
que, plus le nombre de machines et de groupes est lev, plus la CPU des routeurs est sollicite pour calculer les arbres.
Le rsultat du calcul dun arbre est conserv aussi longtemps quun trafic entre le couple
dadresses IP unicast source/multicast destination existe, et jusqu ce quun changement de
topologie intervienne. La taille mmoire requise est donc plus importante par rapport un
routeur OSPF classique (14 20 octets par triplet adresses source/groupe/TOS).
Le dimensionnement mmoire/CPU dpend du constructeur du routeur (architecture et puissance), de limportance du rseau (nombre de machines multicasts et nombre de groupes)
ainsi que des performances vises (utilisation intensive ou non des tlconfrences, utilisation du rseau dautres fins que le multimdia, etc.).
Il est galement recommand de limiter le nombre de TOS, voire de ne pas activer cette
fonctionnalit, afin de limiter le nombre de combinaisons darbres SPF.
La diffusion des paquets multicasts entre aires et systmes autonomes utilise le principe appel Multicast Forwader : les routeurs de bordure et les routeurs inter-AS dclars comme
tels ne sont jamais supprims des arbres SPF. En consquence, tous les paquets multicasts
leur seront envoys. De leur ct, ces routeurs calculent un arbre SPF pour chaque aire (ou
AS) laquelle ils sont rattachs.
Figure 15-10.
Routage
des paquets multicast
entre aires.
c
Aire 1
R
R
Groupe
224.10.1.1
e
d
R1
R2
Backbone area
R3
Aire 2
R
R
Groupe
224.10.1.1
395
CHAPITRE 15
Les annonces dappartenance un groupe sont diffuses au sein de laire 0 (backbone area)
par tous les routeurs de bordure. Tous les routeurs participant la backbone area connaissent
donc tous les groupes prsents au sein du systme autonome. Les informations provenant de
la backbone area ne sont cependant pas transmises aux autres aires. Seuls les Forwarders
conservent ces informations.
Larchitecture et le dimensionnement des rseaux constituant la backbone area sont donc
trs importants. Il faut tenir compte du nombre de postes de travail et de leur rpartition entre les aires. Laire backbone concentre, en effet, la somme des flux circulant dans chacune
des aires o les groupes sont actifs. Dans la mesure du possible, il est donc conseill de limiter le nombre daires ou bien de rpartir des groupes entre plusieurs aires.
La configuration pour dclarer Forwarder un routeur de bordure 3com est la suivante :
SETDefault -MOSPF MABR = Enable
AS 1 Rseaux 220.10.0.0
220.10.255.0
R
RF1
Groupe
224.10.1.1
R1
R2
Domaine DVMRP
DVMRP se charge du
routage entre les systmes
autonomes.
R3
AS 2
Rseaux 220.20.0.0
220.20.255.0
RF2
R
Groupe
224.10.1.1
396
La configuration suivante doit donc tre effectue sur nos routeurs frontire RF1 et RF3 (ici,
lexemple concerne RF1) :
#Active la
add -dvmrp
#Active le
setdefault
#Active la
add -mospf
#Active le
setdefault
Loption Aggregate permet de diffuser une seule route pour les routes comprises entre
220.10.0.0 et 220.10.255.0 au lieu de diffuser 256 routes.
Le systme permet de mler des routeurs OSPF et MOSPF. Cependant, aucune machine situe derrire un routeur OSPF ne recevra les messages multicasts. Il doit donc y avoir continuit des routeurs MOSPF tout au long des routes menant vers les machines multicasts.
linverse de DVMRP, le tunneling nest, en effet, pas support.
De plus, il faut toujours que le routeur dsign sur un rseau local soit un routeur MOSPF,
sinon les requtes IGMP nalimenteront pas le protocole de routage multicast. Pour cela, il
faut assigner une priorit suprieure aux routeurs OSPF galement configurs en MOSPF.
dense (densit leve), qui est adapt des rseaux haut dbit et des situations o les
membres de groupes sont gographiquement proches ;
sparse (clairsem), qui correspond aux cas de figures o les rseaux ont de plus faibles
dbits et o les membres de groupes sont trs disperss.
397
Le mode sparse (PIM-SM) ncessite de convenir dun routeur qui tienne lieu de point de
rendez-vous pour chaque groupe. Un routeur peut tre le point de rendez-vous pour plusieurs groupes. Il peut exister plusieurs points de rendez-vous pour un groupe, mais un seul
doit tre actif un moment donn.
Principe de PIM-SM
Pour un couple rseau source/groupe multicast, un routeur PIM-SM bascule entre deux algorithmes de routage : un dont le chemin passe par le point de rendez-vous, et un second qui
bnficie dun chemin direct entre la source et la destination. Pour le premier, le calcul de la
route stablit partir dun arbre partag dont la racine est le point de rendez-vous (Rendezvous Point shared tree). Pour le second, ce calcul se fonde sur un arbre du plus court chemin
dont la racine est la source dmission du paquet multicast (source shortest path tree).
Si plusieurs routeurs sont connects au mme rseau local, celui dont ladresse IP est la plus
leve sera lu routeur dsign et aura charge denvoyer et de recevoir les messages
Join/Prune. Pour dcouvrir ses voisins, un routeur met priodiquement un message Hello
dont la priodicit par dfaut est de 30 secondes :
ip pim query-interval 30
Tous les routeurs dsigns dont les membres actifs appartiennent un mme groupe
senregistrent auprs du mme routeur, appel point de rendez-vous (RP). Les routeurs intermdiaires enregistrent galement cette information et font de mme auprs du RP. Ce
dernier peut donc calculer un arbre de routage pour un couple adresse rseau source/adresse
multicast de groupe. En dfinitive, le RP connat tous les rseaux sources susceptibles
dmettre et de recevoir des paquets multicasts au sein dun groupe donn.
Pour terminer cette introduction, plusieurs routeurs peuvent tre candidats llection du
point de rendez-vous. Lun deux est lu routeur bootstrap ; il est charg de dsigner le RP
actif pour chaque groupe. Il en rsulte de nouveaux messages dannonce entre les RP.
398
En retour, un routeur diffuse les paquets multicasts uniquement vers les interfaces partir
desquelles des messages Join/Prune ont t reus (et qui correspondent un couple adresse
source unicast/groupe multicast).
Figure 15-12.
Calcul des routes par le routeur
point de rendez-vous.
Tous les routeurs qui ont des membres actifs pour le groupe
224.10.1.1 se signalent auprs du Point de Rendez-vous.
Groupe
224.10.1.1
225.20.2.2
Source
194.10.10.1
194.10.10.1
LS
Interface
s0
s0
R1
Join/Prune
Groupe
225.20.2.2
Rapport IGMP
N7
R2
Demande IGMP
R4
R3
Groupe
224.10.1.1
Routeur Point de
Rendez-vous pour le
groupe 224.10.1.1
Join/Prune
R5
R6
Groupe
224.10.1.1
Les commandes suivantes permettent dactiver PIM sur nos routeurs Cisco :
ip multicast-routing
interface ethernet 0
ip pim sparse-dense-mode
Aucune autre configuration nest requise pour les routeurs intermdiaires et le routeur point
de rendez-vous.
En revanche, tous les routeurs susceptibles denregistrer des membres de groupe doivent
pointer vers le routeur point de rendez-vous :
access-list 1 permit 224.10.1.1
access-list 1 permit 222.20.2.2
ip pim rp-address 220.20.20.6 1
Laccess-list 1 prcise la liste des groupes pour lesquels le routeur 220.20.20.6 sera lu point
de rendez-vous.
399
Principe du routage
Le premier paquet multicast mis par un PC est envoy dans un paquet multicast IP qui est
pris en charge par le routeur PIM-SM dsign. Celui-ci encapsule ce paquet dans un paquet
unicast destination du RP. Le RP dcapsule ce paquet et lenvoie tel quel (donc sous forme
multicast) aux membres du groupe (les routeurs qui se sont dclars).
Figure 15-13.
Principe
du routage
PIM-SM.
Paquet unicast
R1
Paquet multicast
R2
Demande IGMP
R3
R4
R5
Groupe
225.20.2.2
Groupe
224.10.1.1
R6
Paquet multicast
Groupe
224.10.1.1
Tous les messages passent donc par le RP, ce qui nest pas forcment une route optimale.
Si le trafic multicast persiste, un routeur (la source, la destination ou le RP) peut alors dcider que le flux emprunte un chemin direct entre la source et la destination. Les routeurs
concerns basculent alors dun arbre de routage dont la racine est le RP vers un arbre du
plus court chemin dont la racine est la source.
Dans notre rseau, le routeur R1 cre la table de routage suivante :
Router4# show ip pim interface
Address
Interface
Mode
220.20.20.6
197.10.10.0
Ethernet0
serial0
sparse
sparse
Neighbor
Count
2
1
Query
DR
Interval
30
220.20.20.6
10
0.0.0.0
La colonne Address indique ladresse du routeur vers lequel envoyer les paquets router via
linterface spcifie dans la colonne Interface.
La colonne Neighbor count indique le nombre de voisins dcouverts sur cette interface.
La colonne DR indique ladresse du routeur dsign.
400
4 bits
8 bits
16 bits
Version
Type
Longueur adresse
Checksum
Nombre de groupes
1
re
Le champ Nombre de groupes indique le nombre de groupes dcrits dans le message (nots 1, 2, etc.).
Le champ Adresse de la source indique que le routeur transmettra (ou non, sil est dans ltat Prune) un
paquet multicast issu de cette source sil provient de linterface par laquelle il envoie ce message
Join/Prune. Une adresse source peut tre celle dun routeur, dun rseau ou dun agrgat de rseaux.
Les routeurs diffusent les paquets multicasts uniquement vers les interfaces par lesquelles sont entrs des
messages Join/Prune. Par ce biais, chaque routeur connat la topologie du rseau et calcule un arbre de
routage (soit partag, soit du plus court chemin) pour chaque couple Source/Groupe. Les routeurs
schangent, par ailleurs, des messages Hello pour dcouvrir leurs voisins.
Les messages PIM sont envoys dans des paquets unicasts (Register et Register-stop) et multicasts
224.0.0.13 (Hello, etc.) en utilisant le protocole n 103 au-dessus dIP.
401
Il est noter que le mode NBMA consomme de la mmoire puisquil garde trace de toutes
les adresses IP sources arrivant par lintermdiaire de linterface WAN.
De mme, le mode source shortest path tree requiert davantage de mmoire que le mode RP
shared tree. En revanche, il rduit la charge rseau et optimise le chemin (il nest plus besoin de passer par le RP).
Les routeurs Cisco basculent du mode shared vers le mode shortest path ds le premier paquet mis. Cependant, il est possible de nactiver le basculement qu partir dun certain dbit constat, en dautres termes, quand cela en vaut la peine.
ip pim spt-threshold 64 group-list 1
La commande prcdente indique que le basculement soprera lorsque le flux multicast aura atteint 64 Kbit/s pour les groupes figurant dans laccess-list 1.
DVMRP
MOSPF
PIM
Diffusion priodique de
lintgralit des tables
Centralise au niveau du
point de rendez-vous (PR)
Diffusion
du premier paquet
Protocole de routage
DVMRP
Oui
Oui
402
DVMRP est le protocole le plus ancien et le moins performant (il prsente les mmes dfauts que RIP). Linondation rgulire des paquets multicasts ainsi que la diffusion priodique des tables de routage ne font pas de DVMRP un protocole adapt aux grands rseaux.
MOSPF est le protocole le plus performant au sein dune aire ; il est relativement performant entre aires. Entre systmes autonomes, lusage de DVMRP est requis pour le multicast
(en plus de BGP pour lunicast), ce qui peut prsenter quelques inconvnients.
PIM est adapt aux grands rseaux et notamment Internet, l o les membres dun mme
groupe sont trs disperss. Dans un petit rseau, cet avantage se transforme en inconvnient,
car le routeur de point de rendez-vous nest pas obligatoirement situ sur le meilleur chemin
( moins que le rseau soit trs centralis).
Dautres considrations, non techniques, entrent en jeu :
Les RFC de DVMRP (date de 1988) et de PIM (date de 1998) nen sont quau stade
exprimental, alors que celle de MOSPF (date de 1994) en est ltat de proposition
de standard.
En outre, DVMRP est le plus rpandu au sein de MBONE (Multicast Backbone, une
portion dInternet exprimentant le multicast). Son utilisation est donc requise, au
moins sur le routeur de frontire utilis en interconnexion avec ce rseau.
En conclusion :
Si vos routeurs sont de marque Cisco, PIM est le seul choix possible.
Si votre rseau fonctionne avec OSPF et ne comprend pas de routeurs Cisco, le choix de
MOSPF va de soi.
Utilisez DVMRP entre les systmes autonomes et pour vous raccorder MBONE.
Ltape suivante consiste dfinir larchitecture la mieux adapte au protocole choisi, afin
de limiter le trafic gnr par les routeurs.
Si plusieurs routeurs sont prsents sur le mme rseau local, il faut dterminer quel est le
meilleur candidat llection du Demandeur. Le processus dlection dpend du protocole
de routage activ. Pour les routeurs DVMRP, le routeur Demandeur IGMP est celui qui a la
plus petite adresse IP ou celui dont la mtrique est la plus faible. Pour les routeurs MOSPF,
il sagit du routeur dsign OSPF (celui dont la priorit est la plus basse), tandis que pour
PIM, il sagit de celui dont ladresse IP est la plus haute.
403
Figure 15-14.
Optimisation
des flux DVMRP.
R1
Rseau fdrateur
R2
R3
RP
On le voit, DVMRP est adapt un rseau localis sur un site ou un campus avec un rseau
fdrateur haut dbit.
Aire 1
R
R
Backbone area
Rb2
Rb3
404
MOSPF est adapt aux grands rseaux mais limit un seul systme autonome. En effet, la
concentration des flux entre AS est encore augmente, limage de la concentration sur la
backbone area.
Figure 15-16.
Optimisation des flux
entre systmes autonomes.
Rb3
Rb2
Rb4
Rb5
Rb1
RF1
AS 1
AS 3
RF2
RF2
AS 2
Rb6
Entre systmes autonomes, DVMRP doit tre configur en point point, ou en multipoint
sur un rseau fdrateur haut dbit, et ce afin doptimiser le flux multicast.
Afin de limiter la taille des tables de routage, les routes redistribues entre DVMRP et
MOSPF doivent tre agrges. Les adresses rseau doivent donc tre contigus au sein dun
systme autonome (voir chapitre 12).
Figure 15-17.
Optimisation
des flux PIM.
R1
Rseau fdrateur
RP
R2
R3
R1
R2
R3
Rseau fdrateur
RP
405
Si les membres dun groupe sont rpartis entre plusieurs sites, la meilleure position du RP se
situe sur un routeur WAN.
Figure 15-18.
Flux PIM
sur un rseau intersite.
Liaison WAN
haut dbit
Rseau fdrateur
RP
Rseau fdrateur
Rw2
R
R
RP
Rw3
R
R
Il est conseill de paramtrer les routeurs PIM pour basculer rapidement vers larbre du
meilleur chemin, afin de ne plus passer inutilement par le RP. Les routeurs Cisco basculent
ds le premier paquet : la commande ip pim spt-threshold ne doit donc pas tre utilise. Le
revers de la mdaille est un basculement inutile si le flux multicast est sporadique, ce qui entrane une plus grande consommation de bande passante rseau (pour les messages
Join/Prune) et de ressources CPU sur tous les routeurs qui calculent le nouvel arbre du meilleur chemin. En outre, ce dernier utilise beaucoup de ressources mmoire, dautant plus
quun arbre par couple adresse source/adresse de groupe est ncessaire.
Par ailleurs, des messages Bootstrap circulent entre les routeurs point de rendez-vous, ajoutant encore des flux de gestion propres PIM.
Tout est donc affaire de dosage en fonction du nombre dutilisateurs et du type de trafic. Du
fait de la complexit du protocole PIM, la conception de larchitecture rseau nen est que
plus difficile.
Laccess-list 90 contient la liste des adresses de groupe qui seront autorises tre diffuses
sur linterface Ethernet 0.
406
Il est galement intressant de contrler le dbit gnr par les membres dun groupe, pour
ne pas pnaliser les autres applications et, galement, pour ne pas inonder votre rseau.
Figure 15-19.
Contrle du trafic multicast.
194.10.10.0
LS 128 Kbps
Routeur 2
Routeur 1
Groupe
224.10.1.1
Limitation du trafic
multicast transitant
sur le lien WAN
Groupe
224.10.1.1
Dans cet exemple, les membres indiqus dans laccess-list 90 et qui mettent au sein des
groupes prciss dans laccess-list 80 sont limits un dbit de 64 Kbit/s sur la liaison
WAN. Cette limite peut tre positionne en entre (in) ou en sortie (out) de linterface.
interface serial 1
ip multicast rate-limit out group-list 80 source-list 90 64
access-list 80 permit 0.0.0.0 255.255.255.255
access-list 90 permit 194.10.10.0 0.255.255.255
ip multicast rate-limit in group-list 80 source-list 90 64
Dans lexemple prcdent, tous les multicasts issus du rseau 194.10.10.0 seront limits
64 Kbit/s, laissant une bande passante de 64 Kbit/s disponible pour les autres applications.
Reprenons lexemple de notre rseau intersite.
Figure 15-20.
Contrler
la diffusion.
Domaine 3
Domaine 1
R1
R3
Groupe
224.10.1.1
Rw1
Rw2
R2
Rw3
Domaine 2
R
R
Groupe
225.20.2.2
407
Si DVMRP est utilis, tous les premiers paquets multicasts mis par une source pour un
groupe donn sont diffuss travers lensemble du rseau (tant quil y a des routeurs
DVMRP). Comme on la vu, DVMRP est oblig de rpter cette procdure rgulirement
afin de tenir compte des changements de topologie et dappartenance un groupe.
Cest galement le cas de MOSPF, dans la backbone area, et de PIM, au niveau des rseaux
auxquels est connect le routeur point de rendez-vous.
Les routeurs permettent de limiter la propagation de ces paquets en contrlant leur TTL
(Time To Live). Ce mcanisme impose quun paquet IP ne soit pas rout si son TTL est gal
1. Le mcanisme propos permet de dfinir un seuil suprieur en dessous duquel le paquet
ne sera pas rout.
Figure 15-21.
Limitation de la diffusion
des paquets.
Le routeur R1 diffuse le paquet
multicast avec un TTL calcul en
fonction des tables de routage.
TTL=1
TTL=6
TTL=5
R1
R3
Groupe
224.10.1.1
3
1
Rw1
R2
Rw2
Domaine 1
3
TTL=4
Rw3
Domaine 2
R
R
Groupe
225.20.2.2
Seuls les paquets dont le TTL est suprieur au seuil de 32 seront routs par les routeurs Rw1
et Rw3 sur leur interface srie 3. La commande Cisco est la suivante :
int s3
ip multicast ttl-threshold 32
408
Primtre
32
Site
64
Rgion
128
Continent
255
Des mcanismes propres IGMP sont galement prvus pour limiter le trafic local :
Les rapports sont envoys avec un TTL = 1, ce qui permet de supprimer le paquet
rapidement : le rapport est cens tre adress uniquement au routeur du rseau local.
Les groupes de paquets compris entre 224.0.0.0. et 224.0.0.255 ne sont jamais routs : de
tels paquets transitent dune machine vers un routeur, dun routeur vers un autre routeur, et
ce quelle que soit la valeur du TTL (en principe gale 1).
16
La tlphonie
et la vido sur IP
On entend souvent la conversation suivante entre un sceptique et un convaincu propos de
la tlphonie sur IP :
Est-ce que a marche ?
Oui.
Mais, est-ce que a marche bien ? Est-ce que la qualit de service est bonne ?
La rponse est : oui, a marche, et mme trs bien !
Maintenant que vous avez prpar votre rseau au multimdia, vous pouvez, en effet, mettre
en place des solutions de tlphonie et de visioconfrence.
Dans ce chapitre, vous apprendrez ainsi :
Les protocoles H.323 de lITU-T sont ici expliqus dans le dtail, car tous les produits du
march reposent sur cette norme. Mais, lavenir, cette dernire pourrait tre remplace par
son concurrent SIP (Session Initiation Protocol RFC 2543) promu par lIETF. Les deux
normes pourraient ventuellement cohabiter, SIP se posant en interface applicative, donc de
plus haut niveau que H.323.
410
Rseau
Caractristiques
du rseau
Norme ITU-T
RNIS
(rseau numrique
intgration de service)
Commutation de circuit
Voix numrique
H.320
ATM
(Asynchronous Transfer Mode)
Commutation de cellules
Voix numrique
H.321
Rseaux WAN
avec qualit de service
Frame Relay
Voix numrique
H.322
Rseau VoIP
(Voice over Internet Protocols)
Commutation de paquets IP
Voix numrique
H.323
RTC
(rseau tlphonique commut)
Commutation de circuit
Voix analogique
H.324
H.320
H.321
H.322
H.323
H.324
Rseau
RNIS
ATM
WAN QoS
VoIP
RTC
Codec vido
H.261
H.263
H.261
H.263
H.261
H.263
H.261
H.263
H.261
H.263
Codec audio
G.711
G.722
G.728
G.711
G.722
G.728
G.711
G.722
G.728
G.711
G.722
G.728
G.723
G.729
G.723
Adaptation
H.221
H.222
H.221
H.225
H.223
Signalisation
H.242
H.242
H.242
H.230
H.245
H.225
H.245
H.230
Confrences
multipoint
H.231
H.243
H.231
H.243
H.231
H.243
H.323
Donnes
T.120
T.120
T.120
T.120
Couche
de transport
I.400
I.363
AAL
I.400
TCP/IP
411
Fils
Ainsi, la norme H.323 dcrit un cadre gnral de fonctionnement pour un terminal multimdia fonctionnant sur IP. Elle implique lutilisation dautres normes dcrites, cette fois-ci, par
des RFC (Request For Comments) de lIETF. Il sagit notamment de RTP (Real-time
Transport Protocol) qui dcrit le format dun paquet transportant des donnes (un chantillon sonore, une portion dun cran vido, etc.).
une passerelle qui permet linterconnexion avec les autres rseaux H.32x tels que le
RTC ;
un PABX IP, appel gatekeeper, qui offre le routage, la conversion dadresses ainsi
que la coordination de lactivit de toutes les entits H.323.
412
Figure 16-1.
Entits dcrites
par la norme H.323.
Gatekeeper
( PABX)
Routeur
Internet
Terminal
H.323
Passerelle
PC avec un logiciel respectant
les standards H.323 (par
exemple, Netmeeting)
RNIS
RTC
Fax
Terminal
H.320
Terminal
H.324
la gestion des tables de correspondance entre les noms des terminaux (le nom de la personne), un numro de tlphone E.164, une adresse e-mail et les adresses IP ;
Le terminal, enfin, se prsente sous des formes diverses. Il peut prendre laspect dun tlphone classique quip dune interface Ethernet dont la prise RJ45 est connecte un commutateur de notre rseau local. Il peut galement tre un PC dot dun logiciel de communication tel que Netmeeting de Microsoft. Le terminal intgre alors limage, en plus de la
voix, ce qui permet aux utilisateurs dtablir des visioconfrences directement entre eux. Le
PC devient ainsi un terminal multimdia traitant la voix, les donnes et limage.
413
Le schma suivant prcise ce que la norme H.323 couvre (carrs blancs) et les lments
obligatoires (en gras). Les lments griss correspondent aux protocoles spcifis par les
RFC sur lesquelles sappuie la norme H.323 pour transporter les informations sur un rseau IP.
Figure 16-2.
Protocoles utiliss par la norme H.323.
Codec audio
G.711 , G.722,
G723, G.728, G.729
H.323
Codec vido
H.261, H.263
Donnes
T.120
Signalisation
H.225 (RAS & Q.931)
H.235, H.450
Signalisation
H.245
UDP / TCP
TCP
Adaptation H.225
TCP
La norme H.235 recouvre les fonctions de scurit (authentification, intgrit des donnes,
chiffrement, etc.). La norme H.450 dcrit, quant elle, les services complmentaires (identification de lappelant, transfert dappel, rappel sur occupation, etc.).
Selon ce schma, un terminal H.323 doit donc comprendre :
une couche H.225 qui assure ladaptation des protocoles de lITU ceux de lIETF ;
un MC (Multipoint Controler) pour ngocier, via H.245, les niveaux de service entre
les terminaux et les ressources utilises au sein dune confrence (canaux audio et vido, adresses multicasts, etc.) ;
En pratique, toutes les entits H.323 intgrent un MC pour participer des confrences, tandis quun MCU intgre les deux composants pour grer lesdites confrences.
414
un canal de contrle H.245 qui permet dchanger les fonctionnalits supportes par les
entits (codec audio et vido, T.120), douvrir et de fermer les canaux audio, vido et
donnes ;
Lutilisation des services dun gatekeeper, et donc louverture dun canal RAS, est optionnelle. Les entits H.323 peuvent, en effet, communiquer directement entre elles.
Setup
Call proceeding
Alerting
Connect
Un message Q.931 comporte un en-tte, suivi dun certain nombre d'lments d'information obligatoires ou
non. Par exemple, le message Connect contient, en plus de l'en-tte, les lments d'information suivants
: Bearer capability , Connect-UUIE , et optionnellement Progresss indicator , Notification Indicator ,
Facility , etc.
8 bits
16 bits
8 bits
Discriminator (=08)
Type de message
lment d'information
lment d'information
etc.
etc.
16 bits
Longueur (= 5 ou 6)
Multiplier rate
Layer 1 protocol
Transfer capbility
8 bits
Transfer rate
16 bits
Longueur
{ 0 0 8 2250 0 3 },
ipAddress : { ip '0A0C0006'h port 011026 } ,
{ terminal { }, mc FALSE, undefinedNode FALSE },
5A 1E 55 55 8A B0 CF 72 00 00 00 00 17 00 86 B4,
CallIdentifier,
H245Security (champ optionnel),
Sequence of ClearToken (champ optionnel),
Sequence of CryptoH323Token (champ optionnel),
Sequence of octet string (champ optionnel) }
415
416
Figure 16-3.
Utilisation
des passerelles
pour interconnecter
les PABX via IP.
S0
Paris
PVC Frame-Relay
172.16.0.1
S0
172.16.0.2
Londres
10.12.0.1
10.0.0.1
E0
10.0.0.10
E0 10.12.0.10
CAS
0/x
E&M
gwpar1
gwlon1
0/0/0
PABX
PABX
Nous avons choisi des routeurs Cisco comme passerelles, mais cela aurait pu tre des PC
quips de cartes de mme nature que celles des routeurs.
La premire tche est de configurer les liaisons entre les passerelles et les PABX, ce qui est
ralis de la manire suivante :
Configuration dune liaison numrique CAS entre le PABX parisien et la passerelle gwpar1
#gwpar1
controler E1 0
framing crc4
linecode ami
mode cas
voice-group 1 timeslot 1-6 e&m-immediate
voice port 0/1
voice port 0/2
voice port 0/3
...
6 canaux sont utiliss
#gwlon1
voice-port 0/0/0
signal immediate
operation 4-wire
type 2
voice-port 0/0/1
signal immediate
operation 4-wire
type 2
417
Nous nentrerons pas dans les dtails, car ce domaine dpasse le cadre de cet ouvrage. Il
faudrait, en effet, expliquer le fonctionnement des signalisations utilises par les PABX
classiques.
Ltape suivante consiste configurer les liaisons entre les deux passerelles. Il sagit cette
fois de transporter la voix sur IP laide des protocoles H.323.
Les utilisateurs des postes tlphoniques connects aux PABX manipulent des numros de
tlphone au format E.164 (voir chapitre 11). Il faut donc associer des prfixes (cest--dire
la partie situe le plus gauche du numro de tlphone) des interfaces PABX dun ct et
des interfaces IP de lautre.
Passerelle
Prfixe
Correspondant
gwpar1
port 0/1-3
33
gwlon1
port 0/0/0
44
Chez Cisco, la connexion PABX est rfrence par lacronyme POTS (Plain Old Telephone
Service), et la connexion IP est appele VoIP (Voice over IP). Une connexion au sens large
est appele dial-peer .
# gwpar1
dial-peer voice 33 pots
port 0/1
destination-pattern 33....
dial-peer voice 44 voip
destination pattern 44....
session-target ipv4:10.12.0.10
codec g729r8
418
S0
PVC Frame-Relay
172.16.0.1
172.16.0.2
Londres
10.12.0.1
10.0.0.1
1
1836
3
440553
E0
10.0.0.10
0/1
PABX
voice-port 0/1
0553
E0 10.12.0.10
CAS
E&M
gwpar1
gwlon1
0/0/0
PABX
# gwpar1
dial-peer voice 0033 pots
port 0/4-6
destination-pattern 0033.........
dial-peer voice 0044 voip
destination pattern 0044..........
session-target ipv4:10.12.0.10
codec g729r8
Adresse IP de la
passerelle de Paris
419
420
S0
PVC Frame-Relay
172.16.0.1
172.16.0.2
Londres
10.12.0.1
10.0.0.1
10.0.0.11
E0
10.0.0.10
10.12.0.11
E0 10.12.0.10
CAS
0/x
PABX
E&M
gwpar1
gwlon1
gkparis
gklondon
0/0/0
PABX
Afin de simplifier les configurations et la vie des utilisateurs, nous choisissons galement
dutiliser les services dun DNS (Domain Name System) priv, dont la mise en uvre est
explique au chapitre 7. Le DNS permet de manipuler des noms la place des adresses IP
en assurant la rsolution de lun vers lautre.
Ds lors, la configuration des gatekeepers est la suivante :
Active H.323, la fonction de gatekee#gkparis
per et la signalisation RAS.
gatekeeper
zone local gkparis fr.intranet
Le gatekeeper gre les terminaux IP
zone prefix gklondon 44....
situs dans le domaine DNS indiqu.
zone prefix gklondon 0044...........
gw-type-prefix 1# default-tech
Le gatekeeper route les appels prfixs 44 et 0044 vers Londres.
421
#gklondon
gatekeeper
zone local gklondon uk.intranet
zone prefix gkparis 33....
zone prefix gkparis 0033...........
gw-type-prefix 1# default-tech
Le prfixe technique
par dfaut est 1#.
Le routage des appels est dsormais ralis entre gatekeepers. Dans chacune des zones, les
passerelles doivent par consquent senregistrer auprs de leur gatekeeper de rattachement :
Active H.323 et la signalisation RAS.
#gwpar1
gateway
int e0
h323-gateway voip interface
422
S0
Paris
PVC Frame-Relay
S0
172.16.0.1
Londres
172.16.0.2
10.12.0.1
10.0.0.1
10.0.0.11
10.0.0.10
10.12.0.11
gkparis
E0
gwpar1
10.12.0.10
gklondon
5
E0
gw-type-prefix 1#
gwlon1
gatekeeper
zone prefix gklondon 44.
1
440553
Admissions Request
Admissions Confirm
Dsormais, lentit H.323 sadresse au gatekeeper pour appeler tous ses correspondants en les dsignant
par leur nom ou leur numro de tlphone. Le gatekeeper se charge de convertir ce nom en une adresse
IP, et de router lappel :
soit directement vers le correspondant si celui-ci se trouve dans la mme zone ;
soit vers un autre gatekeeper si le correspondant se trouve dans une autre zone ;
soit vers une passerelle si le correspondant nutilise pas un terminal IP (mais un tlphone, par exemple).
423
Un PC quip de Netmeeting peut galement utiliser les services dun de nos gatekeepers. Il
suffit dindiquer son adresse IP, ou mieux, son nom DNS, dans le menu OutilOptionAppel Avanc .
424
masterSlaveDetermination
statusDeterminationNumber
OpenLogicalChannel
OpenLogicalChannelAck
OpenLogicalChannel
Routeur
IGMP Report
OpenLogicalChannelAck
RSVP Path
RSVP Resv
Voici la QoS dont jai besoin (bande passante, dlai de transit, etc.)
Ouverture des sessions RTP/RTCP et change des paquets
Si ncessaire, un terminal peut demander au gatekeeper lautorisation de changer de bande passante en lui
envoyant un message Bandwidth Change Request . Sil obtient laccord, le canal de contrle H.245 est
ferm entre les deux terminaux, puis un nouveau est ouvert accompagn dune nouvelle demande RSVP.
S0
Paris
425
S0
172.16.0.1
Londres
172.16.0.2
10.12.0.1
10.0.0.1
10.0.0.11
10.12.0.11
gkparis
gklondon
3
2
440553
gatekeeper
zone prefix gklondon 44.
gw-type-prefix 1#
Sur chaque site, les terminaux senregistrent auprs de leur gatekeeper local (Paris et Londres dans notre cas). Lors dun appel, le gatekeeper de Paris autorise louverture directe du
canal de signalisation dappel entre le terminal et son correspondant, tandis que le gatekeeper de Londres impose que ce canal passe par lui.
Figure 16-6.
Gestion des appels
via des gatekeepers.
Gatekeeper de Paris
Gatekeeper de Londres
Admissions Request
RAS
Admissions Confirm
Q.931
Setup
Setup
Call proceeding
Call proceeding
Admissions Request
RAS
Admissions Confirm
Q.931
Alerting
Alerting
Connect
Connect
Le gatekeeper de Paris peut trouver les informations du correspondant concernant un terminal auprs dun autre gatekeeper en utilisant le message Resource Locator . Le gatekeeper de Londres lui renvoie alors son adresse ainsi que le port TCP sur lequel il rpond. Sil
avait dcid que la communication pouvait tre directe, il aurait envoy ladresse IP du terminal.
Lappel accept, les deux entits peuvent ouvrir le canal de contrle H.245 dans le but de
ngocier les paramtres du flux multimdia.
426
Mais, par rapport la tlphonie classique, il nous manque toute la gamme de services enrichis quun PABX peut offrir : plan de numrotation, messagerie vocale, transfert, filtrage,
restriction et interception dappels, etc.
Laboutissement dun rseau VoIP est donc la mise en place dun PABX IP. Deux types
doffres sont proposes sur le march : celles des constructeurs informatiques (Cisco, Lucent, etc.) et celles des constructeurs de PABX (Alcatel, Matra, Nortel, etc.). Les premiers
ont lavantage de bien connatre le monde IP ; les derniers offrent celui dune plate-forme
existante quil suffit de porter sur IP. Cest le cas de Matra qui a port sous Windows sa
gamme 6500 fonctionnant lorigine sous un Unix propritaire. Le rsultat est le produit
Succession qui offre le mme niveau de fonctionnalit quun PABX traditionnel.
Fonctions de :
- Gatekeeper
- Serveur de terminaux IP Matra-Nortel i2004
- Gestion des appels (annuaire, services enrichis, routage, etc.)
Terminal IP i2004
Terminal H.323
Terminal IP i2004
10.0.1.121
PABX_PAR01
10.0.0.1
PC quip de Netmeeting, ou
de Matra-Nortel Softphone, etc.
SMG
Passerelle H.323
(Media Gateway)
Paris
10.0.1.100
RTC, RNIS
Londres
10.12.0.1
PABX classique
Terminal H.323
Le PABX peut tre situ nimporte o sur le rseau. Les sites importants en sont quips,
tandis que les petits sites nen ont pas besoin, les terminaux dialoguant alors avec le PABX
du site principal.
De son ct, la passerelle accueille les terminaux non IP : PABX classiques, tlphones analogiques et numriques Matra, bornes DECT, etc. Laccs au monde extrieur (RTC, RNIS)
est ralis soit via le PABX traditionnel, soit directement par la passerelle. Cette dernire
peut galement accueillir les terminaux IP et peut, de ce fait, coupler le terminal VoIP un
poste DECT.
Le PABX accueille les terminaux H.323 natifs ainsi que ceux de Matra via un protocole
propritaire. Ces derniers se comportent comme des terminaux passifs qui ne font
quafficher les informations envoyes par le PABX (fonction quivalente celle dun serveur de terminaux, tel que MetaFrame).
427
Paramtres de la
ligne dabonn
Gestion de lannuaire
428
Numro de
tlphone
429
criber H323) et les services auxquels il a droit, par exemple une messagerie vocale (Voice
mailbox).
Droits daccs de
nuit et de jour.
Restrictions dappel
Parmi les services enrichis que le PABX peut grer pour le terminal on trouve :
lidentification de lappelant ;
la messagerie vocale ;
etc.
430
Ensuite, RSVP doit tre activ sur toutes les interfaces de nos routeurs (comme indiqu au
chapitre 14) :
45 Kbit/s ddis RSVP, dont 15 Kbit/s par flux
(8 Kbit/s pour le codec + overhead + signalisation)
ip rsvp bandwidth 45 15
fair-queue 64 256 3
3 files dattentes pour RSVP pour 3
communications simultanes
Les dbits rserver dpendent des codec choisis pour coder la voix (voir chapitre 13). Celui en question est le g729 qui ncessite 8 Kbit/s de bande passante.
Rappelons que les commutateurs sur nos LAN et les files dattente WFQ sur les routeurs
prennent en compte la priorit des paquets IP. Il est donc intressant daffecter une valeur au
champ IP precedence , ce qui doit tre fait la source des flux VoIP, cest--dire au niveau des passerelles :
#gwpar1
dial-peer voice 44 voip
ip precedence 5
Priorit 5 = Critical (voir chapitre 14).
Par ailleurs, nos commutateurs doivent assurer la correspondance entre la priorit du paquet
IP et celle affecte la trame Ethernet, ce qui est ralis comme suit :
set qos acl ip politique_voip trust-ipprec
set qos ipprec-dscp-map 0 8 16 24 32 40 48 56
set qos dscp-cos-map 40:6
431
UDP 1718
ou adresse multicast 224.0.1.41
UDP 1719
TCP 1720
Sessions RTP/RTCP
T.120
TCP 1503
Figure 16-7.
Interaction
des protocoles H.323.
Canaux RTP/RTCP
UDP (ports allous par un msg H.245)
Le transport des flux multimdias est donc assur par H.225 qui reprend les spcifications
des RFC suivantes.
RFC
Sujet trait
1889
1890
2032
2190
2198
432
Figure 16-8.
Rles de RTP et de RTCP.
R1
R2
Le feedback indique le % de
paquets perdus, la gigue
constate et lhorodatage du
rcepteur.
R3
R4
Groupe
224.10.1.1
2
Groupe
224.10.1.1
R5
Un flux ne transporte jamais de donnes mixtes audio et vido. Par exemple, pour une visioconfrence, les paquets audio et vido sont transports dans deux sessions RTP diffrentes,
chacune tant associe une session RTCP.
Le codage peut tre modifi au cours dune session pour sadapter un changement de la
qualit de transmission (dbit, erreurs, etc.). Lmetteur peut galement modifier la nature
du flux au cours dune session et basculer, par exemple, de la vido laudio.
8 bits
16 bits
Options
Type de donnes
Numro de squence
Le numro de port UDP affect RTP est allou alatoirement par lapplication. Il doit simplement tre pair.
Le numro suivant (forcment impair) est alors affect la session RTCP associe (voir lencart suivant).
Lhorodatage, qui dpend de lhorloge de lmetteur, reprsente linstant o le premier octet des donnes
transportes a t chantillonn.
Le champ SSRC (Synchronization Source) est un numro unique, gnr de manire alatoire, qui identifie
lmetteur du flux. Un mcanisme permet de grer les problmes de collision (deux SSRC identiques).
La RFC prvoit lutilisation de mixers dont le rle est de mlanger les flux pour nen faire quun qui sera
redistribu aux participants dune confrence audio, par exemple. Il synchronise les flux combins issus des
diffrentes sources nutilisant pas le mme codage et ne disposant pas de la mme source dhorloge ni de
la mme frquence dchantillonnage. Le paquet RTP rsultant contient la liste des SSRC qui ont contribu
la formation du flux mlang (champs CSRC, Contributing Source), par exemple, la liste de ceux qui ont
parl en mme temps.
Le mixer sapparente aux fonctions du MCU H.323, mais au niveau RTP, alors que ce dernier assure des
fonctions plus volues lies la signalisation. En pratique, un serveur de confrence implmente les fonctions de MCU et de mixer.
La RFC prvoit galement lutilisation de translators dont le rle est de convertir des flux sans les mlanger.
Ce logiciel peut :
convertir un codec en un autre ;
convertir un flux multicast en un flux unicast ;
convertir les ports UDP alatoires en ports UDP fixes pouvant tre filtrs par un firewall ;
crer un tunnel scuris en chiffrant les donnes.
Dans ces deux derniers cas, un translator sutilise par paire.
433
434
8 bits
16 bits
Options
PT (Payload Type)
Le rapport SEDS contient, quant lui, toutes les informations concernant lmetteur : nom, adresse e-mail,
numro de tlphone, localisation gographique, nom du logiciel utilis, etc.
Pour consommer le moins de bande passante possible :
Les diffrents types de paquets RTCP sont regroups dans un seul paquet UDP.
La priodicit dmission des paquets RTCP est alatoire (entre 2 et 5 minutes).
Lenvoi des paquets RTCP par tous les participants doit tre espac de 2 7 secondes afin dviter les
bursts.
Le flux RTCP ne doit pas dpasser 5 % de la bande passante utilise par RTP.
Un participant ne doit pas gnrer plus de 20 % du total des flux RTCP.
435
Donnes numriques
G.722
1 ms par trame
G.723.1
30 ms par trame
G.728
G.729
10 ms par trame
Afin de rduire limpact de loverhead, on pourrait augmenter la taille des donnes transportes en envoyant plusieurs trames dans un seul paquet. Linconvnient de cette approche est
quelle engendre un dlai de transit supplmentaire dans une passerelle ou au dpart du PC
metteur. Par exemple, au lieu dattendre 30 ms pour envoyer une trame G.723, on attendra
60 ms pour envoyer deux trames. Rsultat : le dlai dattente de la premire trame du paquet
est allong de 30 ms, et ce pour une trame sur deux dans le flux.
Les techniques suivantes sont pour cela privilgies.
Le principe repose sur le fait que len-tte varie trs peu dun paquet lautre : seuls les numros de squence et de contrle derreur changent. Lactivation de la compression consiste
alors nenvoyer que les donnes qui ont chang dun en-tte lautre (RTP/UDP/IP), ce
qui reprsente entre 2 et 5 octets la plupart du temps. Cette fonction est surtout efficace pour
les liaisons infrieures 2 Mbit/s.
436
3
R1
R2
R7
Mixer RTP
1
R3
R4
R5
Lintranet est connect Internet par une liaison (spcialise, Frame Relay ou autre) dont le
dbit est souvent limit. Si plusieurs participants une mme confrence sont rpartis entre
notre intranet et Internet, l encore, lutilisation dun mixer permet de rduire la charge de la
liaison WAN.
Figure 16-10.
Intgration d'un mixer
et d'un translator
dans un firewall.
R1
R2
R7
Mixer RTP
Internet
R3
R5
R4
437
partage dun tableau blanc virtuel (whiteboard sharing) qui permet chaque participant
de dessiner sur le mme schma ;
dport cran/clavier pour une prise de contrle distance et une dmonstration tous
les participants.
On retrouve ici des applications classiques, mais sous la forme du partage par plusieurs utilisateurs.
438
T.126 (Tableau
blanc partag)
T.127 (Transfert
de fichiers)
T.128 (Programmes
partags)
CINQUIME PARTIE
La scurisation
des rseaux IP
17
Protger son rseau
et ses donnes
Ds lors quil permet des centaines, voire des milliers dutilisateurs de communiquer et
dchanger des informations, le rseau pose invitablement le problme de la scurit : les
informations quil vhicule possdent de la valeur et ne doivent pas tre accessibles tout le
monde.
La scurit est un vaste sujet, qui dpasse le cadre du rseau tant sur les plans technique que
mthodologique. Ainsi, ce chapitre ne traite pas des tapes essentielles que sont lanalyse de
la valeur (quest-ce quon protge) et lanalyse de risque (contre quoi lon se protge). Il ne
traite pas, non plus, des protections appliques aux postes de travail (anti-virus, par exemple) et aux applications (messagerie, serveurs Web, etc.).
Ce chapitre ne sattache qu une petite partie de la scurit, celle lie la protection du rseau IP que nous venons de construire. Dans ce chapitre, vous apprendrez ainsi connatre :
442
443
443
Telnet
Lidentifiant et le mot de passe Telnet circulant en clair sur le rseau, il faut demander aux
utilisateurs demployer des mots de passe diffrents de ceux utiliss pour se connecter des
applications utilisant des protocoles mieux scuriss. Intercepts, lidentifiant et le mot de
passe pourront, en effet, tre utiliss par un intrus pour se connecter des applications dont
les mots de passe sont, en ce qui les concerne, chiffrs.
De plus, les donnes sont vhicules sous une forme non structure, tche qui est laisse
linitiative de lapplication. Il est donc trs facile de transfrer toutes sortes de donnes en
profitant dune session Telnet.
Client
>1023
>1023
Serveur
TCP
23
23
Ces deux caractristiques font de Telnet un protocole trs dangereux utiliser entre une entreprise et Internet. Il doit donc tre interdit. Sur le plan interne, son usage peut tre autoris,
rglement ou interdit, selon larchitecture de votre rseau, les mcanismes de scurit mis
en uvre et la valeur des informations protger.
FTP
Lidentifiant et le mot de passe circulant en clair, les recommandations nonces pour Telnet sappliquent galement FTP.
444
Serveur
port=y
ok
21
21
y>1023
y>1023
20
ok
20
Client
Canal de
contrle
Canal de
donnes
x>1023
x>1023
Serveur
PASV
ok sur S
y>1023
y>1023
21
21
S>1023
ok
S>1023
Le mode passif est beaucoup plus sr que le mode normal, car il vite dautoriser les
connexions entrantes. Cependant, toutes les implmentations ne sont pas compatibles avec
ce mode. Si tous vos clients et serveurs FTP supportent le mode PASV, il est recommand
dinterdire le mode normal.
DNS
La recherche de noms et le transfert de zone (cf. chapitre 7) utilisent gnralement les ports
UDP (5353), mais si ces requtes chouent, elles sont relances via TCP (>102353).
Certaines implmentations, ce qui est le cas avec les machines AIX, utilisent exclusivement
TCP.
Requtes DNS client serveur
Client
>1023
>1023
Serveur
TCP/UDP
TCP/UDP
ack
53
53
Primaire
UDP
53
53
UDP
53
>1023
TCP
53
>1023
TCP
ack
53
Transfert de zone ou
requte (ex : SOA)
Aucun mot de passe nest requis pour ces changes, effectus automatiquement entre machines et ce, de manire transparente pour lutilisateur. Par ailleurs, la commande nslookup
(cf. chapitre 7) permet tout utilisateur de consulter la base de donnes.
La base de donnes du DNS est particulirement sensible, car elle contient lensemble des
adresses IP de vos serveurs et quipements rseau, voire plus si vous utilisez Active Directory de Microsoft. Elle doit donc tre protge et en particulier tre inaccessible depuis
lextrieur.
445
445
HTTP
Les serveurs Web peuvent rpondre sur des ports spcifiques, autres que 80, tels les 8000,
8080, 8010 ou encore 81, pour ne citer que les plus courants. Ces ports non-standards ne
prsentent aucun intrt en termes de scurit, car les scanners permettent de les trouver rapidement.
HTTP sur port normal
Client
>1023
>1023
Serveur
TCP
TCP
Client
80
80
Serveur
>1023
TCP
>1023
>1023
TCP
>1023
En revanche, il est recommand de sparer les donnes accessibles en FTP et en HTTP, soit
sur deux serveurs diffrents, soit sur deux rpertoires diffrents. Il est en effet facile de dposer un cheval de Troie sur un rpertoire FTP, puis de le faire excuter par le serveur
HTTP. Sous Unix, il est en plus recommand dutiliser la fonction chroot.
Netbios
Le protocole Netbios (Network Basic Input Output System) est difficile contrler, car il
transporte de nombreux protocoles propres Microsoft : il sagit de SMB (Server Message
Block), de NCB (Network Control Bloc) et de toute une srie de RPC (Remote Procedure
Calls), qui sont utiliss par les environnements Windows.
Name Service Protocol
Client
>1023
>1023
UDP
UDP
Serveur
Client
137
>1023
137
>1023
Serveur
Client
Serveur
UDP
138
>1023
TCP
139
UDP
138
>1023
TCP
139
Par exemple, les relations entre contrleurs de domaines et entre clients et serveurs WINS
emploient des relations complexes quil est difficile de filtrer. Pour ces raisons, lutilisation
de Netbios doit tre interdite entre lentreprise et Internet.
SNMP
Pour les requtes get et set (cf. chapitre 6), le client est la plate-forme
dadministration tandis que pour les messages traps , le client est le matriel (rseau, serveur, etc.). Il est donc recommand de cantonner ce protocole entre les stations
dadministration et les quipements surveiller :
La plupart des implmentations utilisent UDP, et il faut lautoriser dans les deux sens.
Les noms de communaut circulent en clair.
446
Les possibilits daction offertes sont importantes (la commande get permet de faire
un dump complet dune configuration et la commande set permet de modifier la
configuration).
Get / Set
Trap
Client
>1023
Serveur
Client
161
>1023
161
>1023
UDP / TCP
>1023
Serveur
UDP / TCP
162
162
On peut donc envisager de laisser passer les messages SNMP en filtrant les adresses source
et destination. La politique de filtrage peut cependant tre plus souple au sein dun mme
domaine de confiance ou dans le cas de rseaux entirement commuts reposant sur des
VLAN. Pour ce qui concerne Internet, le protocole SNMP doit tre interdit.
UDP/TCP
Portmapper
Client
111
>1023
Serveur
UDP/TCP
111
Ce protocole ne peut pas tre efficacement filtr, car de nombreux ports doivent tre laisss
ouverts de par la nature alatoire de lallocation. De plus, les firewalls gnrent de nombreux dysfonctionnements pour les applications qui utilisent les RPC. Les RPC doivent donc
tre interdits pour Internet.
NFS
Le protocole NFS utilise a priori le port UDP 2049, mais la RFC 1094 indique que ce nest
pas une obligation. Certaines implmentations utilisent en fait le Portmapper.
Un problme de scurit important pos par NFS est celui li au numro de handle :
Il est prdictible, car reposant sur la date cration du systme de fichier.
Il est valable mme lorsque le systme de fichiers est dmont.
Il est utilisable par quiconque layant obtenu (par coute rseau ou par calcul).
447
447
NFS est galement vulnrable la dissimulation dadresse (spoofing), car le serveur se fie
ladresse IP pour authentifier la machine cliente. Par ailleurs, les mcanismes setuid et nobody positionns par ladministrateur du serveur demeurent des failles de scurit, sils sont
mal configurs.
ICMP
De nombreux services ICMP (cf. chapitre 6) peuvent renseigner un intrus, comme par
exemple destination unreachable , qui comporte des informations indiquant la cause du
problme ou encore echo request et echo reply , qui indiquent si un nud est actif.
Les seuls paquets ICMP, quil est envisageable de laisser passer vers un autre domaine de
confiance, sont les suivants :
type 4 source quench , qui permet de contrler le flux entre un client et un serveur ;
type 11 time to live exceeded , qui vite le bouclage des paquets IP ;
type 12 parameter problem , qui indique une erreur dans un en-tte ;
type 8 echo request et type 0 echo reply , utiliss pour vrifier lactivit des
nuds pour des oprations de supervision et de diagnostic.
Vis--vis dInternet, tous les services ICMP doivent tre interdits : ils ne sont pas ncessaires et peuvent donner trop dinformations aux intrus.
448
Client
ACK, SYN
Serveur
ACK
Si le serveur ne reoit pas le paquet ACK du client, il reste en attente de la rponse jusqu
lexpiration dun timeout.
Lattaque consiste donc, pour le pirate, crire dabord un logiciel qui nenvoie jamais de
paquets ACK en rception dun paquet SYN du serveur, puis inonder le serveur de demandes de connexions de ce type. Ceci entrane le serveur allouer de plus en plus de ressources pour les demandes de connexions TCP qui restent en attente, jusqu dpassement
de ses capacits.
Le firewall protge contre ce type dattaque en dtectant puis en bloquant la requte aprs N
paquets SYN conscutifs issus du mme client ou destination du mme serveur.
449
449
Les routeurs ne se soucient pas de savoir par quelle interface proviennent les adresses sources, car les algorithmes de routage doivent prendre en compte le cas de routes multiples et
de secours.
En revanche, si le rseau interne est connect Internet, aucun paquet, ayant comme adresse
source celle dun rseau interne, ne doit en provenir. Le mcanisme dantispoofing, utilis
par les firewalls, consiste donc contrler lorigine des paquets sur la base du couple interface rseau physique / adresse IP source .
Il est noter que le mme principe sutilise avec les noms DNS et SMTP ou encore les mots
de passe des procdures dauthentification.
Le rebond
Cette technique est la plus simple puisquelle consiste profiter dune faille de scurit pour
investir un serveur, puis, partir de l, se connecter dautres machines en utilisant les
droits accords ce serveur.
La protection contre ce type dattaque relve de la scurisation des serveurs (mots de passe
et correctifs) et de larchitecture (voir plus loin). En positionnant les serveurs les plus exposs sur un segment ddi, diffrent de celui hbergeant les machines les plus sensibles, un firewall peut contrler les flux.
450
Les vers
Ce type de programme utilise le rseau pour se propager : install sur une machine, non seulement il linfecte, mais il cherche galement dautres machines sur le rseau pour essayer
de sy installer. Le ver dsigne donc un mode de propagation qui peut intgrer les fonctions
de virus, de scanner et de cheval de Troie.
lheure actuelle, tous ces programmes ne peuvent se propager quentre machines du
mme type, par exemple, entre PC Windows, entre Macintosh ou entre machines Unix. Sil
sagit dun excutable, les processeurs doivent, de plus, tre de la mme famille (pentium,
power PC, etc.). Sil sagit dun script, le programme peut sexcuter sur diffrents types de
machines disposant du mme systme dexploitation. L encore, cette restriction est susceptible dtre leve dans le futur.
Le contrle de flux
Les parades ces vulnrabilits et ces attaques sont de deux ordres : le contrle de flux
(qui accde quoi et comment) et la confidentialit des donnes. Commenons par la premire.
Le contrle de flux consiste filtrer les paquets IP selon les adresses source et destination,
les ports TCP et UDP, les types de protocoles (ICMP, OSPF, TCP, UDP, etc.), et ventuellement, selon des informations issues des couches applicatives. Il peut tre ralis par les
routeurs ou par des quipements ddis appels firewalls (pare-feu en franais).
451
451
Le filtrage de paquet
Le filtrage de paquet est historiquement parlant la premire technique, encore largement utilise par les routeurs. Elle consiste filtrer chaque paquet individuellement au niveau de la
couche rseau en fonction des adresses source et destination, du port TCP ou UDP, du type
de protocole (ICMP, RIP, etc.), et du sens du flux. Trs peu dinformations (alertes, statistiques) sont par ailleurs enregistres et aucun mcanisme de protection nest implment
contre les attaques.
452
Le stateful inspection
La technologie stateful inspection reprend les principes du filtrage de paquet mais conserve
un tat (historique) de toutes les sessions. Les paquets ne sont plus filtrs individuellement,
mais en fonction des prcdents qui appartiennent un mme change.
Pour ce faire, le firewall examine les donnes du paquet et remonte jusqu la couche transport, voire applicative. Le filtrage est bien ralis au niveau 3 (couche rseau), mais en fonction dinformations issues des couches suprieures. De ce fait, il est galement possible de
filtrer au niveau applicatif (commandes FTP, SMTP, DNS, etc.).
Pour sadapter aux protocoles qui utilisent des ports alatoires (les ports client pour tous les
protocoles et les RPC), les rgles sont gnres dynamiquement pour le temps de la session
partir des rgles de base dfinies par ladministrateur.
En outre, seul le premier paquet dune session est compar aux rgles de filtrage, les suivants tant seulement compars ltat de la session, do des gains de performance par
rapport aux routeurs filtrants. Cest la technologie la plus rapide.
Le relais applicatif
Cette technologie repose sur le principe du mandat : le firewall intercepte la requte du
client et se substitue ce dernier. En ralit, cest donc le firewall qui envoie une requte au
serveur. Il le fait de la part du client. Ce dernier croit dialoguer directement avec le serveur,
alors que le serveur dialogue en fait avec un client qui est le firewall (le relais).
Cette technique implique de dvelopper un client spcifique pour chaque application supporte (Telnet, FTP, HTTP, etc.), ce qui en fait la technologie la moins volutive. Le support
dune application dpend des capacits de lditeur du produit.
La scurit repose sur le fait quaucune connexion directe nest ralise entre le client et le
serveur et que le client du firewall (le relais) est une version spciale sans bogue, ne comportant aucune faille de scurit, et susceptible dintercepter les attaques.
Le relais de circuit
Le relais de circuit reprend la technologie de relayage sans permettre de filtrage au niveau
applicatif et, surtout, sans tenir compte des spcificits lies chaque protocole (changes
entre le client et le serveur, connexions ouvertes au sein dune mme session, etc.). Les paquets sont relays individuellement. Cette technique offre donc un moins bon niveau de protection que le relayage applicatif.
Le premier produit avoir introduit cette technologie est le freeware Socks. La mise en
place dun firewall Socks (on parle souvent de serveur Socks) requiert lutilisation de clients
(FTP, HTTP, etc.) spcifiques. Le client met une requte au serveur Socks qui comprend
ladresse du serveur cible, le type de service demand (port TCP ou port UDP) et le nom de
lutilisateur. Le serveur authentifie lutilisateur, puis ouvre une connexion vers le serveur cible. Les flux de donnes sont ensuite relays sans aucun contrle particulier.
453
453
Cette technique est souvent utilise en complment des relais applicatifs, plus particulirement pour les protocoles non supports par les relais, mais nest jamais employe seule.
Relais applicatif
volutivit
Performances
Niveau de scurit
454
Cyberguard
de Cyberguard Corp
Netwall
de Bull
Remarques
gnrales
Le plus rpandu
Facile paramtrer
Dveloppements franais
Plate-forme
Unix, NT
Unix
Unix
Technologie
Authentification
supporte
Radius, Secure ID
CP8, Radius
Partage de charge
et redondance
Oui
Oui
Oui
Translation dadresse
Oui
Oui
Oui
Protections contre
les attaques
Oui
Oui
Oui
Risque de trappe
logicielle
Oui
Oui
Gnration de filtres
pour dautres routeurs
Cisco, Nortel
Non
Non
Oui
Oui
Oui
Non
Oui
Oui
455
455
456
Ce principe, que nous retenons pour notre rseau, nous amne dfinir la notion de domaine de confiance.
Une approche macroscopique permet de distinguer globalement deux domaines de
confiance : le rseau interne couvrant les sites de notre entreprise et les rseaux externes regroupant les partenaires et sous-traitants. Une analyse plus dtaille montre que notre rseau
se compose de trois grands ensembles :
les sites parisiens formant notre rseau interne ;
le reste du Groupe et ses filiales formant le rseau de notre entreprise ;
les utilisateurs en accs distant.
Lobjet de ltude est donc de dcrire larchitecture mettre en place sur notre rseau parisien. La scurit est aborde du point de vue de notre rseau : ce sont les ressources situes
sur notre rseau quil faut protger.
Il est noter que le choix du firewall est indpendant de larchitecture et relve dune autre
tude.
Acteurs
Niveau de
confiance
Ressources de lacteur
457
457
Niveau de
protection
Site parisien
Groupe / Filiales
Partenaire / Sous-traitants
On peut donc dresser une cible de confiance, le centre tant le domaine scuriser, et les
domaines devenant de moins en moins srs au fur et mesure que lon sen loigne. Les
pointills indiquent des limites non matrises par notre entreprise et donc, un domaine de
non-confiance.
Accs distant
Partenaires
Groupe
Internet
Paris
et filiales
et sous-traitants
Matrice de communication
Le tableau suivant prcise quel acteur doit accder aux ressources dtenues par tel autre acteur.
Lacteur X
accde aux ressources
de lacteur Y
Paris
Groupe
/ Filiales
Partenaires
/ Sous-traitants
Accs
distants
Paris
---
Oui
Oui
---
Groupe / Filiales
Oui
---
Oui
---
Partenaires / Sous-traitants
Oui
Non
---
---
Accs distants
Oui
Oui
Non
---
458
En gris, apparaissent les acteurs ayant un niveau de confiance infrieur ceux dtenant des
ressources cibles. Il nous faut donc mettre en place des ressources partages et augmenter la
scurit en isolant lacteur ou la ressource sur un rseau ddi.
Le cas de lacteur Accs distants est particulier, car il doit accder directement aux ressources de notre entreprise, alors quil est situ dans un domaine de non-confiance. Ce qui
signifie quil faut mettre en place des mcanismes de scurit supplmentaires permettant de
renforcer la scurit.
On peut, ds lors, identifier trois segments ddis hbergeant des ressources partages :
un segment Accs distants hbergeant des ressources ddies aux accs distants ;
un segment Partenaires partag par les partenaires et notre site parisien ;
un segment Groupe partag par le Groupe et notre site parisien.
Les segments, communment appels DMZ (DeMilitarized Zones), permettent ainsi dviter
tout flux direct entre acteurs ayant des niveaux de confiance diffrents. De la mme manire, les acteurs de niveaux de confiance diffrents seront placs sur des rseaux distincts,
cest--dire connects diffrentes interfaces du firewall.
Partenaires et
sous-traitants
Segment Partenaires
Segment
Accs distants
Rseau Partenaires
Firewall
Segment
Groupe
Rseau
Groupe / filiales
Rseau Accs distants
Rseau Paris
459
459
@ IP PC
Rseau externe
port 1025
source
destination
source
destination
@ IP PC
@ IP serveur
@ IP routeur
@ IP serveur
port 1025
port 53
port 10000
port 53
destination
source
destination
source
@ IP PC
@ IP serveur
@ IP routeur
@ IP serveur
port 1025
port 53
port 10000
port 53
Dynamique N pour M (avec M N), qui est une variante du prcdent type. Si M est infrieur N, le
mcanisme de discriminant prcdemment dcrit est utilis.
Statique 1 pour 1 : chaque adresse est translate en une autre adresse. Ce mode est surtout utilis
pour les adresses de destination correspondant des serveurs atteindre.
Rseau externe
@ IP NAT
@ IP serveur
Rseau interne
source
destination
source
destination
@ IP PC
@ IP NAT
@ IP PC
@ IP serveur
port 1025
port 53
port 1025
port 53
destination
source
destination
source
@ IP PC
@ IP NAT
@ IP NAT
@ IP serveur
port 1025
port 53
port 1025
port 53
La translation de port PAT (Port Address Translation) consiste modifier les ports destination dans le but
dajouter un niveau de scurit supplmentaire en conjonction avec un relais applicatif (cf. section traitant
des firewalls).
460
Le firewall traitera des translations dadresses pour masquer les adresses internes vis--vis
des rseaux des partenaires. Cette traduction doit tre statique pour les machines cibles auxquelles accdent les partenaires et sous-traitants. Les clients sortants feront quant eux
lobjet dune translation dynamique N pour 1.
Quant aux utilisateurs en accs distant, qui doivent nanmoins accder aux ressources de notre rseau, il est difficile de les orienter vers des ressources partages sur un segment ddi,
car les mcanismes de rplication avec les serveurs internes seraient trop complexes, voire
impossibles mettre en uvre. De ce fait, les mcanismes devant renforcer la scurit doivent avoir trait la confidentialit :
authentification forte permettant de sassurer de lidentit de lutilisateur ;
chiffrement des donnes afin dassurer la confidentialit face aux rseaux externes traverss (rseau tlphonique, ADSL, etc.) ;
contrle dintgrit permettant de sassurer que les paquets IP (en-tte et donnes) ne
sont pas modifis.
Cas du DNS
Les partenaires disposent de leur propre DNS, quils renseignent avec les adresses que nous
leur donnons et auxquelles ils associent les noms souhaits. De cette manire, aucun
change nest ncessaire entre leur DNS et le ntre.
Quant nos utilisateurs en accs distant qui peuvent tre localiss nimporte o dans le
monde, il est prfrable de leur ddier un DNS qui contient des informations partielles.
Nous devons, en consquence, considrer deux serveurs DNS :
un vrai serveur DNS sur le rseau parisien usage exclusif de nos utilisateurs ;
un serveur DNS contenant des informations partielles lusage de nos utilisateurs en
accs distant.
Chacun de ces serveurs rside sur son rseau ou segment respectif et appartient un systme
DNS distinct, cest--dire disposant de sa propre racine sans aucun change avec lautre.
Partenaires et
sous-traitants
Segment Partenaires
Rseau Partenaires
Segment
Accs distants
Firewall
DNS
DNS
Rseau Accs distants
Rseau Paris
Segment
Groupe
Rseau
Groupe / filiales
461
461
Le DNS du rseau parisien fournit les informations aux clients du rseau parisien :
Il gre le SOA siege.societe contenant les ressources situes sur notre rseau interne.
Il gre le SOA partenaires.societe contenant les ressources des partenaires auxquelles
nos utilisateurs doivent accder. Ce SOA contient les adresses qui nous sont prsentes
par les partenaires et les noms connus par nos utilisateurs. Cette configuration prsente
lavantage dviter tous flux DNS entre les rseaux Partenaires et notre rseau, ce qui
renforce la scurit. On suppose ici que le nombre de machines est raisonnablement limit de manire ne pas compliquer les tches dexploitation.
Il gre le SOA part-ext.siege.societe contenant les ressources situes sur le segment
Partenaires. Ce SOA nest connu que de nos utilisateurs.
Les requtes concernant dautres SOA sont rediriges vers les serveurs comptents du
Groupe via le serveur racine, utilisant en cela les mcanismes classiques du DNS.
Le DNS du segment Accs distants fournit les informations nos utilisateurs en accs distant. Il gre une copie partielle du SOA siege.societe, qui contient uniquement les adresses
et les noms des machines situes sur notre rseau interne et qui doivent tre accessibles depuis lextrieur. Ces adresses doivent tre les mmes que celles configures dans les rgles
de filtrage du firewall.
Cas de Netbios
La rsolution des noms Netbios utilise les serveurs WINS (Windows Internet Name Service)
de Microsoft. Pour les mmes raisons que DNS, le segment Accs distants doit disposer de
son propre serveur, quil est prfrable de paramtrer avec des adresses statiques. De cette
manire, seules les machines explicitement autorises seront visibles par les utilisateurs en
accs distant, et le protocole WINS sera bloqu.
Un serveur WINS exporte ses ressources vers un autre serveur WINS en mode push via
le protocole Nameserver sur le port TCP 42. Le montage de ressources disques et la messagerie Outlook utilisent, quant elles, le protocole Netbios sur TCP 139, que nous devons
laisser passer.
Les utilisateurs en accs distant doivent disposer de leur propre domaine de compte leur
permettant daccder, par le biais des relations de confiance (au sens Windows du terme), au
domaine de ressources du sige. Un PDC (Primary Domain Controler) doit donc tre install sur le segment Accs distants.
Il est toutefois possible de contourner les mcanismes de relations de confiance en utilisant
la procdure connect as . Il faut donc filtrer les messages SMB correspondants. En revanche, les connexions entre les domaines Paris et Groupe utiliseront la procdure connect
as afin dviter de diffuser tous les comptes (plusieurs milliers).
462
Rseau
Paris
Rseau
Groupe
Rseau
Partenaires
Rseau
Paris
---
DNS
HTTP, FTP
Rseau Groupe
DNS
---
De
Rseau
Partenaires
Rseau
Segment
Accs distants Partenaires
Segment
Groupe
HTTP, FTP
HTTP, SQL,
Netbios
HTTP, FTP
HTTP, SQL,
Netbios
---
Rseaux Accs
distants
HTTP, FTP
Telnet(1), HTTP,
HTTP, SQL, DNS,
SQL, DNS, Netbios Netbios
---
Segment
Public
---
Segment
Groupe
---
(1)
Rseau Partenaires
NAT
n1
Segment
Accs distants
Firewall
10.0.8.145/28
Serveur
HTTP
Segment Groupe
SGBD
SQL
10.0.8.148/28
Serveur
Windows
10.0.8.144/28
10.0.8.149/28
DNS
10.0.0.0/22
Rseau Paris
Rseau
Groupe / filiales
463
463
Dans la mesure du possible, les serveurs utilisant des protocoles diffrents doivent tre isols sur des segments distincts, ce qui est le cas de Netbios, protocole difficilement matrisable. Cela permet dappliquer une politique de filtrage plus restrictive, par adresse plutt que
par subnet. Si lacteur Groupe avait eu un niveau de confiance gal zro, les serveurs accessibles via Netbios auraient mme d tre installs sur des segments ddis, de manire
viter les rebonds entre serveurs Web et Windows. Mme si les serveurs ne sont pas accessibles via ces deux protocoles, un cheval de Troie peut toujours lutiliser.
Conformment notre plan dadressage dfini au chapitre 5, les rseaux et segments ddis
autour du firewall partagent un rseau de classe C subnet sur 28 bits, 10.0.8.144/28, dans le
but dconomiser des adresses. On obtient ainsi 16 sous-rseaux de 14 adresses chacun.
Cinq sous-rseaux, un par interface du firewall hors notre rseau interne, sont ici utiliss.
Le firewall ne fonctionne avec aucun protocole de routage dynamique tels quOSPF ou RIP,
l encore pour des questions de scurit. Le routage est donc statique entre les routeurs et le
firewall.
La mise en place de relais ne se justifie pas sur un rseau interne, car dune part nous exerons un contrle sur les acteurs avec qui nous sommes en relation (nos utilisateurs, les partenaires, le reste du Groupe), et dautre part la diversit et la complexit des protocoles
filtrer ne permettent pas aux relais de fournir un niveau de scurit supplmentaire. Le raisonnement vis--vis dInternet serait, en revanche, diffrent, puisque nous aurions affaire
un rseau public, donc par dfinition non matris, et parce que le nombre de protocoles, ncessairement restreints, (HTTP, SMTP, etc.) seraient, de plus, facilement filtrables par des
relais.
Matrice de filtrage
La matrice de flux permet dlaborer la matrice de filtrage, cest--dire les rgles implmenter sur le firewall. Celle-ci doit tre construite sur le principe de louverture de flux minimale : dans la mesure du possible, les flux doivent tre ouverts entre couples dadresses
plutt quentre couples de subnets. Ainsi :
Les flux impliquant un serveur doivent tre ouverts sur la base de ladresse du serveur.
Les flux impliquant des utilisateurs authentifis doivent tre ouverts sur la base des
noms des utilisateurs (qui seront associs une adresse lorsquils seront authentifis).
Les flux impliquant des utilisateurs non authentifis doivent tre ouverts sur la base de
leur subnet. Il est envisageable dappliquer une politique de filtrage plus restrictive vis-vis des partenaires et de filtrer par couple dadresses.
Une fois tablie, la matrice doit pouvoir tre directement transpose dans les rgles de filtrage du firewall.
464
Architecture
Netwall fonctionne sur un serveur Estrella ou Escala avec le systme dexploitation AIX de
Bull ou avec un AIX scuris, appel BEST-X, qui est certifi F-B1/E3 par le CERT. Une
version sous Windows reprend linterface graphique, le module de filtrage IP et uniquement
le relais SMTP. Netwall utilise simultanment deux technologies : le firewall est compos
dun module de filtrage IP, qui repose sur le principe de stateful inspection et de plusieurs
relais applicatifs.
Relayage
Authentification
Relais HTTP
Relais Telnet
Relais gnrique
Interface graphique
TCP/IP
Access Control List
Staful Inspection
Authentification
Bases de
donnes
Module de filtrage IP
Driver de linterface
Noyau AIX
Le module de filtrage IP, qui rside au niveau du noyau Unix, est intercal entre le driver de
la carte et les couches IP. Tous les paquets entrants et sortants passent obligatoirement par le
465
465
module de filtrage IP et, en fonction du protocole, sont ensuite transmis au relais applicatif
correspondant.
La partie relayage applicatif de Netwall est constitue de plusieurs relais (dmon Unix ou
service NT), un par type dapplication relayer (Telnet, SMTP, etc.) drivs des sources du
kit TIS (Trusted Information Systems) et de Netscape Proxy Server pour le relais HTTP.
Les relais sont lancs dans un environnement restreint (chroot) et sans les privilges superviseur (root). Ils ne reoivent jamais les flux directement.
Fonctionnement
Tous les flux pour un service particulier (Telnet, SMTP, etc..) sont obligatoirement traits
par le relais applicatif correspondant. Si un relais sarrte de fonctionner (arrt manuel, disque plein ou bogue), le module de filtrage IP bloque le service associ.
Le module de filtrage IP offre toutes les caractristiques prsentes par la technologie stateful inspection :
Il garde une trace de toutes les sessions (TCP, UDP, RPC, etc.).
Il gnre dynamiquement les rgles de filtrage.
Il analyse au niveau applicatif (FTP, RPC, etc.).
Il gre la fragmentation IP.
Les rgles sont dfinies dans une base appele ACL (Acces Control List). Pour chacune
dentre elles, on dfinit laction entreprendre (accepter, rejeter, authentifier), le niveau
dinformation enregistrer pour les vnements (normal, dtaill, debug) et la manire de
remonter une alerte (trap SNMP, e-mail, pager ou dclenchement dun script personnalis).
Les rgles peuvent tre actives pendant des priodes donnes (heure, jour de la semaine).
Les protections contre le spoofing, les attaques par inondation syn, les ping of death, etc.,
sont actives au niveau du module de filtrage IP, entre le driver rseau et la couche IP.
La configuration des interfaces est particulire. Trois types dinterfaces sont prdfinis la
base : interne, externe et DMZ (DeMilitarized Zone). Lorsque le firewall est configur avec
plus de trois interfaces, ladministrateur doit dfinir des domaines de scurit bass sur les
rseaux IP puis affecter les interfaces un domaine. La dfinition des rgles est ensuite ralise partir de ces domaines.
Relais applicatif
Les applications relayes sont HTTP, FTP, SMTP et Telnet. Chaque relais gre le contrle
de flux, le filtrage des commandes (HTTP, FTP, SMTP), lauthentification, lenregistrement
des vnements et la connexion vers la machine cible.
Deux processus SMTP spars fonctionnent, un pour les connexions avec Internet et lautre
pour les connexions internes. Le relais SMTP empche toute connexion directe partir dun
client Telnet sur port 25.
466
Les autres protocoles peuvent tre traits par un relais gnrique fonctionnant sur le mode
relais de circuit : la demande de connexion est intercepte pour authentifier la session, puis
la connexion est autorise vers le serveur cible. Les flux sont ensuite relays sans contrle
particulier, autre que celui ralis par le module de filtrage IP.
Le relais HTTP offre les fonctions suivantes :
gestion des changements de mots de passe utilisateur depuis un navigateur ;
filtrage des URL ;
filtrage des applets Java et des scripts Java.
Les composants ActiveX peuvent galement tre filtrs.
Authentification
Lauthentification est gre individuellement par chaque relais applicatif et globalement par
le module de filtrage IP. Les niveaux de fonctionnalits sont cependant diffrents.
Tous les protocoles peuvent tre authentifis par le module de filtrage IP via la carte puce
CP8 de Bull. Cette solution ncessite un lecteur de carte sur le poste de lutilisateur et un
serveur CP8LAN. Lauthentification est transparente pour lutilisateur : le firewall intercepte une demande de connexion et demande lautorisation au serveur CP8LAN qui interroge la carte de lutilisateur. Dans le cas dune rponse positive, le firewall permet aux
paquets de passer. Si la carte CP8 est retire de son lecteur, le serveur CP8LAN la dtecte et
en informe le firewall qui ferme toutes les sessions de lutilisateur en question. Les communications entre les clients, le firewall et le serveur CP8LAN sont chiffres via DES.
Les proxy FTP et Telnet supportent, en plus, les authentifications via S/Key, SecurID, les
mots de passe Unix classiques et galement ISM/Access Master. En revanche, le relais
HTTP supporte uniquement le mode classique (mot de passe non chiffr) et la variante chiffre via SSL.
Deux procdures de connexion sont proposes aux utilisateurs :
mode non transparent : lutilisateur se connecte dabord sur le firewall pour
sauthentifier, puis ouvre une session sur la machine cible et, ventuellement,
sauthentifie nouveau ;
mode transparent : lutilisateur se connecte directement sur la machine cible, mais cette
demande est intercepte par le firewall, qui demande une authentification pralable. La
session est alors relaye normalement par le relais.
467
467
Translation dadresses
Deux modes de translation sont proposs :
Le mode statique offre une gestion au niveau du module de filtrage IP : chaque adresse
est translate en une adresse (mode 11) qui sera seule visible de lextrieur (par rapport linterface do elle provient).
Le mode dynamique offre une gestion au niveau des relais applicatifs : les adresses
dun rseau ou dun sous-rseau sont translates en une seule (mode n1 dit de masquage).
Netwall prend en compte les protocoles DNS et Netbios, qui prsentent la particularit de
transporter les adresses IP dans la partie donnes des paquets.
Redondance
Un module complmentaire, appel SafeNetwall, permet doffrir le partage de charge et la
redondance entre deux firewalls. Les deux machines dialoguent via une interface Ethernet
de prfrence ddie pour des questions de scurit. Les sessions en cours ne sont pas coupes.
Administration
Ladministration du firewall peut tre ralise de diffrentes manires :
partir dune interface graphique X/Windows ;
partir dun navigateur Web via HTTP ;
via des menus en mode texte (interface SMIT fournie en standard avec AIX).
Si la station est dporte, les sessions avec Netwall sont authentifies via DES et lintgrit
des donnes est contrle par une signature DES. Les paquets en eux-mmes ne sont pas
chiffrs. Les accs au firewall peuvent tre contrls via les mcanismes propres
ISM/Access Master.
Les statistiques affiches en temps rel comprennent le nombre de paquets traits et rejets
ainsi que les ressources systme utilises. Ladministrateur peut, travers linterface graphique, modifier des paramtres systme tels que la taille des caches, les files dattente et les
tampons utiliss pour la fragmentation.
Un produit distinct, appel Netwall Partitioner, permet de gnrer des rgles de filtrage pour
diffrentes plates-formes : les routeurs Cisco et NCS ainsi que les firewalls Netwall et PIX
(Cisco).
Log et audit
Comme pour les autres fonctionnalits, les vnements sont gnrs deux niveaux : relais
applicatifs et module de filtrage IP. Ils sont enregistrs dans deux types de fichiers : audit et
alertes.
468
Le module de filtrage IP enregistre dans le fichier daudit les adresses IP source et destination, les ports, len-tte du paquet (mode dtaill), le contenu du paquet (mode trace) et la
date de linterception. Le fichier des alertes contient les adresses IP source et destination, les
ports, les protocoles et la date de lvnement.
Les relais enregistrent des informations propres leur application (FTP, Telnet, HTPP,
etc.) : heure de dbut et dure de la session, nombre doctets changs, adresses source et
destination, nom de lutilisateur et informations sur les sessions dauthentification. En mode
trace, le contenu du paquet est galement enregistr.
Les alertes peuvent tre dclenches partir dun vnement simple (rejet dun paquet, refus
dauthentification) ou sur des conditions spcifiques fondes sur le nombre doccurrences
dun vnement ou sa frquence (nombre doccurrences de lvnement pendant une priode donne).
Mcanismes de protection
La fragmentation des paquets est gre de la manire suivante : lorsquun fragment arrive et
quil nest pas le premier dune srie, il est mmoris jusqu la rception du premier fragment qui contient toutes les informations. Cette approche est double tranchant : elle offre
plus de scurit puisque tous les fragments sont lus avant le traitement complet du paquet,
mais elle est potentiellement vulnrable aux attaques de type teardrop, puisquil faut allouer
de la mmoire pour stocker les fragments.
Intgrit
Le module de filtrage IP bloque par dfaut tout le trafic et contrle lactivit des autres processus. Si lun deux sarrte, le module de filtrage IP bloque le trafic correspondant. Les
fonctionnalits lies la TCB (Trusted Computing Base) peuvent tre tendues Netwall et
vrifier lintgrit des fichiers (checksum sur le contenu, date de modification, propritaire).
469
469
La confidentialit
La scurit, exprime en termes de confidentialit, recouvre plusieurs fonctionnalits :
le chiffrement des donnes ;
lintgrit des donnes, qui consiste vrifier que les donnes reues sont bien celles
qui ont t originellement mises ;
la signature, qui consiste sassurer quun objet a bien t mis par celui qui prtend
lavoir fait ;
le certificat, qui consiste sassurer que la cl publique du destinataire est bien la
sienne.
Les mcanismes mis en uvre pour ces fonctionnalits reposent sur les algorithmes de chiffrement. Des protocoles intgrent ensuite ces algorithmes dans des applications telles que les
changes rseau au sens large, les cartes bancaires, le paiement lectronique, etc.
470
partager avec chaque correspondant ( moins quon accepte lide que chaque correspondant puisse dchiffrer les communications entre B et quiconque partageant la mme cl).
Les algorithmes cl publique les plus en pointe actuellement sont RSA (Rivest, Shamir et
Adleman), et ECC (Elliptic Curve Cryptosystem).
Les algorithmes non rversibles consistent transformer un message en un mot de 128 bits
ou plus. Lalgorithme de hachage utilis doit tre collision presque nulle, cest--dire que
la probabilit que deux messages diffrents produisent le mme mot de 128 bits, doit tre la
plus faible possible. Les algorithmes de ce type les plus rpandus sont MD5 (Message Digest RFC 1319 et 1321) et SHA (Secure Hash Algorithm).
Algorithme
Norme ou proprit
Type
Longueur de la cl
ECC
Libre
Asymtrique
128 bits
RSA
Proprit RSA
Asymtrique
IDEA
Proprit MediaCrypt
Symtrique
128 bits
CAST
Symtrique
AES
FIPS 197
Symtrique
DES
FIPS 42-2
Symtrique
40 ou 56 bits
Triple DES
FIPS 42-3
Symtrique
3 fois 40 bits
RC4
Proprit RSA
Non rversible
40 bits
RC5
Proprit RSA
Non rversible
SHA
FIPS 180-1
Non rversible
160 bits
471
471
Matriel utilis
56 bits
Presque rien
Ordinateurs
1 semaine
infaisable
400 $
Ship programmable
5 heures
38 ans
10 000 $
Ship ou ASIC
12 minutes
556 jours
300 000 $
ASIC
18 secondes
3 heures
10 M$
ASIC
0,005 secondes
6 minutes
Depuis, les choses ont bien volu : un tudiant de lcole polytechnique a russi casser la
cl 40 bits de lalgorithme RC4 en 3 jours, rien quen utilisant les temps CPU libres de super-calculateurs. Le record est dtenu par des tudiants de luniversit de Berkeley qui, en
fvrier 1997, ont cass la cl en 3 heures 30 laide de 250 stations de travail en rseau.
La socit RSA, qui commercialise lalgorithme du mme nom, a organis un concours dont
le but tait de casser la cl 56 bits de lalgorithme DES, preuve remporte par un consultant
indpendant.
Linfaisabilit de la proprit mathmatique utilise par lalgorithme est galement un critre important : par exemple, ECC 128 bits est aussi sr que RSA 1024 bits, et RSA 40
bits est aussi sr que DES 56 bits.
Tout organisme priv ou public peut investir dans la production dun ASIC spcialis. La
hauteur de son investissement dpend simplement du gain quil peut en tirer, do lintrt
de bien valuer la valeur commerciale de linformation protger.
En conclusion, les cls 40 bits sont aujourdhui considres comme non sres et
lalgorithme DES comme obsolte.
472
Options de chiffrement
N alatoire
Options de chiffrement
N alatoire
Session ID
Server Hello
Certificat : cl publique
signe par une Autorit
de certification
Cl de session chiffre
avec la cl publique du
certificat
Options de chiffrement
Finished
Options de chiffrement
Finished
La cl publique (1024 bits ou plus) sert chiffrer la cl de session laide dun algorithme asymtrique tel
que RSA. La cl de session (128 bits au minimum, 40 bits tant courant mais pas suffisant) est utilise
pour chiffrer les donnes avec un algorithme symtrique tel que 3DES ou IDEA (RC4 et DES tant courants mais trop faibles). Un algorithme non rversible, tel que MD5 ou, mieux, SHA, est utilis pour contrler lintgrit des donnes changes.
De nombreux protocoles reposant sur TCP (pas UDP) existent en une version SSL :
Protocole
SMTPS
IMAPS
POP3S
Port TCP
465
993
995
Protocole
FTPS
Telnets
LDAPS
Port TCP
989/990
992
636
Le chiffrement est trs consommateur de ressources CPU, dautant quune page Web comportant 4 images ncessite la cration de 5 sessions SSL (une pour chaque requte GET), ce qui signifie 5 ngociations
spares. Des botiers ddis sont donc souvent positionns devant les serveurs devant traiter plusieurs
sessions SSL en parallle. Enfin, bien que la plupart des navigateurs supportent SSL 2.0 et 3.0, il est fortement recommand de ne pas utiliser la version 2.0, qui comporte des failles de scurit connues.
473
473
Origine / Norme
Algorithmes utiliss
IPsec
SSL
(Secure Socket Layer)
Netscape
RFC 2246 et 3546
PGP
(Pretty Good Privacy)
RFC 1991
S-HTTP
(Secure HTTP)
S/Mime
(Secure Multi Purpose Mail Extensions)
PGP/Mime
RFC 2015
PEM
(Privacy Enhanced Mail)
Intgrit
Authentification
Chiffrement
PKCS
(Public Key Cryptography Standards)
RSA
Ces protocoles dfinissent les changes, le format des donnes, les interfaces de programmation et lintgration dans un produit. Par exemple, SSL (Secure Socket Layer) et SHTTP
sont destins aux navigateurs Web alors que S/Mime et PGP/mime sintgrent la messagerie Internet.
Lintgration de ces algorithmes est dcrite par le standard PKCS sous la forme de profils
dcrits dans le tableau suivant.
474
Profil PKCS #
Standards
10
Demande de certificat
Certificats
x
X.509, RFC 1422
Certificats tendus
change de cls
Syntaxe dpendant des algorithmes
RSA cl publique
RSA cl prive
Algorithmes
Message digest : MD2, MD5
RFC 1423
x
x
Ainsi, S/MIME repose sur les standards PKCS #1, #3, #7 et #10. De mme, le GIE Mastercard/Visa utilise PKCS #7 comme base des spcifications SET (Secure Electronic Transaction). Les algorithmes retenus sont RSA 1024 bits pour la signature et lenveloppe, DES 56
bits pour le chiffrement (uniquement pour des faibles montants) et Triple DES.
475
475
476
ou un organisme indpendant, par exemple. Aux tats-Unis, les CA habilits mettre des
certificats sont VeriSign, Entrust, RSA. En France, la DCSSI (Direction centrale de la scurit des systmes dinformation) a habilit des socits telles que CertPlus, CertEurope ou
Certinomis ainsi que des filiales spcialises cres par des banques franaises (cf.
http://www.minefi.gouv.fr/dematerialisation_icp/dematerialisation_declar.htm).
Le standard en matire de certificats est X.509 de lISO repris dans le RFC 1422. Il est utilis par les navigateurs Web via SSL, les annuaires LDAP (Lightweight Directory Access
Protocol) ou encore par le SET (Secure Electronic Transaction) pour le paiement lectronique.
Les serveurs qui grent, distribuent et valident les certificats sont appels PKI (Public Key
Infrastructure). Pour plus de dtails, le lecteur pourra se rfrer au site www.pki-page.org.
La signature numrique
La signature numrique permet de prouver que lmetteur du message est bien celui quil
prtend tre. Une fonction de hachage est opre sur le message, et la valeur obtenue (le digest) est chiffre avec la cl prive de lmetteur. Tous les destinataires peuvent vrifier que
lmetteur est bien celui quil prtend tre en dchiffrant la valeur de hachage avec la cl
publique de lmetteur et en la comparant avec la valeur calcule sur le message reu,
laide de la mme fonction de hachage.
metteur A
Destinataire B
477
477
Lenveloppe numrique
Lenveloppe numrique est une technique de plus en plus utilise. On la trouve dans PGP,
Mime, PEM (Privacy Enhanced Mail). Le principe est le suivant :
Le message est chiffr laide dun algorithme cl secrte tel IDEA ou CAST.
La cl secrte est son tour chiffre laide dun algorithme cl publique tel RSA.
Les destinataires dchiffrent la cl secrte laide de leur cl prive.
La cl secrte ainsi dchiffre est utilise pour dchiffrer le message.
Par exemple, PGP peut utiliser IDEA 128 bits pour chiffrer le message et RSA, 1 024 bits
pour chiffrer la cl IDEA.
Les algorithmes cl publique sont plus puissants que les algorithmes cl symtrique : ils
sont, de ce fait, plus lents et soumis de plus grandes restrictions dutilisation et
dexportation. Lintrt de la technique de lenveloppe est quelle permet de protger la cl
de chiffrement avec un algorithme rput inviolable, et dutiliser un algorithme moins puissant mais plus rapide pour chiffrer le message.
478
Dune manire gnrale, le chiffrement permet de renforcer la scurit pour les donnes
sensibles circulant dans un domaine de non-confiance. Si le niveau de scurit lexige, il
peut sappliquer :
aux accs distants qui empruntent le rseau tlphonique dun oprateur (mode PC-toLAN) ;
VPN IPsec
Serveur daccs
distants
Segment Accs distants
RTC
Botier VPN
Chiffrement / dchiffrement oprs
par le botier et le logiciel sur le PC
Firewall
Rseau interne
ou entre deux sites interconnects par un rseau oprateur, que ce soit une LS, un VPN
de niveau 2 ou 3 ou encore Internet (mode LAN-to-LAN) ;
VPN IPSEC
Chiffrement / dchiffrement
oprs par les botiers
Botier VPN
Botier VPN
Site du sous-traitant
et, ventuellement, entre deux PC ou serveurs de notre rseau, quil soit de type LAN,
MAN, WAN ou WLAN.
La fonction VPN peut tre intgre ou non dans le firewall.
479
479
SPI
0-255 octets
32 bits
N squence
8 bits
8 bits
Mode transport
Entte IP
Entte ESP
Protocole=50
Entte TCP
Donnes
Fin ESP
ICV
Portion chiffre
Portion authentifie
Entte ESP
Entte IP
Entte TCP
Donnes
Portion chiffre
Portion authentifie
Mode tunnel
Nouvel
entte IP
Fin ESP
ICV
Le mode transport est utilis entre un client et un serveur pour protger les donnes transportes dans le
paquet IP originel, mais pas lentte IP lui-mme. Le mode tunnel est, quant lui, utilis si lune des deux
extrmits au moins est un firewall ou un botier IPsec : il permet de chiffrer entirement le paquet IP originel, lentte et ses donnes. Il est noter quil est possible dencapsuler le mode transport dans le mode
tunnel afin, par exemple, de chiffrer entirement et de bout en bout le paquet IP original, tout en traversant
des firewalls. Linverse est galement possible afin, par exemple, de masquer un rseau tiers tel
quInternet le plan dadressage interne lentreprise.
Un autre type dencapsulation, appel AH (Authentication Header - RFC 2402), offre les mmes fonctionnalits hormis le chiffrement des donnes. Il est trs peu utilis.
La taille maximale des donnes transportes dans un paquet IP est dfinie par le MTU (Maximum Transfer
Unit) de la couche sous-jacente (par exemple, 1 500 octets pour Ethernet). Si le paquet IP est dj au
maximum de son MTU, loverhead ajout par IPsec provoque systmatiquement lactivation du mcanisme
de fragmentation IP (cf. chapitre 5).
Les sessions IPsec, appeles security associations, sont inities et gres laide du protocole IKE (Internet Key Exchange RFC 2409), qui sappuie sur les procdures ISAKMP (Internet Security Association
and Key Management Protocol RFC 2408), Oakley et Skeme. Les algorithmes dauthentification, de chiffrement et de contrle dintgrit, ainsi que les longueurs de cls, sont cette occasion ngocis. Selon le
slecteur retenu, deux nuds peuvent tablir une session IPsec, soit pour lensemble de leurs changes,
soit pour chaque couple dadresses IP et/ou de port TCP/UDP.
480
Lauthentification
Lauthentification apporte une protection supplmentaire par rapport la connexion par mot
de passe classique, car celui-ci, mme sil est chiffr, circule entre le client et le serveur. Intercept et dchiffr, il peut donc tre rutilis par un ventuel pirate. De plus, comme il ne
change pas dune session lautre, la session intercepte peut tre rejoue sans avoir besoin
de dchiffrer le mot de passe.
Lauthentification consiste donc sassurer que lmetteur est bien celui quil prtend tre.
Ce type de protection peut aussi bien sappliquer des utilisateurs qu des protocoles rseau tels quOSPF, afin de sassurer que seuls les routeurs dment identifis soient habilits
changer des informations de routage.
481
481
482
Produit
DES
483
483
Radius est le plus utilis. Kerberos a t le premier standard en la matire, mais sa mise en
uvre trop complexe a frein son utilisation. Le support de Kerberos par Windows 2000
pourrait annoncer cependant la rsurgence de ce standard qui na jamais rellement perc.
Tacacs est plus simple mais prsente trop de lacunes. Tacacs+ a t dvelopp par Cisco
mais nest pas rellement un standard.
Authentification CHAP
(mot de passe du client)
Firewall
Serveur dauthentification
Radius
Rseau interne
Authentification par
calculette
484
Annexes
Normes et standards
Le cblage
Normes CEN relatives au cblage
Rfrence
Objet
EN 55022
EN 55024
EN 50081-1
EN 50082-1
EN 50167
EN 50168
EN 50169
EN 50173
EN 186000-1
EN187000
EN 188000
Spcifications des performances des systmes de cblage (driv de lISO/IEC DIS 11801)
Spcifications gnriques pour les cbles et connecteurs fibres optiques
Spcifications gnrales des cbles fibres optiques
Spcifications gnrales des fibres optiques
Objet
EIA/TIA-569
EIA/TIA-568
EIA/TIA-586
EIA/TIA TSB 36
EIA/TIA TSB 40
EIA-455-48
EIA-455-27
EIA-455-48
EIA-455-57
Objet
ITU-T G651
ITU-T G652
488
Annexes
Contenu de la spcification
V.6
V.11
Caractristiques lectriques des circuits dchange double courant symtrique jusqu 10 Mbit/s
V.24
V.28
V.33
V.34
V.42
V.42 bis
Compressions de donnes
V.54
V.90
Objet
EIA/TIA-232
Spcifications de linterface RS-232 proches de celles de la norme V.24. Dbit maximal de 64 Kbit/s.
EIA/TIA-449
EIA-530
Contenu de la spcification
X.20
X.21
X.24
Normes et standards
489
Dsignation
Objet
802.1
Traite des architectures (802.1 a), des ponts et du spanning tree (802.1d)
et du System Load Protocol (802.1 e).
802.1p
802.1q
VLAN
Virtual Bridged Local Area Networks
802.2
LLC
Logical Link Control
802.3
Ethernet CSMA/CD
802.3u
Ethernet 100bT
802.3x
Full Duplex
et contrle de flux
802.3ab
Ethernet 1000bT
802.3af
Alimentation 48v via les cbles en paires torsades pour les postes de
tlphonie sur IP connects au rseau local Ethernet
802.3ah
802.3z
Ethernet 1000bX
802.4
Rseaux Token-Bus
802.5
Rseaux Token-Ring
802.6
802.7
802.8
802.9
Rseaux voix/donnes
802.10
Mthodes daccs entre les couches MAC et LLC (niveau 2) ainsi que pour
la couche application (niveau 7) pour les donnes confidentielles
802.11
490
Annexes
Rfrence
Dsignation
Objet
802.12
100bVG-AnyLAN
802.14
CATV (Cable-TV)
802.15
WPAN
Wireless Personnal Area Network
802.16
802.17
Normes et standards
Objet
791
792
768
813
815
816
919, 922
1219
Subnetting variable
826
903
1293
Inverse ARP
1027
1011
1108
894
1042
1078
1144
1505
1918
1001 1002
1356
1434
3168
491
492
Annexes
Objet
MIL-STD-1777
MIL-STD-1778
MIL-STD-1780
MIL-STD-1781
MIL-STD-1782
Spcifications de Telnet
Objet
1256
2328
1245, 1246
1771, 1772
1058, 1723
950
Procdures de subnetting
Objet
2045, 2046
1939
2060
854
Spcifications de Telnet
1205
1282
959
1350
1094, 1813
Normes et standards
Rfrence
493
Objet
1945
1630, 1738
1034, 1035
2535
1591, 1912
1534
2131
2132, 2224
Options DHCP
Objet
2427
Transport de IP dans Frame-Relay (NLPID (Network Level Protocol ID) / SNAP (Sub Network Access Protocol)
Objet
1332
1483
Utilisation de la couche AAL-5 pour lencapsulation des protocoles IP dans un rseau ATM. Spcifications
DXI (Data eXchange Interface)
2225
Spcifications du routage IP et de la rsolution dadresse ARP sur les rseaux ATM (Classical IP)
1626
1629
Guide pour lallocation des adresses NSAP (Network Service Access Point) au sein de lInternet
1680
1755
2022
2149
494
Annexes
Objet
1332
1552
1570
1989
1990
1321
1993
1994
Objet
1089, 1157
1303
1352
2571
2572
1115
1212
1213
2863
1231
1381
1382
1398
1512, 1285
1513, 1271
1559
Normes et standards
Rfrence
ITU-T
Objet
8824
X.208
8825
X.209
Objet
2460 et 2675
2374, 1887
1809
2461
2472
2464
2463
2740
2080, 2081
2553
1888
2893
495
496
Annexes
Le multimdia sur IP
RFC relatives la voix sur IP
Rfrence
Objet
2543
2976
1889
1890
2032
2190
2198
Objet
H.323
H.323 Annexe A
H.323 Annexe B
H.323 Annexe C
H.323 Annexe D
H.323 Annexe E
H.323 Annexe G
H.323 Annexe H
Mobilit
H.323 Annexe I
H.323 Annexe J
Terminaux scuriss
H.323 Annexe K
H.323 Annexe L
H.323 Annexe M
Tunneling Q.SIG
H.323 Annexe N
Qualit de service
H.225
H.235
Scurit
H.245
Q.931
H.450
H.261
H.263
Normes et standards
Rfrence
Objet
Codec audio
G.728, G.729
Codec audio
T.120
Objet
791, 1349
2873
1633
2205
2206-2209
2210
2211
2212
2213
2214
2215
2216
IntServ Dfinitions de la QoS pour les lments du rseau (dfinit un cadre gnral sur lequel sappuient
les RFC 2211 et 2212)
Objet
1112
2236
1075
1584
2362
497
498
Annexes
Srie I.500
Interfaces usager-rseau
Interfaces dinterconnexion
Srie I.200
Srie I.300
Srie I.100
Concepts gnraux du RNIS
Structure des recommandations, terminologie, mthodes gnrales
RNIS
Couche
3
Couche
2
Couche
1
I.420, I.430
I.421, I.431
Accs de base
Accs primaire
ATM
Q.933 Q.2931
I.362, I.363
I.361
I.371
I.432
UNI
AAL
ATM
Congestion
PHY
Relais de Trames
Q.933 Q.2931
UNI
Congestion
I.430
I.431
Accs de base
Accs primaire
Normes et standards
I.110
I.111
I.112
I.120
I.130 et I.140
I.200
I.210
I.211
I.212
I.220
I.221
I.230
I.231
I.232
I.240 et I.241
I.250
I.251 I.257
Contenu de la spcification
I.310
I.320
I.324
Architecture du RNIS
I.325
I.326
I.330
I.331
I.332
499
500
Annexes
Avis
Contenu de la spcification
I.333
I.334
I.335
Principes de routage
I.340
I.350
I.351
I.352
Contenu de la spcification
I.410
I.411
I.420
I.421
I.430
I.431
I.441 - Q.921
I.451 - Q.931
I.452 - Q.932
I.461 - X.30
Normes et standards
Avis
501
Contenu de la spcification
I.462 - X.31
I.463 - V.110
I.464
Multiplexage, adaptation de dbit et support des interfaces existantes pour des possibilits rduites de transfert 64 Kbit/s
I.465 - V.120
I.470
Contenu de la spcification
I.500
I.510
I.511
I.515
changes de paramtres
I.520
I.530
I.540 - X.321
I.550 - X.325
I.560 - U.202
Contenu de la spcification
I.601
I.602
I.603
I.604
I.605
502
Annexes
Objet
I.113
I.121
I.150 et I.351
I.211
I.311 - I.312
I.321
I.327
I.353
I.356
I.361
I.362
I.363
I.371
I.413
I.432
I.600
I.610
Principes des gestion du B-ISDN (couche OAM - Operations, Administration and Maintenance)
Q.93B - G.771
Spcifications du contrle des services et des appels (UNI drive de la norme Q.931).
Q.2931 - Q.933
Rfrence ANSI
Objet
I.233
T1.606
I.370
T1.606
I.372
I.555
Q.921
Q.922
T1.618
Q.933
T1.617
Normes et standards
503
Objet
G.703
G.704
G.711
G.721
ADPCM (Activity Detection Pulse Code Modulation) : codage MIC diffrentiel adaptatif (MIC-DA) 32 Kbit/s
G.722
G.725
G.726
G.728
G.729
G.732
Objet
G.702
G.703
G.704
G.706
G.707
G.708
G.709
G.733
G.771 - Q.93B
G.774
G.781
G.782
G.783
G.784
G.804
G.821
G.826
Organisation de lInternet
LInternet est la concatnation de diffrents rseaux appartenant des oprateurs privs ou
publics (par exemple, France Tlcom en France). La plupart des oprateurs ne disposent
pas de leur propre infrastructure (les cbles) ; ils louent tout ou partie des liaisons et y
connectent leurs quipements (la plupart du temps de marque Cisco et Nortel).
Les rseaux des oprateurs se superposent, se ddoublent et se rejoignent par moments au
niveau de points de concentration.
Figure A-1.
LInternet.
Seattle
Stockholm
T3 (45 Mbps)
PPP
E1 (2 Mbps)
PPP
San Francisco
T3 (45 Mbps)
San Jose
(MAE West)
Denver
Chicago
T3 (45 Mbps)
Cologne
Bruxelles
Paris
Washington DC
(MAE East)
T3 (45 Mbps)
T3 (45 Mbps)
T3 (45 Mbps)
PPP
Dallas
Amsterdam
New York
NAP
OC3
(155 Mbps)
Los Angeles
PPP
Londres
Boston
OC3
(155 Mbps)
Zurich
Milan
E1 (2 Mbps)
Madrid
Monaco
Rome
Atlanta
Vers Singapour
Les points de concentration reposent sur des rseaux hauts dbits (ATM, FDDI, voire
Ethernet commut) qui utilisent la fibre optique, parcourant une ville importante. Il en existe
de trois types :
Les MAE (Metropolitain Area Exchange) qui sont dtenus par Worldcom (via sa filiale
MFS). Il en existe sept aux tats-Unis (dont les plus gros sont situs San Jose, dans la
Silicon Valey, et Washington) et un Paris.
Les NAP (Network Access Point) qui sont dtenus par le NSF (National Science
Foundation) et grs par des oprateurs privs. Il en existe actuellement quatre aux
tats-Unis (un San Francisco gr par Pacific Bell, un Chicago gr par Bellcore, un
Washington DC gr par Ameritech, et un quatrime prs de New York gr par
Sprint).
Les PPP (Private Peering Point) qui sont grs directement par des ISP qui se sont
associs afin de contourner les MAE et les NAP.
Les ISP (Internet Service Provider) connectent leurs routeurs aux MAE, NAP et PPP
(moyennant une redevance) interconnectant ainsi leurs rseaux. Lensemble de ces interconnexions forme lInternet.
506
Annexes
Les liaisons entre les villes sont constitues de cbles en fibre optique ou en cuivre au bout
desquels on retrouve les routeurs, quipements rseau de base qui permettent dacheminer
toutes les communications sur lInternet. Les routeurs utilisent les protocoles Frame Relay
et, de plus en plus, ATM.
Les routeurs des ISP ainsi que les commutateurs des MAE, NAP et PPP sont installs dans
des locaux techniques, sans doute dans un immeuble devant lequel vous passez tous les
jours sans vous en rendre compte. Certains NAP sont mme perdus au fond dun parking
souterrain
LInternet, cest donc cela : une collection de rseaux dtenus et grs par des oprateurs
privs ou gouvernementaux (essentiellement le NSF) autour desquels gravitent les ISP qui
revendent leurs services aux consommateurs que nous sommes.
La consquence de cette situation est quil ny a aucune garantie de service : les temps de
rponse dpendent de la charge rseau, et les pannes sur lInternet ne sont pas des lgendes,
certaines sont mmes clbres :
En 1997, la panne dun serveur a abm un fichier DNS contenant prs dun million de
noms. Le technicien a ignor lalarme (normal, un bip de plus ou de moins) et le
fichier sest rpliqu sur dautres serveurs DNS. Le temps de tout remettre en ordre, des
dizaines de milliers de sites web nont plus t accessibles pendant plusieurs heures.
Le 13 avril 1998, le backbone Frame Relay dATT sest compltement arrt suite
une erreur de configuration sur un commutateur double dun bogue dudit quipement.
Celui-ci a gnr des messages dalerte vers les autres commutateurs qui se sont
engorgs et qui ont eux mmes gnr dautres messages dalerte, et ainsi de suite. En
moins dune demi-heure, le rseau tait par terre. Limpact sur lInternet a t faible, car
il existait des routes de secours (celles dautres oprateurs !), mais les clients dATT ont
t privs de rseau pendant 12 24 heures.
Cependant, depuis 1985, lInternet na cess dvoluer afin de faire face laugmentation
constante du nombre dutilisateurs, et lon peut esprer que, tant que les oprateurs gagneront de largent, ils assureront un minimum de qualit de service afin dviter de perdre
leurs clients.
Quelques chiffres
LInternet est en perptuelle volution, ce qui fait que les statistiques sont difficiles obtenir. Les chiffres diffrent selon les sources ; de plus, ils ne sappuient pas toujours sur les
mmes critres. Mme le NIC (Network Information Center), qui gre le plan dadressage et
de nommage, publie des informations provenant de socits prives qui scrutent lInternet
(dans le but de vendre leurs tudes de marchs). Il est vrai qu sa dcharge, le NIC a un
fonctionnement trs dcentralis.
Organisation de lInternet
507
On ne peut donc que se fonder sur une photographie prise un instant donn, et encore, assez floue. Dbut 1999, il y aurait ainsi eu :
plus dun million et demi de serveurs web (nomms www) dont 44 % de marque
Apache (un freeware) et 20 % de marque IIS (Internet Information Server, de
Microsoft) ;
Pour vous donner une ide de la croissance phnomnale de lInternet, il y aurait eu, dbut
2000, 80 millions dordinateurs connects dont 6 millions dinternautes en France
Vous pouvez prendre connaissance des statistiques les plus rcentes en consultant, par
exemple, le site http://www.isc.org/ds.
La gestion de lInternet
LInternet, cest dabord un rseau. Cest aussi un ensemble de protocoles (plusieurs centaines) couramment appels protocoles Internet ou protocoles TCP/IP. Ils couvrent aussi bien
les couches rseaux que les applications, telles que la messagerie ou le web. Tous ces protocoles respectent des standards dfinis dans des documents techniques appels RFC (Request
For Comments).
LInternet, cest galement une communaut regroupant des organismes de recherche, des
universits, des constructeurs de matriels, des diteurs de logiciels, des oprateurs et, de
plus en plus, des socits qui veulent simplement gagner de largent.
Pour organiser tout cela, lInternet est structur en plusieurs organisations, chacune ayant un
rle bien dfini.
Figure A-2.
Les organismes chargs de dvelopper
les protocoles Internet..
ISOC
(Internet Society)
IAB
(Internet Architecture Board)
IETF
(Internet Engineering Task Force)
IRTF
(Internet Research Task Force)
508
Annexes
LISOC (Internet Society) est une association ayant pour but de promouvoir lInternet et
den financer le dveloppement. Son rle est donc de coordonner et de financer les organismes qui rgulent lInternet, tels que lIETF. LISOC entretient galement des relations avec
lITU (International Telecommunication Union, organisation dpendant de lONU), les acteurs de lindustrie (constructeurs et diteurs de matriels et de logiciels rseaux) et les gouvernements, afin dofficialiser les relations et de collecter des fonds.
Le rsultat concret de ces changes est lapparition des RFC dans les recommandations de
lITU-T (ITU, secteur des tlcommunications) et une plus grande diffusion des protocoles
dicts par cet organisme, dont les documents sont longtemps rests inaccessibles au public.
LIAB (Internet Architecture Board) est un comit de quelques personnes qui dcide des
volutions de lInternet, telles que ladressage, la mise en chantier dIPv6, lvolution de
larchitecture du rseau et du DNS ou encore la scurit. Parmi la quinzaine de membres
que compte ce comit on trouve des reprsentant de Cisco, 3com, Microsoft, Netscape, Sun,
MCI, ATT, IBM, plus quelques autres reprsentants duniversits amricaines. La plupart
dentre eux viennent de lIETF, les autres de lIESG, du IANA et de lIRTF.
LIETF (Internet Engineering Task Force) regroupe des ingnieurs de divers horizons (instituts de recherche, universits, constructeurs et diteurs, etc.) qui travaillent llaboration
des protocoles utiliss sur lInternet. Les rsultats de ses travaux aboutissent la rdaction
des RFC (Request For Comments) approuvs par lIESG, puis valids par lIAB, et enfin
estampills et diffuss par lISOC. LIESG (Internet Engineering Steering Group) est le
comit de validation technique de lIETF.
LIRTF (Internet Research Task Force) est structur en groupes de recherche dont les objectifs sont de travailler aux protocoles de demain. LIRTF ralise des travaux analogues
lIETF mais sur le long terme. Le RFC 2014 dcrit le fonctionnement de cette organisation.
LIRSG (Internet Research Steering Group) est le comit de validation technique de lIRTF.
Figure A-3.
Les organismes chargs
de rguler lInternet.
ICANN
(Internet Corporation for
Assigned Names and Numbers)
DNSO
(Domain Name Supporting
Organization)
ASO
(Address Supporting
Organization)
PSO
(Protocol Supporting
Organization)
LICANN (Internet Corporation for Assigned Names and Numbers) a en charge la gestion
des adresses IP et des noms DNS (et des serveurs racines) ainsi que laffectation des paramtres aux protocoles IP. Cet organisme est pour cela structur en trois SO (Supporting Organization) : lASO, le DNSO et le PSO.
LASO (Address Supporting Organization) est charg de grer le plan dadressage de
lInternet. Il affecte ce titre les adresses IP et sappuie sur des dlgations rgionales.
Organisation de lInternet
Figure A-4.
La gestion des adresses
IP sur lInternet.
509
ASO
(Address Supporting Organization)
ARIN
(American Registry for
Internet Numbers)
APNIC
(Asia Pacific Network
Information Center)
RIPE
( Rseau IP Europen)
Le DNSO (Domain Name Supporting Organization) est charg de grer le plan de nommage de lInternet. Il accrdite les socits auprs desquelles vous pouvez demander
lenregistrement dun nom de domaine et celles qui peuvent grer des serveurs de noms.
Les domaines de plus haut niveau sont appels Top Level Domains (TLD). Parmi eux, on
distingue les gTLD (general TLD) qui regroupent .com , .edu , etc., et les ccTLD
(country-code TLD) qui dsignent chacun un pays, par exemple .fr , .uk , etc.
Figure A-5.
Les noms de domaines DNS
sur l'Internet.
int
com
(International) (commercial)
edu
gov
mil
(education)
(government)
(military)
coles et
universits
amricaines
net
(network)
org
fr
ch
(organization)
(France)
(Suisse)
Par exemple, lAFNIC, financ par lINRIA et les ISP oprant en France, gre les serveurs
DNS du domaine fr et enregistre les noms de domaines demands par les socits (dlai
moyen : 48 heures). La liste de ces domaines est disponible ladresse :
ftp://ftp.nic.fr/pub/annuaire/Liste-Des-Domaines-Franais.
Le PSO (Protocol Supporting Organization) soccupe denregistrer toutes sortes de valeurs
utilises par les protocoles Internet. Cela concerne, entre autres :
les numros des ports TCP et UDP (les Well Known Port Numbers) ;
tous les codes utiliss par tous les protocoles (par exemple, les types de messages DNS,
OSPF et PPP, la signification de tel octet t de tel bit, etc.) ;
etc.
Dans les faits, le IANA (Internet Assigned Numbers Authority) est actuellement le seul PSO.
La liste actualise de toutes les valeurs peut tre consulte sur le site web de lIANA,
www.iana.org.
510
Annexes
O les contacter
Organisme
Site web
Internet Society
www.isoc.org
IAB
www.iab.org
IETF
www.ietf.org
IRTF
www.irtf.org
www.rfc-editor.org
www.icann.org
IANA
www.iana.org
Organisation de lInternet
Organisme
Site web
NIC
en France
chez les militaires amricains
zone Asie-Pacifique
rs.internic.net
www.nic.fr ou afnic.asso.fr
www.nic.mil
www.apnic.net
ARIN
www.arin.net
RIPE NCC
www.ripe.net
IEPG
www.iepg.org
FIRST
www.first.org
CERT
www.cert.org
511
Glossaire
A
ACR (Attenuation Crosstalk Ratio) : mesure, exprime en dcibels, du rapport signal/bruit
dun cble.
ADSL (Asymmetric Digital Subscriber Line) : technique de transmission haut dbit sur
cuivre (de 1,5 8 Mbit/s dans un sens et 16 640 Kbit/s dans lautre) sur une porte de 3,7
5,4 km. Permet de connecter les particuliers lInternet de faon permanente et haut dbit.
AMRC (Accs multiples rpartition en code) : dsigne les techniques de multiplexage par
attribution dun code didentification. Utilis dans les rseaux cellulaires UMTS.
AMRF (Accs multiples rpartition de frquence) : dsigne les techniques de multiplexage frquentiel. Utilis dans les rseaux cellulaires analogiques.
AMRT (Accs multiples rpartition dans le temps) : dsigne les techniques de multiplexage temporel. Utilis dans les rseaux cellulaires numriques de type GSM.
APPN (Advanced Peer to Peer Network) : volution des rseaux SNA vers un rseau non
hirarchique.
Arcnet (Attached Ressource Computer Network) : rseau local de type bus jeton sur cble
coaxial en toile. Le dbit est de 2,5 Mbit/s.
ARP (Address Resolution Protocol) : protocole bas sur un broadcast permettant dobtenir
ladresse MAC (niveau 2) partir dune adresse rseau (niveau 3).
Arpanet (Advanced Research Projects Agency Network) : historiquement le premier rseau
de type TCP/IP dvelopp pour le DoD (Department Of Defense) amricain.
ART (Autorit de rgulation des tlcommunications) : organisme de rgulation dans le
domaine des tlcommunications en France (tarifs, concurrence, obligations des oprateurs,
etc.).
ASIC (Application-Specific Integrated Circuit) : circuit intgr dvelopp spcifiquement
pour une application donne et la demande. Il est constitu dune matrice de transistors qui
forment des circuits logiques (AND, OR, XOR...) agissant sur des signaux en entre et gnrant des signaux en sortie.
ASCII (American Standard Code for Information Interchange) : code sur 7 ou 8 bits, utilis
dans linformatique pour reprsenter un caractre alphanumrique (128 ou 256 combinaisons sont possibles). Ce code est galement normalis ITU-T n 5.
514
Annexes
ASN.1 (Abstract Syntax Notation 1) : langage normalis ISO permettant de dcrire diverses
structures comme les bases de donnes et les paquets des protocoles.
ATM (Asynchronous Transfert Mode) : protocole haut dbit reposant sur la commutation de
cellules de 53 octets.
AUI (Attachment Unit Interface) : type de connecteur 15 broches utilis pour les matriels
Ethernet.
Autocom (abrviation de autocommutateur) : dsigne un ordinateur spcialis dans la
commutation de circuits. tablit automatiquement une communication tlphonique en
fonction dun numro de tlphone.
B
Backbone (pine dorsale) : dsigne un rseau fdrateur hauts dbits permettant
dinterconnecter des rseaux secondaires.
Balun (Balanced Unbalanced) : connecteur permettant dadapter limpdance entre deux
cbles de nature diffrente.
Baud (du nom de mile Baudot, inventeur du code tlgraphique) : unit exprimant le nombre de modulations par seconde. Elle quivaut au bit par seconde si un signal reprsente une
valeur binaire.
Bluetooth (du nom dun roi norvgien) : technologie de rseau sans fil sur courte de distances dans le but connecter des priphriques un ordinateur.
BBS (Bulletin Board Systems) : messagerie pour les PC permettant de tlcharger des fichiers.
BERT (Bit Error Rate Tester) : test de la qualit dune ligne consistant gnrer des trames
et mesurer le taux derreur.
BISDN (Broadband Integrated Services Digital Network) : dsigne le rseau numrique
haut dbit reposant sur ATM et un support de transmission SDH (ou Sonet).
Bit (BInary digiT) : reprsente le plus petit lment dinformation. Il prend les valeurs binaires 1 et 0 .
BNC (Basic Network Connector) : connecteur propre aux cbles coaxiaux utiliss par les rseaux Ethernet.
BOC (Bell Operating Company) : compagnies de tlphone amricaines rgionales au nombre de sept issues du dmantlement dATT (American Telephone and Telecommunication).
Bit/s (bits par seconde) : nombre de bits transmis par seconde.
BRI (Basic Rate Interface) : dsigne laccs de base RNIS (2B+D).
Glossaire
515
BSC (Binary Synchronous Communications) : protocole synchrone utilis par certains quipements dIBM.
BUS (Broadcast and unknown Server) : couche logicielle permettant de grer les broadcasts
mis par les rseaux locaux sur des chemins virtuels ATM.
C
CAP (Carrierless Amplitude Phase) : mthode de codage en ligne utilise pour les rseaux
hauts dbits, les liaisons xDSL. Bas sur une quadruple modulation damplitude (QAM).
Moins performant que DMT, mais moins cher.
CATV (Cable Antenna TV) : dsigne la tlvision par cble et tous les dispositifs sy rattachant (cble, modulateur...).
CBDS (Connectionless Broadband Data Service) : transmission de donnes pour les rseaux de tlcommunications hauts dbits tels que ATM.
CDDI (Copper Distributed Data Interface) : version de FDDI sur des cbles cuivre paires
torsades de catgorie 5.
CDMA (Code Division Multiple Access) : dsigne les techniques de multiplexage par attribution dun code didentification. Utilis dans les rseaux cellulaires UMTS. (cf. AMRC)
CELP (Code-Excited Linear Predictive) : algorithme de codage dun signal audio consistant
synthtiser des approximation du signal venir en fonction des signaux prcdents.
CICS (Customer Information Control System) : moniteur transactionnel dIBM.
CISC (Complex Instruction Set Component) : type de microprocesseur offrant un grand
nombre dinstructions (par opposition RISC).
CMOS (Complementary Metal Oxyde Semiconductor) : technologie de fabrication de puces
lectroniques base de silicium.
CPU (Central Processor Unit) : unit centrale excutant les instructions dun programme.
CRC (Cyclic Redundancy Check) : mcanisme de contrle derreurs bas sur le calcul dun
polynme gnrateur. Permet de contrler que les donnes dun paquet, dune trame ou
dune cellule nont pas t endommages lors de la transmission sur le rseau.
CSU (Channel Service Unit) : dsigne un modem numrique raccordant lquipement terminal (un routeur par exemple) un nud du rseau, comme un commutateur ATM (voir
galement DSU).
CSMA-CD (Carrier Sense Multiple Access - Collision Detection) : mthode daccs au
support physique par coute du rseau et propre au rseau Ethernet.
CSMA-CR (CSMA - Contention Resolution) : mthode daccs au support physique par
gestion de priorit et propre laccs de base du RNIS.
516
Annexes
CT2 (Cordless Telephone 2nd generation) : norme de radiotlphones numriques sans fil.
Exemple du Bi-Bop en France.
CV (Circuit Virtuel) : dsigne un lien tabli lors dune procdure de connexion travers
plusieurs commutateurs dun rseau. Les CVC (circuits virtuels commuts) sont tablis la
demande. Les CVP (circuits virtuels permanents) sont tablis une fois pour toutes lors de
linitialisation des quipements dextrmit.
CWDM (Coarse Wavelength Division Multiplexing) : version conomique du WDM qui
multiplexe jusqu 16 longueurs donde.
D
DECT (Digital European Cordless Telecommunication) : norme europenne de radiotlphones numriques sans fil.
DES (Data Encryption Standard) : norme de cryptage spcifie par lANSI (American National Standards Institute) et par le NIST (National Institute of Standards and Technology).
DHCP (Dynamic Host Configuration Protocol) : permet, partir dun serveur, de tlcharger la configuration rseau vers un ordinateur (adresse IP, paramtres TCP/IP, etc.).
DNS (Domain Name System) : service de noms reposant sur des serveurs. Permet de convertir un nom en une adresse IP.
DLSw (Data-Link Switching) : dsigne une mthode dencapsulation des trames SNA dans
des paquets TCP/IP (RFC 1434). Les acquittements des trames sont locaux.
DMT (Discrete MultiTone) : mthode de codage en ligne utilise pour les rseaux hauts dbits, les liaisons spcialises et lADSL. Bas sur une quadruple modulation damplitude
(QAM). Plus performant que CAP.
DMTF (Desktop Management Task Force) : groupe de travail ayant dfini la norme du
mme nom qui a pour objet de dcrire les protocoles et bases de donnes dans le domaine de
ladministration bureautique.
DNA (Digital Network Architecture) : spcification des rseaux de la socit DEC (Digital
Equipment Corporation).
DQDB (Distributed Queue Dual Bus) : dsigne la norme IEEE 802.6 pour les rseaux MAN
(Metropolitan Area Network).
DSA (Distributed System Architecture) : modle darchitecture rseau de la socit Bull.
DSL (Digital Subscriber Line) : ensemble de technologies de transmission numrique haut
dbit (quelques Mbit/s) fonctionnant sur des paires de cuivre comme celles du tlphone.
DSU (Data Service Unit) : dsigne un adaptateur entre linterface physique dun ETTD et
un support de transmission numrique tel quune LS (voir galement CSU). Le protocole
Glossaire
517
dchange entre les deux est rfrenc sous le nom de DXI (Data eXchange Interface, RFC
1483).
DTMF (Dual Tone MultiFrequency) : systme de signalisation utilis pour la numrotation
sur les rseaux tlphoniques analogiques.
DVD (Digital Versatile Disk) : disque optique numrique permettant de stocker des films au
format MPEG-2 (133 minutes) ou des donnes informatiques (4,7 Giga octets). Les donnes
peuvent tre stockes sur deux couches, doublant ainsi la capacit.
DWDM (Dense Wavelength Division Multiplexing) : version trs haut dbit du WDM qui
combine jusqu 64 longueurs donde (> 100 Gbit/s).
E
EBCDIC (Extended Binary Coded Decimal Interchange Code) : code sur 8 bits permettant
de coder les caractres alphanumriques.
Edge device (quipement de bordure) : commutateur rseau local (Ethernet ou Token-Ring)
disposant dune interface ATM. Selon les cas, supporte les protocoles LANE, MPOA et
PNNI. Dans certains cas, galement appel commutateur multiniveau.
ECMA (European Computer Manufacturer Association) : organisme de normalisation agissant dans les domaines des ordinateurs et des rseaux locaux.
EDI (Electronic Data Interchange ou change de Donnes Informatises) : procdure
dchange de documents sous forme lectronique. Spcifie la structure des donnes informatiques.
ELAN (Emulated Local Area Network) : rseau virtuel sur ATM.
EMC (Electromagnetic Compatibility) : mesure qui caractrise laptitude des diffrents
composants informatiques, dont les cbles, ne pas perturber dautres composants.
ETEBAC (changes tlmatiques entre les banques et leurs clients) : ensemble de protocoles spcifis par les organismes bancaires franais pour lchange de donnes informatiques.
ETSI (European Telecommunication Standards Institute) : organisme de normalisation participant aux travaux de lITU-T.
F
FAX (Fac-simil) : document tlcopi.
FAI (Fournisseur daccs Internet) : dsigne un oprateur rseau qui permet aux entreprises et aux particuliers de se connecter lInternet (voir ISP).
518
Annexes
G
Gbit/s (Gigabits par seconde) : nombre de milliards de bits transmis par seconde.
GFA (Groupe ferm dabonns) : ensemble de nuds interconnects formant virtuellement
un seul rseau inaccessible de lextrieur bien que partageant la mme infrastructure que
dautres clients au sein du rseau dun oprateur.
Go (gigaoctet) : quivalent 1 073 741 824 octets (1 0243).
GPRS (General Packet Radio Service) : volution de la norme GSM permettant la transmission de donnes rapide.
GSM (Global System for Mobile) : norme europenne dfinissant les rseaux tlphoniques
numriques sans fil (rseaux cellulaires).
H
H.323 (Protocole 323, Srie H de lITU-T) : architecture et protocole permettant dtablir
des conversations tlphoniques sur un rseau IP (cf. VoIP et SIP).
HDB3 (High-Density Bi-polar modulus 3) : mthode de codage utilise dans les liaisons
MIC (avis ITU-T G703).
HDLC (High-level Data Link Control) : dsigne une mthode dencapsulation des donnes
sur un support de transmission synchrone comme une ligne spcialise.
Glossaire
519
HDSL (High-bit-rate Digital Subscriber Line) : technique de transmission haut dbit sur
cuivre (1,544 et 2,048 Mbit/s sur une porte de 4,6 km) en full duplex la diffrence de
lADSL.
HDTV (High Definition Television) : standard de la tlvision numrique 16/9 offrant deux
rsolutions, 1280x720 et 1920x1080, et code avec MPEG-2.
Hz (Hertz) : unit de frquence correspondant un cycle par seconde.
HPPI (High Performance Parallel Interface) : norme dinterface parallle fonctionnant
800 Mbit/s en transmettant 32 bits en parallle ou fonctionnant 2,6 Gbit/s sur 64 bits.
HTML (HyperText Markup Language) : langage de description dune page web. La navigateur (browser web) excute ces commandes pour afficher la page.
HTTP (HyperText Transfer Protocol) : protocole permettant denvoyer une page web dun
serveur web vers un ordinateur quip dun navigateur. Protocole la base du web.
I
IEEE (Institute of Electrical and Electronics Engineers) : organisme de standardisation des
rseaux LAN et MAN, essentiellement de la famille Ethernet.
IETF (Internet Engineering Task Force) : organisme de standardisation des protocoles
TCP/IP regroupant les constructeurs et oprateurs rseaux. met les RFC (Request for
Comments).
INRIA (Institut national de la recherche en informatique et en automatique) : organisme
franais notamment en charge de la gestion de lInternet en France.
Internet (Inter Network) : interconnexion de rseaux IP formant le plus grand rseau public
commutation de paquets du monde.
Intranet (Intra Network) : version prive de lInternet dans une entreprise.
IP (Internet Protocol) : protocole de niveau 3 (couche rseau) commutation de paquet.
Protocole la base de lInternet.
IPX (Internetwork Packet Exchange) : protocole rseau utilis par les serveurs Netware.
IPX/SPX est lquivalent de TCP/IP.
IPNS (ISDN PABX Networking Specification) : norme spcifiant la signalisation entre autocommutateurs privs. Permet dinterconnecter des PABX de marques diffrentes.
ISDN (Integrated Services Digital Network) : dsigne le rseau tlphonique numrique
(voir RNIS).
IPsec (IP Security) : protocole IP scurit. Les paquets sont crypts et authentifis. Standard
la base des VPN-IP.
520
Annexes
ISP (Internet Service Provider) : dsigne un oprateur rseau qui permet aux entreprises et
aux particuliers de se connecter lInternet (cf. FAI).
ITSP (Internet Telephony Service Provider) : oprateur proposant des services VoIP (voix
sur IP) sur Internet.
ITU-T (International Telecommunication Union Telecommunication standardization sector) : organisme affili lONU qui dfinit les normes et la rglementation en matire de rseaux de tlcommunications.
J
Jitter (gigue) : dsigne le dphasage des signaux dhorloge d la distorsion des signaux
sur la ligne.
JPEG (Joint Photographic Experts Group) : groupe de travail et normes relatives la compression dimages fixes.
K
Kbit/s (Kilobits par seconde) : nombre de milliers de bits transmis par seconde.
Ko (Kilo-octet) : quivalent 1 024 octets.
KHz (Kilohertz) : dsigne le nombre de milliers de cycles par seconde (frquence) dune
onde ou dune horloge.
L
L2TP (Layer Two Tunneling Protocol) : protocole permettant dtendre une session PPP audel du point de terminaison, au dessus dun rseau Frame-Relay, ATM ou IP.
LAN (Local Area Network) : dsigne les techniques de rseau local.
LANE (LAN Emulation Protocol) : protocole permettant dmuler un rseau local sur ATM.
Utilise les composants LEC, LECS, LES et BUS.
LAT (Local Area Transport) : protocole, dvelopp par Digital Equipement, permettant de
relier des terminaux et imprimantes aux serveurs VAX en environnement Decnet.
LDAP (Lightweight Directory Access Protocol) : version allge de lannuaire X.500 et
adapte aux rseaux intranet et Internet.
LEC (Lan Emulation Client) : couche logicielle permettant dadapter les protocoles de rseaux locaux sur ATM.
Glossaire
521
LECS (Lan Emulation Configuration Server) : couche logicielle contrlant les ELAN. Gre
les LES et indique aux edge device et stations ATM de quel LES ils dpendent en fonction
de leur ELAN.
LES (Lan Emulation Server) : couche logicielle contrlant un ELAN. Gre tous les edge
device ou stations ATM appartenant son ELAN ainsi que toutes les adresses MAC qui y
sont rattaches ct rseau local.
LIFO (Last In, First Out) : mode dempilement de donnes dans une pile ou une file
dattente, dans laquelle, la dernire donne entre est la premire ressortir. Voir galement
FIFO.
LLC (Logical Link Control) : couche logicielle qui a pour objet dassurer le transport des
trames entre deux stations. Elle se situe au niveau 2 du modle OSI et est fonctionnellement
proche du protocole HDLC.
LS (ligne spcialise) : ensemble de liaisons permanentes et vues du client comme tant
point point.
LU (Logical Unit) : dans les rseaux SNA, dsigne une entit dfinissant des droits daccs
et des rgles de communication avec dautres entits. La LU 6.2 dcrit par exemple les fonctions de communication entre les programmes.
M
MAC (Medium Access Control) : couche logicielle qui a pour rle de structurer les bits
dinformation en trames adaptes au support physique et de grer les adresses physiques des
cartes rseaux (on parle dadresse MAC).
MAN (Metropolitain Area Network) : dsigne un rseau tendu, gnralement en fibre optique, lchelle dun campus ou dune ville.
MAP (Manufacturing Automation Protocol) : rseau local spcifi par General Motors pour
les environnements industriels. La mthode daccs est celle du jeton sur un cble CATV.
Proche de la norme IEEE 802.4.
Mbit/s (Mgabits par seconde) : nombre de millions de bits transmis par seconde.
MHS (Message Handling System) : sous-ensemble de la norme X400 spcifiant les mcanismes de gestion des messages.
MHz (Mgahertz) : dsigne le nombre de millions de cycles par seconde (frquence) dune
onde ou dune horloge.
MIC (Modulation par impulsions codes) : technique de transmission utilise pour vhiculer des signaux analogiques sous forme numrique par chantillonnage des signaux. Par extension, dsigne ce type de ligne utilis en France et comportant 32 canaux de 64 Kbit/s.
MIB (Management Information Base) : base de donnes structure selon la syntaxe ASN.1
dcrivant les objets dun quipement rseau.
522
Annexes
N
NDIS (Network Driver Interface Specification) : spcification par Microsoft dune interface
logicielle universelle daccs aux cartes rseau (NIC) dun PC. Permet au logiciel situ au
niveau de la couche 2 du modle OSI dutiliser nimporte quelle carte rseau (voir ODI).
Netbios (Network Basic Input/Output System) : protocole de niveau session permettant de
partager des ressources entre postes de travail et serveurs en environnement Windows (95,
98 ou NT).
NEXT (Near-End Cross(X) Talk) : mesure de la paradiaphonie dun cble cuivre (aptitude
dun cble ne pas tre perturb par les parasites).
NFS (Network File System) : systme de gestion de fichiers rseau sur TCP/IP. Permet de
partager des fichiers en donnant lutilisateur limpression quils sont locaux.
NIC (Network Interface Card) : dsigne une carte rseau dans un ordinateur.
NOS (Network Operating System) : dsigne les systmes dexploitation des serveurs de fichiers tels que Netware ou Windows NT.
NRZ (Non Return to Zero) : mthode de codage des signaux numriques.
Glossaire
523
O
ODI (Open Data-link Interface) : spcification par Novell dune interface logicielle universelle daccs aux cartes rseau (NIC) dun PC. Permet au logiciel situ au niveau de la couche 2 du modle OSI dutiliser nimporte quelle carte rseau (voir NDIS).
OEM (Original Equipement Manufacturer) : contrat de fabrication sous licence.
OLE (Object Linking and Embedding) : protocole dorigine Microsoft pour la communication des applications rparties.
OLTP (On Line Transaction Processing) : dsigne un moniteur transactionnel en ligne.
OSPF (Open Shortest Path First) : protocole de routage TCP/IP.
P
PABX (Private Automatic Branch eXchange) : appel autocommutateur ou autocom, il assure la concentration des postes tlphoniques et la commutation des circuits.
PAD (Paquet Assembler / Desassembler) : quipement permettant aux terminaux asynchrones (travaillant caractre par caractre) daccder un rseau de paquets X25.
PAV (Point daccs Vidotex) : variante du PAD pour laccs aux services Minitel reposant
sur le rseau X25 de Transpac.
PC (Personal Computer) : micro-ordinateur. Dsigne un ordinateur compatible avec les
spcifications des socits IBM et Intel en matire dordinateur personnel.
PCM (Pulse Code Modulation) : quivalent amricain du MIC (Modulations par Impulsions
Codes) comportant 24 canaux 64 Kbit/s.
PESIT (Protocole dchange pour le Systme Interbancaire de Tlcompensation) : ensemble de procdures spcifies par les banques franaises pour les changes de donnes
lectroniques entre les banques.
Ping (Packet Internet Groper) : petit logiciel permettant de mesurer les temps de rponse
entre deux nuds rseau. Le programme attend un paquet en cho de chacun qu'il a envoy.
Pixel (Picture Element) : dsigne un point lmentaire dans une image.
PNNI (Private to Private Network) : protocole de routage ATM. Permet aux commutateurs
ATM de dterminer les meilleurs chemins virtuels.
POP (Point Of Presence) : salle informatique dans laquelle un oprateur hberge les quipements tlcom lui permettant de connecter ses clients son rseau.
524
Annexes
PPP (Point-to-Point Protocol) : protocole de la couche liaison utilis sur les lignes srie tlphoniques ou spcialises.
PRI (Primary Rate Interface) : dsigne laccs primaire RNIS.
PSDN (Packet Switching Data Network) : dsigne un rseau commutation de paquets.
PSTN (Public Switched Telephone Network) : dsigne le rseau tlphonique. quivalent au
RTC franais (rseau tlphonique commut).
Q
Q-SIG (Q signalisation) : norme base sur la signalisation CITT Q.931 dfinissant les
changes entre les systmes de signalisation publics et privs (PABX).
R
RADSL (Rate-adaptive Asymmetric Digital Subscriber Line) : technique de transmission
haut dbit analogue ADSL mais avec modification du dbit en fonction de la qualit de la
ligne.
RARP (Reverse Address Resolution Protocol) : protocole bas sur un broadcast permettant
dobtenir ladresse rseau (niveau 3) partir dune adresse MAC (niveau 2).
RFC (Request For Comments) : documents issus de lIETF (Internet Engineering Task
Force) spcifiant tous les standards en matire de protocoles Internet.
RISC (Reduced Instruction Set Components) : type de microprocesseur caractris par un
jeu dinstructions rduit au minimum (oppos CISC).
RIP (Routing Information Protocol) : protocole de routage TCP/IP et IPX/SPX.
RNIS (rseau numrique intgration de services) : dsigne le rseau tlphonique numrique cens remplacer le RTC petit petit (cf. ISDN).
RPIS (rseau priv intgration de services) : interconnexion de PABX et de lignes pour
former un rseau RNIS priv.
RPV (rseau priv virtuel) : voir VPN.
RSA (Rivest Shamir et Adelman) : initiales des inventeurs de lalgorithme de chiffrement du
mme nom.
RSVP (Resource Reservation Protocol) : protocole de signalisation permettant de garantir
une qualit de service sur les rseaux TCP/IP pour les applications temps rel comme le
transport de la voix.
RTC (rseau tlphonique commut) : dsigne le rseau tlphonique analogique classique.
Glossaire
525
RVA (rseau valeur ajoute) : dsigne un rseau associ des services tels que la conversion de protocoles, la facturation, laccs des bases de donnes, etc.
S
SAP (Service Access Point) : mcanisme logiciel de pointeurs permettant un logiciel rseau dutiliser les services dune couche infrieure. Le SAP est un numro unique permettant didentifier le logiciel qui a envoy une trame ou un paquet.
SAN (Storage Area Network) : rseau haut dbit sur fibre optique, reposant sur la technologie Fibre Channel, et ddi aux sauvegarde des donnes.
SDH (Synchronous Digital Hierarchy) : mode de transmission numrique pour les rseaux
de tlcommunications hauts dbits.
SDSL (Single-line Digital Subscriber Line) : technique de transmission haut dbit sur cuivre (1,544 et 2,048 Mbit/s sur une porte de 3 km) similaire HDSL.
SIP (Session Initiation Protocol) : architecture et protocole de lIETF permettant dtablir
des conversations tlphoniques sur un rseau IP (cf. VoIP et H.323).
SIT (Systme Interbancaire de Tlcompensation) : rseau dchange de donnes entre les
banques franaises.
SMDS (Switched Multimegabit Data Service) : rseau commutation de paquets hauts
dbits pour des liaisons longues distances.
SMTP (Simple Mail Transfert Protocol) : protocole utilis par les systmes de messagerie
dans le monde TCP/IP.
SNA (Systems Network Architecture) : spcifications des rseaux de la socit IBM (International Business Machine).
SNMP (Simple Network Management Protocol) : protocole de la famille TCP/IP utilis
pour administrer distance les quipements rseaux partir dune station dadministration.
SPX (Sequenced Packet Exchange) : protocole rseau utilis par les serveurs Netware.
IPX/SPX est lquivalent de TCP/IP.
STP (Shielded Twisted Pair) : dsigne un cble blind compos de 2 ou 4 paires en cuivre
(voir UTP).
T
TASI (Time Assignment Speech Interpolation) : technique de multiplexage temporel statistique adapte la transmission de la voix numrise et utilise dans les satellites et les cbles sous-marins.
526
Annexes
TAXI (Transparent Asynchronous Transmitter/Receiver Interface) : spcification dune interface fibre optique 100 Mbit/s pour FDDI et ATM. Utilise le codage 4B/5B.
TCP/IP (Transport Control Protocol / Internetwork Protocol) : protocole de transport des
donnes sous forme de paquets, universellement utilis sur les rseaux LAN et WAN. Dsigne galement toute une famille de protocoles de niveau session ou application (HTTP,
FTP, SMTP, SNMP, etc.).
TDM (Time Division Multiplexing) : technique de multiplexage dans le temps (voir
AMRT).
TIC (Token-Ring Interface Coupler) : dnomination dun mode dattachement des contrleurs IBM SNA 3174, 3745, etc. Dsigne une connexion SNA sur rseau local.
TNR (Terminaison Numrique de Rseau) : coffret marquant la sparation entre le rseau
RNIS public et la partie prive chez lutilisateur. Correspond la prise tlphonique.
TOP (Technical Office Protocol) : ensemble de protocoles dvelopps par la socit Boeing
pour la CAO (conception assiste par ordinateur). TOP respecte entirement la normalisation OSI.
TTL (Time To Live) : compteur permettant de dterminer le temps de validit restant pour
une donne ou un paquet rseau.
U
UA (User Agent) : partie cliente des systmes de messagerie.
UHF (Ultra High Frequency) : bande de frquence, situe entre 30 MHz et 300 MHz, utilise pour transmettre des missions de tlvision analogiques.
UDP (Network Interface Card) : quivalent de TCP mais en mode non connect, sans les
mcanismes de contrle de flux, de reprise sur erreur et autres options.
UTP (Unshielded Twisted Pair) : dsigne un cble non blind compos de 4 paires en cuivre. La norme EIA-TIA 586 dfinit 5 catgories de cbles de ce type (voir STP).
V
VCC (Virtual Channel Connection) : chemins virtuels ATM prdfinis ou affects dynamiquement pour les besoins des protocoles LANE et MPOA. Un VCC hberge une encapsulation LLC telle que dfinie par la RFC 1483.
VDSL (Very-high-bit Digital Subscriber Line) : technique de transmission haut dbit sur
cuivre (de 13 52 Mbit/s sur une porte de 300 1 300 mtres) similaire ADSL.
Glossaire
527
VHF (Very High Frequency) : bande de frquence, situe entre 300 MHz et 3 GHz, utilis
pour transmettre des missions de tlvision analogiques.
VLAN (Virtual Local Area Network) : dsigne les rseaux locaux virtuels. Lextension des
VLAN sur ATM passe par les ELAN.
VoIP (Voice Over IP) : dsigne les technologies permettant de transmettre des conversations tlphoniques (et des visioconfrences) sur un rseau IP. Repose sur les protocoles
H.323 et SIP.
VPN (Virtual Private Network) : dsigne un rseau WAN (reposant sur ATM, Frame-Relay
ou MPLS) ddi une entreprise mais reposant sur un backbone haut dbit que loprateur
partage avec dautres clients. Loprateur garantit que les donnes ne sont pas mlanges
avec celles dun autre client.
VPN-IP (Virtual Private Network Internet Protocol) : liaison IP protge par authentification et cryptage des donnes et reposant sur le protocole IPsec et/ou L2TP.
VSAT (Very Small Aperture Terminals) : protocole de transmission satellite utilisant des paraboles de faibles diamtres (infrieurs 3,7 m).
W
WAN (Wide Area Network) : dsigne un rseau longue distance (rseau tendu) reposant sur
les technologies de transmissions de donnes en srie et des protocoles tel que le Frame Relay et ATM.
WDM (Wavelength Division Multiplexing) : mode de transmission numrique sur fibre optique multiplexant diffrentes longueurs donde et autorisant de trs hauts dbits (> 100
Gbit/s).
Web (la toile) : dsigne lensemble des serveurs de page web de lInternet.
WLAN (Wireless LAN) : rseau local sans fil 11 Mbit/s, compatible Ethernet, et normalis
IEEE 802.11.
WML (Wireless Markup Language) : protocole de description dune page web (version
simplifie de HTML et de HTTP) et adapt aux faibles dbits des tlphones GSM.
WWW (World Wide Web) : dsigne lensemble des serveurs web de lInternet. Nom DNS
gnralement donn aux serveurs web.
X
X25 (norme X.25 de lITU-T) : protocole de niveau 3 spcifiant linterface daccs un rseau commutation de paquets.
528
Annexes
X400 (norme X.400 de lITU-T) : systmes de messagerie OSI (dfinit les protocoles et les
logiciels MTA, UA)
X500 (norme X.500 de lITU-T) : annuaire de messagerie OSI.
XNS (Xerox Network System) : lun des tous premiers protocoles LAN de la socit Xerox,
quivalent de TCP/IP et IPX/SPX.
xDSL (x Digital Subscriber Line) : regroupe les techniques de transmission ADSL, RADSL,
HDSL, SDSL et VDSL.
Bibliographie
T. ANTTALAINEN, Introduction to Telecommunications, Artech House, 2002.
R. BATES, Broadband Telecommunications Handbook, Mc Graw Hill, 2002.
U. BLACK, Advanced Internet Technologies, Prentice Hall, 2000.
U. BLACK, MPLS and Label Switching Networks, Prentice Hall, 2002.
U. BLACK, Voice Over IP, Prentice Hall, 2002.
JA. CANAVAN, Fundamentals of network security, Artech House, 2000.
D. COMER, Internetworking with TCP/IP, Prentice Hall, 2000.
B. FOROUZAN, Local Area Networks, Mc Graw Hill, 2002.
M.S. GAST, 802.11 Wireless Networks The Definitive Guide, OReilly, 2002.
B. GI LEE, W-J KIM, Integrated Broadband Networks, Artech House, 2002.
O. HERSENT, DAVID GURLE, J-P PETIT, IP Telephony, Addison Wesley, 2000.
S. JHA, M. HASSAN, Engineering Internet QoS, Artech House, 2002.
J-P. LAUDE, DWDM Fundamentals, Components, and Applications, Artech House, 2002.
B. KHASNABISH, Implementing voice over IP, Wiley Interscience, 2003.
D. MCDYSAN, D. PAW, ATM Theory & Application, Mc Graw Hill, 2002.
D. MINOLI, Voice over MPLS, Mc Graw Hill, 2002.
D. MINOLI, P JOHNSON, SONET-based Metro Area Network, Mc Graw Hill, 2002.
J-L. MONTAGNIER, Pratique des rseaux dentreprise, Eyrolles, 1999.
G. PUJOLLE, Les Rseaux, Eyrolles, 2002.
W. STALLINGS, Local and Metropolitan Area Networks, Prentice Hall, 2000.
A. TANENBAUM, Computer networks, Pearson, 2002.
Sites web
Accs aux RFC
www.rfc-editor.org/rfcsearch.html
Recherche dans la base de donnes des RFC
www.ietf.org/rfc
Tlchargement rapide des RFC
www.iana.org/numbers.html
Recherche des valeurs rserves par les protocoles
Cblage
www.eia.org
www.tiaonline.org
www.broadband-guide.com
www.scope.com/standards
www.cablingstandards.com
www.necanet.org
www.nema.org
www.rs232.net
Internet
www.afnic.asso.fr
www.apnic.net
www.arin.net
www.darpa.mil
www.iab.org
www.iana.org
www.icann.org
www.ietf.org
532
Annexes
www.isoc.org
www.internic.net
www.register.com
www.ripe.net
www.rfc-editor.org
Rseau IP europen
Accs toutes les RFC (Request for Comments)
www.6bone.net
Rseau Internet IPv6
www.mbone.com
Rseau Internet multicast
www.renater.fr
Rseau national de la recherche
www.internet2.edu
LInternet ddi aux universits
www.ucaid.edu/abilene
Abilene : lInternet ddi aux universits
www.cybergeography.org/mapping.html
Cartographie de lInternet
www.isc.org/ds
Internet Survey
Modem-cble
www.opencable.com
www.ietf.org/html.charters/ipcdn-charter.html
IP over Cable Data Network
www.cabledatacomnews.com Portail ddi aux modems cble
Organismes de normalisation
web.ansi.org
www.etsi.org
Sites web
www.regulate.org
standards.ieee.org
www.w3.org
533
Organismes de rgulation
www.art-telecom.fr
www.fcc.gov
www.oftel.gov.uk
irgis.icp.pt
Protocoles
www.protocols.com
www.atmforum.com
www.frforum.com
www.gigabit-ethernet.org
www.fibrechannel.com
www.t1.org
www.adsl.com
www.dslforum.org
www.nmf.org
www.mplsworld.com
www.mplssrc.com
Qualit de service
www.itmcenter.com
Internet Traffic management ressource Center
diffserv.lcs.mit.edu
Portail daccs aux informations sur Diffserv
www.cis.ohio-state.edu/~jain/refs/ipqs_ref.htm
Liens vers dautres sites
534
Annexes
www.qosforum.com
Quality Of Service Forum
www.ietf.org/html.charters/diffserv-charter.html
Le groupe de travail DiffServ
LInternet mobile
Les standards WLAN de lIEEE
Le site de la WECA
Wireless LAN Alliance
Le site du consortium Bluetooth
Portail spcialis sur Bluetooth
Consortium des liaison infrarouges
Consortium du HomeRF
Wireless Telecommunications Internet Services
DECT Forum
UMTS Forum
Revues de presse
www.reseaux-telecoms.fr
www.01-informatique.com
www.lmi.fr
www.data.com
www.networkcomputing.com
www.telecoms-mag.com
www.cmpnet.com
www.zdnet.com
www.techguide.com
www.techweb.com
www.entmag.com
www.lantimes.com
Le Monde informatique
Data Communications
Sites web
www.samag.com
Scurit
www.2600.com
www.cert.org
www.ciac.org
www.cerias.purdue.edu/coast
www.pki-page.org
www.ssi.gouv.fr
VoIP
www.ectf.org
www.imtc.org
535
Index
1
1000bSX, 305
10bT, 100bT, 48, 59, 301
2
2B1Q (codage), 240, 245
8
802.11, 84, 86, 87, 91
802.11i, 104
802.15, 83
802.1d, 72, 303
802.1p, 303, 361
802.1q, 302, 307, 361, 364
802.1s, 304
802.1w, 75
802.3, 49, 70, 123, 303, 361
802.3ab, 52
802.3ad, 56
802.3u, 52
802.3z, 52
A
AAL (ATM Adaptation Layer), 283, 287, 288, 335,
411
Accs de base/primaire, 228
Accs distants, 478, 483
Adaptative (switch), 54
Administration rseau, 142
Adressage, 124
ATM, 284, 290, 295
Frame Relay, 277, 296
IP, 17, 112, 127, 220, 380
IPv4/IPv6, 187
IPv6, 188, 194
MAC, 49, 62, 70, 75, 112, 127, 152, 194, 276,
382
plan, 112, 151
public/priv, 115, 120
unicast/multicast, 17, 380
ADSL, 211, 244, 247
AES (Advanced Encryption System), 469
Affaiblissement/Attnuation, 27, 30, 33, 35, 43, 55,
210
Agent SNMP, 142, 144
Agrgation de canaux B, 227
Agrgation de liens Ethernet, 56, 65, 67, 304
Aire OSPF, 311, 395
A-law, -law, 330, 415
Alias DNS, 175
AMI (codage), 240
Analogique, 210
Analyseur rseau, 140
Anneau (topologie), 4
Annuaire, 256
Anycast, 189
ARP, 129, 224, 225, 276
ART (Autorit de Rgulation des
Tlcommunications), 78, 87
ASN.1, 147
Asynchrone, 222
ATM, 48, 59, 122, 211, 245, 262, 281, 298, 321,
411
Attaques IP, 447
AUI, 8, 50
Authentification, 466, 480
mcanismes, 480
calculette, 482
serveur, 482
Autorit de certification (scurit), 472, 475
Autosense, 48, 55
AWG, 30, 245
B
Backbone, 59
Baie (cblage), 36
BECN (Backward Explicit Congestion
Notification), 278
BERT (Bit Error Tests), 264
Best effort, 283, 346, 353, 354, 357
538
Annexes
C
Cblage (infrastructure), 24
Cble blind/crant, 28
Cble cuivre, 6
Cache
ARP, 129
DNS, 165, 168, 170
navigateur, 257
Cahier des charges (cblage), 38
Canal B (RNIS), 228
CAP (codage), 246
Carte rseau, 7, 13, 49, 56, 126, 149, 152, 220, 361
Catgorie 5, 6, 7, 29, 31
CCTP, 22, 38
CDMA, 82
Cellule ATM, 245, 287, 288
CELP (codage), 329
CEM, 33
Certificat (scurit), 472, 474, 475
Challenge-response (scurit), 480
CHAP (Challenge Handshake Authentication
Protocol), 222, 231, 480
Cheval de Troie (attaque), 450
Chiffrement
algorithmes, 469
IPsec, 477
performances, 471
SSL, 472
CIDR (Classless Inter-Domain Routing), 114, 187,
319
CIF (Common Intermediate Format), 337
Index
LAP-F, 274
TCP, 132
UDP, 131
COPS, 376
CoS (Class of Service), 360, 377
Couches rseaux, 68, 122
CPE, 236, 242
CR-LDP (Constraint-Based LDP), 324
CSMA/CA, 87, 90, 91
CSMA/CD, 49, 55
CSMA/CR, 228
CSU/DSU, 211, 241, 264, 281, 285, 286
Cuivre/fibre optique (choix), 27, 63, 66, 301
Cut-through (switch), 54
D
DB9/DB25, 219
DCE/DTE, 211, 219
DCT (codage), 336
Dead gateway, 308
Dbit, 48, 61, 213, 258, 266
Dbordement RNIS, 232
DECT, 23, 33, 426
Default gateway, 223, 307
Dlai de propagation, 210
Dlai de transit, 269, 273, 283, 293, 338, 374, 435
DES (Data Encryption Standard), 469
DHCP, 149, 157, 226
Diffie-Hellmann (scurit), 475
Diffserv, 351, 377
DLCI Frame Relay, 268, 276
DMT (codage), 246
DMZ (DeMilitarized Zone), 458, 465
DNS (Domain Name System), 162, 168, 420
base de donnes, 170
client, 180
filtrage, 460
serveur, 168
vulnrabilit, 444
Domaine de broadcast, 187, 189
Domaine de confiance (scurit), 456
Driver, 14, 16
DS0 (canal 64 Kbit/s), 240, 328
DSA (Digital Signature Algorithm), 476
DSCP, 362, 364
DSL (Digital Subscriber Line), 211, 242, 246
DSP (Digital Signaling Processing), 330
DSS1, 270
DSSS, 82
DTMF, 339
DVMRP, 386, 401
DWDM (Dense Wavelength Division
Multiplexing), 250
DWMT (codage), 246
DXI (Data eXchange Interface), 286
E
E.164, 273, 296, 417
E1/T1, 240, 330
EAP (Extensible Authentication Protocol), 104
ECC (Elliptic Curve Cryptosystem), 470
chantillonnage, 328, 432
Echo, 338
ECN (Explicit Congestion Notification), 348
EGP, 312
EIA/TIA, 30, 31
EIGRP, 312
ELMI (Enhanced LMI), 273, 278
EMC, 33
EN50173, 31
Encapsulation, 122, 340
ATM, 286, 287
Ethernet, 129
Frame Relay, 272
IP, 127
Netbios, 131
Enveloppe numrique, 477
Erlang, 341
Espace dadressage, 124
Ethernet, 4, 27, 48, 56, 68, 122, 210
Ethernet v2/802.3, 123
Ethertype, 125
toile (topologie), 4, 6
F
FDDI, 59
FDMA, 81
Fdrateur (rseau), 59, 305
FHSS, 82
Fibre optique, 27, 32, 43, 52, 67, 245, 305
tests optiques, 43
Fichier DNS
cache, 171
initialisation, 179
Fichier MIB, 145
539
540
Annexes
G
G.709, 249
G.711, 415
G.711, G.722, G.723, etc., 331, 333, 340, 411
GARP, 76
Gatekeeper, 412, 420, 424, 425
Gnrateur de trafic, 141
Gigabit, 29, 32, 52, 59, 263, 304, 305
Gigue, 293, 339, 340, 357, 376
GMII, 50
GMRP, 76, 408
Groupe multicast, 194, 204, 382
GSM, 33
GTB (gestion technique du btiment), 23
GVRP, 76, 303
H
H.245, 414, 424, 431
H.261, H.263, 335, 337
H.323, 34, 411
HDLC, 221, 228
HDSL, 240, 243
Hiperlan / Hiperman, 85
Home RF, 83, 85
Hop limit IPv6, 191, 201
Hosts (fichier), 162
Hot-spot, 96
HSRP (Hot Standby Router Protocol), 308
I
IANA (Internet Assigned Numbers Authority), 131,
150, 194, 380
ICMP, 136, 137
vulnrabilit, 447
ICMPv6, 196
IDEA (International Data Encryption Algorithm),
469, 472
IDSL, 242
IETF (Internet Engineering Task Force), 191, 324,
377
IGMP (Internet Group Membership Protocol),
187, 204, 382, 387, 392, 397
IGMP snooping, 408
IGP, 312
IKE (Internet Key Exchange), 475, 479
ILMI (Integrated Local Management Interface),
291
IMAPS, 472
Impdance, 9, 28, 30
Intgrit (contrle), 450, 468, 472, 479
Interface routeur, 114, 216, 220, 230, 265, 276,
280
Interface srie, 220, 221, 270
Interframe/Intraframe (compression vido), 335
Intersite (rseau), 209, 234, 251, 264, 265, 405
Intranet, 175
Intserv, 351, 367, 377
Inverse ARP, 276, 287, 296
IP, 128
IP precedence, 352, 363, 430
Ipconfig, 158
IPsec, 238, 473, 477
IPv4/IPv6, 187
IPv6, 170, 178
ISAKMP (Internet Security Association and Key
Management), 479
ITU (International Telecommunication Union),
234
Index
Label, 322
LAN, 4, 117, 234, 310, 365
LANE (LAN Emulation), 263, 284, 291, 299
LAP-D, 228
LAP-F, 272
LDAPS, 472
LDP (Label Distribution Protocol), 323
Leaky-bucket, 293, 347
Lgislation chiffrement, 477
Lien virtuel OSPF, 315
LIFO (Last In, First Out), 323
LLC, 76
LLC (Logical Link Control), 123, 125, 287
LMDS (Local Multipoint Distribution Service),
106
LMI (Local Management Interface), 272, 278
Local technique, 25
Longueur donde, 35, 43, 250
Loopback, 113, 188
LS (ligne spcialise), 210, 227, 235, 262, 264
LTE (locaux techniques dtage), 24, 27, 34, 36,
218
K
Karn (algorithme), 132
Kbit/s, 210
Kerberos, 483
541
542
Annexes
O
ODI (interface), 14
OFDM, 82, 106
Ohm, 9, 28
Oprateur, 25, 212, 235, 265, 271
Ordonnanceur, 368
OSPF, 114, 311, 314, 391, 395
OTP (One Time Password), 480
OUI, 70
Outsourcing, 239
Overhead, 211, 259, 263, 435
P
PABX, 23, 28, 271, 416, 418
PABX IP, 426
Paire torsade, 6, 30, 34
PAM (codage), 246
Paquet
IP, 125, 126, 212, 352
TCP, 125, 132, 133, 253
UDP, 131
Paradiaphonie, 29, 30, 43
Pas de torsade, 30
Passerelle H.323, 412, 416, 425
PAT (Port Address Translation), 459
PCM (Pulse Code Modulation), 330
PGP (Pretty Good Privacy), 473, 477
PIM, 396, 401
Ping, 136, 226
PKCS (Public Key Cryptography Standard), 474
Plan dadressage, 112
Plan de nommage, 162
Plate-forme dadministration, 142
Plsiochrone, 241
Policing, 354, 355, 362
Pont, 96, 217, 224, 272
Q
Q.922, 269
Q.931, 414, 431
QAM (codage), 246
QCIF, 337
QoS (Quality of Service), 343, 369
Qualit de service, 239, 278, 282, 292, 341, 351,
374, 424, 430
Quantification, 328, 329, 336
R
Radius, 481, 483, 484
RADSL, 244
Rapport signal/bruit, 30, 31
RARP, 129, 276
RAS (signalisation), 414, 422, 431
Rebond (attaque), 449
Recette (cblage), 22, 40
RED, 347, 349
Redirection IP, 202
Redondance, 65, 227, 308, 313
Rflectomtrie, 41
Refus de service, 447
Registry Windows
dead gateway, 308
default gateway, 154
DHCP, 149
DNS, 169, 179
Index
S
S/Mime (Secure Multi Purpose Mail Extensions),
473
SAAL, 284
Salle informatique, 25
SAP, 14, 76, 123
SC (connecteur), 27, 32, 36
SDH (Synchronous Digital Hierarchy), 211, 241,
245, 247
SDLC, 125
SDSL/SHDSL, 244
Secours RNIS, 227
Scurit (politique), 442
Segment Ethernet, 62, 217
Segmentation, 12, 53
Srialisation, 339
Srie (cble/port), 217, 219
543
544
Annexes
T
T.120, 411, 431, 438
T1/E1, 240, 328
Tableau virtuel, 437
TCP, 130, 132, 349
TCP/IP, 13, 222, 270
TCP/IP (configuration), 149, 157, 223
TDM, 245
TDMA, 81
Teardrop (attaque), 448
Telnet, 126, 127, 130, 213, 252, 344, 372
vulnrabilit, 443
telnetS, 472
Temps de rponse, 53, 59, 63, 132, 136, 137, 140,
213, 226, 253, 260, 268, 344, 346, 351, 372
TFTP, 157
TKIP (Temporal Key Integrity Protocol), 104
TLS (Transport Layer Security), 472
TMS (Traffic Management Specification), 282
TNR (Terminaison numrique de rseau), 230
Token-bucket, 375
Token-Ring, 4, 48
Topologie, 4, 5
TOS (Type of Service), 352, 363, 392
Traceroute, 137
Traduction dadresses, 115
Traffic shaping, 278, 282, 348
Trame, 8
Ethernet, 123, 125
Transceiver, 8, 50, 65
Translation dadresses, 459, 467
Trap SNMP, 144
Trunk (Ethernet), 65, 304
TTL
ARP, 129
DNS, 170, 177
Hop limit IPv6, 191, 201
IP, 128, 136, 137, 150, 407
Tunneling (attaque), 449
U
UDP, 130, 131
V
V.24, 218
V.35, 218, 264, 286
VDSL, 245
Ver (attaque), 450
Vido, 34, 328
VLAN, 56, 226, 299, 302, 324
VoIP, 411, 417, 426
VoIP, VoFR, VoATM, 341
Vol de session (attaque), 449
Volumtrie, 255
VPI/VCI ATM, 284
VPN (Virtual Private Network), 238, 477
VPN-IP, 235
VPN-MPLS, 320
VRRP (Virtual Router Redundancy Protocol), 309
Vulnrabilits IP, 443
W
WAN, 120, 210, 234, 310, 365, 416
WDM (Wavelength Division Multiplexing), 250
Web, 210, 213
WEP, 87, 103
WFQ (Weighted Fair Queueing), 346, 352, 368,
372, 430
Wi-Fi, 84, 85, 86
Winipcfg, 157
WINS, 131, 150, 383
filtrage, 461
Winsock, 130, 370, 383
WLAN (Wireless Local Area Network), 84, 85, 91,
93
WMAN (Wireless Metropolitan Area Network),
84, 85, 106
WPA (Wi-Fi Protected Access), 104
WPAN (Wireless Personnnal Area Network), 84,
85
WRED, 348, 352, 368, 372
www, 167, 175, 181
Index
Zigbee, 84
545
17
188
113
194
70
140
129
288
319
9
424
353
41
235
329
62
300
274
33
26
154
357
170
165
14
389
287
272
123
49
5
55
87
35
347
345
269
76
138
196
384
24
286
368
276
479
128
191
25
147
393
336
322
349
150
314
30
438
400
112
222
225
54
114
11
270
69
11
217
312
4
8
361
57
52
234
85
228
373
434
433
249
284
414
273
291
422
144
72
472
132
459
131
303
548
Annexes
309
WLAN (802.11)
91