Académique Documents
Professionnel Documents
Culture Documents
Cours Interconnexion Reseaux
Cours Interconnexion Reseaux
eseaux
(informatiques)
Jean-Luc Archimbaud
Interconnexion et conception de
rseaux
Cours de 24 h pour 3ime anne
Ecole dingnieurs rseaux
2002
JL Archimbaud CNRS/UREC
Plan du cours
Rseaux locaux - LAN
Liens physiques - cblage : Coax - TP FO sans fil
Cblage de btiment
Protocoles niveau 1-2 : Ethernets FDDI
JL Archimbaud CNRS/UREC
Plan du cours
Liaisons longues distances
Liaisons physiques
Commutes RTC, RNIS, ADSL, X25, loues LS
Modems
ATM
Objectifs
QoS : Qualit de Service
Couches 1 et 2
Commutateurs et routage
Architectures LS et LANE
Bilan
Exemples darchitecture
JL Archimbaud CNRS/UREC
Plan du cours
Architecture logique IP
Adresses IP
Plan adressage IP
Routage IP
Exemples de rpartition dutilisateurs et de services
Architecture ATM : classical IP
MPLS
Intgration voix-donnes (tlphonie informatique)
Pourquoi ?
Diffrents niveaux dintgration
Tlphonie sur IP
Services rendus
H323
SIP
Bilan aujourdhui
JL Archimbaud CNRS/UREC
Plan du cours
Rseaux virtuels
Pourquoi ?
VLAN
Avec ATM
VPN (PPTP, L2TP, IPsec)
Noms
Messagerie
Annuaire
Services Web
JL Archimbaud CNRS/UREC
Plan de cours
Qualit de service IP rappels
RSVP
DiffServ
Rappels
NAT
Filtrage
Multicast
Gestion des files dattente
Administration de rseau
Quoi ?
Equipes, standards
Configuration, surveillance, dpannage
Stations dadministration
Mtrologie
JL Archimbaud CNRS/UREC
Plan du cours
Quelques lments de scurit
Accs lInternet
Accs depuis lInternet
A lIntranet
Aux serveurs Internet
Bibliographie
Computer Networks 3rd edition (Tanenbaum)
TCP/IP Illustrated, Vol 1 - W. Richard Stevens
Constructeurs (white papers)
CISCO : http://www.cisco.com
Cours UREC
http://www.urec.cnrs .fr/cours/
Moteurs de recherche
JL Archimbaud CNRS/UREC
10
LAN : dimension
LAN : Local Area Network
Un tage
Un btiment
Diamtre < 2 km
Un site gographique : domaine priv
Plusieurs btiments (site-campus)
Interconnexion de LAN
11
Cble (media)
Connecteurs (connectique)
Emetteurs et rcepteurs
Installation : pose (tirer des cbles)
12
13
JL Archimbaud CNRS/UREC
14
15
Dsavantages :
Trs sensibles aux perturbations (lectromagntiques, )
Courtes distances
Beaucoup de cbles : pose par professionnels
16
JL Archimbaud CNRS/UREC
17
JL Archimbaud CNRS/UREC
18
Emetteurs :
Photodiodes (LED) : multimode , dbits moyens,
distances courtes-moyennes, peu chers
Lasers : multi ou monomode , trs hauts dbits,
longues distances, plus chers
Plus faciles installer sur de la fibre multimode
19
Multiplexage optique
JL Archimbaud CNRS/UREC
20
10
Utilisation
Cest le support maintenant le plus utilis en
interconnexion de btiments, en MAN et WAN
Quelques fois en cblage de stations : cher
JL Archimbaud CNRS/UREC
21
Connecteur SC
JL Archimbaud CNRS/UREC
Connecteur ST
22
11
JL Archimbaud CNRS/UREC
23
LAN : R-LAN
Utilisation : intrieur de btiment (en R-LAN)
Liaisons provisoires : portables, confrences,
Locaux anciens et protgs (impossible deffectuer un
cblage)
Problmes
Dbit limit
Scurit : diffusion
24
12
Liaisons laser
Depuis de nombreuses annes
Point point : interconnexion de rseaux
Distance : 1 ou 2 km sans obstacle
Dbits : plusieurs Mbits/s
Utilisation :
Quand cot tranches trop lev ou domaine public
Liaison provisoire
JL Archimbaud CNRS/UREC
25
Plutt en MAN
Demande une solide tude pralable (obstacles )
Interconnexion de sites distants sans besoin doprateur
Utilis par les oprateurs (France Tlcom )
26
13
1 rpartiteur gnral : RG
n sous-rpartiteurs : SR
Entre RG et SR : cblage primaire : rocades ou colonnes
Entre SR et prises stations : cblage horizontal
Structure toile
27
Bureaux :
Prises murales
Recommandation CNRS : 3 prises (tl + info) par personne
Travail de spcialistes
Sans bon cblage, pas de bons services
Cblage : fondations du rseau
JL Archimbaud CNRS/UREC
28
14
JL Archimbaud CNRS/UREC
29
Trame
Broadcast : FF:FF:FF:FF:FF:FF
Multicast : 1er octet impair
JL Archimbaud CNRS/UREC
30
15
JL Archimbaud CNRS/UREC
31
32
16
JL Archimbaud CNRS/UREC
33
JL Archimbaud CNRS/UREC
34
17
LAN : Ethernet 10 M
Rseau au sens Ethernet : domaine de broadcast
Avantage : protocole simple
Problmes :
JL Archimbaud CNRS/UREC
35
36
18
LAN : Ethernets
10Base5
10 Mbits/s - Coax jaune - Lg max rp station : 500 m
10Base2
10 Mbits/s Coax fin Lg max rp station : 185 m
10BaseFL
10 Mbits/s 2 FO (1 pour chaque sens)
Lg max rp et/ou stations : 2 km avec multimode 62.5
100BaseTX
100Mbits/s - 2 paires UTP catgorie 5
Lg max hub-station : 100 m (rseau 250 m)
37
LAN : Ethernets
100 BaseFX
100 Mbits/s 2 FO
412 m (HD) ou 2 km (FD) multimode 62.5
20 km monomode
1000BaseSX (IEEE802.3z)
Sur 2 FO avec longueurs donde 850 nm
Lg max : multimode 50 550 m 62.5 220 m
1000BaseLX (IEEE802.3z)
Sur 2 FO avec longueurs donde 1300 nm
Lg max : multimode 50 550 m - monomode 5 km et plus
JL Archimbaud CNRS/UREC
38
19
JL Archimbaud CNRS/UREC
39
LAN : FDDI
Ethernet
C
S S
S
JL Archimbaud CNRS/UREC
40
20
LAN : FDDI
Accs au support par jeton (3 octets)
Un jeton circule sur lanneau
Une station qui veut mettre
Capture le jeton
Envoie les trames de donnes
Libre le jeton
Retire ses trames au passage suivant
41
LAN : FDDI
Trame
Adresse destination (6 octets idem Ethernet)
Adresse source
FS (Frame Status )
Erreur
Adresse reconnue
Trame lue
Donnes : lg max 4500 octets
42
21
LAN : FDDI
Circulation normale : anneau primaire
Coupure anneau
Rebouclage de lanneau
Mise en fonction : anneau secondaire
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Fonctionnement normal
JL Archimbaud CNRS/UREC
43
LAN : FDDI
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Coupure de lien
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
Arrt de station
JL Archimbaud CNRS/UREC
44
22
LAN : FDDI
Anneau primaire
S
C
Ethernet
R
Anneau secondaire
S
S
S S
45
Version (4)
TOS Type of Service : qualit de service
TTL Time To Live : 60 ? 0 (-1 chaque routeur)
Identification protocole de transport (TCP, UDP, ICMP, )
Adresse IP de la station origine
Adresse IP de la station destinataire
46
23
IPv4 : couche 4
Couche 4 :protocole entre stations (pas entre routeurs )
TCP : Transmission Control Protocol
Paquet TCP = segment
Mode connect
Transport fiable (contrle derreurs, accuss de rception,
retransmission, )
Spcification des applications : numros de port (origine,
destination) dans le segment
Fentrage Slow start : sadapte tous les dbits
Pas de contrle
Mode non connect
Spcification de lapplication : numros de port (orig, dest)
Protocole lger, permet multicast-broadcast facilement
JL Archimbaud CNRS/UREC
47
IPv4 : ICMP
ICMP : Internet Control Message Protocol
RFC792
Messages de contrle mis par les stations ou
les routeurs
Messages :
JL Archimbaud CNRS/UREC
48
24
IPv4 : couche 2
IP / couche 2 : les datagrammes IP peuvent tre
transports par tous les types de rseaux :
@ IP ? @ couche 2 ?
Ethernet, FDDI : broadcast : ARP, RARP
ATM : serveur ARP
JL Archimbaud CNRS/UREC
49
Entte IP
Indication TCP
@ IP origine
@ IP destination
Entte TCP
Numro de port source
Numro de port destination
Donnes
JL Archimbaud CNRS/UREC
50
25
IPv4 : adresses
4 bytes 194.220.156.3
Chaque coupleur de station ou de routeur a une
adresse
Partie rseau (IP) : 194.220.156
Partie station (IP) : 3
Routeur : spare (interconnecte) 2 rseaux IP
Adresses (IP) de broadcast et de multicast
194.220.157.255 : broadcast sur rseau IP
194.220.157.0
JL Archimbaud CNRS/UREC
51
Elments dinterconnexion
Ethernet - IP
Pourquoi ? Problmes
Rpteurs Hubs (Ethernet)
Ponts (Ethernet)
Commutateurs Ethernet
Routeurs (IP)
Commutateurs-Routeurs (Ethernet-IP)
JL Archimbaud CNRS/UREC
52
26
53
Segmenter le rseau :
Un sous-rseau / groupe dutilisateurs : entreprises, directions,
services, )
Sparer ladministration de chaque rseau
Crer des rseaux rseaux virtuels
Saffranchir de la contrainte gographique
JL Archimbaud CNRS/UREC
54
27
? Problmes :
Classification, frontires sont un peu complexes
Terminologie imprcise (dpend du contexte)
Commerciaux rarement techniciens
55
Station B
Coax 1
Repeteur
Coax 2
Station C
JL Archimbaud CNRS/UREC
56
28
Dsavantages
Ne diminue pas la charge
Ne filtre pas les collisions
Naugmente pas la bande passante
Pas de possibilit de rseau virtuel (VLAN)
JL Archimbaud CNRS/UREC
57
10 M
Station
10 M
10 M
10 M
Station
JL Archimbaud CNRS/UREC
Station
10 M 10 M
HUB
HUB
d < 100 m
10 M
10 M
Station
Station
10 M
Station
Station
58
29
100BaseT : 4 hubs
Mais distance max entre 2 stations : 250 m
Utilisation actuelle
En extrmit de rseau (stations utilisateurs)
Remplacs par des commutateurs Ethernet
En cur de rseau, pour serveurs, et mme pour stations
JL Archimbaud CNRS/UREC
59
JL Archimbaud CNRS/UREC
60
30
Station D
500 m
Coax 1
PONT
Coax 2
500 m
Station C
Station B
Niveau de la couche 2
Traitement : valeur @ MAC destinataire ? transmet
ou non : trafic A-D ne va pas sur coax 2
Localisation des @ MAC des stations par coute
(auto-learning) ou fixe
Ignor des stations (transparent)
JL Archimbaud CNRS/UREC
61
JL Archimbaud CNRS/UREC
62
31
Station
100 M
Station
JL Archimbaud CNRS/UREC
Station
HUB
1G
Station
Station
COMM
Station
d < 100 m
10 M
Station
Station
63
Chassis ou boitier
Cartes : 2 ports FO, 8 ports TP avec dbits 10, 100, 1000 Mb/s
Systme dexploitation
Configuration : telnet, client Web
Surveillance : SNMP
JL Archimbaud CNRS/UREC
64
32
Fonctions supplmentaires
Auto-sensing dbit (IEEE 802.3u)
Affectation statique d@ MAC et filtrage au niveau 2
Spanning Tree : vite les boucles
Construction dun arbre
A un instant : un seul chemin utilis
65
Trs rpandu :
Local : workgroup switch
Campus : complt par le routeur (plus lent et
plus cher)
Remplac par le commutateur-routeur (plus cher)
quand besoin
JL Archimbaud CNRS/UREC
66
33
Elts interconnexion :
commutateur et hubs
JL Archimbaud CNRS/UREC
67
192.99.40.0
Station
Station
COMM
Eth
Routeur
192.88.32.0
hub
Ethernet
Station
JL Archimbaud CNRS/UREC
Station
Station
129.88.0.0
ATM
COMM
ATM
Station
68
34
Matriels
Chassis ou boitier
Cartes : 2 ports FO, 8/16/24/32/48/64 ports TP avec
dbits 10, 100, 1000 Mb/s, LS, ATM, FDDI
JL Archimbaud CNRS/UREC
69
JL Archimbaud CNRS/UREC
70
35
Elts interconnexion :
Commutateur-routeur (IP)
Multilayers switch
Runion des fonctions commutateur et routeur
dans une seule boite
On peut configurer certains ports en
commutation, dautres en routage
Lquipement tout faire
Mais pour le configurer il est ncessaire davoir dfini
larchitecture que lon veut mettre en place
71
S1
S2
S3
S4
10 M TP
10 M TP
10 M TP
10 M TP
10 M TP
100 M TP
Serveur 1
100 M TP
F
1G O
COMMUTATEUR-ROUTEUR
Mail WWW
Serveur 2
JL Archimbaud CNRS/UREC
72
36
COMMUT
Serveur 1
ROUTEUR
COMMUT
Serveur 2
COMMUT
Mail
S1
WWW
S4
S2
S3
3 (sous-)rseaux IP :
Serveur 1, Serveur2 S1, S2, S3, S4 Mail, WWW
JL Archimbaud CNRS/UREC
73
Entte IP
@ IP destination ? Routeur
Entte TCP
Numro de port destination ? Station (choix du service)
Donnes ? Application
JL Archimbaud CNRS/UREC
74
37
Entre services
Commutateurs ou routeurs
JL Archimbaud CNRS/UREC
75
Station N
10 M
Pont
Station D Station A
hub
10 M
10 M
Station E
Station P
10 M
hub
100 M
100 M
2M
Pont
100 M
COMM
Eth
10 M
Station F
100 M
Station K
10 M
10 M
Station M
Station B
10 M
Station C
Station G
Station H
10 M
hub
10 M
hub
10 M
Routeur
10 M
10 M
Station L
JL Archimbaud CNRS/UREC
Station R Station Q
100 M
Station I
100 M
100 M
10 M
COMM
Eth
10 M
Station J
76
38
A ? B et D ? E ? O ? N et M ? L ?
G ? H et E ? F ?
B a un coupleur dfectueux (envoie des trames sans coute ?
collisions). Cette station perturbe t-elle A ? E ? G ? R ?
F dans le mme cas. G est-elle perturbe ?
O dans le mme cas. M est-elle perturbe ?
JL Archimbaud CNRS/UREC
77
JL Archimbaud CNRS/UREC
78
39
Oprateurs
Oprateurs Telecom traditionnels : FT, Cegetel,
Mais aussi SNCF, socits dautoroutes,
Liaisons : FO, cbles cuivre, liaisons hertziennes,
Equipements : (d)multiplexeur, commutateurs (en tous genres),
79
JL Archimbaud CNRS/UREC
80
40
81
JL Archimbaud CNRS/UREC
82
41
JL Archimbaud CNRS/UREC
83
84
42
JL Archimbaud CNRS/UREC
85
Contraintes :
Poste tlphonique < 5 km dun rpartiteur FT
Le cas de 80 % des foyers franais
JL Archimbaud CNRS/UREC
86
43
IP : idem Ethernet
Connexion permanente :
Cot installation et mensuel (pas la consommation)
Possibilit de connecter un routeur ct particulier ou agence
mais fournisseur daccs obligatoire
Offre FT :
Sans Internet : 30 E / mois ou 107 E / mois (ADSL Pro) en oct 02
JL Archimbaud CNRS/UREC
87
JL Archimbaud CNRS/UREC
88
44
Liaisons spcialises FT
Transfix (nationales)
Connexions :
Routeurs
Ponts (distants)
Commutateurs ATM
PABX Tlphoniques
JL Archimbaud CNRS/UREC
89
90
45
Modems RTC
Programmation :
Commandes AT (origine Hayes)
Fonctions :
JL Archimbaud CNRS/UREC
91
ATM : plan
Objectifs
QoS : Qualit de Service
Couches 1 et 2
Commutateurs
Routage
Architectures LS et LANE
Bilan
Exemple
JL Archimbaud CNRS/UREC
92
46
ATM : objectifs
ATM : Asynchronous Transfert Mode
Origine : CNET (FT R&D)
Oprateur tlphone lorigine
93
ATM : objectifs
Mmes protocoles et technologies en LAN, MAN
et WAN
Caractristiques des rseaux / services attendus
Bande passante (bps) partage : garantie si possible
Temps de latence (dlai de transmission) :
minimum et constant si possible
Dpend distance, lments actifs, charge (files dattente)
94
47
Dialogue possible
Temps de latence faible
Poste avec annulation d'echo
Retransmissions : inutiles
Mode connect bien adapt
Exemple d'incompatibilit (thorique)
Tlphone et Ethernet
JL Archimbaud CNRS/UREC
95
Solution ATM :
On regroupe les applications qui demandent des
qualits de service similaires ? 4 groupes
On dfinit 4 classes de services que peuvent offrir les
rseaux (liens et quipements) ATM qui
correspondent aux 4 groupes : UBR, ABR, CBR, VBR
JL Archimbaud CNRS/UREC
96
48
97
98
49
Transfert dinformations
Fermeture dune connexion
JL Archimbaud CNRS/UREC
99
Information (Payload)
48 Octets
53 Octets
JL Archimbaud CNRS/UREC
100
50
VPI
VPI
VCI
VCI
VCI
PT
GFC
VPI
VCI
PT
Payload Type
Message dadministration ou
dinformation
Etat de congestion
(MAJ par commutateur)
CLP
HEC
CLP
HEC
Champ Information
48 octets
JL Archimbaud CNRS/UREC
101
Rseau
Rcepteur
Setup
Setup
Call proceeding
Appel reu
Call proceeding
Connect
Appel
termin
Connect
Appel
accept
Connect Ack
Connect Ack, facultatif
Etablissement connexion
JL Archimbaud CNRS/UREC
102
51
AFI
39
10
DCC
Data
Country
Code
HO-DSP
IDI
IDP
1
AFI
47
ESI
HO-DSP
IDI
IDP
SEL
10
ICD
Code
organisation
ESI
SEL
AFI
E.164
45
HO-DSP
ESI
SEL
IDI
IDP
E.164 ATM Format
AFI : Identificateur de l'autorit et du format
HO-DSP : High Order Domain Specific Part, utilis pour supporter des protocoles de routages hirarchiques.
ESI : End System Identifier, en fait la MAC adresse (idem Ethernet)
JL Archimbaud CNRS/UREC
103
Liaisons FO
FO multimode 155 Mbits/s (OC 3)
FO multimode ou monomode 622 Mbits/s (OC12)
.
Liaisons TP
155 Mbps UTP cat5
52 Mbps UTP cat3
.
JL Archimbaud CNRS/UREC
104
52
JL Archimbaud CNRS/UREC
105
Station
Station
Routeur
Station
COMM
ATM
COMM
ATM
Station
Station
Station
Station
hub Eth
JL Archimbaud CNRS/UREC
106
53
ATM : commutateurs
VP et VC
VC
VC
VC
VC
VC
VC
VC
VP
VP
VP
Chemin de transmission
VP
JL Archimbaud CNRS/UREC
VP
VP
VC
VC
VC
VC
VC
VC
VC
107
ATM : commutateurs
Commutateur de VP et de VC
VC Switch
VP 5
VC 1
VP 1
VC 2
VP 7
VC 3
VC 4
VP Switch
VC 1
VC 2
VP 6
JL Archimbaud CNRS/UREC
VP 2
VC 1
VC 2
108
54
ATM : routage
Link 2 Routing Table
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
JL Archimbaud CNRS/UREC
Link out
VCI-out
3
6
1
1
3
4
109
ATM : routage
Link 2 Routing Table
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
VCI = 4
VCI-in
Link out
VCI-out
VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
3
6
1
1
3
4
JL Archimbaud CNRS/UREC
110
55
ATM : routage
Link 2 Routing Table
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
VCI = 4
1
VCI = 4
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
JL Archimbaud CNRS/UREC
Link out
VCI-out
3
6
1
1
3
4
111
ATM : routage
Link 2 Routing Table
VCI-in
Link out
VCI-out
2
4
1
1
1
2
2
Switch
VCI = 4
VCI = 4
VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
JL Archimbaud CNRS/UREC
VCI = 6
VCI-in
Link out
VCI-out
3
6
1
1
3
4
112
56
ATM : routage
VCI = 4
2
Switch
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
JL Archimbaud CNRS/UREC
Link out
VCI-out
2
4
1
1
1
2
Link out
VCI-out
3
6
1
1
3
4
113
ATM : routage
VCI = 4
Link 2 Routing Table
VCI = 4
Switch
Link out
VCI-out
2
4
1
1
1
2
VCI-in
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
JL Archimbaud CNRS/UREC
VCI-in
VCI-in
Link out
VCI-out
3
6
1
1
3
4
114
57
ATM : routage
Link 2 Routing Table
VCI = 4
VCI-in
Link out
VCI-out
2
4
1
1
1
2
VCI = 4 2
VCI = 2
Switch
Link out
VCI-out
1
2
3
4
2
2
3
3
2
4
3
6
JL Archimbaud CNRS/UREC
VCI-out
3
6
1
1
3
4
115
2
3
Link out
VCI-in
VCI-out
1
3
2
8
VCI-out
2
3
2
6
Commutateur
port 1
port 3
VCI-out
1
2
3
4
port 2
Station A
Station B
Table de routage
Table de routage
Station C
Table de routage
Station
VCI
Station
VCI
Station
VCI
B
C
2
3
A
C
2
4
A
B
6
8
JL Archimbaud CNRS/UREC
116
58
Architectures ATM
On peut btir plusieurs types darchitecture sur
un rseau ATM
Liaisons spcialises point point
Des rseaux LANE : mulation de LAN
Des rseaux classical IP : architecture IP
Trait dans la partie Architecture IP
JL Archimbaud CNRS/UREC
117
118
59
Objectifs :
Interconnexions (niveau 2) de rseaux locaux comme
Ethernet travers un rseau ATM
Intgration de stations ATM comme stations
Ethernet
But : rendre invisible les commutateurs ATM aux
rseaux Ethernet ? LAN emulation
119
hub
Commutateur
ATM - Eth
Station Eth
Station Eth
Station Eth
hub
Station Eth
hub
Station Eth
Commutateur
ATM
Station Eth
Station B
ATM
Commutateur
ATM
Station A
ATM
Commutateur
ATM
Serveur LANE
hub
Commutateur
ATM - Eth
Rseau ATM
Commutateur
ATM - Eth
Station Eth
Station Eth
A
T Routeur IP
M
Station Eth
Station Eth
JL Archimbaud CNRS/UREC
hub
Station ETH
Station ETH
Station ETH
120
60
Logiciels :
Stations Eth : pas de logiciel spcifique
ATM transparent
121
122
61
123
ATM : bilan
Trs complexe :
Cher
Trs dlicat faire fonctionner
Utilisation en LAN
Annes 1995-2000
Remplac par Gigabit Ethernet maintenant
Avantage restant : peut intgrer le tlphone (PABX)
124
62
CNET
Meylan
VPs C3I2
10 M, 20, 30, 35,
selon les sites
C3I2
Grenoble
Domaine
universitaire
CEA
Polygone
INPG
Felix Viallet
Lyon
La Doua
CNRS
SAFIR
France
Liaison interne
au site 155 M
VPs SAFIR
2, 4 ou 10 M
Sophia
INRIA
Paris
Jussieu
Toulouse
CICT
EDF
Clamart
Rouen
Crihan
JL Archimbaud CNRS/UREC
CEA
Saclay
125
JL Archimbaud CNRS/UREC
126
63
Ex darchitecture : tour
JL Archimbaud CNRS/UREC
127
JL Archimbaud CNRS/UREC
128
64
JL Archimbaud CNRS/UREC
129
Ouverture: t 2002
JL Archimbaud CNRS/UREC
130
65
69 sites
Lg totale (liaison) : 356.1 km
Mtro : 312 km
Egouts : 33 km
Gnie civil : 0.3 km
Plus petite liaison : 1 km, plus grande : 9.6 km
Faisceaux hertziens
2 sites proches de Paris
JL Archimbaud CNRS/UREC
131
Services
IP
Infrastructure
de services
ATM
Ethernet
SDH/SONET
Infrastructure
de transport optique
DWDM
DWDM
JL Archimbaud CNRS/UREC
132
66
Site B
Site A
Eth 100
Site D
cr
ATM OC3
s -atm
dwdm
SP
SP
NRD
5082 m
E
8672 m
ATM
c
cr
s-atm
dwdm
5120 m
s -atm
Malesherbes
gw-rap
10 longueurs donde
20 rseaux optiques virtuels
Jussieu
Auteuil
dwdm
dwdm
E
Odon
cr
IP
c
Site C
Gigabit Ethernet
W
W
dwdm
3100 m
8410 m
cr
Eth 100
Site F
s -atm
GigaEthernet
cr
ATM OC12
JL Archimbaud CNRS/UREC
s -atm
133
Adresses IP
Affectation statique ou dynamique (DHCP)
Plan adressage IP
Routage IP
Exemple de rpartition dutilisateurs et de
services
Architecture ATM : classical IP
JL Archimbaud CNRS/UREC
134
67
Architecture IP : rseaux IP
hub
Station N
Routeur
Station A
Station O
Routeur
hub
Station B
Station P
Station C
Station G
Station M
LS 1 M
hub
COMM
Eth
Station H
Station L
256 Kb/s
Routeur
Station R
Station Q
Fournisseur daccs
Internet
JL Archimbaud CNRS/UREC
COMM
Eth
Station J
135
Architecture IP : adresses
Une adresse IP par coupleur (machine, routeur)
Format : 4 octets notation dcimale A.B.C.D
Ex : 130.190.5.3
193.32.30.150
136
68
CITI2 : 192.70.89.0
137
Masque 255.255.255.192
192.33.181.0-192.33.181.63
192.33.181.64-192.33.181.127
192.33.181.128-192.33.181.191
192.33.181.192-192.33.181.255
Les routeurs permettent maintenant de crer des sous rseaux de tailles diffrentes
Les sous -rseaux sont connexes
Non spars par un autre rseau IP
Dcoupage en sous-rseaux nest connu que du propritaire du
rseau (site, entreprise, provider, ), pas de lInternet
JL Archimbaud CNRS/UREC
138
69
Archi IP : classless
Pour obtenir une adresse de rseau (unique)
192.33.181.0/26 : 192.33.181.0-192.33.181.63
192.33.181.64/26 : 192.33.181.64-192.33.181.127
192.33.181.128/26 : 192.33.181.128-192.33.181.191
192.33.181.192/27 : 192.33.181.192-192.33.181.223
192.33.181.224/27 : 192.33.181.224-192.33.181.255
JL Archimbaud CNRS/UREC
139
Archi IP : @ particulires
Classe D : 224? A ? 239 : multicast
224.10.15.3 : ? groupe de stations sur lInternet (nimporte o)
JL Archimbaud CNRS/UREC
140
70
141
IPv6
JL Archimbaud CNRS/UREC
142
71
143
192.33.181.65 (B)
192.33.181.64/26
Routeur 2
hub
192.33.181.5
192.33.181.66 (A)
192.33.181.67
192.33.181.141
192.33.181.129
LS 1 M
192.33.181.224/27
192.33.181.142
256 Kb/s
Routeur 3
COMM
Eth
hub
192.33.181.128/26
192.33.181.130
192.33.181.202 (C)
192.33.181.201
Fournisseur daccs
COMM
192.33.181.200
Eth
Internet
Quelles @ manquent ils ? 192.33.181.192/27
JL Archimbaud CNRS/UREC
144
72
Routeur 1
192.33.181.231
192.33.181.65 (B)
192.33.181.64/26
192.33.181.80
Routeur 2
hub
192.33.181.150
192.33.181.5
192.33.181.66 (A)
192.33.181.67
192.33.181.141
192.33.181.129
LS 1 M
192.33.181.142
COMM
Eth
hub
192.33.181.128/26
192.33.181.130
192.33.181.230
192.33.181.145
Routeur 3 192.33.181.202 (C)
256 Kb/s
192.33.181.201
X 192.33.181.203
192.33.181.224/27
Fournisseur daccs
Internet
COMM
Eth
192.33.181.200
192.33.181.192/27
145
Archi IP : routage IP
A (192.33.181.66) veut envoyer un datagramme IP B
(192.33.181.65)
Pb : A doit envoyer une trame Ethernet mais ne connat l@ Eth
B
Elle envoie un broadcast Ethernet sur le rseau qui demande :
quelle est l@ eth de B ? (l@ Eth de A est spcifie dans la trame
Ethernet : @ Eth origine)
B rpond l@ Eth A en disant : je suis 192.33.181.65 et mon
adresse Ethernet est @ Eth B
A peut alors envoyer alors les datagrammes IP dans des trames
Ethernet (elle connat l@ Eth de B)
Mcanisme : ARP RARP
146
73
Archi IP : routage IP
Chaque station doit tre configure pour spcifier
Son adresse IP (Commande Unix ifconfig)
Ladresse du sous-rseau sur laquelle elle est (Commande Unix
ifconfig)
Une table (de routage) qui indique comment atteindre les autres
rseaux (Commande Unix route add)
Exemple A
@ IP : 192.33.181.66 - @ Rseau : 192.33.181.64/26
Routes (numro IP du prochain routeur destinataire) :
192.33.181.128/26 ? 192.33.181.80
192.33.181.224/27 ? 192.33.181.80
192.33.181.192/27 ? 192.33.181.80
192.33.181.0/26 ? 192.33.181.80
Reste du monde (default route) ? 192.33.181.80
La route par dfaut (default route - default gateway) suffit
147
Archi IP : routage IP
Les routeurs aussi doivent tre configurs
Par port : @ IP, @ Rseau (ou sous -rseau)
Table routage
Exemple routeur 3 :
148
74
Archi IP : routage IP
Routage statique
Mise jour tables de routage : manuelle
ICMP redirect : Ce nest pas ici cest ailleurs
Problme : intervention manuelle
Quand le rseau volue : modification manuel des tables
Quand plusieurs chemins possibles et coupures
Routage dynamique
Protocoles entre routeurs et entre routeurs et stations
pour mettre jour automatiquement les tables de
routages : annonces de routes
Ex : RIP, OSPF, BGP
Cf cours sur le routage
JL Archimbaud CNRS/UREC
149
Archi IP : routage IP
LInternet ne fonctionnerait pas sans bons
protocoles de routage et sans experts pour les
faire fonctionner
Cest une problmatique surtout doprateurs
Internet
A laquelle sajoutent les accords de peering
150
75
JL Archimbaud CNRS/UREC
151
RFC 1483
Comment encapsuler (transporter) les datagrammes
IP dans des cellules ATM
RFC 1577
Comment construire un rseau IP sur un rseau ATM
Pb ARP par exemple
JL Archimbaud CNRS/UREC
152
76
hub
Routeur IP
ATM
hub
hub
Station IP Eth
Commutateur
ATM
Station IP Eth
Station IP B
ATM
A
T Routeur IP
M
Serveur ARP
Station IP Eth
Station IP A
ATM
Commutateur
ATM
ATM
Routeur IP
hub
Station IP Eth
Station IP Eth
JL Archimbaud CNRS/UREC
Station IP Eth
Routeur IP
ATM
Rseau ATM
Commutateur
ATM
Station IP Eth
hub
Station IP Eth
Station IP Eth
Station IP Eth
153
154
77
155
MPLS : buts
MPLS : Multi Protocol Label Switching
Protocole pour oprateurs de WAN IP
Lacunes dun rseau WAN IP classique
Travail dun routeur important
Il doit tudier chaque datagramme
Il doit extraire l@ IP destinatrice du datagramme IP, consulter sa
table de routage et agir en consquence
JL Archimbaud CNRS/UREC
156
78
MPLS
Les routeurs en bordure de rseau ajoutent (et
enlvent) une tiquette aux datagrammes selon :
La route que devra emprunter le datagramme
La classification du datagramme
Prioritaire ou non, pour application avec QoS,
157
Ordinateurs :
Equips de microphone et hauts-parleurs
Pourraient remplacer les postes tlphoniques : poste unique
158
79
Intgration voix-donnes
Pourquoi intgrer ? : apporter des nouveaux services
Evolution des services informatiques
Chat, mail ? mode de communication vocal (tlphonique)
Comment intgrer ?
159
160
80
161
162
81
Voix-Donnes : Tl / IP : H323
Origine : monde des tlphonistes ITU
Ensemble complet de standards
Architecture et fonctions dun systme de vido-confrence
Sur rseaux en mode paquet (sans connexion), sans garantie de
QoS comme IP (mais pas uniquement pour IP)
IP : RTP
Real-time Transport Protocol
Transport flux temps rel : vido, audio, dans UDP
Ajoute des informations pour que le rcepteur compense :
variation latence, arrive de datagrammes dans le dsordre,
Type de donnes transport es
Horodatage
Numro de squence
JL Archimbaud CNRS/UREC
163
Voix-Donnes : Tl / IP : H323
IP : RTCP
Real-time Transport Control Protocol
Permet davertir lmetteur de la qualit de la
transmission :
Le taux de paquets perdus
La variation de la latence
164
82
Voix-Donnes : Tl / IP : H323
Elments (matriels ou logiciels) suite
Passerelle : entre rseau IP et RTC (ou RNIS)
Interfaces :
Ethernet ? rseau IP
Ports TP ? tlphones classiques ou PABX
Garde-barri re : administration
165
Voix-Donnes : Tl / IP : H323
Exemple de rseau H323 (entre 2 sites)
Tlphone sur IP
(H323)
Routeur
Rseau IP (Internet)
Station (H323)
hub
Routeur
Station (H323)
Passerelle
Garde-barrire
Passerelle
PABX
RTC
hub
Tlphone
analogique
PABX
RTC
JL Archimbaud CNRS/UREC
Station (H323)
Tlphone sur IP
(H323)
Tlphone
analogique
Tlphone
analogique
166
83
Voix-Donnes : Tl / IP : SIP
SIP : Session Invitation Protocol
Origine : IETF : Informatique
Gestion de sessions multimedia avec 1 ou n
participants
Adresses : sip:bob@193.10.3.1
Utilise RTP au-dessus de UDP ou TCP
Station IP ?? Station IP : le protocole dfinit
Appel Ngociation des paramtres
Communication
Fermeture de connexion
JL Archimbaud CNRS/UREC
167
Voix-Donnes : Tl / IP : SIP
Autres services
Location server (registrar)
Pour quun client puisse senregistrer quand il change dadresse
IP (mobile, ISP avec adresse dynamique par exemple)
Proxy server
Serveur dun ct (reoit les appels)
Client de lautre (met des appels)
Pourquoi ? : Point de contrle, de facturation
Redirect server
Reoit des appels
Indique la bonne destination laquelle sadresser : proxy ,
Peut permettre de grer la rpartition de charge entre plusieurs
serveurs
168
84
? Intgration prudente
Annes 1999-2000 : on va tout mettre sur IP
Aujourdhui : on peut basculer certaines parties
169
Gnralement :
Lutilisateur conserve 2 quipements : tlphone et
ordinateur
Les infrastructures rseaux dextr mit (cblage
horizontal) sont diffrentes mais chemins identiques
Poste tlphonique : cblage tlphonique ? PABX
Ordinateur : cblage informatique ? hubs, commutateurs,
170
85
Multicast IP :
V IC-RAT + Webcam
Rseau multicast
Acadmique surtout
JL Archimbaud CNRS/UREC
171
Pourquoi ?
VLAN : Virtual LAN
Avec ATM
VPN : Virtual Private Network
PPTP
L2TP
IPSEC
JL Archimbaud CNRS/UREC
172
86
JL Archimbaud CNRS/UREC
173
JL Archimbaud CNRS/UREC
174
87
175
Buts :
Utilisation dapplications groupe de travail
Scurit
Contrle de bande passante
Noms et adresses IP
Mobilit
JL Archimbaud CNRS/UREC
176
88
JL Archimbaud CNRS/UREC
177
Station D
hub
Station C
3
Station H
Station K
Station M
Commutateur
Routeur
1
COMM
Eth 1
5
JL Archimbaud CNRS/UREC
Station F
Station R
hub
Station L
Station B
hub
Station G
4
Station A
3
4
COMM
Eth 2
Station Q
Station I
2
1
Station J
178
89
Port 1 = VLAN 1
Port 4 = VLAN 3
Port 2 = VLAN 1
Port 3 = VLAN 2
Port 5 = Voir aprs
Quand Eth1 reoit une trame de A (VLAN 1) :
Envoie vers port 2 (et port 5 : cf aprs)
Port 1 = VLAN 1
Port 3 = VLAN 3
Port 2 = VLAN 1
Port 4 = VLAN 2
Port 5 = Voir aprs
Quand Eth1 reoit une trame de I (VLAN 1) :
Envoie vers port 1 (et port 5, cf aprs)
179
Remarque
Cette segmentation peut aussi tre ralise par
brassage manuel dans le local technique o sont les
commutateurs : dans certains cas
JL Archimbaud CNRS/UREC
180
90
181
Station M
Commutateur
Routeur 3
hub
Station L
JL Archimbaud CNRS/UREC
Station B
Station K
hub
Station C
Station G
Station H
Station A
COMM
Eth 1
Station F
Station R
5
3
4
COMM
Eth 2
Station Q
Station I
2
1
Station J
182
91
VLAN 1 : @ MAC de A, C, F, G
VLAN 2 : @ MAC de B, D, Q, R
VLAN 3 : @ MAC de E, H
Quand Eth1 reoit une trame de A (VLAN 1) :
Envoie vers port 2 (et port 5 : cf aprs)
Port 1 = VLAN 1
Port 3 = VLAN 3
Port 2 = VLAN 1
Port 4 = VLAN 2
Port 5 = Voir aprs
Quand Eth1 reoit une trame de I (VLAN 1) :
Envoie vers port 1 (et port 5, cf aprs)
183
JL Archimbaud CNRS/UREC
184
92
185
Routeurs :
Peuvent supporter 802.1Q. Si non, il faut autant de cartes
Ethernet que de VLAN pour que le routeur route les VLAN
93
187
JL Archimbaud CNRS/UREC
188
94
189
Internet
Internet
Serveur 1
Station B
JL Archimbaud CNRS/UREC
190
95
PPTP (RFC2637)
L2F (RFC2341)
L2TP (RFC2661)
IPSEC
JL Archimbaud CNRS/UREC
191
JL Archimbaud CNRS/UREC
192
96
193
Client PPTP
Windows NT, 95/98 , Linux, Mac,
JL Archimbaud CNRS/UREC
194
97
Station
Client PPTP
193.51.3.2
LAN interne
193.51.3/24
Internet
Internet
Station
Client PPTP
193.51.3.4
Station
Client PPP
193.51.3.2
Serveur
193.51.3.5
Serveur daccs PPP
Client PPTP
Serveur
PPTP
Internet
Internet
Station
Client PPP
193.51.3.4
LAN interne
193.51.3/24
FAI
JL Archimbaud CNRS/UREC
Serveur
193.51.3.5
Interconnexion et conception de rseaux 2002
195
Scurit
Utilisation possible des fonctions de PPP
Pour protger le tunnel : IPSec
JL Archimbaud CNRS/UREC
196
98
JL Archimbaud CNRS/UREC
197
Datagramme avec AH
Entte IP AH (Entte TCP/UDP Donnes) en clair
AH (Authentication Header)
SPI : Security Parameter Index ? SA (Security Association)
Index dune table qui pointe sur tout ce qui est ncessaire au rcepteur
pour interprter cette entte : algorithmes de crypto utiliss
Numro de squence
Evite le rejeu du datagramme
JL Archimbaud CNRS/UREC
198
99
Authentification ESP
Optionnelle
Signature authentification : checksum chiffr : similaire AH
AH inclut lentte IP pas ESP
Utilis en mode tunnel pour la signature (pas AH)
2 Modes dutilisation
Mode transport
Mode tunnel
JL Archimbaud CNRS/UREC
199
Mode tunnel
Entte IP (nouveau) AH Entte IP (origine) Entte TCP Donnes
Entte IP (nouveau) - ESP - (Entte IP (origine) Entte TCP - Donnes) chiffres - [Authen ESP]
JL Archimbaud CNRS/UREC
200
100
194.21.2.3
194.21.2.5
Routeur
IPSec
Internet
Internet
Routeur
IPSec
194.21.2/24
194.21.2.4 IPSec
JL Archimbaud CNRS/UREC
201
SA
Algo dauthentification (MD5, )
JL Archimbaud CNRS/UREC
202
101
IPSec
Trs solide, bien conu et intgr dans toutes les piles
IPv6
Devrait beaucoup se rpandre
Distinction Auth / Chiff : OK pour les lgislations
Mais attention : scurit IP (pas utilisateur )
JL Archimbaud CNRS/UREC
203
Services de FT : plan
LS (transfix), RNIS (numeris), ADSL : cf avant
Interconnexion niveau 2 traditionnelle moyen dbit
Frame Relay
Transrel
Turbo DSL
Intra-Cit
Inter LAN
SMHD
SMHD - Giga
MultiLAN
JL Archimbaud CNRS/UREC
204
102
Services FT : interconnexion
traditionnelle moyen dbit
Frame Relay
Transrel
Service point point
Interconnexion de rseaux Ethernet, Token Ring
Interfaces (quipements : ponts)
Ethernet 10 ou 100 Mb/s
Token Ring 4 ou 16 Mb/s
JL Archimbaud CNRS/UREC
205
Raccordement extrmits
ADSL jusqu 2 Mb/s 320 Kb/s
JL Archimbaud CNRS/UREC
206
103
Connexion entreprise
PABX, routeur IP, commutateur Ethernet
JL Archimbaud CNRS/UREC
207
Connexion entreprise
Routeur IP, commutateur Ethernet, commutateur ATM
JL Archimbaud CNRS/UREC
208
104
Interfaces
G703, Ethernet 10 et 100 Mb/s
JL Archimbaud CNRS/UREC
209
Interfaces daccs
Fast Eth, Giga Eth, Fiber Channel, ..
Bientt 10 Gigabit/s
JL Archimbaud CNRS/UREC
210
105
JL Archimbaud CNRS/UREC
211
Equipement de connexion
Routeur IP fourni ou non
Adresses IP
Hbergement, gestion DNS, serveur Web
Boites aux lettres (anti-virus possible)
Proxy Web
.
JL Archimbaud CNRS/UREC
212
106
Techniques
CV ATM
Filtrage adresses IP
Tunelling IP
Authentification des utilisateurs
Equipements de connexion
Routeur fourni ou non
Poste utilisateur
Accs
Permanent 64 Kb/s ? 2 Mb/s
Commut : RTC, Numeris, GSM
ADSL
JL Archimbaud CNRS/UREC
213
Technique : tunnels IP
Micro
particulier
Micro
particulier
Micro
particulier
RT
C
Numris
RTC
Serveur
daccs FT
Rseau
Rseau
IP
IPde
deFT
FT
Serveur
daccs FT
JL Archimbaud CNRS/UREC
Routeur
FT
Routeur
Entreprise
Interface du
service FT
Internet
Internet
Serveurs
214
107
AD
SL
Rgion X Routeur
FT
Rseau
Rseau
IP
IPde
deFT
FT
Concentrateur
ADSL
ADSL
AD
SL
ADSL
Concentrateur
ADSL
JL Archimbaud CNRS/UREC
Routeur
FT
Routeur
FT
Routeur
FAI
Interface du
service FT
Internet
Internet
Rgion Y
Interconnexion et conception de rseaux 2002
215
Messagerie
Annuaires
Services Web
JL Archimbaud CNRS/UREC
216
108
Services : noms
Buts techniques
Traduction : nom de machine ? adresse IP
http://www.inpg.fr ? datagramme IP :
Ouverture connexion TCP sur port 80
Adresse IP destinataire : ?
Comment : www.inpg.fr ? 195.83.76.58 ?
Ping www.inpg.fr
Datagramme ICMP - @ destination 195.83.76.58
217
Services : noms
Pour que cela fonctionne dans lInternet
Noms uniques
Systme trs solide : des serveurs DNS direct et reverse
Dynamique : ajout de noms dcentralis dans les serveurs DNS
Unicit
Nommage hirarchique arborescent avec des domaines
.com, .edu, .org, , .fr, .de, .uk,
Solidit Dynamique
N serveurs de noms administrs localement
Un serveur primaire par zone
Plusieurs serveurs secondaires
Copies rgulires des informations primaire ? secondaires
Caches
Postes de travail
Serveurs (primaires secondaires)
218
109
Sous .com
Quelques $
Pas de vrification
Sous .fr
Plusieurs dizaines (centaines) deuros
Vrifications
AFNIC : association ? systme sain
Drives
Rservation de noms tels que cnrs.com pour revente
Certains pays (en voie de dveloppement) :
Socit but uniquement lucratif qui gre le top level domain du pays
JL Archimbaud CNRS/UREC
219
220
110
221
222
111
Visibilit / extrieur
Pour les noms des serveurs
Pour le nom des stations clientes : intrieur : choix technique
223
Services : messagerie
Messagerie Internet : protocole SMTP
Messagerie interne dans lentreprise peut tre
diffrence : passerelle ncessaire
Dans ce chapitre : messagerie interne SMTP, logiciel
Sendmail ou Postfix
Plan
JL Archimbaud CNRS/UREC
224
112
JL Archimbaud CNRS/UREC
225
Ne pas en abuser
Doit simplement rsoudre les cas particuliers
226
113
JL Archimbaud CNRS/UREC
227
Installer un anti-virus
Evite MAJ sur chaque poste interne
JL Archimbaud CNRS/UREC
228
114
IMAP/POP ?
De plus en plus de IMAP
Dpend de lutilisation :
Veut-on garder sur le serveur les messages (place, sauvegarde, ) ?
Les utilisateurs sont ils connects lorsquils utilisent la messagerie ?
229
S/MIME Security
Version scurise de MIME
Certificats lectroniques
Signature lectronique
Authentification
Intgrit
Chiffrement
Concurrent : PGP
230
115
Annuaires : un standard
LDAP - Lightweight Directory Access Protocol
Communications client-serveur (scurises si voulu)
Modle de donnes
Arborescence hirarchique
Classes dobjets
Nommage
Modle fonctionnel
Recherche, comparaison, ajout,
API
Rplication
Un annuaire LDAP
Peut utiliser un logiciel de base de donnes : oracle
LDAP : Interface standard daccs
JL Archimbaud CNRS/UREC
231
De certificats lectroniques
De droits daccs
A des systmes, des applications,
Remplacement de NIS, NIS+
De ressources
Grilles de calcul
Equipements (rseau)
232
116
Services Web
Accs aux serveurs Web externes (Internet)
Autorisation ou non ?
Dcision de direction, pas dadministrateur rseau
Proxy ou non ?
Attention aux problmes de scurit
Virus dans documents rcuprs
Excution de code localement : javascript,
? Proxy utile
233
Administration
Tunnels
IPSec
NAT
Filtrage
Multicast
Gestion files dattente
JL Archimbaud CNRS/UREC
234
117
Tunneling
Cf chapitre sur les rseaux virtuels : VPN
Dans les routeurs, stations IP
Pour scurit mais aussi IPv6 dans IPv4, multicast
dans unicast,
IPSec
Cf chapitre sur les rseaux virtuels
Dans les routeurs, stations IP
JL Archimbaud CNRS/UREC
235
JL Archimbaud CNRS/UREC
236
118
Extrieur
@ orig 10.1.1.2
@ dest 129.88.35.3
@ orig 193.96.49.64
@ dest 129.88.35.3
@ orig 129.88.35.3
@ dest 10.1.1.2
Station
10.1.1.2
@ orig 129.88.35.3
@ dest 193.96.49.64
1.2
.1. .4
10 .1.1
1.4
ig 10
.1. .2
or st
10 .1.1
@ de
ig 10
or st
de
@
Routeur
NAT
LAN
Station
129.88.35.3
Internet
Internet
Station
10.1.1.4
237
10.1.1.2 ?? 193.96.49.64
10.1.1.3 ?? 193.96.49.66
Traduction dynamique
Pool dadresses officielles (externes) pouvant tre attribus
Ex : 193.96.49.0/24
238
119
@ orig 10.1.1.2:1504
@ dest 129.88.35.3:80
@ orig 193.96.49.64:1504
@ dest 129.88.35.3:80
@ orig 129.88.35.3:80
@ dest 10.1.1.2:1504
LAN
Station
10.1.1.4
Extrieur
@ orig 129.88.35.3:80
@ dest 193.96.49.64:1504
Routeur
NAT
@ orig 10.1.1.4:1580
@ dest 129.88.35.3:80
Station
Internet
Internet
129.88.35.3
@ orig 193.96.49.64:1505
@ dest 129.88.35.3:80
@ orig 129.88.35.3:80
@ dest 10.1.1.4:1580
@ orig 129.88.35.3:80
@ dest 193.96.49.64:1505
239
240
120
NAT : pourquoi ?
On manque dadresses officielles IP (4 bytes)
On ne peut plus numroter toutes les stations IP de la plante de
manire unique
En interne, sur les sites, numrote les stations avec les @ prives
10/8, 172.16/12, 192.168/16
Plusieurs sites peuvent utiliser les mmes adresses
241
Dsavantages
Scurit : les stations clientes sont anonymes
Difficile de savoir quelle station interne a attaqu un site ext erne
242
121
NAT : conclusion
De trs nombreux sites lutilisent
Peu universitaires car premiers venus sur Internet, ils
disposent de beaucoup dadresses officielles
Systme trs bien huil maintenant
NAT / DHCP
DHCP : autre manire dconomiser des adresses
Mais beaucoup moins dconomie que NAT
DHCP : une station a besoin dune adresse officielle ds quelle
communique avec lextrieur mais aussi avec lintrieur
Pas de possibilit de PAT
243
Ponts, Commutateurs
Filtrage de niveau 2
Sur le contenu des enttes des trames Ethernet
Routeurs
Filtrage de niveau 3
Sur les enttes IP, TCP, UDP
JL Archimbaud CNRS/UREC
244
122
Entte IP
@ IP origine
@ IP destination
Protocole : 1 ICMP, 6 TCP, 17 UDP,
245
Filtrage : niveau 2
Ponts commutateurs / port
Sur les enttes Ethernet
246
123
Filtrage : niveau 3
Dans les routeurs
Sur les enttes IP, TCP, UDP
But principal
Scurit (protection de stations, de services, de serveur)
Limitation des flux applicatifs (pas de chat, P2P, )
Deux politiques :
Par dfaut : tout est autoris (P1)
On interdit ce que lon ne veut pas
JL Archimbaud CNRS/UREC
247
Filtrage : niveau 3
Filtrage sur @ IP de station ou de (ss-)rseau
Sens entrant (Internet ? Site) / @ IP destination
P1 : interdit laccs des stations protger
P2 : autorise uniquement laccs certains serveurs (publics)
248
124
Client
1024, 1025, 1026, pour FTP, Telnet,
1023, 1022, 1021 pour rexec, rlogin, rsh, rcp,
JL Archimbaud CNRS/UREC
249
JL Archimbaud CNRS/UREC
250
125
Clientes uniquement
192.56.62.90
A isoler
LAN
Internet
Internet
Routeur
192.56.62.80
Filtres
Serveur Telnet
192.56.62.70
Serveur DNS
SMTP, Web
JL Archimbaud CNRS/UREC
251
Reste : filtre
Interdit tous les autres trafics
JL Archimbaud CNRS/UREC
252
126
Filtrage : bilan
Les filtres peuvent tre installs lintrieur du
site
Sur les routeurs entre services, quipes, par
exemple
Entre sous -rseaux ou VLAN
253
Filtrage : bilan
Filtrage dans les routeurs
Beaucoup utilis en entre de campus, laboratoires
En entreprise plutt entre sous -rseaux internes
En entre (site-Internet) : garde-barrire
Limitations techniques
Bas sur des numros de port : les applications
peuvent utiliser dautres numros que les wellknown
port (pb cheval de Troie)
Rebonds applicatifs indtectables
Tunnels applicatifs non dtectable (HTTP par
exemple)
? filtrage statefull dans garde -barri re ncessaire
JL Archimbaud CNRS/UREC
254
127
Applications multicast
1 metteur ? n rcepteurs (diffusion cible)
Radio (plutt broadcast)
Tlvision
Non crypte : broadcast
Crypte (Canal + ) : multicast
255
Multicast IP
Rcepteur 1
Rcepteur 2
Rcepteur 3
Rcepteur 4
Rcepteur 5
Emetteur
JL Archimbaud CNRS/UREC
256
128
Multicast IP
Rseau filaire IP avec technique classique
On transporte n fois les mmes donnes
On utilise beaucoup de bande passante
Rcepteur 1
Emetteur
Internet
Internet
Rcepteur 2
Rcepteur 3
Rcepteur 4
Rcepteur 5
JL Archimbaud CNRS/UREC
257
Multicast IP
Participants une appli multicast : groupe multicast
Identification du groupe multicast : @ IP
Une adresse IP de classe D : 224.0.0.0 ? 239.255.255.255
Emetteur ? groupe : @ IP destination = @ IP multicast
Annuaire
Donne une adresse multicast au responsable : 224.2.0.1
Publie : cours ARR a telle @ multicast
Participants au groupe
Consultent annuaire et rcupre ladresse multicast du groupe
JL Archimbaud CNRS/UREC
258
129
Multicast IP
Protocoles : UDP, RTP, RTCP (cf H323),
Lmetteur mettra ses donnes
Avec @ IP destination multicast : 224.2.0.1
@ IP origine : son @ IP (unicast)
259
Multicast IP : routeurs
Pb : quand il y a des routeurs entre metteur et rcepteurs
Rcepteur
R2
hub
R8
Rcepteur
hub
R7
R3
R1
R5
Emetteur
R4
Rcepteur
R6
hub
Rcepteur
Rcepteur
Rcepteur
hub
260
130
Exemple : IGMP
Internet Group Management Protocol
Le routeur met un datagramme toutes les minutes
Qui veut sabonner des groupes multicast ?
261
Sparse mode
Le routeur metteur senregistre auprs du RP
RP : Rendez vous Point
Je vais diffuser vers 224.2.0.1
Aucun routeur nmet encore ce stade
262
131
Multicast IP
Quand partie du rseau non multicast : tunnels
Ex : uniquement les routeurs de sites R1, R4, R6 et R8
supporte le multicast (au cur rseau doprateur)
Rcepteur
R2
hub
R8
Rcepteur
hub
R7
R3
R1
R5
Emetteur
R6
R4
Rcepteur
hub
Rcepteur
Rcepteur
Rcepteur
hub
JL Archimbaud CNRS/UREC
263
Multicast IP
Rseaux (routeurs) : complexe
Travail doprateur : trs important
En France uniquement Renater offre rellement ce
service
On peut faire des tunnels
Aujourdhui
JL Archimbaud CNRS/UREC
264
132
La classification
Permet de faire passer en priorit certains datagrammes (voix / FTP par
exemple)
FIFO
WFQ
PQ
CQ
JL Archimbaud CNRS/UREC
265
266
133
267
268
134
269
Attention au monopole
Des Clones dOS de routeurs connus existent
JL Archimbaud CNRS/UREC
270
135
271
Principes
La station (rceptrice) demande une QoS au rseau (bande
passante, )
Tous les routeurs le long du chemin
Prennent en compte cette demande et rservent les ressources
ncessaires : CPU, mmoire, (ils peuvent refuser)
Tiennent jour une table avec toutes les rservations effectues
JL Archimbaud CNRS/UREC
272
136
273
Problme
Besoin de QoS quand la bande passante est limite car chre
cest dire dans les WAN
Or cest le plus difficile car prsence dun oprateur et souvent
mme de plusieurs oprateurs
274
137
Les standards
SNMP
Le dpannage
Les stations dadministration
La scurit
La mtrologie
Qui consomme quoi ? ? Comptabilit
Performances ? Evolution (anticiper)
Remarques
JL Archimbaud CNRS/UREC
275
Le cblage
Disposer des plans A JOUR
Garder les cahiers de recette
Disposer de valises de tests pour les grands rseaux
Elments dinterconnexion
Hubs , ponts, commutateurs, routeurs
Configuration, surveillance, mtrologie
Services (couche 7)
DNS
Configurer, mettre jour
Scurit
JL Archimbaud CNRS/UREC
276
138
277
Astreinte ?
Selon les besoins de lentreprise : cela cote cher
Peut tre externalise
Ca ne marche pas !
Obligatoire
Centrale puis dispatching
Locale puis appel lassistance centrale si besoin
Difficile pour un utilisateur de sparer rseau / application
278
139
279
Administration de rseau :
configuration des quipements
Avec telnet ou interface Web
Pas SNMP
Telnet est souvent plus prcis (pour les spcialistes)
Attention aux mots de passe : ajouter filtrage / @ IP
280
140
Services : messagerie,
Daemon (service) inactif, spool plein,
Ex doutil : Big Brother
Depuis une station interroge un daemon spcifique sur chaque machine
de service
Dtecte si service inactif, remonte des alarmes sur des seuils,
JL Archimbaud CNRS/UREC
281
282
141
283
Analyseurs de protocoles
JL Archimbaud CNRS/UREC
284
142
Trois types
Stations gnrales (Sun, HP, IBM, )
Beaucoup de temps pour les matriser
285
286
143
287
288
144
Constats
Les quipements et les liaisons fonctionnent bien
IP est trs solide
? Consquence ngative sur le besoin dadministration
289
Sonde
Indique quoi est utilis le rseau : charge, stations les plus bavardes, qui dialogue avec qui,
avec quels protocoles,
Sur une courte priode
JL Archimbaud CNRS/UREC
290
145
Elments de scurit
De protection contre les agressions externes en
provenance de lInternet (donc via le rseau)
Garde-barrire
Equipement entre lextrieur (hostile) et lintrieur
(de confiance) : routeur, quipement spcifique
3 ensembles principaux de contrle
Filtrage IP de base : cf cours sur les fonctions annexes des
routeurs
Filtrage IP statefull : analyse des sessions applicatives
Relais applicatifs
Ex telnet : login sur garde-barrire puis login sur machine interne
Permet de concentrer les contrles sur une machine
Difficile davoir des dbits trs levs (Gigabits : non)
291
Elments de scurit
Architecture segmente : un exemple
Internet
Internet
R NAT
WWW
Sonde G-B
Service administratif
Service R&D
R
Relais
Mail
Service X
DNS
Serveurs internes
DMZ
Serveurs Internet
JL Archimbaud CNRS/UREC
292
146
Elments de scurit
Un pb de cette architecture : travail distance
Comment consulter son courrier distance ?
Comment accder lIntranet distance ?
Solutions : cf connexion depuis lInternet
Un autre pb : portables
O les connecter en interne (peuvent transporter des virus ou
vers) ?
Garde-barrire
Ne pas se reposer uniquement sur sa protection
293
294
147
Stations ddies
Serveurs aux CNRS
Plutt apache et Linux
Un peu IIS et Win-NT : bcq trop de pbs de scurit
295
296
148
297
Services rseaux
Sous Unix ou sous NT ?
Selon comptences habitudes schma directeur
JL Archimbaud CNRS/UREC
298
149
JL Archimbaud CNRS/UREC
299
Spare
Contrats de maintenance
Garantie : souvent vie maintenant
Dans locaux rservs et protgs (accs, feu, climatisation ?, )
Des serveurs
Classique informatique
300
150
Liaisons (niveau 1)
Rseau maill sur site
Cbles mais aussi tranches
Btiment : deux accs diffrents ?
Liaisons externes LS
2 LS diffrentes ? : rare
Oprateurs : assurent le maillage
301
JL Archimbaud CNRS/UREC
302
151
303
2 autres ailleurs
JL Archimbaud CNRS/UREC
304
152
Outils imparfaits
Disparates (un peu tous les niveaux )
Ne colmatent quune partie des trous : toujours de nouveaux
305
? Qualit de service
Savoir rserver des bandes passantes (avec certaines
qualits)
Des utilisateurs (fonctionnellement des sous-rseaux IP)
Des applications (fonctionnellement des numros de ports)
Mcanismes
Cf chapitres : files dattente routeurs et QoS
JL Archimbaud CNRS/UREC
306
153
La conception de rseaux
Assemblage de briques un peu disparates
Mais larchitecte doit avoir une vision globale
Cbles ? applications
Connaissances dans des domaines trs divers
Mtier difficile
A risques
Si le rseau ne marche pas ? catastrophe pour lentreprise
Mais intressant
JL Archimbaud CNRS/UREC
307
Rseau de campus
Rseau dun gros site dune entreprise
JL Archimbaud CNRS/UREC
308
154
Grenoble
4 personnes + stagiaires
6 bureaux, salle machines (climatise), local technique
Choix OS
JL Archimbaud CNRS/UREC
309
Post-cblage Grenoble
Pr-cblage Paris (nouveaux bureaux)
Lors du dmnagement Paris : abandon de la FO
3 prises par personne : 2 informatiques, 1 tlphone
Cur toiles
Local technique Grenoble, salle machine Paris
Armoires de brassage
Chemins de cble
Goulottes dans les bureaux et faux plafonds ailleurs
310
155
Rseaux UREC
Equipements actifs
Plan dadressage
1 numro de classe C officiel Paris
1 numro de classe C officiel Grenoble
Sous-rseaux sur les sites : utilisation des VLAN
JL Archimbaud CNRS/UREC
311
Commut
Routeur
Stations visiteurs
Stations tests
312
156
Alias
www.urec.fr ? elea.paris.urec.cnrs.fr
mail.urec.cnrs.fr ? thinos.paris.urec.cnrs.fr
services.cnrs.fr ? kaki.grenoble.urec.cnrs.fr
313
UREC : messagerie
Objectifs architecture
Adresses standards : Prnom.Nom@urec.cnrs.fr
Utiliser 2 serveurs (back up) : Paris et Grenoble
MX urec.cnrs.fr ? Serveurs :
Mail.paris.urec.cnrs.fr (prioritaire)
Mail.grenoble.urec.cnrs .fr
314
157
Administration
Un administrateur Paris, un Grenoble
Utilisation de BigBrother
JL Archimbaud CNRS/UREC
315
UREC : scurit
Base sur la segmentation et le filtrage
Connexion vers lextrieur
Tout est possible pour toutes les stations du personnel
Pour les autres (serveurs, machines tests, ) : limite au
maximum
316
158
JL Archimbaud CNRS/UREC
317
Rseau de campus
CNRS Meudon : 10 btiments
Cblage :
Interconnexion FO
Intrieur des btiments TP Cat5
Niveau 2-3
Adressage IP
3 classes C
JL Archimbaud CNRS/UREC
318
159
Scurit
Filtres sur les routeurs
Contrle daccs et traces sur les serveurs (tcpwrapper)
Equipe
2 ingnieurs
Groupe des correspondants de laboratoire
JL Archimbaud CNRS/UREC
319
RENATER : services
REseau NAtional de la Technologie, de lEnseignement et
de la Recherche
GIP : Min Ens Sup, CNRS, INRIA, CEA,
Service interconnexion IP
Rseaux rgion
Rseaux mtropolitains (MAN)
Gros sites
Autres oprateurs franais : GIX : SPHINX
Connexion internationale
Autres services
IPv6
Multicast
VPN
CERT
JL Archimbaud CNRS/UREC
320
160
RENATER : architecture
Oprateurs
N oprateurs pour les liaisons (FO)
Principaux : TD et FT
Un oprateur pour ladministration des quipements
actifs (routeurs ) : CS
Architecture
ATM (VC avec IP) ? IP sur SDH
VPN : VC ATM ? IPSec
JL Archimbaud CNRS/UREC
321
JL Archimbaud CNRS/UREC
322
161