Académique Documents
Professionnel Documents
Culture Documents
Cours - Interco Concept Reseau
Cours - Interco Concept Reseau
JL Archimbaud CNRS/UREC
Utiliser les services des oprateurs sous -traitance Travail de puzzle : assemblage de briques
Matriel - logiciel
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 2
Plan du cours
Rseaux locaux - LAN
Liens physiques - cblage : Coax - TP FO sans fil Cblage de btiment Protocoles niveau 1-2 : Ethernets FDDI
JL Archimbaud CNRS/UREC
Plan du cours
Liaisons longues distances
Liaisons physiques
Commutes RTC, RNIS, ADSL, X25, loues LS
Modems
ATM
Objectifs QoS : Qualit de Service Couches 1 et 2 Commutateurs et routage Architectures LS et LANE Bilan
Exemples darchitecture
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 5
Plan du cours
Architecture logique IP
Adresses IP Plan adressage IP Routage IP Exemples de rpartition dutilisateurs et de services Architecture ATM : classical IP
Bilan aujourdhui
JL Archimbaud CNRS/UREC
Plan du cours
Rseaux virtuels
Pourquoi ? VLAN Avec ATM VPN (PPTP, L2TP, IPsec)
JL Archimbaud CNRS/UREC
Plan de cours
Qualit de service IP rappels
RSVP DiffServ
JL Archimbaud CNRS/UREC
Plan du cours
Quelques lments de scurit Accs lInternet Accs depuis lInternet
A lIntranet Aux serveurs Internet
Bibliographie
Computer Networks 3rd edition (Tanenbaum) TCP/IP Illustrated, Vol 1 - W. Richard Stevens Constructeurs (white papers)
CISCO : http://www.cisco.com
Cours UREC
http://www.urec.cnrs .fr/cours/
Moteurs de recherche
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 10
LAN : dimension
LAN : Local Area Network
Un tage Un btiment Diamtre < 2 km Un site gographique : domaine priv Plusieurs btiments (site-campus)
Interconnexion de LAN
JL Archimbaud CNRS/UREC
14
5E : amlioration du cblage 5 (Gigabit Ethernet) 6 : jusqu 250 Mhz 7 : jusqu 600 Mhz
Dsavantages :
Trs sensibles aux perturbations (lectromagntiques, ) Courtes distances Beaucoup de cbles : pose par professionnels
JL Archimbaud CNRS/UREC
17
JL Archimbaud CNRS/UREC
18
Emetteurs :
Photodiodes (LED) : multimode , dbits moyens, distances courtes-moyennes, peu chers Lasers : multi ou monomode , trs hauts dbits, longues distances, plus chers Plus faciles installer sur de la fibre multimode
Multiplexage optique
Multiples longueurs dondes sur une mme fibre Protocole DWDM (Dense Wavelengh Division Multiplexing) Mutiplexeurs, dmultiplexeurs, commutateurs optiques Choix n fibres ou multiplexage optique : cot
JL Archimbaud CNRS/UREC
20
10
Utilisation
Cest le support maintenant le plus utilis en interconnexion de btiments, en MAN et WAN Quelques fois en cblage de stations : cher
JL Archimbaud CNRS/UREC
21
Connecteur SC
JL Archimbaud CNRS/UREC
Connecteur ST
22
11
JL Archimbaud CNRS/UREC
23
LAN : R-LAN
Utilisation : intrieur de btiment (en R-LAN)
Liaisons provisoires : portables, confrences, Locaux anciens et protgs (impossible deffectuer un cblage)
Problmes
Dbit limit Scurit : diffusion
Contrle de lespace de diffusion WEP (Wired Equivalent Privacy) Fixe les adresses Ethernet Considre comme externe : ajout IPSec,
Se dploie trs fortement actuellement MAN aussi : boucle locale radio (BLR 8M)
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 24
12
JL Archimbaud CNRS/UREC
25
13
Bureaux :
Prises murales Recommandation CNRS : 3 prises (tl + info) par personne
Travail de spcialistes Sans bon cblage, pas de bons services Cblage : fondations du rseau
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 28
14
JL Archimbaud CNRS/UREC
29
Trame
Adresse destination (MAC address) : 6 octets 08:00:20:06:D4:E8 Adresse origine (MAC address) : 6 octets Type (IP = 0800) ou longueur (IEEE 802.3) : 2 octets Donnes : taille variable < 1500 octets
15
JL Archimbaud CNRS/UREC
31
RTD : round trip delay < 51.2 s ? lg max rseau Taille minimum trame envoye (correcte) : 64 bytes Quand trame taille < 64 bytes : collision 10Base5 : 5 cbles 500 m avec rpteurs : 2.5 km Problmes 10Base5
Cot : cble et connectique Sensibilit aux perturbations lectromagntiques Besoin dune mme terre
16
JL Archimbaud CNRS/UREC
33
CSMA-CD, 10 Mbps, RTD < 51.2 s Liaison : 2 FO multimode 50 ou 62.5 Connecteurs SC ou ST Station Rpteur : 1 km Rpteur Rpteur : 2 km
JL Archimbaud CNRS/UREC
34
17
LAN : Ethernet 10 M
Rseau au sens Ethernet : domaine de broadcast Avantage : protocole simple Problmes :
Dbit limit (10 M partag) Distances limites Dpendance vis a vis de son voisin (collisions, charge) Broadcast : charge Pas de confidentialit (diffusion)
JL Archimbaud CNRS/UREC
35
ATTENTION : toutes les distances max Ethernet cites : rseau uniquement avec rpteurs -hubs
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 36
18
LAN : Ethernets
10Base5
10 Mbits/s - Coax jaune - Lg max rp station : 500 m
10Base2
10 Mbits/s Coax fin Lg max rp station : 185 m
10BaseFL
10 Mbits/s 2 FO (1 pour chaque sens) Lg max rp et/ou stations : 2 km avec multimode 62.5
100BaseTX
100Mbits/s - 2 paires UTP catgorie 5 Lg max hub-station : 100 m (rseau 250 m)
LAN : Ethernets
100 BaseFX
100 Mbits/s 2 FO 412 m (HD) ou 2 km (FD) multimode 62.5 20 km monomode
1000BaseSX (IEEE802.3z)
Sur 2 FO avec longueurs donde 850 nm Lg max : multimode 50 550 m 62.5 220 m
1000BaseLX (IEEE802.3z)
Sur 2 FO avec longueurs donde 1300 nm Lg max : multimode 50 550 m - monomode 5 km et plus
JL Archimbaud CNRS/UREC
38
19
JL Archimbaud CNRS/UREC
39
LAN : FDDI
FDDI : Fiber Distributed Data Interface Protocole pour rseau local informatique Dbit 100 Mbits/s (partag) Anneau 2 FO multimode Nud : station (SA/ DA)-concentrateur-routeur Rseau max : taille 100 km, 500 stations
S C S S
JL Archimbaud CNRS/UREC
Ethernet S R
S S S S
S
40
20
LAN : FDDI
Accs au support par jeton (3 octets) Un jeton circule sur lanneau Une station qui veut mettre
Capture le jeton Envoie les trames de donnes Libre le jeton Retire ses trames au passage suivant
LAN : FDDI
Trame
Adresse destination (6 octets idem Ethernet) Adresse source FS (Frame Status )
Erreur Adresse reconnue Trame lue
21
LAN : FDDI
Circulation normale : anneau primaire Coupure anneau
Rebouclage de lanneau Mise en fonction : anneau secondaire S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
S Fonctionnement normal
JL Archimbaud CNRS/UREC
43
LAN : FDDI
S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
S Coupure de lien
S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
S Arrt de station
JL Archimbaud CNRS/UREC
44
22
LAN : FDDI
S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
Coupure lien station simple attachement Possibilit davoir des stations prioritaires CDDI : FDDI sur paire torsade Bilan : FDDI trop cher pas assez de dbit Maintenant remplac par Ethernet 100 ou Giga Bon example de rseau anneau jeton
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 45
Taille datagramme < 64 Koctets Souvent de taille denviron 512 ou 576 bytes
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 46
23
IPv4 : couche 4
Couche 4 :protocole entre stations (pas entre routeurs ) TCP : Transmission Control Protocol
Paquet TCP = segment Mode connect Transport fiable (contrle derreurs, accuss de rception, retransmission, ) Spcification des applications : numros de port (origine, destination) dans le segment Fentrage Slow start : sadapte tous les dbits
JL Archimbaud CNRS/UREC
IPv4 : ICMP
ICMP : Internet Control Message Protocol RFC792 Messages de contrle mis par les stations ou les routeurs Messages :
Ralentir le dbit d mission Destination inaccessible Demande decho Rponse echo Time To Live exceeded Redirection .
Interconnexion et conception de rseaux 2002 48
JL Archimbaud CNRS/UREC
24
IPv4 : couche 2
IP / couche 2 : les datagrammes IP peuvent tre transports par tous les types de rseaux :
Ethernet RFC894 et RFC1042 Liaison srie : point point (PPP RFC1331-1332) ATM (RFC1577) FDDI X25
@ IP ? @ couche 2 ?
Ethernet, FDDI : broadcast : ARP, RARP ATM : serveur ARP
JL Archimbaud CNRS/UREC
49
Entte IP
Indication TCP @ IP origine @ IP destination
Entte TCP
Numro de port source Numro de port destination
Donnes
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 50
25
IPv4 : adresses
4 bytes 194.220.156.3 Chaque coupleur de station ou de routeur a une adresse Partie rseau (IP) : 194.220.156 Partie station (IP) : 3 Routeur : spare (interconnecte) 2 rseaux IP Adresses (IP) de broadcast et de multicast
194.220.157.255 : broadcast sur rseau IP 194.220.157.0
JL Archimbaud CNRS/UREC
51
Elments dinterconnexion
Ethernet - IP Pourquoi ? Problmes Rpteurs Hubs (Ethernet) Ponts (Ethernet) Commutateurs Ethernet Routeurs (IP) Commutateurs-Routeurs (Ethernet-IP)
JL Archimbaud CNRS/UREC
52
26
Segmenter le rseau :
Un sous-rseau / groupe dutilisateurs : entreprises, directions, services, ) Sparer ladministration de chaque rseau Crer des rseaux rseaux virtuels
Saffranchir de la contrainte gographique
Pouvoir choisir des chemins diffrents dans le transport des donnes entre 2 points
Autoriser ou interdire demprunter certains rseaux ou liaisons certains trafic
JL Archimbaud CNRS/UREC
54
27
? Problmes :
Classification, frontires sont un peu complexes Terminologie imprcise (dpend du contexte)
Commerciaux rarement techniciens
Repeteur
Coax 2 Station C
JL Archimbaud CNRS/UREC
56
28
Dsavantages
Ne diminue pas la charge Ne filtre pas les collisions Naugmente pas la bande passante Pas de possibilit de rseau virtuel (VLAN)
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 57
Station
10 M
Station
10 M 10 M
HUB
10 M
Station
HUB
10 M
d < 100 m
10 M
Station
Station
Station
Station
JL Archimbaud CNRS/UREC
58
29
100BaseT : 4 hubs
Mais distance max entre 2 stations : 250 m
Utilisation actuelle
En extrmit de rseau (stations utilisateurs) Remplacs par des commutateurs Ethernet
En cur de rseau, pour serveurs, et mme pour stations
JL Archimbaud CNRS/UREC
59
JL Archimbaud CNRS/UREC
60
30
PONT
Coax 2 Station C
500 m Station B
Niveau de la couche 2
Traitement : valeur @ MAC destinataire ? transmet ou non : trafic A-D ne va pas sur coax 2 Localisation des @ MAC des stations par coute (auto-learning) ou fixe Ignor des stations (transparent)
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 61
Remplacs en LAN par les commutateurs Fonctions supplmentaires : cf commutateurs Ponts distants
Ethernet Liaison spcialise (cuivre ou hertzienne ou laser) Encore utiliss
JL Archimbaud CNRS/UREC
62
31
Fonction : multi-ponts, cur dtoile Commute les trames Ethernet sur un port ou un autre
Matrice de commutation Station
1G
Station
HUB
Station
100 M
COMM
d < 100 m
10 M
Station
JL Archimbaud CNRS/UREC
Station
Station
63
Surveillance : SNMP
JL Archimbaud CNRS/UREC
64
32
Fonctions supplmentaires
Auto-sensing dbit (IEEE 802.3u) Affectation statique d@ MAC et filtrage au niveau 2 Spanning Tree : vite les boucles
Construction dun arbre A un instant : un seul chemin utilis
Rseaux virtuels : VLAN Port dcoute qui reoit tout le trafic des autres ports
Analyseur
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 65
Trs rpandu :
Local : workgroup switch Campus : complt par le routeur (plus lent et plus cher) Remplac par le commutateur-routeur (plus cher) quand besoin
JL Archimbaud CNRS/UREC
66
33
JL Archimbaud CNRS/UREC
67
Interconnecte 2 ou plus rseaux (ou sous -rseaux) IP Station Station Ethernet Station Station Station Routeur
192.88.32.0 129.88.0.0
COMM ATM
Interconnexion et conception de rseaux 2002
COMM Eth
192.99.40.0
JL Archimbaud CNRS/UREC
34
Matriels
Chassis ou boitier Cartes : 2 ports FO, 8/16/24/32/48/64 ports TP avec dbits 10, 100, 1000 Mb/s, LS, ATM, FDDI
JL Archimbaud CNRS/UREC
69
JL Archimbaud CNRS/UREC
70
35
Serveur 1
F 1G O
S1
S2
S3
S4
Mail WWW
Serveur 2
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 72
36
COMMUT
Serveur 1 Serveur 2
ROUTEUR
COMMUT
COMMUT
Mail S1 S2 S3 S4 WWW
Entte IP
@ IP destination ? Routeur
Entte TCP
Numro de port destination ? Station (choix du service)
Donnes ? Application
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 74
37
Entre services
Commutateurs ou routeurs
JL Archimbaud CNRS/UREC
75
Station N Pont
10 M
hub
10 M
Station D Station A
10 M 10 M
10 M
Station E Station G
hub
10 M
hub
10 M
10 M
Station P
Station B
Station C
100 M 10 M
100 M 2M
Station H Pont
10 M
100 M
COMM Eth
Station F
100 M
Station K
10 M
Routeur
Station M
hub
10 M
10 M
100 M
10 M
Station J
76
Station L
JL Archimbaud CNRS/UREC
38
JL Archimbaud CNRS/UREC
77
JL Archimbaud CNRS/UREC
78
39
Oprateurs
Oprateurs Telecom traditionnels : FT, Cegetel, Mais aussi SNCF, socits dautoroutes, Liaisons : FO, cbles cuivre, liaisons hertziennes, Equipements : (d)multiplexeur, commutateurs (en tous genres), Offres sur mesure - contrats spcifiques Offres catalogue : tudies ici Les services valeur ajoute (dinterconnexion) seront tudis dans un chapitre ultrieur
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 79
JL Archimbaud CNRS/UREC
80
40
Modem micro : interne, externe sur port srie Particulier/agence ? LAN Entreprise
Micro - Modem RTC Serveur daccs RTC (pool de modems Concentrateur - Routeur) LAN (Ethernet) entreprise
Fonction de r-appel : cot et scurit Authentification des utilisateurs : protocole serveur RADIUS
Micro Modem RTC Fournisseur daccs Internet Connexion Internet Routeur (Garde barrire) - LAN entreprise
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 81
JL Archimbaud CNRS/UREC
82
41
JL Archimbaud CNRS/UREC
83
Interconnexion de sites : routeurs RNIS (2B + D) IP : idem RTC : PPP Lutilisation na jamais vraiment dcoll
Europen, surtout franais : pas USA - Cher Encore utilis en back-up ou pour liaisons provisoires
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 84
42
JL Archimbaud CNRS/UREC
85
Contraintes :
Poste tlphonique < 5 km dun rpartiteur FT
Le cas de 80 % des foyers franais
JL Archimbaud CNRS/UREC
86
43
Offre FT :
Sans Internet : 30 E / mois ou 107 E / mois (ADSL Pro) en oct 02
JL Archimbaud CNRS/UREC
87
Oprateur historique : Transpac Accs jusqu 64 Kb/s (ou gure plus) Les serveurs vidotex (minitel) ont une connexion X25 Remplac par IP sous toutes ses formes
JL Archimbaud CNRS/UREC
88
44
Liaisons spcialises FT
Transfix (nationales)
2.4 K b/s 34 Mb/s STAS : Spcifications Techniques dAccs au Service 2.4 K 19.2 K : interfaces : V24, V28 64 K 34 M : interfaces : X24/V11 ou G703-G704 Modems fournis par oprateur
Liaisons internationales : idem nationales mais plus difficiles mettre en place de bout en bout : sur-mesure
Connexions :
Routeurs Ponts (distants) Commutateurs ATM PABX Tlphoniques
JL Archimbaud CNRS/UREC
89
45
Modems RTC
Programmation :
Commandes AT (origine Hayes)
Fonctions :
Contrle de flux XON/XOFF ou RTS-CTS Correction derreur (MNP 34, V42, ARQ) Compression (MNP5, MNP7, V42Bis) Adaptation automatique dbits et fonctions
JL Archimbaud CNRS/UREC
91
ATM : plan
Objectifs QoS : Qualit de Service Couches 1 et 2 Commutateurs Routage Architectures LS et LANE Bilan Exemple
JL Archimbaud CNRS/UREC
92
46
ATM : objectifs
ATM : Asynchronous Transfert Mode Origine : CNET (FT R&D)
Oprateur tlphone lorigine
Supporter tout type de communication Voix Vido - Donnes informatiques Mieux utiliser la bande passante
Tlphonie longue distance
Fonctionner trs hauts dbits : Gbits/s Garantir une qualit de service (QoS) chaque utilisateur (application) de bout en bout Dmarche trs thorique
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 93
ATM : objectifs
Mmes protocoles et technologies en LAN, MAN et WAN Caractristiques des rseaux / services attendus
Bande passante (bps) partage : garantie si possible Temps de latence (dlai de transmission) : minimum et constant si possible
Dpend distance, lments actifs, charge (files dattente)
Jitter (variation temps de latence) : min si possible Taux de pertes : min si possible
47
Dialogue possible
Temps de latence faible Poste avec annulation d'echo
Retransmissions : inutiles Mode connect bien adapt Exemple d'incompatibilit (thorique) Tlphone et Ethernet
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 95
Solution ATM :
On regroupe les applications qui demandent des qualits de service similaires ? 4 groupes On dfinit 4 classes de services que peuvent offrir les rseaux (liens et quipements) ATM qui correspondent aux 4 groupes : UBR, ABR, CBR, VBR
JL Archimbaud CNRS/UREC
96
48
49
JL Archimbaud CNRS/UREC
99
50
HEC
JL Archimbaud CNRS/UREC
101
Rseau
Rcepteur
Appel accept
Etablissement connexion
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 102
51
AFI 39
HO-DSP
ESI
SEL
AFI 47
HO-DSP
ESI
SEL
IDI IDP E.164 ATM Format AFI : Identificateur de l'autorit et du format HO-DSP : High Order Domain Specific Part, utilis pour supporter des protocoles de routages hirarchiques. ESI : End System Identifier, en fait la MAC adresse (idem Ethernet)
JL Archimbaud CNRS/UREC
103
Liaisons FO
FO multimode 155 Mbits/s (OC 3) FO multimode ou monomode 622 Mbits/s (OC12) .
Liaisons TP
155 Mbps UTP cat5 52 Mbps UTP cat3 .
JL Archimbaud CNRS/UREC
104
52
JL Archimbaud CNRS/UREC
105
Station
COMM ATM
Station
COMM ATM
Station Station
Station
106
53
ATM : commutateurs
VP et VC
VC VC VC VC VC VC VC
VP VP VP Chemin de transmission
VP VP VP
VC VC VC VC VC VC VC
JL Archimbaud CNRS/UREC
107
ATM : commutateurs
Commutateur de VP et de VC
VC Switch
VC 3 VC 4 VC 1 VC 2
VP 5
VC 1 VC 2 VC 1 VC 2
VP 1
VP 7
VP Switch
VP 6 VP 2
JL Archimbaud CNRS/UREC
108
54
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 1 Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4 Switch 3 Link out 1 1 VCI-out 1 2
JL Archimbaud CNRS/UREC
109
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 VCI = 4 1 Switch 3 Link out 1 1 VCI-out 1 2
JL Archimbaud CNRS/UREC
110
55
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 1 VCI = 4 Switch VCI = 4 3 Link out 1 1 VCI-out 1 2
Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4
JL Archimbaud CNRS/UREC
111
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 VCI = 4 1 Switch VCI = 4 3 Link out 1 1 VCI-out 1 2
JL Archimbaud CNRS/UREC
112
56
ATM : routage
VCI = 4 Link 2 Routing Table VCI-in 2 1 Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Switch 3 2 4 Link out 1 1 VCI-out 1 2
JL Archimbaud CNRS/UREC
113
ATM : routage
VCI = 4 Link 2 Routing Table VCI-in VCI = 4 1 Switch 3 2 2 4 Link out 1 1 VCI-out 1 2
JL Archimbaud CNRS/UREC
114
57
ATM : routage
Link 2 Routing Table VCI = 4 VCI-in 2 4 VCI = 2 1 Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4 VCI = 4 2 Switch 3 Link out 1 1 VCI-out 1 2
JL Archimbaud CNRS/UREC
115
port 3 port 2
Station A
Table de routage Station B C VCI 2 3
Station B
Table de routage Station A C VCI 2 4 Station A B
Station C
Table de routage VCI 6 8
116
JL Archimbaud CNRS/UREC
58
Architectures ATM
On peut btir plusieurs types darchitecture sur un rseau ATM
Liaisons spcialises point point Des rseaux LANE : mulation de LAN Des rseaux classical IP : architecture IP
Trait dans la partie Architecture IP
JL Archimbaud CNRS/UREC
117
59
Objectifs :
Interconnexions (niveau 2) de rseaux locaux comme Ethernet travers un rseau ATM Intgration de stations ATM comme stations Ethernet But : rendre invisible les commutateurs ATM aux rseaux Ethernet ? LAN emulation
Station Eth
Station Eth
hub
Station Eth
hub
hub
Station Eth
Commutateur ATM
Rseau ATM
Commutateur ATM
Station B ATM
Commutateur ATM
Station A ATM
A T Routeur IP M
hub
Station Eth
hub
Station ETH
Station Eth
Station ETH
120
JL Archimbaud CNRS/UREC
60
Logiciels :
Stations Eth : pas de logiciel spcifique
ATM transparent
Lorsquune station ATM veut envoyer une trame Ethernet une station X
Interroge le Serveur LANE : quelle est ladresse ATM de la station Ethernet X ? Le Serveur lui indique ladresse ATM La station ouvre une connexion ATM avec la station ATM .
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 122
61
ATM : bilan
Trs complexe :
Cher Trs dlicat faire fonctionner
Utilisation en LAN
Annes 1995-2000 Remplac par Gigabit Ethernet maintenant Avantage restant : peut intgrer le tlphone (PABX)
62
INRIA Montbonnot
C3I2 Grenoble
CEA Polygone INPG Felix Viallet SAFIR France
Paris Jussieu
Domaine universitaire
CNRS
Liaison interne au site 155 M
Lyon La Doua
VPs SAFIR 2, 4 ou 10 M
EDF Clamart
JL Archimbaud CNRS/UREC
125
JL Archimbaud CNRS/UREC
126
63
Ex darchitecture : tour
JL Archimbaud CNRS/UREC
127
JL Archimbaud CNRS/UREC
128
64
JL Archimbaud CNRS/UREC
129
Ouverture: t 2002
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 130
65
Faisceaux hertziens
2 sites proches de Paris
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 131
Services
IP
Infrastructure de services
DWDM DWDM
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 132
66
Site C
IP c
cr s-atm dwdm
SP
Site D s -atm cr
SP E 5082 m W ATM c
NRD dwdm
E 5120 m
W 8672 m
s -atm
gw-rap Jussieu
dwdm
E Gigabit Ethernet
cr
dwdm
dwdm
8410 m
3100 m
cr
Eth 100
Site F
s -atm
GigaEthernet
ATM OC12
cr
s -atm 133
JL Archimbaud CNRS/UREC
67
Architecture IP : rseaux IP
Station N Routeur hub Station O Routeur Station P Station G
LS 1 M
Station B
hub Station L
Station H Routeur
Station R Station Q
COMM Eth
256 Kb/s
Station J
135
Architecture IP : adresses
Une adresse IP par coupleur (machine, routeur) Format : 4 octets notation dcimale A.B.C.D
Ex : 130.190.5.3 193.32.30.150
68
Reste : 254 x 254 (64 000) machines adressables Ex : IMAG : 129.88.0.0 Jussieu : 134.157.0.0
CITI2 : 192.70.89.0
137
Les routeurs permettent maintenant de crer des sous rseaux de tailles diffrentes Les sous -rseaux sont connexes
Non spars par un autre rseau IP Dcoupage en sous-rseaux nest connu que du propritaire du rseau (site, entreprise, provider, ), pas de lInternet
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 138
69
Archi IP : classless
Pour obtenir une adresse de rseau (unique)
Auprs de son fournisseur daccs lInternet AFNIC (France) RIPE (Europe) Classe A : impossible Classe B : presque impossible (puis) Classe C ou partie de Classe C : OK
JL Archimbaud CNRS/UREC
Archi IP : @ particulires
Classe D : 224? A ? 239 : multicast
224.10.15.3 : ? groupe de stations sur lInternet (nimporte o)
Classe E : 240 ? A ? 254 : utilisation ultrieure Adresses locales (ne doivent pas sortir sur lInternet)
10.0.0.0 10.255.255.255 : 10/8 172.16.0.0 172.31.255.255 : 172.16/12 192.168.0.0 192.168.255.255 : 192.168/16
Loopback (soi-m me) : 127.0.0.1 0.0.0.0 : quand station ne conna t pas son adresse 130.190.0.0 : le rseau 130.190/16 130.190.255.255 : broadcast
Toutes les machines du rseau 130.190/16
JL Archimbaud CNRS/UREC
140
70
Explication simplifie (plusieurs serveurs DHCP possibles, ) Avantage : pas de conf sur stations, portables, conomie d@ Dsavantage : qui est qui ?
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 141
IPv6
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 142
71
On regroupe dans un mme sous-rseau les stations qui travaillent entre elles (dun service par exemple)
La majorit du trafic reste local au sous-rseau (vite de charger les autres sous-rseaux Profils de connexion et de scurit identiques
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 143
LS 1 M
hub
192.33.181.224/27
256 Kb/s
Routeur 3
Fournisseur daccs COMM 192.33.181.200 Eth Internet Quelles @ manquent ils ? 192.33.181.192/27
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 144
72
Routeur 1
192.33.181.231
LS 1 M
192.33.181.65 (B) 192.33.181.64/26 192.33.181.80 Routeur 2 hub 192.33.181.150 192.33.181.5 192.33.181.66 (A) 192.33.181.67 192.33.181.141 192.33.181.129 192.33.181.128/26 192.33.181.130 192.33.181.230 192.33.181.145 Routeur 3 192.33.181.202 (C) 256 Kb/s 192.33.181.201 X 192.33.181.203
COMM Eth
192.33.181.224/27
192.33.181.142
COMM Eth
hub
192.33.181.200 192.33.181.192/27
145
Archi IP : routage IP
A (192.33.181.66) veut envoyer un datagramme IP B (192.33.181.65)
Pb : A doit envoyer une trame Ethernet mais ne connat l@ Eth B Elle envoie un broadcast Ethernet sur le rseau qui demande : quelle est l@ eth de B ? (l@ Eth de A est spcifie dans la trame Ethernet : @ Eth origine) B rpond l@ Eth A en disant : je suis 192.33.181.65 et mon adresse Ethernet est @ Eth B A peut alors envoyer alors les datagrammes IP dans des trames Ethernet (elle connat l@ Eth de B) Mcanisme : ARP RARP
73
Archi IP : routage IP
Chaque station doit tre configure pour spcifier
Son adresse IP (Commande Unix ifconfig) Ladresse du sous-rseau sur laquelle elle est (Commande Unix ifconfig) Une table (de routage) qui indique comment atteindre les autres rseaux (Commande Unix route add)
Exemple A
@ IP : 192.33.181.66 - @ Rseau : 192.33.181.64/26 Routes (numro IP du prochain routeur destinataire) :
192.33.181.128/26 ? 192.33.181.80 192.33.181.224/27 ? 192.33.181.80 192.33.181.192/27 ? 192.33.181.80 192.33.181.0/26 ? 192.33.181.80 Reste du monde (default route) ? 192.33.181.80 La route par dfaut (default route - default gateway) suffit
Archi IP : routage IP
Les routeurs aussi doivent tre configurs
Par port : @ IP, @ Rseau (ou sous -rseau) Table routage
Exemple routeur 3 :
Port 1 : 192.33.181.230 - rseau 192.33.181.224/27 Port 2 : 192.33.181.145 rseau 192.33.181.128/26 Port 3 : 192.33.181.203 rseau 192.33.181.192/27 Port 4 : X rseau Y Table routage
Route 192.33.181.64/26 ? Port 2 : 192.33.181.150 Route 192.33.181.0/26 ? Port 1 : 192.33.181.231 Route default ? Port 4 : routeur du fournisseur daccs
74
Archi IP : routage IP
Routage statique
Mise jour tables de routage : manuelle ICMP redirect : Ce nest pas ici cest ailleurs Problme : intervention manuelle
Quand le rseau volue : modification manuel des tables Quand plusieurs chemins possibles et coupures
Routage dynamique
Protocoles entre routeurs et entre routeurs et stations pour mettre jour automatiquement les tables de routages : annonces de routes Ex : RIP, OSPF, BGP Cf cours sur le routage
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 149
Archi IP : routage IP
LInternet ne fonctionnerait pas sans bons protocoles de routage et sans experts pour les faire fonctionner Cest une problmatique surtout doprateurs Internet
A laquelle sajoutent les accords de peering
Routeurs au cur de lInternet : doivent connatre toutes les routes : impossible ? Agrgation de plages dadresses de rseaux IP On nest pas oblig davoir une route par dfaut sur tous les quipements : scurit
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 150
75
JL Archimbaud CNRS/UREC
151
RFC 1483
Comment encapsuler (transporter) les datagrammes IP dans des cellules ATM
RFC 1577
Comment construire un rseau IP sur un rseau ATM Pb ARP par exemple
JL Archimbaud CNRS/UREC
152
76
Routeur IP ATM
Station IP Eth
Station IP Eth
hub
Station IP Eth
hub
hub
Routeur IP ATM
Station IP Eth
Commutateur ATM
Rseau ATM
Commutateur ATM
Station IP B ATM
Commutateur ATM
Station IP A ATM
ATM Routeur IP
Serveur ARP
A T Routeur IP M
hub
Station IP Eth
hub
Station IP Eth
Station IP Eth
Station IP Eth
153
JL Archimbaud CNRS/UREC
Lorsquune station ATM-IP veut mettre un datagramme IP vers une autre station ATM-IP
Demande au ARP Serveur l@ ATM de la station IP Ouvre un VC avec cette station ATM
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 154
77
MPLS : buts
MPLS : Multi Protocol Label Switching Protocole pour oprateurs de WAN IP Lacunes dun rseau WAN IP classique
Travail dun routeur important
Il doit tudier chaque datagramme Il doit extraire l@ IP destinatrice du datagramme IP, consulter sa table de routage et agir en consquence
JL Archimbaud CNRS/UREC
156
78
MPLS
Les routeurs en bordure de rseau ajoutent (et enlvent) une tiquette aux datagrammes selon :
La route que devra emprunter le datagramme La classification du datagramme
Prioritaire ou non, pour application avec QoS,
Protocole pour mettre jour les tables de routage des routeurs au cur du rseau :
Une fois par flot Choix de route / tiquette donc / origine, QoS, Rservation de bande passante possible
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 157
Ordinateurs :
Equips de microphone et hauts-parleurs Pourraient remplacer les postes tlphoniques : poste unique
Dans les rseaux des oprateurs : mmes conomies Au niveau des utilisateurs : conomies sur les communications tlphoniques longues distances
Le cot dune communication tlphonique dpend de la distance Le cot dune communication Internet est indpendante de la distance JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002
158
79
Intgration voix-donnes
Pourquoi intgrer ? : apporter des nouveaux services
Evolution des services informatiques
Chat, mail ? mode de communication vocal (tlphonique)
Comment intgrer ?
Normes existent : H323, SIP Solutions techniques (matriels) existent Lgislation sassouplit : drgulation du tlphone Diffrents niveaux dintgration : tranches ? rseau et services
80
81
Voix-Donnes : Tl / IP : H323
Origine : monde des tlphonistes ITU Ensemble complet de standards
Architecture et fonctions dun systme de vido-confrence Sur rseaux en mode paquet (sans connexion), sans garantie de QoS comme IP (mais pas uniquement pour IP)
IP : RTP
Real-time Transport Protocol Transport flux temps rel : vido, audio, dans UDP Ajoute des informations pour que le rcepteur compense : variation latence, arriv de datagrammes dans le dsordre, e
Type de donnes transport es Horodatage Numro de squence
JL Archimbaud CNRS/UREC
163
Voix-Donnes : Tl / IP : H323
IP : RTCP
Real-time Transport Control Protocol Permet davertir lmetteur de la qualit de la transmission :
Le taux de paquets perdus La variation de la latence
82
Voix-Donnes : Tl / IP : H323
Elments (matriels ou logiciels) suite
Passerelle : entre rseau IP et RTC (ou RNIS)
Interfaces :
Ethernet ? rseau IP Ports TP ? tlphones classiques ou PABX
Garde-barri re : administration
Gestion des @adresses : IP ?? E164 (tlphoniques) Contrle les accs Peut refuser des appels si bande passante insuffisante Contrle une zone (H323)
Voix-Donnes : Tl / IP : H323
Exemple de rseau H323 (entre 2 sites)
Tlphone sur IP (H323)
Routeur hub
Station (H323)
Station (H323)
PABX RTC
JL Archimbaud CNRS/UREC
83
Voix-Donnes : Tl / IP : SIP
SIP : Session Invitation Protocol Origine : IETF : Informatique Gestion de sessions multimedia avec 1 ou n participants Adresses : sip:bob@193.10.3.1 Utilise RTP au-dessus de UDP ou TCP Station IP ?? Station IP : le protocole dfinit
Appel Ngociation des paramtres Communication Fermeture de connexion
JL Archimbaud CNRS/UREC
167
Voix-Donnes : Tl / IP : SIP
Autres services
Location server (registrar)
Pour quun client puisse senregistrer quand il change dadresse IP (mobile, ISP avec adresse dynamique par exemple)
Proxy server
Serveur dun ct (reoit les appels) Client de lautre (met des appels) Pourquoi ? : Point de contrle, de facturation
Redirect server
Reoit des appels Indique la bonne destination laquelle sadresser : proxy , Peut permettre de grer la rpartition de charge entre plusieurs serveurs
84
? Intgration prudente
Annes 1999-2000 : on va tout mettre sur IP Aujourdhui : on peut basculer certaines parties
Gnralement :
Lutilisateur conserve 2 quipements : tlphone et ordinateur Les infrastructures rseaux dextr mit (cblage horizontal) sont diffrentes mais chemins identiques
Poste tlphonique : cblage tlphonique ? PABX Ordinateur : cblage informatique ? hubs, commutateurs,
85
Multicast IP :
V IC-RAT + Webcam Rseau multicast Acadmique surtout
JL Archimbaud CNRS/UREC
171
JL Archimbaud CNRS/UREC
172
86
JL Archimbaud CNRS/UREC
173
Le groupe peut avoir le mme adressage IP et des noms de stations dans le mme domaine :
Ralis de fait dans un rseau IP
Probl me : comment peut on avoir les mmes services avec un groupe gographiquement dispers ? Solution : avec des rseaux virtuels
JL Archimbaud CNRS/UREC
174
87
Buts :
Utilisation dapplications groupe de travail Scurit Contrle de bande passante Noms et adresses IP Mobilit
JL Archimbaud CNRS/UREC
176
88
JL Archimbaud CNRS/UREC
177
Station D E hub
Station G
3
Commutateur Routeur
1 COMM Eth 1 5
Station R
5 3 4 COMM Eth 2
Station J
178
Station L
JL Archimbaud CNRS/UREC
89
Remarque
Cette segmentation peut aussi tre ralise par brassage manuel dans le local technique o sont les commutateurs : dans certains cas
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 180
90
Il faut que sur chaque lien entre les commutateurs (truncks) les trames soient marques (tagges)
Protocoles propritaires : ISL (CISCO) IEEE802.1Q
Champ type Eth : 8100 Champ numro de VLAN : 12 bits (4096) Niveau de priorit : 3 bits ? QoS . Informations de la trame initiale
Station G
3
1 COMM Eth 1 5 2
Commutateur Routeur 3
Station R
5 3 4 COMM Eth 2
Station J
182
91
On peut avoir des stations qui sont dplaces (dmnagement ou mobiles) sans besoin de reconfiguration On peut identifier chaque station avec son numro de carte Ethernet
Scurit accrue Si adresse MAC inconnue : appartient au VLAN visiteurs
JL Archimbaud CNRS/UREC
184
92
Peut tre utile quand de nombreux protocoles sont utiliss sur un mme rseau
Support des anciennes applications De moins en moins utile
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 185
Routeurs :
Peuvent supporter 802.1Q. Si non, il faut autant de cartes Ethernet que de VLAN pour que le routeur route les VLAN
93
Thorie : on peut utiliser des commutateurs de diffrents constructeurs : IEEE802.1Q En pratique : commutateurs homognes
Avec un outil dadministration fourni par le constructeur
Utilisation de VPs ATM pour interconnecter des btiments (LAN) ou des sites (WAN) :
Rseaux Ethernet ou ATM Rseaux IP Fonctions :
Scurit : appel aussi VPN ATM Garantie de qualit de service (dbit / VP)
JL Archimbaud CNRS/UREC
188
94
Relier 2 rseaux distants (ou une station et un rseau) via un rseau ouvert (Internet) en garantissant :
Les services de VLAN pour IP : mme rseau logique IP
Etendre le rseau interne
95
JL Archimbaud CNRS/UREC
JL Archimbaud CNRS/UREC
192
96
Mais il faut bien configurer le serveur PPTP pour que des stations pirates ne puissent pas se connecter sur le LAN Serveur PPTP
Serveur NT, Linux, Serveur daccs PPTP - Routeur
Client PPTP
Windows NT, 95/98 , Linux, Mac,
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 194
97
Internet Internet
Internet Internet
FAI
Interconnexion et conception de rseaux 2002
JL Archimbaud CNRS/UREC
Scurit
Utilisation possible des fonctions de PPP Pour protger le tunnel : IPSec
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 196
98
Inclus dans IPv6 (intgr dans toutes les piles IPv6) Optionnel dans IPv4 Evolution majeure de IP Peut-tre mis en uvre sur tout quipement IP
Routeur, serveur, station de travail,
JL Archimbaud CNRS/UREC
197
Datagramme avec AH
Entte IP AH (Entte TCP/UDP Donnes) en clair
AH (Authentication Header)
SPI : Security Parameter Index ? SA (Security Association)
Index dune table qui pointe sur tout ce qui est ncessaire au rcepteur pour interprter cette entte : algorithmes de crypto utiliss
Numro de squence
Evite le rejeu du datagramme
JL Archimbaud CNRS/UREC
198
99
Authentification ESP
Optionnelle Signature authentification : checksum chiffr : similaire AH
AH inclut lentte IP pas ESP Utilis en mode tunnel pour la signature (pas AH)
2 Modes dutilisation
Mode transport Mode tunnel
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 199
Mode tunnel
Entte IP (nouveau) AH Entte IP (origine) Entte TCP Donnes Entte IP (nouveau) - ESP - (Entte IP (origine) Entte TCP - Donnes) chiffres - [Authen ESP]
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 200
100
194.21.2.3 194.21.2.5
Routeur IPSec
Internet Internet
Routeur IPSec
194.21.2/24
194.21.2.4 IPSec
JL Archimbaud CNRS/UREC
201
SA
Algo dauthentification (MD5, ) Algo de chiffrement (DES, ) Cls de chiffrement Cls dauthentification Dure de vie des cls
Interconnexion et conception de rseaux 2002 202
JL Archimbaud CNRS/UREC
101
IPSec
Trs solide, bien conu et intgr dans toutes les piles IPv6 Devrait beaucoup se rpandre Distinction Auth / Chiff : OK pour les lgislations Mais attention : scurit IP (pas utilisateur )
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 203
Services de FT : plan
LS (transfix), RNIS (numeris), ADSL : cf avant Interconnexion niveau 2 traditionnelle moyen dbit
Frame Relay Transrel
JL Archimbaud CNRS/UREC
102
Frame Relay
Remplacement de X25 : rseau commut commut avec circuits virtuels Dbits de 19.2 Kb/s 8 Mb/s Connexion rseaux FR dentreprise Rseau international
Transrel
Service point point Interconnexion de rseaux Ethernet, Token Ring Interfaces (quipements : ponts)
Ethernet 10 ou 100 Mb/s Token Ring 4 ou 16 Mb/s
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 205
Mme zone (gographique) Agences ou particuliers ? Site central Liaisons permanentes Raccordement site central
ATM 30, 60, 90 ou 120 Mb/s
Raccordement extrmits
ADSL jusqu 2 Mb/s 320 Kb/s
JL Archimbaud CNRS/UREC
206
103
Connexion entreprise
PABX, routeur IP, commutateur Ethernet
JL Archimbaud CNRS/UREC
207
Connexion entreprise
Routeur IP, commutateur Ethernet, commutateur ATM
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 208
104
Les sites se partagent la bande passante de la boucle Liaisons permanentes ou temporaires entre sites
2, n x 2, 34, 45 ou 155 Mb/s
Interfaces
G703, Ethernet 10 et 100 Mb/s
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 209
Interfaces daccs
Fast Eth, Giga Eth, Fiber Channel, ..
Bientt 10 Gigabit/s
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 210
105
Infrastructure de rseau FT : ATM Connexion entreprise : PABX, commutateur ATM, quipement vido, routeur IP, commutateur Ethernet Applications : voix (PABX), donnes (LAN), vido
JL Archimbaud CNRS/UREC
211
Equipement de connexion
Routeur IP fourni ou non
JL Archimbaud CNRS/UREC
106
Techniques
CV ATM Filtrage adresses IP Tunelling IP Authentification des utilisateurs
Equipements de connexion
Routeur fourni ou non Poste utilisateur
Accs
Permanent 64 Kb/s ? 2 Mb/s Commut : RTC, Numeris, GSM ADSL
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 213
Technique : tunnels IP
Micro particulier Micro particulier
RT C
Numris
Routeur Entreprise
Micro particulier
RTC
Serveurs
214
JL Archimbaud CNRS/UREC
107
AD SL
Rgion X Routeur
FT
Rseau Rseau IP de FT IP de FT
Routeur FAI
ADSL
Concentrateur ADSL
Routeur FT
Rgion Y
Internet Internet
215
JL Archimbaud CNRS/UREC
JL Archimbaud CNRS/UREC
216
108
Services : noms
Buts techniques
Traduction : nom de machine ? adresse IP http://www.inpg.fr ? datagramme IP :
Ouverture connexion TCP sur port 80 Adresse IP destinataire : ? Comment : www.inpg.fr ? 195.83.76.58 ?
Ping www.inpg.fr
Datagramme ICMP - @ destination 195.83.76.58
Services : noms
Pour que cela fonctionne dans lInternet
Noms uniques Systme trs solide : des serveurs DNS direct et reverse Dynamique : ajout de noms dcentralis dans les serveurs DNS
Unicit
Nommage hirarchique arborescent avec des domaines
.com, .edu, .org, , .fr, .de, .uk,
Solidit Dynamique
N serveurs de noms administrs localement
Un serveur primaire par zone Plusieurs serveurs secondaires Copies rgulires des informations primaire ? secondaires
Caches
Postes de travail Serveurs (primaires secondaires)
109
Sous .com
Quelques $ Pas de vrification
Sous .fr
Plusieurs dizaines (centaines) deuros Vrifications AFNIC : association ? systme sain
Drives
Rservation de noms tels que cnrs.com pour revente Certains pays (en voie de dveloppement) :
Socit but uniquement lucratif qui gre le top level domain du pays
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 219
110
Lyon, Marseille : nommage machines laboratoires locaux Alias dans DNS urec.cnrs.fr,
www.urec.cnrs.fr ? www.paris.urec.cnrs.fr : visibilit Idem autres services : mail, Autres services dans domaine services.cnrs.fr ? urec.cnrs.fr
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 221
111
Visibilit / extrieur
Pour les noms des serveurs Pour le nom des stations clientes : intrieur : choix technique
Les FAI offrent des services de DNS Pb : quand rachat entreprise ? changement de nom ?
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 223
Services : messagerie
Messagerie Internet : protocole SMTP
Messagerie interne dans lentreprise peut tre diffrence : passerelle ncessaire Dans ce chapitre : messagerie interne SMTP, logiciel Sendmail ou Postfix
Plan
Choix de la forme des adresses Rpartition des serveurs Mthodes daccs aux boites aux lettres Format des messages
Interconnexion et conception de rseaux 2002 224
JL Archimbaud CNRS/UREC
112
JL Archimbaud CNRS/UREC
225
Ne pas en abuser
Doit simplement rsoudre les cas particuliers
113
Boites aux lettres sur serveurs internes Serveurs internes non accessibles depuis lInternet
227
Installer un anti-virus
Evite MAJ sur chaque poste interne
JL Archimbaud CNRS/UREC
114
IMAP/POP ?
De plus en plus de IMAP Dpend de lutilisation :
Veut-on garder sur le serveur les messages (place, sauvegarde, ) ? Les utilisateurs sont ils connects lorsquils utilisent la messagerie ?
S/MIME Security
Version scurise de MIME Certificats lectroniques Signature lectronique
Authentification Intgrit
115
Annuaires : un standard
LDAP - Lightweight Directory Access Protocol
Communications client-serveur (scurises si voulu) Modle de donnes
Arborescence hirarchique Classes dobjets Nommage
Modle fonctionnel
Recherche, comparaison, ajout,
API Rplication
Un annuaire LDAP
Peut utiliser un logiciel de base de donnes : oracle
LDAP : Interface standard daccs
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 231
De ressources
Grilles de calcul Equipements (rseau)
116
Services Web
Accs aux serveurs Web externes (Internet)
Autorisation ou non ?
Dcision de direction, pas dadministrateur rseau
JL Archimbaud CNRS/UREC
234
117
Tunneling
Cf chapitre sur les rseaux virtuels : VPN Dans les routeurs, stations IP Pour scurit mais aussi IPv6 dans IPv4, multicast dans unicast,
IPSec
Cf chapitre sur les rseaux virtuels Dans les routeurs, stations IP
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 235
JL Archimbaud CNRS/UREC
236
118
Extrieur
@ orig 193.96.49.64 @ dest 129.88.35.3 @ orig 129.88.35.3 @ dest 193.96.49.64
Station
129.88.35.3
Station 10.1.1.2
@
LAN
Routeur NAT
Internet Internet
Station 10.1.1.4
Traduction dynamique
Pool dadresses officielles (externes) pouvant tre attribus
Ex : 193.96.49.0/24
Attribution dune adresse externe lors du premier datagramme reu par le routeur Adresse libre au bout dun temps dinactivit
Ex : pas de datagramme avec cette adresse reu depuis 3 heures
119
Extrieur
@ orig 193.96.49.64:1504 @ dest 129.88.35.3:80 @ orig 129.88.35.3:80 @ dest 193.96.49.64:1504 Internet Internet
LAN
Routeur NAT
Station
129.88.35.3
Station 10.1.1.4
Table de traduction dans le routeur NAT (PAT) @ interne 10.1.1.2:1504 ?? @ externe 193.96.49.64:1504 @ interne 10.1.1.4:1580 ?? @ externe 193.96.49.64:1505
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 239
120
NAT : pourquoi ?
On manque dadresses officielles IP (4 bytes)
On ne peut plus numroter toutes les stations IP de la plante de manire unique En interne, sur les sites, numrote les stations avec les @ prives
10/8, 172.16/12, 192.168/16 Plusieurs sites peuvent utiliser les mmes adresses
Dsavantages
Scurit : les stations clientes sont anonymes
Difficile de savoir quelle station interne a attaqu un site ext erne
121
NAT : conclusion
De trs nombreux sites lutilisent
Peu universitaires car premiers venus sur Internet, ils disposent de beaucoup dadresses officielles Systme trs bien huil maintenant
NAT / DHCP
DHCP : autre manire dconomiser des adresses Mais beaucoup moins dconomie que NAT
DHCP : une station a besoin dune adresse officielle ds quelle communique avec lextrieur mais aussi avec lintrieur Pas de possibilit de PAT
Ponts, Commutateurs
Filtrage de niveau 2 Sur le contenu des enttes des trames Ethernet
Routeurs
Filtrage de niveau 3 Sur les enttes IP, TCP, UDP
JL Archimbaud CNRS/UREC
244
122
Entte IP
@ IP origine @ IP destination Protocole : 1 ICMP, 6 TCP, 17 UDP,
Filtrage : niveau 2
Ponts commutateurs / port
Sur les enttes Ethernet
123
Filtrage : niveau 3
Dans les routeurs
Sur les enttes IP, TCP, UDP
But principal
Scurit (protection de stations, de services, de serveur) Limitation des flux applicatifs (pas de chat, P2P, )
Deux politiques :
Par dfaut : tout est autoris (P1)
On interdit ce que lon ne veut pas
JL Archimbaud CNRS/UREC
247
Filtrage : niveau 3
Filtrage sur @ IP de station ou de (ss-)rseau
Sens entrant (Internet ? Site) / @ IP destination
P1 : interdit laccs des stations protger P2 : autorise uniquement laccs certains serveurs (publics)
124
Client
1024, 1025, 1026, pour FTP, Telnet, 1023, 1022, 1021 pour rexec, rlogin, rsh, rcp,
JL Archimbaud CNRS/UREC
249
JL Archimbaud CNRS/UREC
250
125
A isoler
192.56.62.80
Serveur Telnet
192.56.62.70
Reste : filtre
Interdit tous les autres trafics
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 252
126
Filtrage : bilan
Les filtres peuvent tre installs lintrieur du site
Sur les routeurs entre services, quipes, par exemple Entre sous -rseaux ou VLAN
Filtrage : bilan
Filtrage dans les routeurs
Beaucoup utilis en entre de campus, laboratoires En entreprise plutt entre sous -rseaux internes
En entre (site-Internet) : garde-barrire
Limitations techniques
Bas sur des numros de port : les applications peuvent utiliser dautres numros que les wellknown port (pb cheval de Troie) Rebonds applicatifs indtectables Tunnels applicatifs non dtectable (HTTP par exemple) ? filtrage statefull dans garde -barri re ncessaire
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 254
127
Applications multicast
1 metteur ? n rcepteurs (diffusion cible) Radio (plutt broadcast) Tlvision
Non crypte : broadcast Crypte (Canal + ) : multicast
Multicast IP
Rcepteur 1 Emetteur Rcepteur 2 Rcepteur 3 Rcepteur 4 Rcepteur 5
JL Archimbaud CNRS/UREC
256
128
Multicast IP
Rseau filaire IP avec technique classique
On transporte n fois les mmes donnes On utilise beaucoup de bande passante Rcepteur 1 Emetteur
Internet Internet
JL Archimbaud CNRS/UREC
257
Multicast IP
Participants une appli multicast : groupe multicast Identification du groupe multicast : @ IP
Une adresse IP de classe D : 224.0.0.0 ? 239.255.255.255 Emetteur ? groupe : @ IP destination = @ IP multicast
Choix dune adresse multicast : statique Choix dune adresse multicast : dynamique
Annuaire de groupes multicast en cours (ex : application SDR) Responsable du groupe ? annuaire
Je veux ouvrir une session cours ARR pour tel crneau horaire Fournis moi une adresse multicast
Annuaire
Donne une adresse multicast au responsable : 224.2.0.1 Publie : cours ARR a telle @ multicast
Participants au groupe
Consultent annuaire et rcupre ladresse multicast du groupe
JL Archimbaud CNRS/UREC
258
129
Multicast IP
Protocoles : UDP, RTP, RTCP (cf H323), Lmetteur mettra ses donnes
Avec @ IP destination multicast : 224.2.0.1 @ IP origine : son @ IP (unicast)
Multicast IP : routeurs
Pb : quand il y a des routeurs entre metteur et rcepteurs
Rcepteur
R2 R8 hub
Emetteur
hub
Rcepteur
R1
R3 R5 R4
R7 R6
Rcepteur Rcepteur
hub
Rcepteur
Rcepteur
hub
130
Exemple : IGMP
Internet Group Management Protocol Le routeur met un datagramme toutes les minutes
Qui veut sabonner des groupes multicast ?
Sparse mode
Le routeur metteur senregistre auprs du RP
RP : Rendez vous Point Je vais diffuser vers 224.2.0.1 Aucun routeur nmet encore ce stade
131
Multicast IP
Quand partie du rseau non multicast : tunnels
Ex : uniquement les routeurs de sites R1, R4, R6 et R8 supporte le multicast (au cur rseau doprateur)
Rcepteur
R2 R8 hub
Emetteur
hub
Rcepteur
R1
R3 R5 R4
R7 R6
Rcepteur Rcepteur
hub
Rcepteur
Rcepteur
hub
Interconnexion et conception de rseaux 2002 263
JL Archimbaud CNRS/UREC
Multicast IP
Rseaux (routeurs) : complexe Travail doprateur : trs important
En France uniquement Renater offre rellement ce service On peut faire des tunnels
Aujourdhui
Beaucoup dexprimentations autour du multicast Rseau MBONE (oprationnel) Tlvision sur Internet : ide abandonne Radio sur Internet : pas multicast Vidoconf rence : 3 solutions
Multicast IP H323 RNIS
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 264
132
La classification
Permet de faire passer en priorit certains datagrammes (voix / FTP par exemple)
Gestion des files dattente : fondamental dans un rseau en mode non connect (IP) Diffrentes techniques implmentes
FIFO WFQ PQ CQ
Interconnexion et conception de rseaux 2002 265
JL Archimbaud CNRS/UREC
Plus : simple donc logiciels performants Pas de problme quand rseau peu charg et files dattente de taille suffisante
Pas de perte de datagramme Temps de traitement (latence) court
133
Pb : certains types de trafic (priorit trop basse) peuvent ne jamais tre mis
Coupures de session, : catastrophe
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 267
Evite que la basse priorit ne soit jamais mise Peut tre une mthode pour partager une bande passante (entre classes de services) Pb : ncessite du CPU pour du trs haut dbit
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 268
134
135
Principes
La station (rceptrice) demande une QoS au rseau (bande passante, ) Tous les routeurs le long du chemin
Prennent en compte cette demande et rservent les ressources ncessaires : CPU, mmoire, (ils peuvent refuser) Tiennent jour une table avec toutes les rservations effectues
JL Archimbaud CNRS/UREC
272
136
Problme
Besoin de QoS quand la bande passante est limite car chre cest dire dans les WAN Or cest le plus difficile car prsence dun oprateur et souvent mme de plusieurs oprateurs
On ne pourra pas implmenter un mcanisme de qualit de service global dans tout lInternet Les oprateurs utilisent plutt des mcanismes lgers
Sur certaines portions, pour certains clients/applications
137
Les standards
SNMP
Remarques
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 275
Le cblage
Disposer des plans A JOUR Garder les cahiers de recette Disposer de valises de tests pour les grands rseaux
Elments dinterconnexion
Hubs , ponts, commutateurs, routeurs Configuration, surveillance, mtrologie
Services (couche 7)
DNS
Configurer, mettre jour
Scurit
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 276
138
Astreinte ?
Selon les besoins de lentreprise : cela cote cher Peut tre externalise
139
RMON RMON2 : MIBs pour sondes Les standards permettent davoir un mme outil pour administrer des matriels htrognes
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 279
140
Services : messagerie,
Daemon (service) inactif, spool plein, Ex doutil : Big Brother
Depuis une station interroge un daemon spcifique sur chaque machine de service Dtecte si service inactif, remonte des alarmes sur des seuils,
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 281
Des lments de charges, activits anormales permettent de dtecter des problmes de scurit
Brusque trafic vers une station, dune application,
141
Analyseurs de protocoles
Quand vraiment on ne peut pas faire autrement Ex de logiciel du domaine public :TcpDump Station portable avec logiciel commercial Il faut bien connatre les protocoles
JL Archimbaud CNRS/UREC
284
142
Trois types
Stations gnrales (Sun, HP, IBM, )
Beaucoup de temps pour les matriser
Stations de constructeurs dquipements (CISCO) Stations artisanales avec outils du domaine public
Maintenant la scurit est un critre de choix important dans larchitecture et les quipements
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 286
143
144
Constats
Les quipements et les liaisons fonctionnent bien IP est trs solide ? Consquence ngative sur le besoin dadministration
JL Archimbaud CNRS/UREC
290
145
Elments de scurit
De protection contre les agressions externes en provenance de lInternet (donc via le rseau) Garde-barrire
Equipement entre lextrieur (hostile) et lintrieur (de confiance) : routeur, quipement spcifique 3 ensembles principaux de contrle
Filtrage IP de base : cf cours sur les fonctions annexes des routeurs Filtrage IP statefull : analyse des sessions applicatives Relais applicatifs
Ex telnet : login sur garde-barrire puis login sur machine interne Permet de concentrer les contrles sur une machine Difficile davoir des dbits trs levs (Gigabits : non)
Elments de scurit
Architecture segmente : un exemple
Internet Internet
146
Elments de scurit
Un pb de cette architecture : travail distance
Comment consulter son courrier distance ? Comment accder lIntranet distance ? Solutions : cf connexion depuis lInternet
Un autre pb : portables
O les connecter en interne (peuvent transporter des virus ou vers) ?
Garde-barrire
Ne pas se reposer uniquement sur sa protection
Scuris : 3ime mthode > 2nde > 1re Accs lInternet : autorisation ou non aux salaris ?
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 294
147
148
Tous ces mcanismes demandent des comptences pointues pour ne pas crer des trous de scurit Personnel trs mobile : tout sur le portable ?
Attention aux vols Prvoir sauvegardes
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 297
Services rseaux
Sous Unix ou sous NT ? Selon comptences habitudes schma directeur
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 298
149
JL Archimbaud CNRS/UREC
Des serveurs
Classique informatique
150
Liaisons (niveau 1)
Rseau maill sur site
Cbles mais aussi tranches Btiment : deux accs diffrents ?
Liaisons externes LS
2 LS diffrentes ? : rare
Oprateurs : assurent le maillage
JL Archimbaud CNRS/UREC
302
151
2 autres ailleurs
JL Archimbaud CNRS/UREC
304
152
Outils imparfaits
Disparates (un peu tous les niveaux ) Ne colmatent quune partie des trous : toujours de nouveaux
Pas de limitation de dbit / station ou application Transport en clair des informations (mot de passe donc) Pas garantie metteur dans messagerie lectronique
Actuellement la scurit est une partie trs importante du travail dun administrateur de rseaux
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 305
? Qualit de service
Savoir rserver des bandes passantes (avec certaines qualits)
Des utilisateurs (fonctionnellement des sous-rseaux IP) Des applications (fonctionnellement des numros de ports)
Mcanismes
Cf chapitres : files dattente routeurs et QoS
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 306
153
La conception de rseaux
Assemblage de briques un peu disparates Mais larchitecte doit avoir une vision globale
Cbles ? applications Connaissances dans des domaines trs divers
Mtier difficile
A risques
Si le rseau ne marche pas ? catastrophe pour lentreprise
Mais intressant
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 307
Rseau de campus
Rseau dun gros site dune entreprise
JL Archimbaud CNRS/UREC
308
154
Grenoble
4 personnes + stagiaires 6 bureaux, salle machines (climatise), local technique
Choix OS
Stations personnelles : bureautique ? Windows Serveur fichiers interne et sauvegarde ? Windows Serveurs Internet (DNS, Mail, Web, ) ? Linux Dveloppement, tests ? Cela dpend
Interconnexion et conception de rseaux 2002 309
JL Archimbaud CNRS/UREC
Cur toiles
Local technique Grenoble, salle machine Paris Armoires de brassage
Chemins de cble
Goulottes dans les bureaux et faux plafonds ailleurs
155
Rseaux UREC
Equipements actifs
Paris et Grenoble : un commutateur routeur 2 ports FO Gbps Ethernet 48 ports TP 10-100 Mbps Ethernet Contrat de maintenance Avant : routeurs , commutateurs Ethernet et ATM, Hub Ethernet, Stations Eth et/ou ATM Connexion extrieure : prise Giga Eth rseau de campus
Plan dadressage
1 numro de classe C officiel Paris 1 numro de classe C officiel Grenoble Sous-rseaux sur les sites : utilisation des VLAN
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 311
Commut Routeur
156
Alias
www.urec.fr ? elea.paris.urec.cnrs.fr mail.urec.cnrs.fr ? thinos.paris.urec.cnrs.fr services.cnrs.fr ? kaki.grenoble.urec.cnrs.fr
UREC : messagerie
Objectifs architecture
Adresses standards : Prnom.Nom@urec.cnrs.fr Utiliser 2 serveurs (back up) : Paris et Grenoble
MX urec.cnrs.fr ? Serveurs :
Mail.paris.urec.cnrs.fr (prioritaire) Mail.grenoble.urec.cnrs .fr
157
Annuaire LDAP : interne Service listes de diffusion : SYMPA Multicast : routeurs configurs pour le recevoir NAT : pas utilis Videoconf (actuellement tlconfrence)
Etude pour lachat dun matriel H323 ddi (cran )
Administration
Un administrateur Paris, un Grenoble Utilisation de BigBrother
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 315
UREC : scurit
Base sur la segmentation et le filtrage Connexion vers lextrieur
Tout est possible pour toutes les stations du personnel Pour les autres (serveurs, machines tests, ) : limite au maximum
158
JL Archimbaud CNRS/UREC
317
Rseau de campus
CNRS Meudon : 10 btiments Cblage :
Interconnexion FO Intrieur des btiments TP Cat5
Niveau 2-3
Cur de rseau : commutateur 100 et GigaEth A lentre de chaque btiment : routeur A lintrieur des btiments : commutateurs hubs Sortie vers Renater : routeur
Adressage IP
3 classes C
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 318
159
Scurit
Filtres sur les routeurs Contrle daccs et traces sur les serveurs (tcpwrapper)
Equipe
2 ingnieurs Groupe des correspondants de laboratoire
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 319
RENATER : services
REseau NAtional de la Technologie, de lEnseignement et de la Recherche
GIP : Min Ens Sup, CNRS, INRIA, CEA,
Service interconnexion IP
Rseaux rgion Rseaux mtropolitains (MAN) Gros sites Autres oprateurs franais : GIX : SPHINX Connexion internationale
Autres services
IPv6 Multicast VPN CERT
Interconnexion et conception de rseaux 2002 320
JL Archimbaud CNRS/UREC
160
RENATER : architecture
Oprateurs
N oprateurs pour les liaisons (FO) Principaux : TD et FT Un oprateur pour ladministration des quipements actifs (routeurs ) : CS
Architecture
ATM (VC avec IP) ? IP sur SDH VPN : VC ATM ? IPSec
JL Archimbaud CNRS/UREC
321
JL Archimbaud CNRS/UREC
322
161