Vous êtes sur la page 1sur 73

Plan de cours

VESIS

Rseaux : Concepts de base et la terminologie (30min)


VLAN (4:30H)
Dfinition et caractristiques
Les VLANs simples
VLAN tagging : 802.1Q
Routage entre les VLANs
Les VLANs avancs
Agrgation de liens (Link aggregation ou Trunking)
Spanning Tree (30m)
802.1D Standard Spanning Tree (STP)
802.1w Rapid Spanning Tree (RSTP)
802.1s Multiple Spanning Tree (MSTP)
QoS ou Qualit de Service (30m)
Concepts gnraux
Les modles de la QoS
VOIP et QoS
Exemple dimplmentation de la QoS sur les commutateurs
Securit (30m)
Concepts de scurit
Les attaques et les mcanismes de dfense

Note : Dans cette prsentation, la plupart des exemples de configuration est base sur des commutateurs Omniswitch
dAlcatel. Nous mentionnons ces exemples dans lunique but de vous donner quelques ides sur comment les
concepts que nous dcrivons peuvent tre dploys pratiquement. En fait, nous constatons que limplmentation
et mme la configuration de ces concepts sont relativement similaires dun quipementier un autre, ceci
quelques fonctionnalits prs.
Roshanak Partovi, rpartovi@novesis.com

N
Rseaux : Concepts de base et la
terminologie
Historique
Terminologie
Modle OSI
Type de trafic : Unicast, multicast et broadcast
Equipements de rseau

Concepts
LAN
Domaine de diffusion
VLAN

VESIS

Historique

VESIS

Des technologies 10Base- aux technologies 10Gb/s.


Des transceivers passifs aux commutateurs intelligents niveau 3.

1970
Roshanak Partovi, rpartovi@novesis.com

2000
3

Evolution des quipements de rseau

VESIS

Des technologies 10Base- aux technologies 10Gb/s.


Des transceivers passifs aux commutateurs intelligents niveau 3.
Aujourdhui les commutateurs de niveau 3 fournissent des
fonctionnalits avances comme :
Des niveaux de performance trs levs grce limplmentation des
fonctions de routage dans les ASICS.
Support pour un ventail de types de VLAN : par port, par protocole,
authentifi, etc.
Fonctions de scurit intgres.
Hirarchisation de trafic et mcanismes de la QoS intgre.
Management et fonctions de logging (historique des vnements).
Roshanak Partovi, rpartovi@novesis.com

Modle OSI

Switches

Switches

Hubs

Hubs

VESIS

Source http://www.frameip.com/osi/

Roshanak Partovi, rpartovi@novesis.com

Les adresses unicast, broadcast et multicast

VESIS

Ladresse de broadcast reprsente tous les postes connects sur un LAN


ou plus prcisment sur un domaine de diffusion.
Ladresse de broadcast IP : 255.255.255.255.
Ladresse de broadcast MAC : FF:FF:FF:FF:FF:FF.

Les adresses multicast reprsentent un groupe de postes dans un rseau.


Le bloc rserv dadresses multicast IP : 224.0.0.0.0-224.255.255.255.
Les adresses MAC correspondantes : 01:00:5E:00:00:00 01:00:5E:7F:FF:FF.

Une adresse unicast reprsente un seul poste ou interface physique dans


un rseau.
Exemple dadresse unicast IP : 10.1.1.12
Exemple dadresse MAC correspondante : 1F:1A:2B:BA:CD:EF

Roshanak Partovi, rpartovi@novesis.com

La transmission des trames unicast,


broadcast ou multicast dans un rseau
Trame
type
Broadcast
Multicast (*)
Unicast

Commutateur
Transmet sur tous les
ports.
Transmet sur tous les
ports.
Transmet sur le port o
le poste rside (**).

VESIS

Routeur
Ne transmet pas.
Ne transmet pas.
Transmet selon la
Table de routage (***).

(*) Dans lhypothse que la fonction multicast de commutateur ou de


routeur nest pas active.
(**) Aprs la phase dapprentissage de ladresse et que cette adresse
est ajoute la table des adresses
(***) Le routeur examine seulement les trames broadcast ou celles
qui qui sont adresses ladresse MAC de son interface.

Le tableau ci-dessus souligne la diffrence de comportement entre un


routeur et un commutateur face une trame destine une adresse
broadcast, multicast ou unicast.

Roshanak Partovi, rpartovi@novesis.com

Un segment Ethernet

VESIS

LAN

RH
R&D
PROD
Les limitations dun segment Ethernet :
Le nombre de postes sur chaque segment
La longueur du segment
Problmes de congestion
Toutes les trames, unicast ou broadcast, envoyes par chaque PC sont
vues par les autres.
Les besoins en scurit, fiabilit et performance suggrent la ncessit
de segmenter le trafic.
La segmentation peut tre effectue au niveau 2 ou 3 ou aux deux
niveaux en mme temps.

Roshanak Partovi, rpartovi@novesis.com

Domaine de diffusion

VESIS

LAN

RH

R&D

PROD

Un domaine de diffusion est un domaine o toutes les trames de


broadcast (trames destines FF:FF:FF:FF:FF:FF) sont vues par tous
les postes qui y sont connects.

Roshanak Partovi, rpartovi@novesis.com

Equipements de niveau 1

VESIS

Transceiver

Hub

Repeater

Admin

Production

Admin

Production

Un quipement de niveau 1 rpte tout le trafic quil reoit, que ce soit


unicast, multicast or broadcast, sur tous ses ports.
Ce mode de fonctionnement affecte la bande passante libre et peut dtriorer
la performance du rseau.
Un commutateur (niveau 2) amliore la performance en transmettant le trafic
unicast uniquement sur le port o ladresse MAC de destination rside.

Roshanak Partovi, rpartovi@novesis.com

10

Commutateurs de niveau 2

VESIS

Switch Forwarding table


Mac-A
Mac-B

...

Port 1
Port 2

p1

A
Admin

Switch
p2

p3

C
Production

Seul le trafic de type broadcast ou unicast avec une adresse MAC de


destination inconnue est transmis sur tous les ports.
Le trafic unicast avec une adresse MAC de destination connue est transmis
uniquement sur le port appropri.
Il est souhaitable et mme ncessaire pour un rseau plus complexe de
restreindre le domaine de diffusion en crant des sous rseaux chacun
reprsentant un domaine de diffusion plus petit.
La communication entre ces sous-rseaux est accomplie par un routeur.

Roshanak Partovi, rpartovi@novesis.com

11

Routeur

VESIS

Admin and R&D


Switch-building B

Router
Building-B

Routing table router A


Network address

Next hop

IP-B

IP-First floor
Direct
IP-Second floor Direct
IP-Building-B
IP-B

IP-A

IP1
Network
first floor

Router
Building-A

Switch-first floor

Admin and R&D

IP2

Switch-second floor

Network
second floor

Admin and R&D

Le trafic de type broadcast est contenu dans son sous-rseau.


Les sous-rseaux communiquent entre eux par le moyen des routeurs.
Si le rseau contient plus quun routeur, les routeurs utilisent des protocoles de routage pour
connatre les rseaux distants.
Problme : Les frontires physiques ne correspondent pas toujours aux frontires logiques.
Solution : Les VLANs.

Roshanak Partovi, rpartovi@novesis.com

12

N
VLAN
Dfinition et caractristiques
Les VLANs simples
VLAN tagging : 802.1Q
Routage entre les VLANs
Les VLANs avancs
Agrgation de liens (Link aggregation ou
Trunking)

VESIS

VLAN : Dfinition et caractristiques

VESIS

VLANs sont utiliss pour segmenter le trafic.


Cette segmentation est effectue par le logiciel du commutateur.
Elimine le besoin de changer physiquement la connexion au rseau
ou son emplacement dun poste en cas de son ajout ou sa
suppression /de un VLAN.
Si lassociation dune trame son VLAN est prserve de bout-enbout, la scurit dun rseau bas sur les VLANs nest pas moins
fiable que celle dun rseau purement physique.
VLANs statiques : Le raccordement dun port un VLAN est
statique.
VLANs dynamiques : Le raccordement dun port un VLAN est
bas sur le trafic.
VLANs authentifis.

Roshanak Partovi, rpartovi@novesis.com

14

VLANs par port

VESIS

Un lien physique par VLAN ou un seul lien avec 802.1Q.


Switch first-floor

R&D
P2, 3, 7
Admin
P1, 5, 6

P10
P12

Switch
P10
P14

second-floor

Broadcast domain
or VLan R&D
R&D
VLan Id 200 P1, 2, 3
Broadcast domain
Or VLan Admin
VLan Id 100

Admin
P4, 5, 6

La configuration sur le commutateur first-floor peut ressembler :


>vlan 100 name admin port default 1,5,6
>vlan 200 name R&D port default 2,3,7

Roshanak Partovi, rpartovi@novesis.com

15

VLAN Tagging : 802.1Q

VESIS

Mcanisme permettant de multiples VLANs de partager dune


manire transparente le mme lien physique tout en respectant
ltanchit des VLANs.
La segmentation 802.1Q est effectue moyennant lajout dun tag
la trame.
Le tag permet la trame dtre identifie comme venant dun VLAN
ou tant destine un VLAN.

Roshanak Partovi, rpartovi@novesis.com

16

VLAN Tagging : 802.1Q

Tagged
Ethernet Frame

6 bytes

6 bytes

Dest MAC

Source MAC

16 bits

802.1Q Tag

C
TPI
802.1p
8100 Priority bits F
I

802.1Q Tag

4 bytes

3 bits

1 bit

2 bytes

64-1500 bytes

Protocol Type

Data

VESIS

VLan Id

12 bits

802.1Q Tag (32 bits)


Tag protocol Identifier (16 bits) : Les 12 premiers bits sont utiliss pour identifier le
protocole de la balise insre. Dans le cas de la balise 802.1Q la valeur de ce
champ est fixe 0x8100.
Bits de priorit (3 bits)
Canonical format identifier or CFI (1) : TokenRing or Ethernet
VLan Id (12bits) : Il est possible de coder 4094 (2^12-2) VLANs avec ce champ.
Plus grande que la taille maximale spcifie pour la trame Ethernet traditionnelle.

Roshanak Partovi, rpartovi@novesis.com

17

VLANs et 802.1Q
Switch first-floor

R&D
P2, 3, 7
Admin
P1, 5, 6

802.1Q
P8

VLan R&D
VLan Id 200
VLan Admin
VLan Id 100

VESIS

Switch second-floor

R&D
P1, 2, 3
Admin
P4, 5, 6

La configuration sur le commutateur first-floor peut ressembler :


>vlan 100 name admin port default 1,5,6
>vlan 200 name R&D port default 2,3,7
>vlan 100 802.1q port 8
>vlan 200 802.1q port 8

Roshanak Partovi, rpartovi@novesis.com

18

Routage entre VLANs moyennant


un routeur externe
Si le routeur implmente le
802.1q, un seul lien suffit.
Dans le cas contraire, un
lien physique par VLAN
est requis.

VESIS

External Router

P1 P2

Switch first-floor

R&D
P2, 3, 7
Admin
P1, 5, 6

Roshanak Partovi, rpartovi@novesis.com

802.1Q
P8

VLan R&D

VLan Admin

P1 P4

Switch second-floor

R&D
P1, 2, 3
Admin
P4, 5, 6

19

Routage entre VLANs moyennant les


fonctionnalits de niveau 3 du commutateur
Switch first-floor
R
10.1.1.1

VESIS

Switch second-floor

11.1.1.1

R&D
P2, 3, 7
Admin
P1, 5, 6

802.1Q
P8

VLan R&D
VLan Id 200

VLan Admin
VLan Id 100

R&D
P1, 2, 3

Default GW
10.1.1.1

Default GW
11.1.1.1

Admin
P4, 5, 6

La configuration sur le commutateur first-floor peut ressembler :


>vlan 100 name admin port default 1,5,6
>vlan 200 name R&D port default 2,3,7
>vlan 100 802.1q port 8
>vlan 200 802.1q port 8
>ip interface admin-if address 10.1.1.1 vlan 100
>ip interface R&D-if address 11.1.1.1 vlan 200

Roshanak Partovi, rpartovi@novesis.com

20

VLANs avancs

VESIS

Le concept de port mobile.


Rgles de VLANs dynamiques : le raccordement de port au VLAN dpend
du trafic.
Le type de rgle dtermine quel type de trafic initie le raccordement
dynamique dun port un VLAN. Si une trame du trafic reu sur un port
satisfait une des rgles dfinies, le port devient membre du VLAN
correspondant.
Rgles par DHCP : Gnrique, base sur MAC ou bloc de MAC
Adresse, ou Port.
Rgle par Mac
Rgle par adresse rseau
Rgle par protocole
Rgle par port
Rgles conditionnelles : Conditions bases sur MAC-port-Adresse IPport-protocole
VLANs authentifis
Un port peut-il tre membre de plusieurs VLANs ?

Roshanak Partovi, rpartovi@novesis.com

21

Ports mobile et mobile tagging (I)


Rules

Vlan 2 IP
Vlan 3 IPX
Vlan 4 with tagging enabled
Vlan 5 ip address

VESIS

Mobile ports
P1
P2

Les ports mobiles sont les seuls tre ligibles pour un raccordement
dynamique de VLAN.
Selon le trafic, les rgles dfinies ou le VLAN ID tag, un port mobile peut
devenir membre de plusieurs VLANs.
Example de configuration
> vlan port mobile 1
> vlan 4 mobile-tag enable

Note : La notion de Ports mobile et mobile tagging fait partie de la terminologie dAlcatel pour les Omniswitchs,
cependant il est possible que vous retrouviez le mme concept sous un nom diffrent auprs dautres quipementiers.
Roshanak Partovi, rpartovi@novesis.com

22

Port mobile et mobile tagging (II)

VESIS

Un port mobile peut devenir membre de plusieurs VLANs sous les


conditions suivantes :
Le port mobile reoit des trames sans tag, mais qui satisfont une ou
plusieurs des rgles dynamiques. Par exemple, si un port mobile reoit
des trames IP et IPX et quil existe une rgle par protocole IP en VLAN
10 et une rgle par protocole IPX en VLAN 20, le port mobile est
dynamiquement raccord aux deux VLANs.
Le port mobile reoit des trames avec des tags 802.1Q qui indiquent
des VLANs avec mobile tagging activ. Par exemple si le port
mobile reoit des trames avec des tags pour des VLANs 10, 20 et 30 et
que ces VLANs ont le mobile tagging activ, le port mobile sera
raccord dynamiquement aux VLANs 10, 20 et 30.

Roshanak Partovi, rpartovi@novesis.com

23

Rgle par adresse rseau

VESIS

DHCP server

Switch
R&D

The traffic is assigned to the VLAN admin, if the


received traffic has a source IP address in the
Admin subnet.
/to
from 0
,
c
i
AdminP traff 0.1.1.
I
1
net
sub

Il y deux types de rgles par adresse rseau : IP et IPX.


La rgle par adresse IP qui dtermine le raccordement du port bas sur
ladresse IP du poste.
La rgle par adresse IPX qui dtermine le raccordement du port bas sur
le rseau IPX du poste et le type dencapsulation utilis.

Exemple de configuration
> vlan 100 name admin ip 10.1.1.0 255.255.255.0

Roshanak Partovi, rpartovi@novesis.com

24

Rgle par DHCP (I)

VESIS

DHCP server

Switch

If the DHCP traffic satisfies the DHCP rule the


port temporarily is assigned to the VLAN Start-Up.
affic

Admin

Start-Up

P tr
DHC

Quel VLAN pour un PC qui vient de booter et qui na pas encore une adresse
IP?
Les rgles par DHCP sont utilises pour classifier le trafic DHCP dans le but
de transmettre et recevoir les trames DHCP entre le client et le serveur.
Le port sort du VLAN DHCP lorsque le processus de DHCP est termin.
Le poste a maintenant une adresse IP, mais ne fait partie daucun VLAN.
Pour quil puisse communiquer avec le rseau, il est ncessaire que son trafic
satisfasse une rgle dynamique afin dtre raccord un autre VLAN.

Roshanak Partovi, rpartovi@novesis.com

25

Rgle par DHCP (II)

VESIS

DHCP server

Switch

, from/to
ic
ff
a
r
t
P
I
10.1.1.0
subnet

Admin

The port is dropped out of the start-Up VLan.


It will join VLan Admin as it satisfies another
VLan rule.

Start-Up

Les rgles par DHCP peuvent tre gnriques ou bases sur ladresse MAC
ou bloc de MAC ou port.
Exemple de configuration
> vlan 200 name Start-Up dhcp mac range 00:DA:95:00:59:10 00:DA:95:00:59:9F
> vlan 100 name admin ip 10.1.1.0 255.255.255.0

Roshanak Partovi, rpartovi@novesis.com

26

Rgle par MAC

VESIS

DHCP server

The port is assigned to the VLAN admin, if the


received traffic has the source MAC address as
specified in the rule.

Switch
R&D

Admin

Le port est raccord au VLAN, si ladresse MAC du poste correspond


celle spcifie dans la rgle.
Exemple de configuration pour la rgle par bloc de MAC :
> vlan 100 name admin mac range 00:00:da:00:00:01 00:00:da:00:00:09

Roshanak Partovi, rpartovi@novesis.com

27

Rgle par protocole

VESIS

DHCP server

The port is assigned to the VLAN admin, if the


received traffic is IP.

Switch
R&D

Admin

c
raffi

IP t

Le port est raccord au VLAN, si le protocole utilis par le poste correspond


celui spcifi dans la rgle. Les protocoles possibles sont : IP, IPX,
AppleTalk, DECNet ou selon un critre dfini par lusager.
Exemple de configuration :
> vlan 100 name admin protocol ip
> vlan 200 name R&D protocol dsapssap f0/f0

Roshanak Partovi, rpartovi@novesis.com

28

Rgle par port

VESIS

PRINTER

The port is assigned to


the VLANs admin and R&D,
only for their outgoing broadcast
traffic.

P2

R&D

Switch
Admin

Avec la rgle par port, le trafic nest pas requis pour initier un raccordement
dynamique de port mobile au VLAN.
Ces rgles sont utilises le plus souvent pour des quipements passifs
comme les imprimantes, qui ont besoin de faire partie de VLan afin de
recevoir le trafic transmis par le VLan (exemple : les requtes dimpression).
Enfin, la rgle par port sapplique seulement au trafic sortant et ne classifie
pas le trafic entrant.
Exemple de configuration
> vlan 100 name admin port 2
> vlan 200 name R&D port 2

Roshanak Partovi, rpartovi@novesis.com

29

Rgles conditionnelles

VESIS

DHCP server

Switch
R&D

p5

The port is assigned to the VLAN admin, if the


traffic is received on port 2 AND has the source IP
and MAC address as specified in the rule.

Admin

Le port est raccord au VLAN, si toutes les conditions spcifies dans la


rgle sont satisfaites.
Le critre est bas sur une combinaison des conditions concernant
ladresse MAC- le port ladresse IP ou le protocole.
Exemple de configuration :
> vlan 100 name admin binding mac-ip-port 00:00:da:59:0c:12 21.0.0.10 5

Roshanak Partovi, rpartovi@novesis.com

30

Authenticated VLANs

VESIS

Source [alcatel-man]

Les VLANs authentifis contrlent laccs des usagers aux ressources


rseau bas sur une procdure de login et le raccordement de lusager un
VLAN.

Roshanak Partovi, rpartovi@novesis.com

31

IEEE 802.1X

VESIS

Source [alcatel-man]

802.1X permet aux postes physiques connects sur un commutateur dtre


authentifis en utilisant le protocole EAP (Extended Authentication Protocol).
Si lauthentification russit et que le serveur dauthentification a retourn
dans sa rponse un VLAN Id, le port sera assign au VLAN correspondant.

Roshanak Partovi, rpartovi@novesis.com

32

Agrgation de liens (I)

VESIS

One logical link of 300Mbps


VLAN 2
VLAN 3

Switch B

Switch C

VLAN 2
VLAN 3

802.1Q
Applied to the above logical link

Lagrgation de liens permet la combinaison de plusieurs liens physiques en


un lien virtuel offrant la somme des bandes passantes des liens qui le
constituent. Ce lien virtuel peut tre considr comme un lien physique
part entire. Il est possible de le configurer de la mme manire que pour les
ports physiques avec des fonctionnalits de type : VLAN, 802.1Q, QoS, etc.

Roshanak Partovi, rpartovi@novesis.com

33

Agrgation de liens (II)

VESIS

Avantages
La rpartition de charges et la redondance.
Bande passante modulaire.
Deux types
Agrgation de liens statique : souvent propritaire avec des
restrictions sur les paramtres de port chaque bout.
Agrgation de liens dynamique base sur IEEE 802.3ad LACP
(Link Aggregation Control Protocol). Le protocole ngocie les
paramtres optimaux pour les deux bouts.

Roshanak Partovi, rpartovi@novesis.com

34

VESIS

Protocole Spanning Tree


802.1D Spanning Tree Standard (STP)
802.1w Spanning Tree Rapide (RSTP)
802.1s Spanning Tree Multiple (MSTP)

Les commutateurs face des


boucles rseaux
PC-A
Mac-A

Switch 1
Forwarding table
Mac-A
Mac-A

...

Port 1
Port 2

Port 1

Port 1

switch1

switch2

Port 2

Port 2

LAN1

VESIS

Switch 2
Forwarding table
Mac-A
Mac-A

...

Port 2
Port 1

LAN2
DA: mac-a SA: mac-b ......

PC-B

On parle de boucle dans un rseau, lorsquil y a plus dun chemin de


communication entre deux nuds. Dans un rseau commut, les boucles
rendent le rseau indisponible cause de :
Les temptes de diffusion ou de broadcast.
Le trafic Unicast qui boucle.
Cependant, un bon rseau doit aussi inclure une redondance des matriels
pour fournir un chemin alternatif en cas de panne.
La solution ce problme est le protocole spanning tree.

Roshanak Partovi, rpartovi@novesis.com

36

Spanning Tree

VESIS

Il est utilis pour crer une topologie sans boucle dans un rseau
commut.
Lalgorithme a un temps de convergence dapprox. 30 sec, temps
pendant lequel la communication reste bloque.
Un changement de topologie peut initier lexcution de lalgorithme,
ce qui peut causer une interruption temporaire du trafic.
Le protocole spanning tree est bas sur des normes dveloppes
par IEEE et a volu pour rpondre aux nouveaux besoins des
rseaux commuts :
802.1D Standard Spanning Tree Algorithm and Protocol (STP)
802.1w Rapid Spanning Tree Algorithm and Protocol (RSTP)
802.1s Multiple Spanning Tree Algorithm and Protocol (MSTP)

Roshanak Partovi, rpartovi@novesis.com

37

802.1D Spanning Tree (I)

VESIS

Root Bridge

Switch A

0:00-00-00-00-00-0A
P1 P2

Bridge ID

Designated
ports
10Mbps
Path cost = 10

100MPS
Path cost = 1

Root
Path cost = 10
P1

Switch B

Root Port
P1
P2

Root port

0:00-00-00-00-00-0B

100Mbps
Path cost = 1

Designated
P2
port

Switch C
0:00-00-00-00-00-0C
Designated
Bridge for
LAN BC

Roshanak Partovi, rpartovi@novesis.com

38

802.1D Spanning Tree (II)

VESIS

Vue gnrale de lalgorithme

Les BPDUs (Bridge PDU) transportent des informations du protocole et sont changs
rgulirement entre les commutateurs. Le but principal est de dterminer quels ports doivent se
bloquer afin dliminer les boucles rseau.

La topologie sans boucle que lalgorithme cre est une topologie en arbre avec la racine un
commutateur lu root bridge. Lalgorithme en outre garantit que le chemin entre un noeud et la
racine est le chemin le plus court (en terme du cot ou de la bande passante). Le calcul de cette
topologie passe par :

Llection de root bridge pour le domaine de diffusion :


Le commutateur avec le plus petit Bridge ID est le root bridge.

La slection de designated bridge pour chaque segment :


Cest le commutateur qui fournit le chemin le plus court du segment jusqu la racine. Le port
de ce commutateur sur le segment en question sappelle designated port.

Le choix de rootport pour chaque commutateur :


Chaque commutateur non-root va slectionner un root port qui aura le chemin le plus court
vers la racine.

Les root ports ou designated ports vont passer en mode Forwarding.

Tous les ports autres que root ports ou designated ports vont passer en mode Blocking.

Roshanak Partovi, rpartovi@novesis.com

39

802.1D Spanning Tree (III)

VESIS

Les modes des ports sur des commutateurs en spanning tree :


Disabled, Blocking, Listening, Learning et Forwarding

Le temps de convergence de lalgorithme aprs un changement


de topologie est de lordre de 30 seconds.
Rapid spanning tree 802.1W a t dvelopp dans le but de
raccourcir ce temps de convergence.
802.1W peut converger en moins dune seconde.

Roshanak Partovi, rpartovi@novesis.com

40

Et un peu de la posie

VESIS

Radia Perlman, linventeur de lalgorithme, la rsum dans un pome intitul


"Algorhyme (une adaptation de "Trees", par Joyce Kilmer) :

I think that I shall never see


A graph more lovely than a tree.
A tree whose crucial property
Is loop-free connectivity.
A tree which must be sure to span
So packets can reach every LAN.
First the Root must be selected
By ID it is elected.
Least cost paths from Root are traced
In the tree these paths are placed.
A mesh is made by folks like me
Then bridges find a spanning tree.
Roshanak Partovi, rpartovi@novesis.com

41

VLANs multiples avec une seule instance


de spanning tree pour tous les VLANs
VLAN 2

VLAN 2
VLAN 3

Switch B

VESIS

Switch A

802.1Q

Switch C

VLAN 2
VLAN 3

Il y a une seule instance de Spanning tree pour tous les VLANs.


Problme
Un changement de topologie dans un des VLANs affecte tous les autres.
Cette instance de spanning tree na aucune connaissance des VLANs individuels
ni de leurs topologies.
Dans certaines topologies, le trafic lintrieur dun VLAN peut tre interrompu
cause des ports bloqus par spanning tree.
Solution possible
Une instance de spanning tree par VLAN.

Roshanak Partovi, rpartovi@novesis.com

42

VLANs multiples avec une instance


de spanning tree par VLAN
VLAN 2

VESIS

Switch A

BPDU-vlan2
VLAN 2
VLAN 3

Switch B

BPDU-vlan3
802.1Q

Switch C

VLAN 2
VLAN 3

Chaque VLAN a sa propre instance de spanning tree.


Chaque instance de spanning tree cre une topologie sans boucle sur la base de la
topologie du VLAN auquel elle est associe.
Problme
Le protocole spanning tree introduit un overhead dans le rseau d lchange
rgulier des BPDUs et lexcution de son algorithme. Une instance de spanning
tree par VLAN multiplie ce problme par le nombre de VLANs.
Solution : Multiple spanning tree protocol 802.1s.

Roshanak Partovi, rpartovi@novesis.com

43

802.1s Spanning Tree Multiple

STG1: VLAN 1-10


STG2: VLAN 11-20

VESIS

VLAN 1-20

Switch A
Blocked for VLAN 1-20
80
2.1
Q

Q
2.1
80

VLAN 1-20

Switch B

802.1Q

Switch C

VLAN 1-20

STG1: Root Bridge


STG2: Root Bridge

Le protocole Spanning Tree Mutiple (MST) permet ladministrateur de distribuer des


VLANs dun rseau commut entre plusieurs instances de spanning tree.
Chacune de ces instances est appele un Spanning Tree Group (STG).

Roshanak Partovi, rpartovi@novesis.com

44

Spanning Tree et la distribution de charge


STG1: VLAN 1-10
STG2: VLAN 11-20

Switch A
Blocked for VLAN 1-10
80
2.1
Q

Q
2.1
0
8

Switch B
STG1: Root Bridge

VESIS

VLAN 1-20

Blocked for VLAN 11-20

VLAN 1-20

802.1Q

Switch C

VLAN 1-20

STG2: Root Bridge

Avoir plusieurs instances de spanning tree dans un rseau et une slection judicieuse
(par configuration) de root bridge pour chaque instance, offre la possibilit de la
distribution de charge entre les commutateurs et sur les liens qui les interconnectent.

Roshanak Partovi, rpartovi@novesis.com

45

VESIS

QoS
Concepts gnraux
Les modles de la QoS
802.1p
IntServ
DiffServ

VOIP et QoS
Exemple dimplmentation de la QoS sur des
commutateurs

Concepts gnraux

VESIS

La qualit de service (QoS) se rfre la qualit de la transmission


et la disponibilit de service. Elle est mesurable et dans certains cas
garantie dans le cadre dun SLA (service level agreement).
Mieux supporte par des rseaux commutation de circuit comme
PSTN, ISDN et ATM que par des rseaux commutation de
paquets.
Les paramtres typiques de la QoS :
La bande passante
La gigue
La perte de paquet
Le dlai
La QoS bout-en-bout ncessite une forme de management bout-enbout de ressources rseau et le contrle de lacceptation des flux
entrants (Call Admission Control ou CAC).
Roshanak Partovi, rpartovi@novesis.com

47

Les normes pour le support de la QoS


dans un rseau commut : 802.1p
Tagged
Ethernet Frame

6 bytes

6 bytes

Dest MAC

Source MAC

802.1Q Tag

4 bytes
802.1Q Tag

C
TPI
802.1p
8100 Priority bits F
I
16 bits

3 bits

1 bit

2 bytes

64-1500 bytes

Protocol Type

Data

VESIS

VLAN Id
12 bits

La norme au niveau 2
802.1p
Identifie la priorit de la trame au niveau 2.
Comprhensible par des commutateurs au niveau 2.
Un commutateur qui implmente 802.1p, classifie et traite le trafic selon
la priorit indique.

Roshanak Partovi, rpartovi@novesis.com

48

Les normes pour le support de la QoS


dans un rseau commut : Intserv

VESIS

Les normes au niveau 3


IETF IntServ (Integrated services)
Dfinit une architecture globale pour la QoS bout-en-bout.
Spcifie un certain nombre de classes de service.
Lapplication doit signaler au rseau les caractristiques du trafic quelle injecte,
ainsi que le niveau de la QoS dont elle a besoin.
Selon ce modle, les lments du rseau doivent tre capables deffectuer le
CAC, le contrle et la classification pour les flux entrant, et de grer les files
dattente et lordonnancement pour le trafic sortant.

IETF RSVP (Resource Reservation Protocol) est un protocole de


signalisation qui a t dfini par un groupe de travail diffrent. Il permet aux
applications de signaler leurs besoins en QoS au rseau et initie la
rservation des ressources qui y sont ncessaires.
Problme dextensibilit (ou monte en charge) si les rservations sont
effectues au niveau de chaque flux individuel.

Roshanak Partovi, rpartovi@novesis.com

49

Les normes pour le support de la QoS


dans un rseau commut : DiffServ (I)

VESIS

Les normes au niveau 3 ou niveau IP


IETF DiffServ (Differentiated services)
Divise le trafic en un petit nombre de classes. Les ressources sont alors
alloues par classe.
La classe de chaque paquet est indique directement dans le paquet, au
contraire du modle IntServ o un protocole de signalisation tait
ncessaire pour communiquer aux nuds intermdiaires quels flux de
trafic avaient besoin dun traitement de QoS spcial.
Un domaine Diffserv est un rseau o le comportement par saut (PerHop-Behaviour ou PHB) est rgi par les mme rgles de classification et
de correspondance.
Les tables de correspondance sont dfinies pour garantir la cohrence
de la QoS entre un domaine DiffServ et le reste du monde.

Roshanak Partovi, rpartovi@novesis.com

50

Les normes pour le support de la QoS


dans un rseau commut : DiffServ (II)
IP Frame Header

4 bits

4 bits

Version

Length

8 bits
TOS
Type of service

DSCP
Differentiated Services
Code Point
6 bits

VESIS

16 bits
Total length

The rest of the IP header

Currently unused
2 bits

DSCP identifie un comportement par saut (per-hop-behaviour). Jusqu 64 code


DSCP peuvent tre dfinis. Exemple de comportement par saut :
Best effort ou le traitement par dfaut
Expedited Forwarding
Les paquets doivent tre transmis avec un dlai et perte minimum.
Assured Forwarding
AFxy, o x slectionne une file dattente et y dtermine la priorit de la
classe (drop precedence) lintrieur de la file dattente.

Roshanak Partovi, rpartovi@novesis.com

51

VOIP et QoS (I) source [qos-melin]

VESIS

La qualit de la voix dpend de


La qualit de lencodage
La voix est chantillonne 8kHz. Soit un chantillon toutes les 125
microsecondes. Avec chaque chantillon cod sur 8 bits, le dbit
binaire est de 64kb/s. De nombreux algorithmes de compression
permettent de rduire ce besoin en bande passante 16, 8 et mme
4kb/s. Cette compression a un impact sur la qualit peru de la voix.
Lacceptabilit par loreille humaine des diffrents algorithmes est
dfinie selon le critre MOS (Mean Operational Score).
Les algorithmes de compression ou Codec : Les plus utiliss sont
G.729, G.711.

Roshanak Partovi, rpartovi@novesis.com

52

VOIP et QoS (II) source [qos-melin]

VESIS

La qualit de la voix dpend de


La qualit de lencodage.
Le dlai : 0-300 ms, en excluent loverhead li aux algorithmes de
CODEC, le dlai dacheminement ne doit pas dpasser le 200ms.
La gigue : Cest la variation des dlais dacheminement gnre
par la variation de charge du rseau. Pour compenser la gigue on
peut utiliser des buffers du ct du rcepteur, cependant ces
buffers ont comme effet non souhait daugmenter le dlai.
La perte des paquets : La transmission des informations
redondantes peut aider lutter contre ce problme.
Echo : Le phnomne dcho devient sensible aux dlais
suprieur 50ms.

Roshanak Partovi, rpartovi@novesis.com

53

VOIP et QoS (III)

VESIS

Est-ce que IP est adapt au transport de la voix?


Caractristiques de IP
Protocole niveau 3 sans connexion.
Des paquets appartenant au mme flux peuvent emprunter des
chemins diffrents.
Nest pas initialement conu pour le transport des applications temps
rel.

De nouvelles normes sont dfinies pour combler ces lacunes.

Roshanak Partovi, rpartovi@novesis.com

54

VOIP et QoS (IV)

VESIS

DiffServ Domain
Expedited Forwarding: Voice.
Best Effort : Data

IP phone

Call server

Integrated switch
in the IP phone

vlan
voice
vlan
data

L3 Switch

Routed
Network

Physical links
Virtual links - - - - -

Exemple de mcanisme de la QoS pour le support de la VOIP


DiffServ
Classe de trafic associ la voix : Premium.
PHB : Expedited forwarding.

Roshanak Partovi, rpartovi@novesis.com

55

Une implmentation typique de la QoS Source [alcatel-man]

VESIS

Aujourdhui la plupart des commutateurs fournit le support de la


QoS par le biais des files dattente et de lordonnancement pour le
trafic sortant.
La configuration de la QoS se fait en utilisant des rgles de QoS ou
QoS policy.
Policy = (Condition, Action).
La condition spcifie les paramtres que le commutateur examinera
dans les flux entrant.
Laction spcifie ce que doit faire le commutateur si un flux entrant
satisfait la condition indique dans le QoS policy.

Roshanak Partovi, rpartovi@novesis.com

56

Exemples de conditions dans un QoS Policy

VESIS

Source [alcatel-man]

Niveau 1
Port source, group de ports sources, port de destination, group de ports
de destination.

Niveau 2
MAC source, groupe de MAC source, MAC destination, groupe de MAC
destination, 802.1p, ethertype, VLAN source.

Niveau 3
Protocole IP, IP source, IP multicast, IP destination, group de rseau
multicast, ToS, DSCP, Type de ICMP, Code de ICMP.

Niveau 4
port source TCP/UDP , port de destination TCP/UDP, service, groupe
de service, flag TCP.

Roshanak Partovi, rpartovi@novesis.com

57

Exemples dactions dans un QoS policy

VESIS

Source [alcatel-man]

Accept/Drop
Laction consiste accepter ou rejeter le flux de trafic.
Priority
Laction consiste assigner une priorit spcifique entre 0 et 7
aux flux de trafic. Cette priorit indique au commutateur la file
dattente de sortie utiliser pour la transmission de ce flux.
802.1p ToS/DSCP stamping and mapping.
Maximum Bandwidth
Spcifie le maximum de la bande passante pour le flux.
Cette action est utilise pour le contrle du flux entrant.

Roshanak Partovi, rpartovi@novesis.com

58

La configuration dun QoS policy Source [alcatel-man]

VESIS

Exemple de configuration
> policy condition cond3 source ip 10.10.2.3
> policy action action2 priority 7
> policy rule my_rule condition cond3 action action2

Avec my_rule le trafic avec la source adresse IP 10.10.2.3 va tre trait avec la
priorit 7 et transmis la file dattente de sortie correspondante cette priorit
(dans le cas de OS6850/9000).
Roshanak Partovi, rpartovi@novesis.com

59

N
Scurit
Scurit
Concepts de scurit
Les attaques et les mcanismes de
dfense
Au niveau 2
Au niveau 3

VESIS

Scurit

VESIS

Les techniques utilises par les pirates rseaux sont devenues de plus en
plus sophistiques avec une porte grandissant des dommages.
Le modle OSI, (ainsi quun rseau qui y est bas) est seulement aussi
robuste que son lien le plus faible et pour cette raison donc une attention
gale devrait tre apporte n'importe laquelle de ses couches pour
s'assurer que sa structure entire est solide. Source [Cisco-vlan-security]
Risque = niveau de menace * niveau de vulnrabilit * valeur de lactif. Source
[tao-nsm]

Le but est de minimiser le risque.


La condition de base est que le rseau doit tre dfendable.
Les rseaux dfendables sont ceux :
Qui sont physiquement protgs et qui sont inventoris.
Qui sont conus avec les concepts de surveillance faisant partie intgrante de la
conception. Les mcanismes de surveillance intgrs permettent une
identification de ltat du rseau en tat normal, ce qui peut tre utilis comme
une rfrence pour la dtection des anomalies.
Qui limite la libert de manuvre des intrus.

Roshanak Partovi, rpartovi@novesis.com

61

Le nombre de fois que quelque chose


dinintressant se passe est en soi intressant. Source [tao-nsm]

VESIS

Les caractristiques des intrus :


Quelques uns dentre eux sont plus malins que vous.
La plupart est imprvisible.

Tt ou tard, la prvention finit par chouer.


Les mcanismes de dfense sont bass sur :
La collecte des statistiques et des donnes des rseaux, leur analyse et
lenvoi de rapport ladministrateur en cas de problme.
La dtection et rponse aux intrusions.
Limplmentation des procdures dvaluation, de protection, de
dtection et de rponse.

Roshanak Partovi, rpartovi@novesis.com

62

Menaces et zones de surveillance Source [tao-nsm]

VESIS

Inernet

Monitoring zones
Boundary
Router

Wireless
Network

Access
Point

data collection

FW

DMZ
Switch

DMZ
network

Internal
Switch
Internal
Network

Exemple de dispositif ou
mcanisme de collecte
de trafic :

Concentrateur de ports
ou hub

Miroirisation de port ou
port mirroring

TAP (Test Access Port)


Equipement spcialis
pour la surveillance
applicative

Pirates externes venant de lInternet.


Pirates externes venant des segments de rseau sans fil.
Pirates internes venant des segments de rseau filaire.
Pirates internes venant des segments de rseau sans fil.

Roshanak Partovi, rpartovi@novesis.com

63

Attaques au niveau 2Source [cisco-vlan-sec]

VESIS

Pourquoi sinquiter des attaques au niveau 2?


Parce quen compromettant une couche infrieure dans le modle
OSI, il est possible de directement affecter les couches suprieures
sans quelles remarquent une anomalie.
Exemples dattaques au niveau 2 :
MAC Flooding Attack: surcharge le commutateur avec plusieurs
adresses MAC pour que sa table dadresses soit compltement
remplie. Ce dernier se comporte alors comme un simple
concentrateur et diffuse les trames tous les postes du rseau. Ces
trames peuvent alors tre interceptes par des pirates avec un
Sniffer.
Double-Encapsulated 802.1Q/Nested VLAN Attack
Cette attaque permet lusager dun VLAN daccder sans autorisation
un autre VLAN (Fuite entre VLANs).

Roshanak Partovi, rpartovi@novesis.com

64

Examples of layer 2 attacks (continued)

VESIS

Source [cisco-vlan-sec]

ARP Poisoning ou Spoofing


Le pirate trompe l'ordinateur cibl de l'utilisateur en utilisant son propre
adresse MAC au lieu de celle de la passerelle de rseau. Source [wiki]
Le trafic de lordinateur cibl vers son passerelle sera alors envoy vers
le poste de pirate. Le pirate son tour envoie ce trafic vers le passerelle
pour que tout se passe inaperu.

Roshanak Partovi, rpartovi@novesis.com

65

Examples of layer 2 attacks (continued)

VESIS

Attaque par spanning tree


Cette attaque consiste espionner les BPDU pour obtenir les dtails
comme le port Id, bridge Id etc. Puis le pirate gnre des
Configuration/Topology Change Acknowledgement BPDUs annonant
quil est maintenant le root bridge.
La consquence de cette attaque peut tre une panne complte ou
intermittente du rseau d au fonctionnement erron du spanning tree.

Roshanak Partovi, rpartovi@novesis.com

66

Attaques au niveau 3 Source [Cisco-QoS]

VESIS

Attaques du type dni de service


Spoofing
Le pirate prtend fournir un service lgitime, mais fournit en fait des
informations trompeuses ses clients.
La solution est le dploiement des technologies dauthentification et
de chiffrement.

Flooding
Le pirate gnre des trames destines au serveur dans le but
dpuiser ses ressources.
La solution passe par la dtection et le rejet du trafic illgitime ou
par lutilisation des mcanismes de la QoS.

Roshanak Partovi, rpartovi@novesis.com

67

Exemple dattaque du type dni de service Source [wiki]

VESIS

SYN Flood
Le pirate inonde le serveur par des paquets TCP/SYN. Le serveur
rpond chacun de ces paquets en ouvrant une connexion semiouverte et attend la rponse TCP/ACK de la part du client pour chacune
de ces connexions. Ces connexions semi-ouvertes consomme des
ressources serveurs et limite sa capacit rpondre aux requtes
lgitimes.

Ces attaques peuvent cibler toute sorte dquipement connect sur


le rseau : les routeurs, les commutateurs, les serveurs web, mail,
DNS, etc.
Dans ce type d'attaque les pirates se dissimulent parfois grce
des machine-rebonds, utilises l'insu de leurs propritaires. Des
machine-rebonds, sont contrlables par un pirate aprs infection par
un programme de type porte drobe ou cheval deTroie.
Roshanak Partovi, rpartovi@novesis.com

68

Exemples de mcanismes de protection

VESIS

Au niveau de ladministration de rseau


Accs authentifi aux quipements rseau pour les administrateurs.
Et interdiction daccs pour les autres ou un accs limit dpendant du
profile dusager.
Au niveau 1
Accs physique scuris aux quipements de rseau.
Au niveau 2
Authentification des usagers et des postes avant quils puissent accder
au rseau, base sur 802.1x ou des VLANs authentifis.
Restriction daccs au reseau pour les postes selon les rgles de
participation aux VLANs.
Limiter le temps pendant lequel lapprentissage des adresses MAC est
permis.
Dfinir une mthode pour faire face au trafic non autoris.
Au niveau 3 et au dessus typiquement les pare-feux et les IDS (Intrusion
detection systmes) sont dploys.
Cependant pour rpondre aux problmes grandissant de la scurit des
rseaux, il faudra dfinir et implmenter un systme de surveillance rseaux
dont font partie les mcanismes dcrits ci-dessus.

Roshanak Partovi, rpartovi@novesis.com

69

Prcisions sur les pare-feux source [wiki]

VESIS

Un pare-feu est un dispositif logiciel ou matriel qui filtre le flux de


donnes sur un rseau informatique.
Il existe plusieurs classes de pare-feu:
Pare-feu sans tats (stateless firewall)
Effectue un filtrage basique des paquets.
Chaque paquet est examin indpendamment des autres.
Pare-feu tats (statefull firewall)
La trace des sessions et connexions est conserve.
Les dcisions de filtrage dpendent ne seulement de chaque paquet
mais aussi de ltat des connexions.
Le pare-feu doit connatre les protocoles pour pouvoir dtecter des
anomalies dans les changes.

Roshanak Partovi, rpartovi@novesis.com

70

Prcisions sur les pare-feux source [wiki]

VESIS

Pare-feu applicatif
Le filtrage applicatif est comme son nom l'indique ralis au niveau
de la couche Application.
Cela implique que le pare-feu connaisse toutes les rgles
protocolaires des protocoles qu'il doit filtrer.
Pare-feu authentifiant
Un pare-feu authentifiant ralise lauthentification des connexions
passant travers le filtre IP. L'administrateur peut ainsi dfinir les
rgles de filtrage par utilisateur et non plus par IP, et suivre l'activit
rseau par utilisateur.
Pare-feu personnel

Roshanak Partovi, rpartovi@novesis.com

71

Prcisions sur les IDS source [wiki]

VESIS

Intrusion Detection System ou IDS est un mcanisme destin


reprer des activits anormales ou suspectes sur la cible analyse
(un rseau ou un hte).
Il existe deux grandes familles distinctes dIDS :
Les N-IDS (Network Based Intrusion Detection System), qui surveillent
l'tat de la scurit au niveau du rseau.
Sappuie sur des bibliothques de signature dattaques.
Les H-IDS (HostBased Intrusion Detection System), qui surveillent l'tat
de la scurit au niveau des htes.
S'appuie sur une analyse comportementale.
Un H-IDS se comporte comme un daemon ou un service standard
sur un systme hte qui dtecte une activit suspecte en sappuyant
sur une norme.
Un autre type d'H-IDS cherche les intrusions dans le noyau
(kernel) du systme, et les modifications qui y sont apportes.

Roshanak Partovi, rpartovi@novesis.com

72

Annexe - Rfrences

VESIS

[alcatel-man]
Alcatel Omniswitches User Manuals
[nortel-man]
Nortel ERS8600 User Manuals
[cisco-qos]
End-to-End QoS Network Design, 2005, Tim Szigeti & Christina Hattingh, Cisco
Press
[cisco-vlan-sec]
VLAN Security white Paper, Cisco Systems
http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper0918
6a008013159f.shtml
[cisco-voip] QoS for VOIP white paper, Cisco Systems
http://www.cisco.com/en/US/tech/tk652/tk698/technologies_white_paper09186a0080
0d6b73.shtml
[qos-melin]
Qualit de service sur IP, 2001, Jean-Louis Mlin, Eyrolles
[tao-nsm]
The Tao of network security monitoring, 2006, Richard Bejtlich, Addison Wesley
[wiki] Wikipedia http://en.wikipedia.org/wiki/

Roshanak Partovi, rpartovi@novesis.com

73