2002 11 Cours Interco Reseaux

Interconnexion et conception de rseaux
Cours de 24 h pour 3ime anne Ecole dingnieurs rseaux 2002
Jean-Luc Archimbaud CNRS/UREC

cel-00561873, version 1 - 2 Feb 2011
JL Archimbaud CNRS/UREC
Interconnexion et conception de rseaux 2002
Interconnexion et conception de rseaux

Rseau :
Quest-ce ? Plusieurs rseaux interconnects ? rseau Dans le cours : rseau informatique dentreprise de campus
Concevoir un rseau cest actuellement :

Faire voluer lexistant Rflchir toutes les couches
Tranches ? Applications
Utiliser les services des oprateurs sous -traitance Travail de puzzle : assemblage de briques
Matriel - logiciel
JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 2
Concevoir un rseau cest dfinir

Larchitecture physique (rseau = cble)
Carte des sites btiments salles connecter Les supports physiques Les quipements actifs
Larchitecture logique (rseau = rseau IP)

Les protocoles Plan adressage Routage
Ladministration des quipements - surveillance Les services rseaux

DNS (nommage), Messagerie, Web,
cel-00561873, version 1 - 2 Feb 2011
Les outils de scurit Les connexions avec lextrieur : Internet,
Adapte aux quipements - besoins des utilisateurs

Stations Serveurs Applications
Plan du cours
Rseaux locaux - LAN
Liens physiques - cblage : Coax - TP FO sans fil Cblage de btiment Protocoles niveau 1-2 : Ethernets FDDI
Rappels : caractristiques du protocole IP Elments actifs dinterconnexion Eth-IP

Rpteurs hubs (Ethernet) Ponts (Ethernet) Commutateurs Ethernet Routeurs (IP) Commutateurs -routeurs (Ethernet-IP)
Interconnexion et conception de rseaux 2002 4
Plan du cours
Liaisons longues distances
Liaisons physiques
Commutes RTC, RNIS, ADSL, X25, loues LS
Modems
ATM
Objectifs QoS : Qualit de Service Couches 1 et 2 Commutateurs et routage Architectures LS et LANE Bilan
cel-00561873, version 1 - 2 Feb 2011
Exemples darchitecture
Plan du cours
Architecture logique IP
Adresses IP Plan adressage IP Routage IP Exemples de rpartition dutilisateurs et de services Architecture ATM : classical IP
MPLS Intgration voix-donnes (tlphonie informatique)

Pourquoi ? Diffrents niveaux dintgration Tlphonie sur IP
Services rendus H323 SIP
Bilan aujourdhui
Plan du cours
Rseaux virtuels
Pourquoi ? VLAN Avec ATM VPN (PPTP, L2TP, IPsec)
Services dinterconnexion de France Tlcom

Interconnexion niveau 2 moyen dbit Interconnexion niveau 2 haut-dbit Services (entreprises)
Services assurer couche 7 cel-00561873, version 1 - 2 Feb 2011

Noms Messagerie Annuaire Services Web
Plan de cours
Qualit de service IP rappels
RSVP DiffServ
Fonctions annexes de certains quipements actifs

Rappels NAT Filtrage Multicast Gestion des files dattente
Administration de rseau Quoi ?

Equipes, standards Configuration, surveillance, dpannage Stations dadministration Mtrologie
Plan du cours
Quelques lments de scurit Accs lInternet Accs depuis lInternet
A lIntranet Aux serveurs Internet
Construction dun rseau solide Etudes de cas

Rseau de petit laboratoire clat Rseau de campus cel-00561873, version 1 - 2 Feb 2011
Gros site dune entreprise
Rseau Renater (national)

Entreprise multi-sites
Bibliographie
Computer Networks 3rd edition (Tanenbaum) TCP/IP Illustrated, Vol 1 - W. Richard Stevens Constructeurs (white papers)
CISCO : http://www.cisco.com
Elements dinterconnexion Ethernet

http://www.unige.ch/dinf/jfl/elem/index.htm
Pointeurs cours, mmoires

http://reseau.plisson.org/
Cours UREC
http://www.urec.cnrs .fr/cours/
Moteurs de recherche
LAN : dimension
LAN : Local Area Network
Un tage Un btiment Diamtre < 2 km Un site gographique : domaine priv Plusieurs btiments (site-campus)
Interconnexion de LAN
MAN : Metropolitan Area Network

Dimension dune ville Diamtre < 10 km Domaine public : service doprateurs locaux
cel-00561873, version 1 - 2 Feb 2011
WAN : Wide Area Network

Trs longues distances : oprateurs (inter)nationaux
LAN : Liens physiques : critres choix

En thorie : proprits physiques En pratique :
Cot
Cble (media) Connecteurs (connectique) Emetteurs et rcepteurs Installation : pose (tirer des cbles)
Immunit aux perturbations

Foudre, lectromagntiques,
Longueur maximum possible entre deux quipements actifs (? minimiser le nb)

Cot quipement Besoin alimentation lectrique,
Dbits possibles (surtout dbit max) : bps

LAN : liens physiques : cble coaxial

Bande de base : Baseband
50 ohm transmissions numriques quelques kms Ex : Ethernet cble jaune bus - prises vampires - 10base5 (500 m)
Large bande : Broadband (LAN, MAN, WAN)

75 ohm transmissions analogiques 100 kms Plusieurs bandes de frquences ? plusieurs flux Ex : cble tlvision
Bons dbits (Gbits/s) et distances, bonne immunit Problme : cher

Equipements - encombrement ( = 1 cm) difficult de la pose
Nest plus utilis pour le LAN informatique cel-00561873, version 1 - 2 Feb 2011
Il peut rester quelques cbles coaxiaux jaunes Ethernet et Ethernet fin (Bande de base) : 10base2 (185 m) - Prises en T
Utilis dans le rseau cble des villes

Connexion ordinateur : Carte 10BaseT Modem Cble (TV)
LAN : cble coaxial fin et prise en T
14
LAN : Liens physiques : TP

TP : Twisted Pair : Paire torsade Fil de cuivre isol de diamtre 1 mm Utilis depuis trs longtemps pour le tlphone TP catgorie (type de TP mais aussi composants)
3 : jusqu 16 Mhz : trs rpandu aux USA 4 : jusqu 20 Mhz : peu utilis 5 : jusqu 125 Mhz : le plus rpandu actuellement
Cbles 4 paires avec des pas de torsades diffrents
5E : amlioration du cblage 5 (Gigabit Ethernet) 6 : jusqu 250 Mhz 7 : jusqu 600 Mhz
Blindage des cbles : cel-00561873, version 1 - 2 Feb 2011

UTP : Unshielded : pas de blindage STP : Shielded : blindage avec tresse mtallique FTP : Foiled : entoure dun feuillard daluminium
LAN : Liens physiques : TP

Nombre de paires utilises : 2 4 suivant lutilisation Connexions point point : architecture en toile Connecteurs RJ45 : 4 paires Avantages :
Cblage universel : informatique et tlphone Dbit : plusieurs Mbits/s et Gbits/s sur 100 m (jusqu quelques centaines) Cble et pose peu chers
Dsavantages :
Trs sensibles aux perturbations (lectromagntiques, ) Courtes distances Beaucoup de cbles : pose par professionnels
Cest le media le plus utilis lintrieur des btiments

LAN : photos TP et RJ45
cel-00561873, version 1 - 2 Feb 2011
17
LAN : Liens physiques : FO

FO : Fiber Optic : Fibre Optique 2 types : multimode - monomode
Multimode : rayons lumineux avec rflexions : dispersion
Cur optique : diamtre 50 ou 62.5 microns Gaine optique : 125 microns Multimode 50 ou 62.5 (le plus courant aujourdhui)
Monomode (single mode) : rayons lumineux en ligne droite

Cur optique avec un diamtre plus petit : 9 microns Gaine optique : 125 microns
Monomode pour de plus longues distances et plus haut dbits
Plusieurs fentres de longueurs donde possibles pour le faisceau lumineux mis

Fentres dmission centres sur : 850, 1300 et 1550 nm
18

Connectique :
Epissures (dfinitif) ~ soudures Connecteurs : les plus rpandus : SC (encliquetage) et ST (baionnette)
Emetteurs :
Photodiodes (LED) : multimode , dbits moyens, distances courtes-moyennes, peu chers Lasers : multi ou monomode , trs hauts dbits, longues distances, plus chers Plus faciles installer sur de la fibre multimode cel-00561873, version 1 - 2 Feb 2011
Unidirectionnel : 2 FO pour une liaison Cbles gnralement de 2 40 fibres


Budget optique :
Emetteur-rcepteur : quelle attnuation optique maximale possible peut-on avoir ?
Ex 12 dB
Affaiblissements dans chaque liaison

Distance : lg de fibre : 3.5 dB/km pour FO 62.5 - 850 nm Connectique : pissure : 0.2 dB, connecteur : 2 dB, Dtrioration des lments
Affaiblissement total de la liaison < budget optique
Multiplexage optique
Multiples longueurs dondes sur une mme fibre Protocole DWDM (Dense Wavelengh Division Multiplexing) Mutiplexeurs, dmultiplexeurs, commutateurs optiques Choix n fibres ou multiplexage optique : cot
20
10

Avantages-inconvnients
Dbits possibles trs levs (potentiellement immenses) Longues distances (dizaines voir centaines de km) Insensible aux perturbations lectromagntiques confidentialit
Utilisation
Cest le support maintenant le plus utilis en interconnexion de btiments, en MAN et WAN Quelques fois en cblage de stations : cher
cel-00561873, version 1 - 2 Feb 2011
21
LAN : photos de FO et connecteurs
Connecteur SC
Connecteur ST
22
11
LAN : sans fil

Liaisons radio LAN (R-LAN - WIFI) : 2.4 GHz Architecture toile
Carte sur stations (PC, ) avec antenne Concentrateur avec antenne : borne
Connect au rseau cbl : borne
Normes IEEE 802.11

Mme rle que 802.3 pour Ethernet
Distance max station-borne : entre 50 et 200 m Dbits max

cel-00561873, version 1 - 2 Feb 2011
11 Mbits/s partags (802.11b) : 10 M 10 m, 1 M 50 m Evolutions : Jusqu 54 Mbps (802.11a), 20 Mbps et + (802.11g)
23
LAN : R-LAN
Utilisation : intrieur de btiment (en R-LAN)
Liaisons provisoires : portables, confrences, Locaux anciens et protgs (impossible deffectuer un cblage)
Problmes
Dbit limit Scurit : diffusion
Contrle de lespace de diffusion WEP (Wired Equivalent Privacy) Fixe les adresses Ethernet Considre comme externe : ajout IPSec,
Se dploie trs fortement actuellement MAN aussi : boucle locale radio (BLR 8M)
12
LAN : sans fil

Liaisons laser Depuis de nombreuses annes Point point : interconnexion de rseaux Distance : 1 ou 2 km sans obstacle Dbits : plusieurs Mbits/s Utilisation :
Quand cot tranches trop lev ou domaine public Liaison provisoire cel-00561873, version 1 - 2 Feb 2011
Problme : rglage de la direction du faisceau
25
LAN-MAN : sans fil

Faisceaux hertziens : de 2.4 40 GHz
Pas les mmes frquences que R-LAN Demande une licence lART et une redevance Maxima de dbit : de lordre de
2 - 34 voir 155 Mbits/s jusqu plusieurs km
Interconnexion de rseaux (et tlphone) Utilisation :

Plutt en MAN Demande une solide tude pralable (obstacles ) Interconnexion de sites distants sans besoin doprateur Utilis par les oprateurs (France Tlcom )
Satellite : pas en LAN !

Service doprateur Quand FO non disponible
13
LAN : cblage de btiment (TP)

(vocabulaire) Construction dun btiment : pr -cblage TP : cblage courants faibles : informatique et tlphone Rpartiteur : local technique
Nud de concentration et de brassage Arrives-dpart des liaisons, quipements actifs
Dans un grand btiment

1 rpartiteur gnral : RG n sous-rpartiteurs : SR Entre RG et SR : cblage primaire : rocades ou colonnes Entre SR et prises stations : cblage horizontal Structure toile
cel-00561873, version 1 - 2 Feb 2011
Cbles - connecteurs cordons - jarretires baies de brassage

LAN : cblage de btiment (TP)

Chemins de cbles :
gaines techniques faux plafond goulottes,
Bureaux :
Prises murales Recommandation CNRS : 3 prises (tl + info) par personne
Tests aprs installation : cahier de recette

Certification (classe dinstallation : classe D) Rflectomtrie Etiquetage plans : obligatoire
Base de donnes pour le systme de cblage ?
Travail de spcialistes Sans bon cblage, pas de bons services Cblage : fondations du rseau
14
LAN : Photo baie de brassage optique
cel-00561873, version 1 - 2 Feb 2011
29
LAN : tous les Ethernets

Protocoles pour LAN (au dpart)
Gigabit Eth : protocole diffrent (sauf trame) ? MAN
Trame
Adresse destination (MAC address) : 6 octets 08:00:20:06:D4:E8 Adresse origine (MAC address) : 6 octets Type (IP = 0800) ou longueur (IEEE 802.3) : 2 octets Donnes : taille variable < 1500 octets
Adresses (6 bytes) MAC address

Station : unique
3 premiers octets : constructeur
CISCO 00:00:0C Sun 08:00:20 HP 08:00:09
3 octets suivants : coupleur
Broadcast : FF:FF:FF:FF:FF:FF Multicast : 1er octet impair

15
LAN : Ethernet 10 M - 10Base5

Protocole : Ethernet IEEE802.3 Dbut 1980 Conu pour 10Base5 : bus : coaxial : diffusion Mthode daccs : CSMA-CD
Carrier Sense Multiple Access-Collision Detection Accs multiple et coute de porteuse Dtection de collision
cel-00561873, version 1 - 2 Feb 2011
31
LAN : Ethernet 10 M - 10Base5

10 Mbits/s (partags) CSMA-CD :
Emet quand le media est libre Si autre signal sur le media durant mission : arrte lmission
RTD : round trip delay < 51.2 s ? lg max rseau Taille minimum trame envoye (correcte) : 64 bytes Quand trame taille < 64 bytes : collision 10Base5 : 5 cbles 500 m avec rpteurs : 2.5 km Problmes 10Base5
Cot : cble et connectique Sensibilit aux perturbations lectromagntiques Besoin dune mme terre
Solution bas prix : 10Base2

Thin Ethernet - 185 m - stations en coupure
10Base5 et 10Base2 ? 10BaseT

16
LAN : Ethernet 10 M - 10BaseT

CSMA-CD, 10 Mbits/s, RTD < 51.2 s Cble : paire torsade : UTP 5 RJ45 Architecture toile : centre : hub (multirpteur) Distance max hub-station ou hub-hub : 100 m 4 hubs max entre 2 stations : 500 m lg max
cel-00561873, version 1 - 2 Feb 2011
33
LAN : Ethernet 10 M : 10BaseF

Pbs 10BaseT : perturbations distance
? 10BaseF
CSMA-CD, 10 Mbps, RTD < 51.2 s Liaison : 2 FO multimode 50 ou 62.5 Connecteurs SC ou ST Station Rpteur : 1 km Rpteur Rpteur : 2 km
34
17
LAN : Ethernet 10 M
Rseau au sens Ethernet : domaine de broadcast Avantage : protocole simple Problmes :
cel-00561873, version 1 - 2 Feb 2011 Dbit limit (10 M partag) Distances limites Dpendance vis a vis de son voisin (collisions, charge) Broadcast : charge Pas de confidentialit (diffusion)
35
LAN : Ethernet 100 M 1000 M

100BaseT (IEEE802.3U) Fast Ethernet 1995
Idem 10BaseT (CSMA/CD, RJ45, ) avec dbit x 10 et taille rseau / 10 TP (100BaseT) ou FO (100BaseF) Distance max : Hub Station : 100 m (TP) - 412 m (FO) Lg max rseau 100BaseTX : 250 m Utilisation : serveurs ? stations Auto-ngociation dbit : 10 ou 100
1000Base Gigabit Ethernet

Idem 100Base avec dbit x 10 Taille min trame : 512 bytes Cblage FO ou TP de trs bonne qualit Point point, pas de diffusion Full duplex possible Utilisation : Serveurs - Backbone Campus MAN
ATTENTION : toutes les distances max Ethernet cites : rseau uniquement avec rpteurs -hubs
18
LAN : Ethernets
10Base5
10 Mbits/s - Coax jaune - Lg max rp station : 500 m
10Base2
10 Mbits/s Coax fin Lg max rp station : 185 m
10BaseT (IEEE802.3 1990)

10 Mbits/s 2 paires UTP Lg max hub-station : 100 m 1 paire pour chaque sens de transmission
10BaseFL
10 Mbits/s 2 FO (1 pour chaque sens) Lg max rp et/ou stations : 2 km avec multimode 62.5
100BaseTX cel-00561873, version 1 - 2 Feb 2011

100Mbits/s - 2 paires UTP catgorie 5 Lg max hub-station : 100 m (rseau 250 m)
100BaseT4 (peu utilis)

100Mbits/s - 4 paires UTP Catgorie 3 ou 4 Lg max hub-station : 100 m (rseau 250 m)
LAN : Ethernets
100 BaseFX
100 Mbits/s 2 FO 412 m (HD) ou 2 km (FD) multimode 62.5 20 km monomode
1000BaseSX (IEEE802.3z)
Sur 2 FO avec longueurs donde 850 nm Lg max : multimode 50 550 m 62.5 220 m
1000BaseLX (IEEE802.3z)
Sur 2 FO avec longueurs donde 1300 nm Lg max : multimode 50 550 m - monomode 5 km et plus
1000BaseT (IEEE802.3ab 1999)

Sur 4 paires UTP Cat 5 E Longueur max 100 m
38
19
LAN : schma rseau campus de Jussieu
cel-00561873, version 1 - 2 Feb 2011
39
LAN : FDDI
FDDI : Fiber Distributed Data Interface Protocole pour rseau local informatique Dbit 100 Mbits/s (partag) Anneau 2 FO multimode Nud : station (SA/ DA)-concentrateur-routeur Rseau max : taille 100 km, 500 stations
S C S S
Ethernet S R
S S S S
S
40
20
LAN : FDDI
Accs au support par jeton (3 octets) Un jeton circule sur lanneau Une station qui veut mettre
Capture le jeton Envoie les trames de donnes Libre le jeton Retire ses trames au passage suivant
Une station rceptrice

cel-00561873, version 1 - 2 Feb 2011 Lit les trames qui lui sont adresses Modifie un champ des trames (FS) pour indiquer quelle a lu la trame
LAN : FDDI
Trame
Adresse destination (6 octets idem Ethernet) Adresse source FS (Frame Status )
Erreur Adresse reconnue Trame lue
Donnes : lg max 4500 octets
Pb : station FDDI ? station Ethernet

Taille des trames FDDI jusqu 4500 bytes alors que max Ethernet est 1500 Solution pour IP : fragmentation IP
21
LAN : FDDI
Circulation normale : anneau primaire Coupure anneau
Rebouclage de lanneau Mise en fonction : anneau secondaire S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
cel-00561873, version 1 - 2 Feb 2011
S Fonctionnement normal
43
LAN : FDDI
S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
S Coupure de lien
S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
S Arrt de station
44
22
LAN : FDDI
S C S S
Anneau primaire
Ethernet R
S S S S
S
Anneau secondaire
cel-00561873, version 1 - 2 Feb 2011
Coupure lien station simple attachement Possibilit davoir des stations prioritaires CDDI : FDDI sur paire torsade Bilan : FDDI trop cher pas assez de dbit Maintenant remplac par Ethernet 100 ou Giga Bon example de rseau anneau jeton
Rappels : caractristiques IPv4

Protocole rseau : couche 3 Mode non connect Elments dun rseau IP :
Stations, rseaux (sens niv2), routeurs
Informations : datagrammes (paquets) Entte datagramme :

Version (4) TOS Type of Service : qualit de service TTL Time To Live : 60 ? 0 (-1 chaque routeur) Identification protocole de transport (TCP, UDP, ICMP, ) Adresse IP de la station origine Adresse IP de la station destinataire
Taille datagramme < 64 Koctets Souvent de taille denviron 512 ou 576 bytes
23
IPv4 : couche 4
Couche 4 :protocole entre stations (pas entre routeurs ) TCP : Transmission Control Protocol
Paquet TCP = segment Mode connect Transport fiable (contrle derreurs, accuss de rception, retransmission, ) Spcification des applications : numros de port (origine, destination) dans le segment Fentrage Slow start : sadapte tous les dbits
UDP : User Datagramm Protocol cel-00561873, version 1 - 2 Feb 2011

Pas de contrle Mode non connect Spcification de lapplication : numros de port (orig, dest) Protocole lger, permet multicast-broadcast facilement
IPv4 : ICMP
ICMP : Internet Control Message Protocol RFC792 Messages de contrle mis par les stations ou les routeurs Messages :
Ralentir le dbit d mission Destination inaccessible Demande decho Rponse echo Time To Live exceeded Redirection .
24
IPv4 : couche 2
IP / couche 2 : les datagrammes IP peuvent tre transports par tous les types de rseaux :
Ethernet RFC894 et RFC1042 Liaison srie : point point (PPP RFC1331-1332) ATM (RFC1577) FDDI X25
@ IP ? @ couche 2 ?
cel-00561873, version 1 - 2 Feb 2011 Ethernet, FDDI : broadcast : ARP, RARP ATM : serveur ARP
49
IPv4 : exemple trame Ethernet (TCP)

Une trame Ethernet avec un segment TCP a la forme : Entte Ethernet
@ Ethernet destination @ Ethernet origine Type = 800
Entte IP
Indication TCP @ IP origine @ IP destination
Entte TCP
Numro de port source Numro de port destination
Donnes
25
IPv4 : adresses
4 bytes 194.220.156.3 Chaque coupleur de station ou de routeur a une adresse Partie rseau (IP) : 194.220.156 Partie station (IP) : 3 Routeur : spare (interconnecte) 2 rseaux IP Adresses (IP) de broadcast et de multicast
194.220.157.255 : broadcast sur rseau IP 194.220.157.0 cel-00561873, version 1 - 2 Feb 2011
Dtails dans les cours suivants
51
Elments dinterconnexion
Ethernet - IP Pourquoi ? Problmes Rpteurs Hubs (Ethernet) Ponts (Ethernet) Commutateurs Ethernet Routeurs (IP) Commutateurs-Routeurs (Ethernet-IP)
52
26
Elments dinterconnexion : pourquoi ?

R-amplifier les signaux
Electriques - optiques ? Augmenter la distance maximale entre 2 stations
Connecter des rseaux diffrents

Supports : Coax, TP, FO, Radio, Hertzien, Protocoles niveau 2 : Ethernet, FDDI, ATM, rieur
Limiter la diffusion (Ethernet)

Diminuer la charge globale
Limiter les broadcast-multicast Ethernet (inutiles)
Diminuer la charge entre stations
cel-00561873, version 1 - 2 Feb 2011
Limiter la dpendance / charge des voisins Objectif in fine : garantir une bande passante disponible (une qualit de service) entre 2 stations
Limiter les problmes de scurit

Diffusion ? coute possible : pas de confidentialit
Elments dinterconnexion : pourquoi ?

Restreindre le primtre de la connectivit dsire
Extrieur ? Intrieur : protection contre attaques (scurit) Intrieur ? Extrieur : droits de connexion limits
Segmenter le rseau :
Un sous-rseau / groupe dutilisateurs : entreprises, directions, services, ) Sparer ladministration de chaque rseau Crer des rseaux rseaux virtuels
Saffranchir de la contrainte gographique
Pouvoir choisir des chemins diffrents dans le transport des donnes entre 2 points
Autoriser ou interdire demprunter certains rseaux ou liaisons certains trafic
54
27
Elments dinterconnexion : problmes

Elments conus pour rpondre a des besoins :
Qui ont volu au cours du temps
Dure de vie courte des quipements Toujours mieux et moins cher
Rapidement moindre cot : pragmatique

Chaque lment offre certaines fonctions les prioritaires du march de lpoque
? Problmes :
Classification, frontires sont un peu complexes Terminologie imprcise (dpend du contexte) cel-00561873, version 1 - 2 Feb 2011
Commerciaux rarement techniciens
Attention : le choix est un compromis entre les fonctions dsires et le cot

Elments dinterconnexion : rpteur

Rpteur (Ethernet)
Boite noire ddie Remise en forme, r -amplification des signaux (lectroniques ou optiques) But augmenter la taille du rseau (au sens Ethernet)
Exemple : distance max entre stations A - C : 500 m ? 1000 m
Station A Station B Coax 1
Repeteur
Coax 2 Station C
56
28
Elments dinterconnexion : rpteur

Travaille au niveau de la couche 1 Ne regarde pas le contenu de la trame Il n'a pas d'adresse Ethernet
Transparent pour les stations Ethernet
Entre supports coaxiaux, TP et FO Avantages

dbit 10 Mb/s pas (ou trs peu) d'administration
Dsavantages cel-00561873, version 1 - 2 Feb 2011

Ne diminue pas la charge Ne filtre pas les collisions Naugmente pas la bande passante Pas de possibilit de rseau virtuel (VLAN)
Elments dinterconnexion : hub

Hub : muti-rpteur : toile (obligatoire TP) Idem rpteur pour :
Fonctions, avantages, dsavantages
Pour Eth 10 et 100 Ex : Hub 8 ports TP

Station Station
10 M 10 M 10 M
Station
10 M
Station
10 M 10 M
HUB
10 M
Station
HUB
10 M
d < 100 m
10 M
Station
Station
Station
Station
58
29
Elments dinterconnexion : hub

Fonction annexes :
Affectation dune @ MAC (@ Eth) chaque brin : scurit Auto-negotiation dbit hub 10-100 (IEEE 802.3u) Surveillance SNMP
Nombre maximum sur rseau Ethernet

10Base5 : 4 rpteurs 10BaseT : 4 hubs
Distance max entre 2 stations : 500 m
100BaseT : 4 hubs
Mais distance max entre 2 stations : 250 m
1000BaseX : utilise des commutateurs
Utilisation actuelle cel-00561873, version 1 - 2 Feb 2011

En extrmit de rseau (stations utilisateurs) Remplacs par des commutateurs Ethernet
En cur de rseau, pour serveurs, et mme pour stations
59
Elments dinterconnexion :hub

Remarque : borne sans fil 802.11b = hub Face arrire hub stackable
3 x 24 ports TP (prises RJ45) 1 port FO (2 FO)
60
30
Elts dinterconnexion : pont (Ethernet)

Aussi appel rpteur filtrant ou "bridge"
Station A 500 m Coax 1 Station D
PONT
Coax 2 Station C
500 m Station B
Niveau de la couche 2
Traitement : valeur @ MAC destinataire ? transmet ou non : trafic A-D ne va pas sur coax 2 Localisation des @ MAC des stations par coute (auto-learning) ou fixe Ignor des stations (transparent)
cel-00561873, version 1 - 2 Feb 2011
Elts dinterconnexion : pont

Avantages
Augmente la distance max entre 2 stations Ethernet Diminue la charge des rseaux et limite les collisions
Le trafic entre A et D ne va pas sur Coax 2
Remplacs en LAN par les commutateurs Fonctions supplmentaires : cf commutateurs Ponts distants
Ethernet Liaison spcialise (cuivre ou hertzienne ou laser) Encore utiliss
62
31
Elts dinterconnexion : commutateur

Commutateur Switch Ethernet de niveau 2
10, 100, 1000 Mb/s TP ou FO
Fonction : multi-ponts, cur dtoile Commute les trames Ethernet sur un port ou un autre
Matrice de commutation Station
1G
Station
HUB
Station Station Station
cel-00561873, version 1 - 2 Feb 2011
Station
100 M
COMM
d < 100 m
10 M
Station
Station
Station
63

Mmes fonctions et avantages que le pont + augmentation de la bande passante disponible Matriels - logiciel
Chassis ou boitier Cartes : 2 ports FO, 8 ports TP avec dbits 10, 100, 1000 Mb/s Systme dexploitation Configuration : telnet, client Web
Surveillance : SNMP
Quelques critres de choix techniques (performances)

Bus interne avec un dbit max : 10 Gb/s Vitesse de commutation nb de trames / s Bande passante annonce : 24 Gb/s Nb dadresses MAC mmorisable / interface
64
32

Permet : Ethernet Full duplex (TP ou FO)
Emission et rception en mme temps : 2x10 ou 2x100 Auto-negotiation possible (IEEE 802.3u)
Fonctions supplmentaires
Auto-sensing dbit (IEEE 802.3u) Affectation statique d@ MAC et filtrage au niveau 2 Spanning Tree : vite les boucles
Construction dun arbre A un instant : un seul chemin utilis
cel-00561873, version 1 - 2 Feb 2011
Rseaux virtuels : VLAN Port dcoute qui reoit tout le trafic des autres ports
Analyseur

Limitations dun rseau de commutateurs
Thoriquement pas de distance maximum Broadcast et multicast diffuss partout 1 seul rseau IP possible
Trs rpandu :
Local : workgroup switch Campus : complt par le routeur (plus lent et plus cher) Remplac par le commutateur-routeur (plus cher) quand besoin
66
33
Elts interconnexion : commutateur et hubs
cel-00561873, version 1 - 2 Feb 2011
67
Elts interconnexion : routeur (IP)

Niveau 3 : aussi appel commutateur niveau 3
Il y a des routeurs multi-protocoles
On ne parlera que de IP
Interconnecte 2 ou plus rseaux (ou sous -rseaux) IP Station Station Ethernet Station Station Station Routeur
192.88.32.0 129.88.0.0
COMM ATM
COMM Eth
Station Station ATM Station

68
192.99.40.0
hub Ethernet Station
34

Table de routage / @ IP destination Nest pas transparent pour les stations
Chaque station doit connatre l@ IP du coupleur du routeur pour le traverser
Pour le protocole Ethernet

Cest une station Ethernet Chaque port possde une adresse Ethernet
Matriels
cel-00561873, version 1 - 2 Feb 2011 Chassis ou boitier Cartes : 2 ports FO, 8/16/24/32/48/64 ports TP avec dbits 10, 100, 1000 Mb/s, LS, ATM, FDDI
69

Logiciel performances
Systme dexploitation
IOS CISCO
Configuration : avec telnet ou navigateur Surveillance : SNMP Performances :

Nb de paquets routs/s Routage : ASIC
Un PC Linux avec 2 cartes Ethernet peut faire fonction de routeur
Fonctions annexes : chapitre ultrieur du cours
70
35
Elts interconnexion : Commutateur-routeur (IP)

Multilayers switch Runion des fonctions commutateur et routeur dans une seule boite On peut configurer certains ports en commutation, dautres en routage Lquipement tout faire
Mais pour le configurer il est ncessaire davoir dfini larchitecture que lon veut mettre en place cel-00561873, version 1 - 2 Feb 2011
Maintenant trs performant avec des prix trs comptitifs

Remplace les routeurs et les commutateurs
Elts interconnexion : commut-routeur

Exemple de rseau de laboratoire
CAMPUS 1 G FO COMMUTATEUR-ROUTEUR
10 M TP 100 M TP 10 M TP 10 M TP 10 M TP 100 M TP 10 M TP
Serveur 1
F 1G O
S1
S2
S3
S4
Mail WWW
Serveur 2
36
Elts interconnexion : commut-routeur

Peut-tre quivalent :
CAMPUS
COMMUT
Serveur 1 Serveur 2
ROUTEUR
COMMUT
COMMUT
Mail S1 S4 S2 S3 WWW
cel-00561873, version 1 - 2 Feb 2011
3 (sous-)rseaux IP : Serveur 1, Serveur2 S1, S2, S3, S4 Mail, WWW

Elts interconnexion : action /trame

Trame Ethernet contenant un datagramme TCP Entte Ethernet
@ Ethernet destination ? Pont - Commutateur
Entte IP
@ IP destination ? Routeur
Entte TCP
Numro de port destination ? Station (choix du service)
Donnes ? Application
37
Elts interco : Architecture Eth - IP

Dans une entreprise Entre stations utilisateurs dun service
Hubs ou commutateurs
Entre serveurs ou stations demandant du dbit (graphiques, ) dun service

Commutateurs
Entre services
Commutateurs ou routeurs
Entre lentreprise et lextrieur (Internet)

cel-00561873, version 1 - 2 Feb 2011 Routeurs
75
Ex interconnexion de rseaux Ethernet

Station O
10 M
Station N Pont
10 M
hub
10 M
Station D Station A
10 M 10 M
10 M
Station E Station G
hub
10 M
hub
10 M
10 M
Station P
Station B
Station C
100 M 10 M
100 M 2M
Station H Pont
10 M
100 M
COMM Eth
Station F
100 M
Station K
10 M
Routeur
Station M
hub
10 M
10 M
Station R Station Q 100 M Station I 100 M

10 M COMM Eth 10 M
100 M
10 M
Station J
76
Station L
38

Trame Eth A ? C. Arrive -t- elle B ? E ? F ? Trame Eth P ? O. Arrive -t-elle N ? M ? Trame Eth R ? Q. Arrive -t-elle I ? J ? Trame Eth A ? L. Arrive -t-elle K ? A -> Broadcast Eth. Arrive -t-il B ? D ? G ? R ? L ? Broadcast Eth. Arrive -t-il K ? O ? D ? Collision possible entre les 2 trames : A ? B et D ? E ? O ? N et M ? L ? G ? H et E ? F ? B a un coupleur dfectueux (envoie des trames sans coute ? collisions). Cette station perturbe t-elle A ? E ? G ? R ? F dans le mme cas. G est-elle perturbe ? O dans le mme cas. M est-elle perturbe ?
cel-00561873, version 1 - 2 Feb 2011
77

B met un flot de donnes de 5 M b/s vers A en continu. Quelle bande passante (thorique) reste-t-il A ? C ? E ? F ? R ? G met un flot de donnes de 5 M b/s vers H en continu. Quelle bande passante (thorique) reste-t-il F ? E ? G met un flot continu de broadcast 20 Mbps . Quelle bande passante (thorique) reste-t-il H ? E ? B ? R ? O met un flot de broadcast 2 Mbps . Quelle bande passante reste-til entre N et M ? Les flots de donnes en parallle suivants sont ils possibles ? 10 Mb/s A-B et 10 Mbps D-E ? 100 Mb/s R-Q et 10 Mbps I-J ? 10 Mb/s O-N et 10 Mb/s L-M ? 10 Mb/s F-G et 10 Mb/s F-H ?
78
39
Liaisons longues distances - oprateurs

Liaisons
Commutes = temporaires ? partages
Pb : phase (+ ou - longue) dtablissement de connexion et de dconnexion ? difficile pour un serveur
Permanentes : entre 2 points fixes

LS : Liaisons Spcialises Lignes Loues
Oprateurs
Oprateurs Telecom traditionnels : FT, Cegetel, Mais aussi SNCF, socits dautoroutes, Liaisons : FO, cbles cuivre, liaisons hertziennes, Equipements : (d)multiplexeur, commutateurs (en tous genres), Offres sur mesure - contrats spcifiques Offres catalogue : tudies ici Les services valeur ajoute (dinterconnexion) seront tudis dans un chapitre ultrieur
cel-00561873, version 1 - 2 Feb 2011
Liaisons longues distances : utilisations

Entreprises :
Liaisons inter-sites Louent des liaisons spcialises aux oprateurs Cot dinstallation + cot de location
Particuliers ou petites agences :

Particulier - domicile ? entreprise Agence ? sige Utilisent les rseaux commuts Gnralement : cot dinstallation + location + utilisation
80
40
Liaisons commutes : RTC

Rseau Tlphonique Commut Equipement : modem V90 56.6 Kb/s (rception)
Emission 33.6 Kb/s
Modem micro : interne, externe sur port srie Particulier/agence ? LAN Entreprise
Micro - Modem RTC Serveur daccs RTC (pool de modems Concentrateur - Routeur) LAN (Ethernet) entreprise cel-00561873, version 1 - 2 Feb 2011
Fonction de r-appel : cot et scurit Authentification des utilisateurs : protocole serveur RADIUS
Micro Modem RTC Fournisseur daccs Internet Connexion Internet Routeur (Garde barrire) - LAN entreprise
Liaisons commutes : RTC

IP
Protocole niveau 2 SLIP ? PPP (Point to Point Protocol) Micro : @ IP statique ou dynamique (DHCP)
Liaison non permanente

Le micro ne peut pas tre serveur
Toujours trs utilis

Rseau RTC partout Toujours plus de dbit possible sur la paire torsade
82
41
Liaisons commutes : RNIS

Rseau Numrique Intgration de Service ISDN (surtout Europe et Japon) Rseau national de FT : Numris Accs de base (particulier-agence) : 144 Kb/s
cel-00561873, version 1 - 2 Feb 2011 2 canaux B 64 Kb/s : tlphone + Internet par exemple 1 canal D 14 Kb/s : signalisation Utilisation liaison tlphonique classique 25,5 E / mois en oct 02 (Numeris Itoo)
Accs primaire (Entreprise : PABX) : ~ 2 Mb/s

30 canaux B 64 Kb/s + 1 canal D 64 Kb/s
83
Liaisons commutes : RNIS

Connexion micro (particulier-agence)
Modem RNIS : carte micro ou modem externe sur port srie Modem RTC - BoitierRNIS avec 2 prises tlphoniques Chemin : Micro Modem RNIS Rseau Numris (Modem RNIS) Serveur daccs RTC ou PABX Entreprise
Interconnexion de sites : routeurs RNIS (2B + D) IP : idem RTC : PPP Lutilisation na jamais vraiment dcoll
Europen, surtout franais : pas USA - Cher Encore utilis en back-up ou pour liaisons provisoires
42
Liaisons longues distance : ADSL

ADSL : Asymmetric Digital Subscriber Line xDSL : technologie pour transmission haut dbit sur le RTC
cel-00561873, version 1 - 2 Feb 2011
85
Liaisons longues distances : ADSL

Modems :
512 Kb/s rception - 128 Kb/s mission 1 M b/s rception 256 Kb/s mission (ADSL Pro)
La liaison reste libre pour le tlphone

Bande de frquences utilise # frquences vocales Filtres : chez particulier et au rpartiteur FT
Contraintes :
Poste tlphonique < 5 km dun rpartiteur FT
Le cas de 80 % des foyers franais
Que le rpartiteur FT soit connect un rseau ADSL Abonnement

ADSL chez FT ou ailleurs Chez un fournisseur accs Internet Pack qui inclut les 2
86
43
Liaisons longues distances : ADSL

Liaison particulier entreprise :
Micro coupleur Ethernet ou port USB Modem ADSL RTC FAI ADSL Internet Routeur LAN Entreprise
IP : idem Ethernet Connexion permanente :

Cot installation et mensuel (pas la consommation) Possibilit de connecter un routeur ct particulier ou agence mais fournisseur daccs obligatoire
Offre FT :
Sans Internet : 30 E / mois ou 107 E / mois (ADSL Pro) en oct 02
De plus en plus utilis cel-00561873, version 1 - 2 Feb 2011

Pbs : monopole de FT, disponibilit selon le lieu Devrait devenir laccs standard
87
Liaisons longues distances : X25

Rseau commutation de paquets :
Couches 2-3 Circuits virtuels Adresses X25
Oprateur historique : Transpac Accs jusqu 64 Kb/s (ou gure plus) Les serveurs vidotex (minitel) ont une connexion X25 Remplac par IP sous toutes ses formes
88
44
Liaisons spcialises FT
Transfix (nationales)
2.4 K b/s 34 Mb/s STAS : Spcifications Techniques dAccs au Service 2.4 K 19.2 K : interfaces : V24, V28 64 K 34 M : interfaces : X24/V11 ou G703-G704 Modems fournis par oprateur
Liaisons internationales : idem nationales mais plus difficiles mettre en place de bout en bout : sur-mesure
Connexions :
Routeurs Ponts (distants) Commutateurs ATM PABX Tlphoniques
cel-00561873, version 1 - 2 Feb 2011
89
Liaisons longues distances : modems

MOdulateur DEModulateur
Convertisseur digital/analogique ou adaptateur digital/digital destin transporter des donnes sur des lignes point point
Plusieurs types de modems :

RTC : Liaisons commutes : asynchrones historiquement LS : Liaisons permanentes : synchrones RNIS Cble ADSL TV
45
Modems RTC
Programmation :
Commandes AT (origine Hayes)
Fonctions :
Contrle de flux XON/XOFF ou RTS-CTS Correction derreur (MNP 34, V42, ARQ) Compression (MNP5, MNP7, V42Bis) Adaptation automatique dbits et fonctions
cel-00561873, version 1 - 2 Feb 2011
91
ATM : plan
Objectifs QoS : Qualit de Service Couches 1 et 2 Commutateurs Routage Architectures LS et LANE Bilan Exemple
92
46
ATM : objectifs
ATM : Asynchronous Transfert Mode Origine : CNET (FT R&D)
Oprateur tlphone lorigine
Supporter tout type de communication Voix Vido - Donnes informatiques Mieux utiliser la bande passante
Tlphonie longue distance
cel-00561873, version 1 - 2 Feb 2011
Fonctionner trs hauts dbits : Gbits/s Garantir une qualit de service (QoS) chaque utilisateur (application) de bout en bout Dmarche trs thorique
ATM : objectifs
Mmes protocoles et technologies en LAN, MAN et WAN Caractristiques des rseaux / services attendus
Bande passante (bps) partage : garantie si possible Temps de latence (dlai de transmission) : minimum et constant si possible
Dpend distance, lments actifs, charge (files dattente)
Jitter (variation temps de latence) : min si possible Taux de pertes : min si possible
ATM veut fournir ces services ? Protocoles et technologies complexes

47
ATM : Exemple de QoS : Tlphonie

Entendre tous les mots
Faible taux de pertes
Contrainte : bit error rate < 10-2
Dbit constant garanti

Contrainte : 64 Kbits/s sans compression ---> 5 Kbits/s avec
Recevoir au mme rythme que l'mission

Temps de latence fixe : contrainte : jitter < 400 ms
Dialogue possible
Temps de latence faible Poste avec annulation d'echo
cel-00561873, version 1 - 2 Feb 2011
Retransmissions : inutiles Mode connect bien adapt Exemple d'incompatibilit (thorique) Tlphone et Ethernet
ATM QoS : classes de service

Problme : pour supporter toutes les qualits de service sur tous les rseaux ATM il faudrait surdimensionner :
Les liaisons : bande passante et caractristiques Les quipements : performances et fonctionnalits
Solution ATM :
On regroupe les applications qui demandent des qualits de service similaires ? 4 groupes On dfinit 4 classes de services que peuvent offrir les rseaux (liens et quipements) ATM qui correspondent aux 4 groupes : UBR, ABR, CBR, VBR
96
48
ATM QoS : classes de services

UBR Unspecified Bit Rate
Les applications peuvent mettre un flux variable jusqu un dbit maximum Rseau : aucune garantie pas de contrle de flux Service trs dgrad
ABR Available Bit Rate

Pour supporter des applications qui peuvent utiliser toute la bande passante disponible, avec un service Best Effort de type IP Exemples : applications qui utilisent TCP (FTP, HTTP, ), interconnexion dEthernets Services rseau
Aucune garantie (bande passante, temps de latence, ) Mais mcanisme de contrle de flux
cel-00561873, version 1 - 2 Feb 2011
ATM QoS : classes de services

CBR Constant Bit Rate
Pour supporter les flux dbit constant de donnes Exemple dapplication : tlphone Services rseau : bande passante rserve, temps de latence fixe
VBR Variable Bit Rate

Pour supporter les applications dbit variable mais qui demandent certaines garanties (par exemple une bande passante minimum garantie tous les instants) Exemple : multimdia : vido compresse dbit variable Services rseau :
Bande passante minimum garantie Bande passante maximum garantie pendant un temps maximum fix Temps de latence .
? Trs complexe raliser

49
ATM 1-2 : mode connect

Problme : quand demande-t-on une (des) qualit(s) de service au rseau ? Statiquement : labonnement
(Ou lors de la conception du rseau)
A chaque session : mode connect

Ouverture dune connexion de bout en bout
En indiquant ce dont on a besoin
Transfert dinformations Fermeture dune connexion cel-00561873, version 1 - 2 Feb 2011
Appel destinataire (ouverture connexion)

Adresse destinataire ? Numro de VP et de VC
99
ATM 1-2 : les cellules

Donnes dans des cellules Taille fixe : 53 octets
Compromis
Petite (avantage : faible temps de propagation, ) Grande (avantage : moins de traitements, )
Facilite les implmentations hardware Facilite l'allocation de bande passante
Ni dtection, ni rcupration d'erreur

En Tte 5 Octets Information (Payload) 48 Octets 53 Octets
50
ATM 1-2 : structure de la cellule

8 bits GFC VPI VCI VCI HEC Champ Information CLP PT CLP VPI VCI PT GFC VPI VCI Generic Flow Control Virtual Path Identifier (8 bits : 256) Virtual Channel Identifier (16 bits : 64000 possibilits) Payload Type Message dadministration ou dinformation Etat de congestion (MAJ par commutateur) Cell Loss Priority "priorit" la destruction si 1 Header Error Check sur l'en-tte de la cellule
cel-00561873, version 1 - 2 Feb 2011
48 octets
HEC
101
ATM 1-2 : UNI (standard)

UNI : User to Network Interface
Comment tablir une connexion Comment la rompre Format des paramtres de qualit de service
Dbit, taux derreur, temps de latence,
Format dadresse : 20 octets

Emetteur
Dbut de l'appel Setup Call proceeding Setup Call proceeding Connect Appel termin Connect Connect Ack Connect Ack, facultatif Appel reu
Rseau
Rcepteur
Appel accept
Etablissement connexion
51
ATM 1-2 : adresses : 3 types

1 2 10 6 1
AFI 39
DCC Data Country Code IDI IDP
HO-DSP
ESI
SEL
Initial domain identifier Initial Domain Part

10
DCC ATM Format

6 1
AFI 47
ICD Code organisation IDI IDP
HO-DSP
ESI
SEL
ICD ATM Format

8 4 6 1
AFI 45 E.164 HO-DSP ESI SEL
cel-00561873, version 1 - 2 Feb 2011
IDI IDP E.164 ATM Format AFI : Identificateur de l'autorit et du format HO-DSP : High Order Domain Specific Part, utilis pour supporter des protocoles de routages hirarchiques. ESI : End System Identifier, en fait la MAC adresse (idem Ethernet)
103
ATM 1-2 : liaisons

Point point Liaisons spcialises cble cuivre (longues distances)
E1 (2 Mbits/s), E2 (34 Mbits/s) T1 (1.5 Mbits/s), T3 (45 Mbits/s) .
Liaisons FO
FO multimode 155 Mbits/s (OC 3) FO multimode ou monomode 622 Mbits/s (OC12) .
Liaisons TP
155 Mbps UTP cat5 52 Mbps UTP cat3 .
104
52
ATM : commutateurs ATM

Elments dinterconnexion de niveau 2 Commutateur ATM
Interconnecte des liaisons ATM (point point) Commute les cellules sur une liaison ou une autre / table de routage
Cellule contient les numros de VP et de VC

Etablissement des VP et VC
Statiquement Dynamiquement lors de louverture de la connexion
cel-00561873, version 1 - 2 Feb 2011
105
ATM : commutateurs ATM

Structure dun rseau ATM
Station
COMM ATM
Station
COMM ATM
Station Station Routeur hub Eth

Station
COMM ATM
Station Station
Station
106
53
ATM : commutateurs
VP et VC
VC VC VC VC VC VC VC
VP VP VP Chemin de transmission
VP VP VP
VC VC VC VC VC VC VC
cel-00561873, version 1 - 2 Feb 2011
107
ATM : commutateurs
Commutateur de VP et de VC
VC Switch
VC 3 VC 4 VC 1 VC 2
VP 5
VC 1 VC 2 VC 1 VC 2
VP 1
VP 7
VP Switch
VP 6 VP 2
108
54
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 1 Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4 Switch 3 Link out 1 1 VCI-out 1 2
cel-00561873, version 1 - 2 Feb 2011
109
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 VCI = 4 1 Switch 3 Link out 1 1 VCI-out 1 2
Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6
Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4
110
55
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 1 VCI = 4 Switch VCI = 4 3 Link out 1 1 VCI-out 1 2
Link 1 Routing Table VCI-in Link out 2 2 3 3 VCI-out 2 4 3 6 Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4
cel-00561873, version 1 - 2 Feb 2011
1 2 3 4
111
ATM : routage
Link 2 Routing Table VCI-in 2 4 2 VCI = 4 1 Switch VCI = 4 3 Link out 1 1 VCI-out 1 2
Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 VCI = 6
112
56
ATM : routage
VCI = 4 Link 2 Routing Table VCI-in 2 1 Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Switch 3 2 4 Link out 1 1 VCI-out 1 2
cel-00561873, version 1 - 2 Feb 2011
113
ATM : routage
VCI = 4 Link 2 Routing Table VCI-in VCI = 4 1 Switch 3 2 2 4 Link out 1 1 VCI-out 1 2
Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6
114
57
ATM : routage
Link 2 Routing Table VCI = 4 VCI-in 2 4 VCI = 2 1 Link 1 Routing Table VCI-in 1 2 3 4 Link out 2 2 3 3 VCI-out 2 4 3 6 Link 3 Routing Table VCI-in 3 6 Link out 1 1 VCI-out 3 4 VCI = 4 2 Switch 3 Link out 1 1 VCI-out 1 2
cel-00561873, version 1 - 2 Feb 2011
115
Tables de routage ATM

Table de routage port 1 VCI-in Port- out 2 3 2 3 VCI-out 2 6 port 1
Table de routage port 2 VCI-in Port- out 2 4 1 3 VCI-out 2 8
Table de routage port 3 Commutateur VCI-in Port- out 6 8 1 2 VCI-out 3 4
port 3 port 2
Station A
Table de routage Station B C VCI 2 3
Station B
Table de routage Station A C VCI 2 4 Station A B
Station C
Table de routage VCI 6 8
116
58
Architectures ATM
On peut btir plusieurs types darchitecture sur un rseau ATM
Liaisons spcialises point point Des rseaux LANE : mulation de LAN Des rseaux classical IP : architecture IP
Trait dans la partie Architecture IP
Et on peut mixer lensemble

cel-00561873, version 1 - 2 Feb 2011 Ce que font les oprateurs
117
Architecture ATM : Liaison spcialise

Utilisation courante : location de VC ou de VP entre 2 sites un oprateur qui possde un rseau ATM
WAN Dbit demand pour la liaison Certaines qualits de service assures : ABR, CBR,
Connexion des sites aux extrmits :

Commutateur ATM
Sil y a un rseau ATM sur le site, permet de garantir certaines qualits de service jusqu lintrieur du site.
Routeur IP (fourni par le site) avec une carte ATM

Sur le site : rseaux Ethernets par exemple Routeur fourni ou non par loprateur
Commutateur ou routeur Ethernet

Loprateur fournit lquipement ATM ?? Ethernet ATM est invisible pour le site
59
Architecture ATM : LANE : buts

LANE : LAN Emulation
ELAN : Emulated LAN
Objectifs :
Interconnexions (niveau 2) de rseaux locaux comme Ethernet travers un rseau ATM Intgration de stations ATM comme stations Ethernet But : rendre invisible les commutateurs ATM aux rseaux Ethernet ? LAN emulation
cel-00561873, version 1 - 2 Feb 2011
En LAN mais aussi en MAN

Architecture ATM : LANE : schma

Station Eth
Commutateur ATM - Eth

Station Eth
Station Eth Station Eth
Station Eth
Station Eth
hub
Station Eth
hub
hub
Station Eth
Commutateur ATM
Rseau ATM
Commutateur ATM
Station B ATM
Commutateur ATM
Station A ATM

Serveur LANE
A T Routeur IP M
hub
Station Eth
Station Eth Station ETH
hub
Station ETH
Station Eth
Station ETH
120
60
Architecture ATM : LANE

Emule un rseau Ethernet (de commutateurs) :
Stations Eth + Stations ATM A et B Stations ETH ne font pas partie de ce rseau
Sur LANE : interconnexion de niveau 2

On peut utiliser dautres protocoles que IP
Logiciels :
Stations Eth : pas de logiciel spcifique
ATM transparent
Stations ATM, routeur IP, Commut ATM-Eth : LEC

LAN Emulation Client
cel-00561873, version 1 - 2 Feb 2011
Sur rseau ATM : serveur LANE

LECS (Configuration Server) LES (LAN Emulation Server) BUS (Broadcast and Unknown Server)
Architecture LANE : pbs rsoudre

Transformation @ Eth ? ? @ ATM Lorsquune station ATM se connecte sur le rseau
(A, B, commutateur ATM-Eth, routeur ATM IP) Elle connat ladresse ATM du Serveur LANE (config manuelle) Elle senregistre auprs du Serveur LANE :
Jai telle @ ATM Jai, ou je connais les @ Ethernet suivantes
Lorsquune station ATM veut envoyer une trame Ethernet une station X
Interroge le Serveur LANE : quelle est ladresse ATM de la station Ethernet X ? Le Serveur lui indique ladresse ATM La station ouvre une connexion ATM avec la station ATM .
61
Architecture LANE : pbs rsoudre

Broadcast Eth ? Rseau mode connect ATM Lorsquune station ATM veut envoyer un broadcast Ethernet
Elle envoie la trame vers le Serveur LANE Celui-ci ouvre autant de connexions que de stations ATM sur le LANE Il envoie la trame toutes les stations ATM
Ouverture-fermeture de connexion ATM

cel-00561873, version 1 - 2 Feb 2011 Mcanismes de time -out pour ne pas trop ouvrir ou fermer de connexions ATM
On peut avoir plusieurs ELAN sur un rseau ATM

ATM : bilan
Trs complexe :
Cher Trs dlicat faire fonctionner
Utilis en MAN et WAN par oprateur :

Location de VC statiques entre 2 points (quivalent de LS)
Reconfiguration lorsque location de nouvelles liaisons Garantit de bande passante
Cration de rseaux virtuels ELAN
Utilisation en LAN
Annes 1995-2000 Remplac par Gigabit Ethernet maintenant Avantage restant : peut intgrer le tlphone (PABX)
Utilisation en MAN et WAN

Encore trs utilis Remplac par DWDM, IP directement sur FO,
Bon exemple de rseau multiservices en mode connect

62
ATM exemple : rseau MAN (C3I2)

CNET Meylan
VPs C3I2 10 M, 20, 30, 35, selon les sites
INRIA Montbonnot
C3I2 Grenoble
CEA Polygone INPG Felix Viallet SAFIR France
Paris Jussieu
Prise C3I2 155 M
Domaine universitaire
CNRS
Liaison interne au site 155 M
Lyon La Doua
Sophia INRIA Toulouse CICT Rouen Crihan CEA Saclay
cel-00561873, version 1 - 2 Feb 2011
VPs SAFIR 2, 4 ou 10 M
EDF Clamart
125
Ex darchitecture : dorsale Jussieu
126
63
Ex darchitecture : tour
cel-00561873, version 1 - 2 Feb 2011
127
Ex darchi : interco 2 btiments distants
128
64
Ex darchi : interco 2 btiments distants
cel-00561873, version 1 - 2 Feb 2011
129
Ex darchi : RAP : MAN

Rseau Acadmique Parisien Universits, CNRS, INSERM,
300 000 tudiants 40 000 personnels 99 sites Paris intra-muros
Rseau priv : ART 5 POP (Point Of Presence)

Jussieu (27 sites) Odon (34 sites) Auteuil (15 sites) Malesherbes (10 sites) CNAM (13 sites)
Ouverture: t 2002
65
Ex darchi : RAP : cbles

Fibre noire : Single Mode G652
69 sites Lg totale (liaison) : 356.1 km Mtro : 312 km Egouts : 33 km Gnie civil : 0.3 km Plus petite liaison : 1 km, plus grande : 9.6 km
BLR (Boucle locale radio)/ S-HDSL ( ADSL particulier)

cel-00561873, version 1 - 2 Feb 2011 23 sites 2 Mbits/s
Faisceaux hertziens
2 sites proches de Paris
Ex darchi : RAP : services rseau
Services
Data, voice, vido, multimdia, VPN
IP
Infrastructure de services
ATM Ethernet SDH/SONET

Infrastructure de transport optique
DWDM DWDM
66
Ex darchi : RAP : Architecture

s -atm Site B Site A
ATM OC3 Eth 100
Site C
IP c
cr s-atm dwdm
SP
Site D s -atm cr
SP E 5082 m W ATM c
NRD dwdm
E 5120 m
W 8672 m
Malesherbes 10 longueurs donde 20 rseaux optiques virtuels Auteuil Odon W E W
s -atm
gw-rap Jussieu
dwdm
E Gigabit Ethernet
cel-00561873, version 1 - 2 Feb 2011
cr
dwdm
dwdm
8410 m
3100 m
cr
Eth 100
Site F
s -atm
GigaEthernet
ATM OC12
cr
s -atm 133
Architecture logique IP : plan

Dans ce chapitre : rseau = rseau IP Adresses IP Affectation statique ou dynamique (DHCP) Plan adressage IP Routage IP Exemple de rpartition dutilisateurs et de services Architecture ATM : classical IP
67
Architecture IP : rseaux IP
Station N Routeur hub Station O Routeur Station P Station G
LS 1 M
Station A hub Station C Station M

COMM Eth
Station B
hub Station L
Station H Routeur
Station R Station Q
COMM Eth
cel-00561873, version 1 - 2 Feb 2011
256 Kb/s
Fournisseur daccs Internet

Station J
135
Architecture IP : adresses
Une adresse IP par coupleur (machine, routeur) Format : 4 octets notation dcimale A.B.C.D
Ex : 130.190.5.3 193.32.30.150
Une adresse doit tre unique au monde

Pour laccs depuis lInternet
? Surtout pour les serveurs
Pas obligatoire pour les stations clientes Internet

? Intervalles dadresses locales
2 ou 3 parties dans une adresse IP :

@ de rseau (@ sous -rseau) - @ machine
Elment qui spare 2 (ou +) rseaux ou sousrseaux IP : routeur (ou commut-routeur)

68
Archi IP : @ (ancienne classification)

Classe A : A.B.C.D avec A ? 127
1er octet : @ de rseau : 126 rseaux possibles Reste : 254 x 254 x 254 (16 M) machines adressables Ex : DEC : 16.0.0.0 MIT : 18.0.0.0
Classe B : 128 ? A ? 191

2 premiers octets : @ de rseau
64 x 254 : 16 000 rseaux possibles
Reste : 254 x 254 (64 000) machines adressables Ex : IMAG : 129.88.0.0 Jussieu : 134.157.0.0
Classe C : 192 ? A ? 223

3 premiers octets : @ de rseau
cel-00561873, version 1 - 2 Feb 2011
31x 254 x 254 (2 M) de rseaux possibles )
Dernier octet : 254 adresses de machines

IBP : 192.33.181.0
CITI2 : 192.70.89.0
137
Archi IP : sous-rseaux (subnets)

Sous-rseaux : dcoupage dun rseau IP (classe A, B, C) Les sous -rseaux dun mme rseau (subnett) devaient avoir une taille identique (contrainte routeurs ) :
Masque de subnet spcifiait le dcoupage Bits qui dsignent la partie rseau + sous-rseau = 1 192.33.181.0 dcoup en 4 sous-rseaux
Masque 255.255.255.192 192.33.181.0-192.33.181.63 192.33.181.64-192.33.181.127 192.33.181.128-192.33.181.191 192.33.181.192-192.33.181.255
Les routeurs permettent maintenant de crer des sous rseaux de tailles diffrentes Les sous -rseaux sont connexes
Non spars par un autre rseau IP Dcoupage en sous-rseaux nest connu que du propritaire du rseau (site, entreprise, provider, ), pas de lInternet
69
Archi IP : classless
Pour obtenir une adresse de rseau (unique)
Auprs de son fournisseur daccs lInternet AFNIC (France) RIPE (Europe) Classe A : impossible Classe B : presque impossible (puis) Classe C ou partie de Classe C : OK
Nouvelle notation et dcoupage : classless

Rseau 129.88.0.0 ? Rseau 129.88/16 Rseau 192.33.181.0 ? Rseau 192.33.181/24 Rseaux (sous-rseaux avant)
cel-00561873, version 1 - 2 Feb 2011
192.33.181.0/26 : 192.33.181.0-192.33.181.63 192.33.181.64/26 : 192.33.181.64-192.33.181.127 192.33.181.128/26 : 192.33.181.128-192.33.181.191 192.33.181.192/27 : 192.33.181.192-192.33.181.223 192.33.181.224/27 : 192.33.181.224-192.33.181.255
Archi IP : @ particulires
Classe D : 224? A ? 239 : multicast
224.10.15.3 : ? groupe de stations sur lInternet (nimporte o)
Classe E : 240 ? A ? 254 : utilisation ultrieure Adresses locales (ne doivent pas sortir sur lInternet)
10.0.0.0 10.255.255.255 : 10/8 172.16.0.0 172.31.255.255 : 172.16/12 192.168.0.0 192.168.255.255 : 192.168/16
Loopback (soi-m me) : 127.0.0.1 0.0.0.0 : quand station ne conna t pas son adresse 130.190.0.0 : le rseau 130.190/16 130.190.255.255 : broadcast
Toutes les machines du rseau 130.190/16
140
70
Archi IP : Affection @ IP une station

Configuration statique
Unix : commande ifconfig Windows (2000 pro) : panneau de conf connexion rseau TCP/IP
Configuration dynamique : DHCP

Serveur DHCP (Dynamic Host Configuration Protocol) dans un rseau IP avec une plage dadresses attribuer Station sans adresse IP fait une demande DHCPDISCOVER
@ IP source 0000 @IP dest 255.255.255.255 Contient @ Ethernet et nom de la station
Serveur DHCP rpond :

Adresse IP - Masque de sous-rseau informations de routage Adresses DNS Nom de domaine Dure du bail
cel-00561873, version 1 - 2 Feb 2011
Explication simplifie (plusieurs serveurs DHCP possibles, ) Avantage : pas de conf sur stations, portables, conomie d@ Dsavantage : qui est qui ?
Archi IP : pbs adresses IP

Adressage ni hirarchique, ni gographique
Tables de routages normes au cur de lInternet Distribution des adresses
Au compte-goutte (maintenant bataille commerciale)
Uniquement 4 bytes (et certaines plages vides) ? Pnurie dadresses

FAI : adresses dynamiques aux clients Entreprises FAI :
Adresses locales sur rseau priv NAT : Network Address Translation
Et PAT : Port Address Translation
IPv6
71
Archi IP : plan dadressage

Un routeur spare 2 (ou plus) rseaux ou sous -rseaux IP Il faut construire un plan dadressage
Dcouper lespace dadressage dont on dispose en sous-rseaux et le rpartir entre les stations
Elments prendre en compte :

Les routeurs sparent les sous-rseaux
Proximit gographique des stations Ou non si VLAN
Dans un sous-rseau on est dpendant de son voisin

Broadcast Ethernet par exemple
cel-00561873, version 1 - 2 Feb 2011
On regroupe dans un mme sous-rseau les stations qui travaillent entre elles (dun service par exemple)
La majorit du trafic reste local au sous-rseau (vite de charger les autres sous-rseaux Profils de connexion et de scurit identiques
Archi IP : plan adressage 192.33.181/24

192.33.181.0/26 hub 192.33.181.3 192.33.181.2 Routeur 1 192.33.181.65 (B) 192.33.181.64/26 Routeur 2 hub 192.33.181.5 192.33.181.66 (A) 192.33.181.67 192.33.181.141 192.33.181.129 192.33.181.142 192.33.181.128/26 192.33.181.130 192.33.181.202 (C) 192.33.181.201
COMM Eth
LS 1 M
hub
192.33.181.224/27
256 Kb/s
Routeur 3
Fournisseur daccs COMM 192.33.181.200 Eth Internet Quelles @ manquent ils ? 192.33.181.192/27
72
Archi IP : plan adressage 192.33.181/24

192.33.181.0/26 hub 192.33.181.3 192.33.181.2
192.33.181.10
Routeur 1
192.33.181.231
LS 1 M
192.33.181.65 (B) 192.33.181.64/26 192.33.181.80 Routeur 2 hub 192.33.181.150 192.33.181.5 192.33.181.66 (A) 192.33.181.67 192.33.181.141 192.33.181.129 192.33.181.128/26 192.33.181.130 192.33.181.230 192.33.181.145 Routeur 3 192.33.181.202 (C) 256 Kb/s 192.33.181.201 X 192.33.181.203
COMM Eth
192.33.181.224/27
192.33.181.142
COMM Eth
hub
cel-00561873, version 1 - 2 Feb 2011
Fournisseur daccs Internet

Pour ladministration des quipements, il en manque dautres

192.33.181.200 192.33.181.192/27
145
Archi IP : routage IP
A (192.33.181.66) veut envoyer un datagramme IP B (192.33.181.65)
Pb : A doit envoyer une trame Ethernet mais ne connat l@ Eth B Elle envoie un broadcast Ethernet sur le rseau qui demande : quelle est l@ eth de B ? (l@ Eth de A est spcifie dans la trame Ethernet : @ Eth origine) B rpond l@ Eth A en disant : je suis 192.33.181.65 et mon adresse Ethernet est @ Eth B A peut alors envoyer alors les datagrammes IP dans des trames Ethernet (elle connat l@ Eth de B) Mcanisme : ARP RARP
A (192.33.181.66) veut envoyer un datagramme C (192.33.181.202)

Elle doit envoyer une trame Eth au routeur 2 : 192.33.181.80 Il lui manque cette information ? Information de routage
73
Chaque station doit tre configure pour spcifier
Son adresse IP (Commande Unix ifconfig) Ladresse du sous-rseau sur laquelle elle est (Commande Unix ifconfig) Une table (de routage) qui indique comment atteindre les autres rseaux (Commande Unix route add)
Exemple A
@ IP : 192.33.181.66 - @ Rseau : 192.33.181.64/26 Routes (numro IP du prochain routeur destinataire) :
192.33.181.128/26 ? 192.33.181.80 192.33.181.224/27 ? 192.33.181.80 192.33.181.192/27 ? 192.33.181.80 192.33.181.0/26 ? 192.33.181.80 Reste du monde (default route) ? 192.33.181.80 La route par dfaut (default route - default gateway) suffit
cel-00561873, version 1 - 2 Feb 2011
Toutes les stations doivent tre configures

Ex : mon PC dans panneau de configuration
Les routeurs aussi doivent tre configurs
Par port : @ IP, @ Rseau (ou sous -rseau) Table routage
Exemple routeur 3 :
Port 1 : 192.33.181.230 - rseau 192.33.181.224/27 Port 2 : 192.33.181.145 rseau 192.33.181.128/26 Port 3 : 192.33.181.203 rseau 192.33.181.192/27 Port 4 : X rseau Y Table routage
Route 192.33.181.64/26 ? Port 2 : 192.33.181.150 Route 192.33.181.0/26 ? Port 1 : 192.33.181.231 Route default ? Port 4 : routeur du fournisseur daccs
Exemple : envoi datagramme B ? C

74
Routage statique
Mise jour tables de routage : manuelle ICMP redirect : Ce nest pas ici cest ailleurs Problme : intervention manuelle
Quand le rseau volue : modification manuel des tables Quand plusieurs chemins possibles et coupures
Utilis gnralement au niveau des stations, dans certains routeurs dextrmits
Routage dynamique
cel-00561873, version 1 - 2 Feb 2011 Protocoles entre routeurs et entre routeurs et stations pour mettre jour automatiquement les tables de routages : annonces de routes Ex : RIP, OSPF, BGP Cf cours sur le routage
LInternet ne fonctionnerait pas sans bons protocoles de routage et sans experts pour les faire fonctionner Cest une problmatique surtout doprateurs Internet
A laquelle sajoutent les accords de peering
Routeurs doivent tre trs rapides

Traitement du routage directement en ASIC
Routeurs au cur de lInternet : doivent connatre toutes les routes : impossible ? Agrgation de plages dadresses de rseaux IP On nest pas oblig davoir une route par dfaut sur tous les quipements : scurit
75
Archi IP : rpartition dutilisateurs
cel-00561873, version 1 - 2 Feb 2011
151
Architecture ATM : classical IP

Objectif :
Utiliser un rseau ATM pour transporter des datagrammes IP
RFC 1483
Comment encapsuler (transporter) les datagrammes IP dans des cellules ATM
RFC 1577
Comment construire un rseau IP sur un rseau ATM Pb ARP par exemple
152
76

Station IP Eth
Routeur IP ATM
Station IP Eth
Station IP Eth Station IP Eth Station IP Eth
Station IP Eth
hub
Station IP Eth
hub
hub
Routeur IP ATM
Station IP Eth
Commutateur ATM
Rseau ATM
Commutateur ATM
Station IP B ATM
Commutateur ATM
Station IP A ATM
ATM Routeur IP
cel-00561873, version 1 - 2 Feb 2011
Serveur ARP
A T Routeur IP M
hub
Station IP Eth
Station IP Eth Station IP Eth
hub
Station IP Eth
Station IP Eth
Station IP Eth
153

Un sous-rseau IP dans un rseau ATM
Un serveur ARP Gre une table @ IP ? ? @ ATM
Lorsquune station ATM IP se connecte

Elle connat l@ ATM du serveur ARP
Configuration manuelle
Elle senregistre auprs du serveur ARP

Indique son adresse ATM et son adresse IP
Lorsquune station ATM-IP veut mettre un datagramme IP vers une autre station ATM-IP
Demande au ARP Serveur l@ ATM de la station IP Ouvre un VC avec cette station ATM
77

Lacunes :
Pas de broadcast ou multicast IP Un seul serveur ARP : pas de redondance : pb si panne
On peut avoir plusieurs sous -rseaux IP sur un rseau ATM :

Passe par un routeur ATM-IP pour communiquer
ATM complexe avec IP :

Mode non connect (IP) avec techno en mode connect (ATM)
Rq : sur un mme rseau ATM on peut avoir :

Des VC ou VP permanents (ouverts en permanence) :
LS informatique : interconnexions LANs Interconnexions PABX
cel-00561873, version 1 - 2 Feb 2011
Des ELAN (plusieurs LANE) Des sous-rseaux IP

MPLS : buts
MPLS : Multi Protocol Label Switching Protocole pour oprateurs de WAN IP Lacunes dun rseau WAN IP classique
Travail dun routeur important
Il doit tudier chaque datagramme Il doit extraire l@ IP destinatrice du datagramme IP, consulter sa table de routage et agir en consquence
Pas de partage de charge entre plusieurs liaisons

Il ny a quune route par destination
Pas de routage qui tiendrait compte de qualits de service demandes
156
78
MPLS
Les routeurs en bordure de rseau ajoutent (et enlvent) une tiquette aux datagrammes selon :
La route que devra emprunter le datagramme La classification du datagramme
Prioritaire ou non, pour application avec QoS,
Les routeurs au cur du rseau routent selon cette tiquette

Rapide (plutt de la commutation que du routage)
Protocole pour mettre jour les tables de routage des routeurs au cur du rseau :
cel-00561873, version 1 - 2 Feb 2011 Une fois par flot Choix de route / tiquette donc / origine, QoS, Rservation de bande passante possible
Intgration tlphonie informatique

Intgration voix - donnes Intgration possible car :
Tlphone et informatique utilisent :
Mmes cbles (FO, TP) et ondes (hertziennes ou radio) Elments actifs similaires : les tlphones sont maintenant numriques
Ordinateurs :
Equips de microphone et hauts-parleurs Pourraient remplacer les postes tlphoniques : poste unique
Pourquoi intgrer ? : faire des conomies

En rseau dentreprise
Infrastructure et matriel : mme rseau (plusieurs sens rseau) Mme quipe dadministration
Dans les rseaux des oprateurs : mmes conomies Au niveau des utilisateurs : conomies sur les communications tlphoniques longues distances
Le cot dune communication tlphonique dpend de la distance Le cot dune communication Internet est indpendante de la distance JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002
158
79
Intgration voix-donnes
Pourquoi intgrer ? : apporter des nouveaux services
Evolution des services informatiques
Chat, mail ? mode de communication vocal (tlphonique)
Evolution des services tlphoniques

Communication tlphonique ? transfert de documents, vido,
Intgration des services

Annuaires : tlphoniques et informatiques (LDAP) Messageries : vocales et lectroniques
Comment intgrer ?
Normes existent : H323, SIP Solutions techniques (matriels) existent Lgislation sassouplit : drgulation du tlphone Diffrents niveaux dintgration : tranches ? rseau et services
cel-00561873, version 1 - 2 Feb 2011
Rappel : contraintes tlphone :

QoS (voir chapitre ATM prcdent) difficiles sur rseau IP Existant qui fonctionne parfaitement : PABX faire voluer
Voix-Donnes : niveaux dintgration

Mmes tranches, fourreaux, goulottes (chemins de cbles) sur un site 2 cblages (et quipements actifs) diffrents
2 rseaux physiques donc logiques diffrents 2 administrations diffrentes Fait depuis plusieurs annes entre les btiments Maintenant en pr-cblage de btiment
Cblage courants faibles
LS longue distance partage entre 2 sites

Interconnexion de PABX Interconnexion de LAN (routeurs, commutateurs, ponts) Ex : LS 2 Mb/s (MIC) ou hertzienne ou laser clate (multiplexeur et d-multiplexeur)
1 M (16 voix tlphoniques) pour PABX 1 Mb/s pour interconnexion de LAN
80
Voix-Donnes : niveaux dintgration

Partage dun rseau ATM
VP pour PABX VP pour informatique (routeurs , commutateurs) FT et les autres oprateurs le font
Utilisation du rseau tlphonique pour les donnes

Externe (RTC national) ou interne lentreprise Ordinateur (ou routeur) Modem Rseau tlphonique Modem Ordinateur (ou concentrateur ou routeur ou ) V90 (56.6 Kb/s), RNIS (2x64 Kb/s), ADSL ( 1 Mb/s)
cel-00561873, version 1 - 2 Feb 2011
Utilisation du rseau IP pour la voix

Tlphonie sur IP
Voix-Donnes : Tl / IP : services rendus

Connexion ordinateur ordinateur (application voix)
Ordinateur Rseau IP (Eth, PPP) Ordinateur Netmeeting par exemple Un rseau logique diffrent du rseau tlphonique
Pas de communication possible avec postes t lphoniques classiques
Intressant pour longues distances

Economies en cot de communication
Connexion PABX PABX

Tlphones PABX passerelle Rseau IP (Eth, ATM, PPP) passerelle PABX Tlphones Pas de communication tlphonique possible avec ordinateur connect dans le mode prcdent Intressant si bonne infrastructure IP (beaucoup de dbit)
Intgration totale : le tout IP

Communications postes tlphoniques - ordinateurs possibles
81
Voix-Donnes : Tl / IP : H323
Origine : monde des tlphonistes ITU Ensemble complet de standards
Architecture et fonctions dun systme de vido-confrence Sur rseaux en mode paquet (sans connexion), sans garantie de QoS comme IP (mais pas uniquement pour IP)
IP : RTP
Real-time Transport Protocol Transport flux temps rel : vido, audio, dans UDP Ajoute des informations pour que le rcepteur compense : variation latence, arriv de datagrammes dans le dsordre, e
cel-00561873, version 1 - 2 Feb 2011
Type de donnes transport es Horodatage Numro de squence
163
IP : RTCP
Real-time Transport Control Protocol Permet davertir lmetteur de la qualit de la transmission :
Le taux de paquets perdus La variation de la latence
Informations sur lidentit des participants (applications multicast)
Elments (matriels ou logiciels)

Terminal H323 :
Ordinateur avec netmeeting Tlphone sur IP (H323)
82
Elments (matriels ou logiciels) suite
Passerelle : entre rseau IP et RTC (ou RNIS)
Interfaces :
Ethernet ? rseau IP Ports TP ? tlphones classiques ou PABX
Codage/dcodage voix, mise en paquets, suppression dcho,
Garde-barri re : administration
Gestion des @adresses : IP ?? E164 (tlphoniques) Contrle les accs Peut refuser des appels si bande passante insuffisante Contrle une zone (H323)
MCU-Pont : Multicast Control Unit : tlconfrence cel-00561873, version 1 - 2 Feb 2011

Gre Multicast
Transmet avec adresse IP multicast si le rseau le permet
Ouvre n connexions point point

Exemple de rseau H323 (entre 2 sites)
Tlphone sur IP (H323)
Routeur hub
Station (H323)
Rseau IP (Internet) Routeur hub Passerelle

Station (H323) Tlphone sur IP (H323) Tlphone analogique Tlphone analogique
166
Passerelle Garde-barrire PABX RTC

Tlphone analogique
Station (H323)
PABX RTC
83
Voix-Donnes : Tl / IP : SIP
SIP : Session Invitation Protocol Origine : IETF : Informatique Gestion de sessions multimedia avec 1 ou n participants Adresses : sip:bob@193.10.3.1 Utilise RTP au-dessus de UDP ou TCP Station IP ?? Station IP : le protocole dfinit
cel-00561873, version 1 - 2 Feb 2011 Appel Ngociation des paramtres Communication Fermeture de connexion
167
Voix-Donnes : Tl / IP : SIP
Autres services
Location server (registrar)
Pour quun client puisse senregistrer quand il change dadresse IP (mobile, ISP avec adresse dynamique par exemple)
Proxy server
Serveur dun ct (reoit les appels) Client de lautre (met des appels) Pourquoi ? : Point de contrle, de facturation
Redirect server
Reoit des appels Indique la bonne destination laquelle sadresser : proxy , Peut permettre de grer la rpartition de charge entre plusieurs serveurs
SIP beaucoup plus basique que H323

84
Voix-Donnes : bilan aujourdhui

Constat : la tlphonie ce nest pas simple
Besoin de QoS et habitude de bonne qualit Fonctionnalits des PABX et postes tlphoniques sont maintenant complexes : numros abrgs, transfert dappel, tlconfrence, messagerie vocale, 2 quipes dexploitation avec des cultures diffrentes
Tlphonistes - informaticiens
? Intgration prudente
Annes 1999-2000 : on va tout mettre sur IP Aujourdhui : on peut basculer certaines parties
Elt nouveau : arrive massive du tlphone portable cel-00561873, version 1 - 2 Feb 2011
Habitude de communications de moins bonne qualit
Comme le transport de la voix sur un rseau Best Effort IP
Portabilit sans comparaison avec ordinateur portable

Ne va pas dans le sens dun terminal unique : tlphone-ordinateur
Voix-Donnes : bilan aujourdhui

Dans entreprise :
Dpend de lhistorique et de la culture Intgration des 2 quipes dexploitation ?
Gnralement :
Lutilisateur conserve 2 quipements : tlphone et ordinateur Les infrastructures rseaux dextr mit (cblage horizontal) sont diffrentes mais chemins identiques
Poste tlphonique : cblage tlphonique ? PABX Ordinateur : cblage informatique ? hubs, commutateurs,
Interconnexion de PABX sur IP : solution de + en + dploye

Car dbits du rseau donnes >> rseau tlphonique Avec back-up RNIS par exemple
85
Voix - Video : n participants

N vers n : runions avec participants distants :
Tlconfrence (voix uniquement)
Service FT (quivalent dun MCU) Poste tlphonique habituel ou matriel ddi
Matriel de visio-confrence (voix + image)

H323 sur RNIS ? H323 sur IP Matriel ddi Netmeeting + Webcam
Multicast IP :
V IC-RAT + Webcam Rseau multicast Acadmique surtout
1 vers n : Visio-confrence (sans question de la salle) cel-00561873, version 1 - 2 Feb 2011

Idem ci-dessus Streaming : realplayer
Unicast ou multicast IP
171
Rseaux virtuels : plan

Pourquoi ? VLAN : Virtual LAN Avec ATM VPN : Virtual Private Network
PPTP L2TP IPSEC
172
86
Rseaux virtuels : pourquoi ?

On regroupe dans un mme rseau (Ethernet commut ou IP) les stations qui travaillent ensemble (groupe de travail - workgroup). Consquences : Les applications groupe de travail :
Qui ont besoin de dcouvrir les serveurs (contrleur de domaine, voisinage rseau, imprimantes, serveur DHCP, zone Mac, ) Et ces serveurs qui ont besoin dmettre des messages vers toutes les stations du groupe de travail Utilisent les broadcasts Ethernet ou IP
Le groupe qui a les mmes besoins de scurit : cel-00561873, version 1 - 2 Feb 2011
Contrle laccs entrant sur le rseau la frontire du rseau (routeur daccs) Est assur de la confidentialit par rapport lextrieur du groupe car il ny a pas diffusion lextrieur du rseau
173

Le groupe qui les mmes besoins de connectivit depuis et vers lextrieur :
Effectue un contrle daccs sortant la frontire du rseau (sur le routeur daccs) Peut mettre en place une limitation de la bande passante utilise vers lextrieur au point de sortie
Le groupe peut avoir le mme adressage IP et des noms de stations dans le mme domaine :
Ralis de fait dans un rseau IP
Probl me : comment peut on avoir les mmes services avec un groupe gographiquement dispers ? Solution : avec des rseaux virtuels
174
87

Exemples de groupes disperss
Universit UJF sur plusieurs sites Grenoble et un Valence
Besoin de regrouper les sites dans un seul rseau logique
Entreprise multi sites interconnects par Internet :

Mme besoin
Formation dingnieurs sur 2 sites ENSIMAG-ENSERG

Mme besoin
Unit CNRS (UREC) sur 4 villes

Mme besoin
Exemples de services disperss

Services administratifs (DR) du CNRS Services comptabilit dune entreprise multi-sites
cel-00561873, version 1 - 2 Feb 2011
Mais aussi des groupes mobiles

Ordinateurs mobiles Dmnagements, rorganisations ? clatements gographiques des quipes
Rseaux virtuels : principes

Regrouper logiquement un groupe de stations disperses gographiquement
Dans un mme rseau : Ethernet ou IP ou
Buts :
Utilisation dapplications groupe de travail Scurit Contrle de bande passante Noms et adresses IP Mobilit
Plusieurs techniques suivant les buts, WAN/LAN,

VLAN ELAN VPN
176
88
Rseaux virtuels : VLAN

Virtual LAN But : crer un rseau virtuel de niveau 2
Un domaine de broadcast (Ethernet)
Possible avec des commutateurs Ethernet

Pas avec des hubs Intelligence dans les commutateurs (et routeurs )
Diffrents types de VLANs

Par ports (de commutateur) : niveau 1 Par adresse MAC (Ethernet) : niveau 2 Suivant la valeur dautres champs : niveau 3
Protocole, @ IP,
cel-00561873, version 1 - 2 Feb 2011
177
Rseaux virtuels : VLAN par ports

Chaque port de commutateur est affect un VLAN Exemple : VLAN 1 : A,B,C,D,E,F,I,J VLAN 2 : G,R,K,M,L VLAN 3 : H,Q Station
Station D E hub
Station A hub Station C Station B
Station G
3
Station H Station K Station M hub
Commutateur Routeur
1 COMM Eth 1 5
Station F Station Q Station I

2 1
Station R
5 3 4 COMM Eth 2
Station J
178
Station L
89
Rseaux virtuels : VLAN par ports

Configuration VLAN de Eth 1 : 3 VLANS 1-2-3
Port 1 = VLAN 1 Port 4 = VLAN 3 Port 2 = VLAN 1 Port 3 = VLAN 2 Port 5 = Voir aprs Quand Eth1 reoit une trame de A (VLAN 1) :
Envoie vers port 2 (et port 5 : cf aprs)
Configuration VLAN de Eth 2 : 3 VLANS 1-2-

Port 1 = VLAN 1 Port 3 = VLAN 3 Port 2 = VLAN 1 Port 4 = VLAN 2 Port 5 = Voir aprs Quand Eth1 reoit une trame de I (VLAN 1) :
Envoie vers port 1 (et port 5, cf aprs)
cel-00561873, version 1 - 2 Feb 2011
Configuration commutateur de Eth1 (idem Eth2) :

Port 1 : @ MAC A, B, C, D, E
Rseaux virtuels : VLAN par port

Diffusion
Les quipements Eth1, Eth2 et le commutateurrouteur font en sorte que :
Quand A envoie un broadcast Ethernet ? A,B,C,D,E,F,I,J (VLAN1) mais pas vers les autres stations
Pour communiquer entre Eth1, Eth2, Eth3

Trame Ethernet F ? G impossible
Datagramme IP : F ? Commutateur-routeur ? G
Passe par routeur ou commutateur-routeur
Remarque
Cette segmentation peut aussi tre ralise par brassage manuel dans le local technique o sont les commutateurs : dans certains cas
90
Rseaux virtuels : VLAN 802.1Q

Problme : numro de VLAN sur les truncks
Schma prcdent : lorsque le commutateur Eth 2 reoit une trame Ethernet venant de A, pour savoir vers quelles stations il doit la rediffuser il faut quil sache le numro de VLAN dont A est membre ? Il faut quil trouve cette information dans la trame
Il faut que sur chaque lien entre les commutateurs (truncks) les trames soient marques (tagges)
Protocoles propritaires : ISL (CISCO) IEEE802.1Q
Champ type Eth : 8100 Champ numro de VLAN : 12 bits (4096) Niveau de priorit : 3 bits ? QoS . Informations de la trame initiale
cel-00561873, version 1 - 2 Feb 2011
Schma prcdent : 802.1Q est activ entre Eth 1 Commut-Routeur Eth 2

Rseaux virtuels : VLAN par @ MAC

Chaque station peut appartenir un VLAN suivant son adresse MAC Station D Exemple : VLAN 1 : A, C, F, I, J, G VLAN 2 : B, D, K, R Station E hub VLAN 3 : L, M, E, Q, H
Station A hub Station C Station B
Station G
3
1 COMM Eth 1 5 2
Station H Station K Station M hub Station L

Station F Station Q Station I

2 1
Commutateur Routeur 3
Station R
5 3 4 COMM Eth 2
Station J
182
91
Rseaux virtuels : VLAN par @ MAC

Configuration VLAN de Eth 1 : 3 VLANS 1-2-3
VLAN 1 : @ MAC de A, C, F, G VLAN 2 : @ MAC de B, D, Q, R VLAN 3 : @ MAC de E, H Quand Eth1 reoit une trame de A (VLAN 1) :
Envoie vers port 2 (et port 5 : cf aprs)
Configuration VLAN de Eth 2 : 3 VLANS 1-2-

Port 1 = VLAN 1 Port 3 = VLAN 3 Port 2 = VLAN 1 Port 4 = VLAN 2 Port 5 = Voir aprs Quand Eth1 reoit une trame de I (VLAN 1) :
Envoie vers port 1 (et port 5, cf aprs)
cel-00561873, version 1 - 2 Feb 2011
Configuration commutateur de Eth1 (idem Eth2) :

Port 1 : @ MAC A, B, C, D, E
VLAN par port ou par @ MAC

Avantages VLAN @MAC / port
Des stations sur des hubs peuvent appartenir diffrents VLANs
Mais la diffusion nest pas slective selon les branches des hubs
On peut avoir des stations qui sont dplaces (dmnagement ou mobiles) sans besoin de reconfiguration On peut identifier chaque station avec son numro de carte Ethernet
Scurit accrue Si adresse MAC inconnue : appartient au VLAN visiteurs
Dsavantages VLAN par @ Mac

Administration plus lourde
Rpertorier et tenir jour des tables avec toutes les adresses MAC
Si utilisateur change sa carte Ethernet : modification de configuration
184
92
Rseaux virtuels : VLAN niveau 3

Affecter les trames Ethernet dans un VLAN diffrent selon des champs que lon trouve dans la trame :
Champ type Ethernet : protocole : IP, IPX, Appletalk, Ladresse IP origine : sous -rseau
mais ce nest pas du routage
Peut tre utile quand de nombreux protocoles sont utiliss sur un mme rseau
cel-00561873, version 1 - 2 Feb 2011 Support des anciennes applications De moins en moins utile

Commutateurs :
Ils conservent leur fonction de base : commutation, sans diffusion inutile Certains peuvent ne pas avoir de fonctionnalit VLAN Dans les exemples prcdents les commutateurs ont la fonctionnalit daccepter plusieurs adresses Ethernet et VLAN par port : ce nest pas toujours le cas
Routeurs :
Peuvent supporter 802.1Q. Si non, il faut autant de cartes Ethernet que de VLAN pour que le routeur route les VLAN
Ex de VLANs dans un laboratoire

1 / par quipe de recherche pour stations de travail individuelles Administration (peut inclure la station de chaque secrtaire dquipe de recherche) Test : toutes les machines de test des diffrentes quipes Serveurs locaux Serveurs Internet Visiteurs JL Archimbaud CNRS/UREC Interconnexion et conception de rseaux 2002 186
93

Le travail dadministration de VLAN nest pas ngligeable !
Il faut bien connatre le rseau (et tre plusieurs le connatre : pb absence) Il faut un outil dadministration
Thorie : on peut utiliser des commutateurs de diffrents constructeurs : IEEE802.1Q En pratique : commutateurs homognes
cel-00561873, version 1 - 2 Feb 2011 Avec un outil dadministration fourni par le constructeur
Les VLAN sont des rseaux virtuels pour LAN

Pas pour MAN ou WAN
Rseaux virtuels : ATM

Interconnexion de rseaux Ethernet
ELAN : principe LANE (cf chapitre prcdent)
Utilisation de VPs ATM pour interconnecter des btiments (LAN) ou des sites (WAN) :
Rseaux Ethernet ou ATM Rseaux IP Fonctions :
Scurit : appel aussi VPN ATM Garantie de qualit de service (dbit / VP)
Exemple : service ATM de Renater
188
94
Rseaux virtuels : VPN : but

VPN : Virtual Private Network
Terme gnrique qui regroupe plusieurs techniques
Relier 2 rseaux distants (ou une station et un rseau) via un rseau ouvert (Internet) en garantissant :
Les services de VLAN pour IP : mme rseau logique IP
Etendre le rseau interne
Des services des scurit :

Confidentialit des informations transmises Intgrit des donnes (donnes non modifies par un tiers) Authentification de lmetteur et du destinataire (au sens station ou routeur)
Sans rechercher une qualit de service particulire (dbit )
cel-00561873, version 1 - 2 Feb 2011
Eviter des infrastructures ddies base de LS

Rduction de cot en utilisant un rseau partag
Utilisation du tunneling (tunnelisation)

Rseaux virtuels : VPN : tunnels

Un tunnel transporte des donnes entre 2 points sans que les lments entre les points perturbent ce transport
Rseau de transport : transparent
Entre 2 rseaux ou entre station-serveur

Rseau 1 Rseau 2 Station A Internet Internet Serveur 1 Station B
95
Rseaux virtuels : VPN : tunnels

Encapsulation
En entre de tunnel : donnes insres (encapsules) dans un paquet du protocole de tunnelisation En sortie : donnes extraites : retrouvent leur forme initiale Tunnel IP vhiculant des datagrammes IP
Entte
@ IP Origine : @ IP entre du tunnel @ IP Destinatrice : @ IP sortie du tunnel Protocole : tunnel : par ex : GRE
Donnes : datagramme initial IP

Entte : @ IP station origine - @ IP station destinatrice Donnes
Plusieurs mthodes et protocoles cel-00561873, version 1 - 2 Feb 2011

PPTP (RFC2637) L2F (RFC2341) L2TP (RFC2661) IPSEC
Rseaux virtuels : VPN : PPP

PPP : Point to Point Protocol
Permet de transporter des datagrammes IP sur une liaison point point (RTC, LS par exemple) Mais aussi dautres protocoles que IP Fonctionnalits supplmentaires :
Authentification des extrmits : PAP ou CHAP
Avant tout transfert de donnes
Chiffrement des donnes (confidentialit et intgrit) Adressage IP dynamique Compression
192
96
Rseaux virtuels : VPN : PPTP

PPTP : Point-to-Point Tunneling Protocol Origine Microsoft VPN surtout sur rseau commut pour accs particulier
Station isole ? LAN entreprise
Encapsulation IP, IPX, ? PPP ? GRE ? IP

Pas uniquement IP
La station isole semble appartenir au LAN de lentreprise

Elle peut avoir une adresse IP dans le sous-rseau IP du LAN, comme si elle tait une station du rseau interne Elle voit les autres stations du LAN comme si elle tait connecte sur le LAN Elle a les mmes droits daccs aux ressources du LAN quune station du LAN (serveurs de fichiers, imprimantes, ) Elle utilisera la sortie Internet de lentreprise pour accder lInternet
cel-00561873, version 1 - 2 Feb 2011
Rseaux virtuels : VPN : PPTP

Le chemin entre la station et le LAN est scuris
En utilisant les fonctions optionnelles de PPP Authentification Chiffrement
Mais il faut bien configurer le serveur PPTP pour que des stations pirates ne puissent pas se connecter sur le LAN Serveur PPTP
Serveur NT, Linux, Serveur daccs PPTP - Routeur
Client PPTP
Windows NT, 95/98 , Linux, Mac,
97
Rseaux virtuels : VPN : PPTP 2 utilisations

Station Client PPTP 193.51.3.2 Station Client PPTP 193.51.3.4 Serveur daccs PPP Client PPTP Serveur PPTP Serveur PPTP LAN interne 193.51.3/24 Serveur 193.51.3.5
Internet Internet
Station Client PPP 193.51.3.2
cel-00561873, version 1 - 2 Feb 2011
Station Client PPP 193.51.3.4
Internet Internet
FAI
LAN interne 193.51.3/24 Serveur 193.51.3.5

195
Rseaux virtuels : VPN : L2TP

L2TP : Layer 2 Tunneling Protocol
Runion de PPTP et L2F (CISCO)
Devrait remplacer PPTP 3 cas de configuration possibles :

Tunnels L2TP : clients L2TP et serveur L2TP (idem PPTP) PPP : clients PPP et FAI - Tunnels L2TP : FAI et serveur L2TP (idem PPTP) LAN Serveur L2TP Tunnels L2TP Serveur L2TP - LAN
Scurit
Utilisation possible des fonctions de PPP Pour protger le tunnel : IPSec
98
Rseaux virtuels : VPN : IPSec

IPSec : IP Security Protocol IETF : Pour mettre un peu dordre dans les diffrentes mthodes de tunneling et de scurisation Scurisation des changes au niveau IP
Chaque datagramme est authentifi et/ou chiffr
cel-00561873, version 1 - 2 Feb 2011
Inclus dans IPv6 (intgr dans toutes les piles IPv6) Optionnel dans IPv4 Evolution majeure de IP Peut-tre mis en uvre sur tout quipement IP
Routeur, serveur, station de travail,
Peut-tre mis en uvre de bout en bout ou sur un tronon du chemin
197

Enttes ajouts :
AH : Authentication Header ESP : Encapsulation Security Payload
Datagramme avec AH
Entte IP AH (Entte TCP/UDP Donnes) en clair
AH (Authentication Header)
SPI : Security Parameter Index ? SA (Security Association)
Index dune table qui pointe sur tout ce qui est ncessaire au rcepteur pour interprter cette entte : algorithmes de crypto utiliss
Numro de squence
Evite le rejeu du datagramme
Signature lectronique du contenu du datagramme (? entte IP)

Checksum chiffr Garantit intgrit et authentifie lorigine
198
99

Datagramme avec ESP
Entte IP Entte ESP (Entte TCP/UDP Donnes) chiffrs [Authentication ESP]
Entte ESP (Encapsulation Security Payload)

SPI : Security Parameter Index ? SA (Security Association) Numro de squence
Authentification ESP
Optionnelle Signature authentification : checksum chiffr : similaire AH
AH inclut lentte IP pas ESP Utilis en mode tunnel pour la signature (pas AH)
cel-00561873, version 1 - 2 Feb 2011
2 Modes dutilisation
Mode transport Mode tunnel
Rseaux virtuels : VPN : modes IPSec

Mode transport
Lentte IP dorigine nest pas contenue dans lencapsulation Entte IP AH Entte TCP Donnes Entte IP ESP (Entte TCP Donnes) chiffres Entte IP AH ESP (Entte TCP Donnes) chiffrs
Mode tunnel
Entte IP (nouveau) AH Entte IP (origine) Entte TCP Donnes Entte IP (nouveau) - ESP - (Entte IP (origine) Entte TCP - Donnes) chiffres - [Authen ESP]
100
Rseaux virtuels : VPN : IPSec tunnel

Le mode tunnel permet les fonctionnalits des VPN que lon a vues :
Stations distantes ou sous -rseau distant considrs comme une partie du LAN (avec le mme adressage) Scurit dans le transport
194.21.2.3 194.21.2.5
Routeur IPSec
Internet Internet
Routeur IPSec
194.21.2/24
cel-00561873, version 1 - 2 Feb 2011
194.21.2.4 IPSec
201
Rseaux virtuels : VPN : IPSec-Scurit

Security associations : SA IPSec permet dutiliser diffrents algorithmes, cls, de cryptographie
Les 2 extrmits doivent se mettre daccord
Pour chaque connexion IPSec : 1 ou 2 SA

Une SA pour AH Une SA pour ESP
SA
Algo dauthentification (MD5, ) Algo de chiffrement (DES, ) Cls de chiffrement Cls dauthentification Dure de vie des cls
101

Gestion des cls
Manuelle IKE Internet Key Exchange (ancien nom : ISAKMP)
Procdure pour que les 2 extrmits se mettent daccord : protocoles, algorithmes, cls Management des cls : fourniture de cls de manire scurise
IPSec
Trs solide, bien conu et intgr dans toutes les piles IPv6 Devrait beaucoup se rpandre Distinction Auth / Chiff : OK pour les lgislations Mais attention : scurit IP (pas utilisateur )
cel-00561873, version 1 - 2 Feb 2011
Services de FT : plan
LS (transfix), RNIS (numeris), ADSL : cf avant Interconnexion niveau 2 traditionnelle moyen dbit
Frame Relay Transrel
Interconnexion niveau 2 haut-dbit

Turbo DSL Intra-Cit Inter LAN SMHD SMHD - Giga MultiLAN Les Classiques Olane Global Intranet Global Extranet Collecte IP/ADSL
Services IP (pour entreprises)
102
Frame Relay
Services FT : interconnexion traditionnelle moyen dbit
Remplacement de X25 : rseau commut commut avec circuits virtuels Dbits de 19.2 Kb/s 8 Mb/s Connexion rseaux FR dentreprise Rseau international
Transrel
Service point point Interconnexion de rseaux Ethernet, Token Ring Interfaces (quipements : ponts)
Ethernet 10 ou 100 Mb/s Token Ring 4 ou 16 Mb/s
cel-00561873, version 1 - 2 Feb 2011
Services FT : interco HD : Turbo DSL
Mme zone (gographique) Agences ou particuliers ? Site central Liaisons permanentes Raccordement site central
ATM 30, 60, 90 ou 120 Mb/s
Raccordement extrmits
ADSL jusqu 2 Mb/s 320 Kb/s
206
103
Services FT : interco HD : Intra-Cit

MAN : Voix et donnes Boucle locale FT Connexions point point (LS virtuelles) de 2 sites quivalents 2 Mb/s, 10 Mb/s ou 100 Mb/s Interfaces
G703 : PABX : 2 Mb/s Ethernet 10 ou 100BaseT : 2 Mb/s, 10 Mb/s, 100 Mb/s
Connexion entreprise
PABX, routeur IP, commutateur Ethernet cel-00561873, version 1 - 2 Feb 2011
207
Services FT : interco HD : Inter LAN

MAN : donnes Client : PME (petit budget) Connexions point point (LS virtuelles) ou multipoint de sites quivalents 2, 4, 20, 40, 60, 100 Mb/s Interfaces
Ethernet 10 ou 100BaseT ou GigaEthernet ATM
Diffrents niveaux de qualit de dbit

Dbit minimum garanti (on peut avoir plus si rseau peu charg) Dbit permanent garanti Dbit non garanti (?)
Connexion entreprise
Routeur IP, commutateur Ethernet, commutateur ATM
104
Services FT : interco HD : SMHD

MAN : n sites SMHD : Service Multisites Haut-dbit
Protocole SMDH Boucle FO MAN ddie 155, 622 ou 2.5 Gb/s Scurisation : chaque site est raccord avec 2 parcours diffrents
Les sites se partagent la bande passante de la boucle Liaisons permanentes ou temporaires entre sites
cel-00561873, version 1 - 2 Feb 2011 2, n x 2, 34, 45 ou 155 Mb/s
Interfaces
G703, Ethernet 10 et 100 Mb/s
Services FT : interco HD : SMHD Giga

Nouveau MAN 3 sites minimum Technologie DWDM
Multiplexage optique Ce nest donc pas le protocole SMHD
Liaisons (jusqu 32 par lien)

622 Mbps ? 2.5 Gigabit/s Trs hauts dbits
Interfaces daccs
Fast Eth, Giga Eth, Fiber Channel, ..
Bientt 10 Gigabit/s
105
Services FT : interco HD : MultiLAN

WAN : 92 villes franaises et aussi international Raccordements (physiques) : 2, 34 ou 155 Mb/s Connexions point point (LS virtuelles) de dbits de 256 Kb/s 100 Mb/s Interfaces
ATM Ethernet 10 ou 100BaseT
cel-00561873, version 1 - 2 Feb 2011
Infrastructure de rseau FT : ATM Connexion entreprise : PABX, commutateur ATM, quipement vido, routeur IP, commutateur Ethernet Applications : voix (PABX), donnes (LAN), vido
211
Services FT : IP : Classiques Oleane

Connexion Entreprise Internet Types de raccordement
Lien permanent avec possibilit de back-up Numeris Connexion RTC, Numeris, GSM ADSL
Equipement de connexion
Routeur IP fourni ou non
Services valeur ajoute

Adresses IP Hbergement, gestion DNS, serveur Web Boites aux lettres (anti-virus possible) Proxy Web .
106
Services FT : IP : Global Intranet

Crer un rseau priv virtuel pour lentreprise
Sites : moyen dbit Postes utilisateurs fixes ou mobiles : bas dbit
Techniques
CV ATM Filtrage adresses IP Tunelling IP Authentification des utilisateurs
Equipements de connexion
Routeur fourni ou non Poste utilisateur
Accs cel-00561873, version 1 - 2 Feb 2011

Permanent 64 Kb/s ? 2 Mb/s Commut : RTC, Numeris, GSM ADSL
Services FT : IP : Global Extranet

Service dinformation de lentreprise (Extranet) accessible par RTC ou Internet
Clients, Partenaires, Fournisseurs
Facture : tlphone particulier

Numros dappel rservs
Technique : tunnels IP
Micro particulier Micro particulier
RT C
Numris
Serveur daccs FT Serveur daccs FT
Rseau Rseau IP de FT IP de FT Internet Internet
Routeur FT Interface du service FT
Routeur Entreprise
Micro particulier
RTC
Serveurs
214
107
Services FT : IP : collecte IP/ADSL

Pour les fournisseurs daccs Internet (FAI) Pour collecter le trafic des abonns ADSL Routeur FT chez le FAI
Interfaces Ethernet 10, 100 ou 1000 Mb/s Dbits : 10 Mb/s? 4 Gb/s
Les routeurs FT sont transparents : tunneling

AD SL
Rgion X Routeur
FT
Concentrateur ADSL ADSL

AD SL
Rseau Rseau IP de FT IP de FT
Routeur FT Interface du service FT
Routeur FAI
cel-00561873, version 1 - 2 Feb 2011
ADSL
Concentrateur ADSL
Routeur FT
Rgion Y
Internet Internet
215
Services assurer : plan

Services obligatoires assurer (couche 7) Uniquement aspect architecture choix - stratgie Noms (machines)
Principes Plan de nommage
Messagerie Annuaires Services Web
216
108
Services : noms
Buts techniques
Traduction : nom de machine ? adresse IP http://www.inpg.fr ? datagramme IP :
Ouverture connexion TCP sur port 80 Adresse IP destinataire : ? Comment : www.inpg.fr ? 195.83.76.58 ?
Ping www.inpg.fr
Datagramme ICMP - @ destination 195.83.76.58
Dans lautre sens aussi : @ IP ? nom de machine cel-00561873, version 1 - 2 Feb 2011
Configurations, contrles daccs, fichiers de trace, explicits avec des noms
Mais aussi messagerie lectronique

jla@urec.cnrs.fr ? serveur messagerie SMTP mail.urec.cnrs.fr
Services : noms
Pour que cela fonctionne dans lInternet
Noms uniques Systme trs solide : des serveurs DNS direct et reverse Dynamique : ajout de noms dcentralis dans les serveurs DNS
Unicit
Nommage hirarchique arborescent avec des domaines
.com, .edu, .org, , .fr, .de, .uk,
Plan de nommage dans les organismes-entreprises
Solidit Dynamique
N serveurs de noms administrs localement
Un serveur primaire par zone Plusieurs serveurs secondaires Copies rgulires des informations primaire ? secondaires
Caches
Postes de travail Serveurs (primaires secondaires)
Serveurs DNS : machines ddies, aux bons emplacements

109
Services : plan de nommage

Choix du nom de domaine (pour une entreprise)
Pas technique : image de lentreprise
Serveurs Web, Adresses lectroniques Un nom a maintenant une valeur commerciale
Sous .com
Quelques $ Pas de vrification
Sous .fr
Plusieurs dizaines (centaines) deuros Vrifications AFNIC : association ? systme sain
cel-00561873, version 1 - 2 Feb 2011
Drives
Rservation de noms tels que cnrs.com pour revente Certains pays (en voie de dveloppement) :
Socit but uniquement lucratif qui gre le top level domain du pays
Services : plan de nommage machines

Choix de sous-domaines : technique
Un sous -domaine
? un serveur DNS direct ? un administrateur
Un serveur DNS reverse

? un sous -rseau IP ? un administrateur
On regroupe souvent serveur direct et reverse

Quand ajout de machine : MAJ des 2 ncessaire
En cas de problmes : facilit de localisation

Nom ? O ?
Possibilit dalias sur les noms

Trs souple
110

Exemple : UREC (Paris, Grenoble, Lyon, Marseille) Domaine urec.cnrs .fr
Sous-domaines grenoble.urec.cnrs.fr et paris.urec.cnrs.fr
Un serveur DNS Paris (un administrateur)

Primaire : urec.cnrs.fr, paris.urec.cnrs.fr, reverse rseau IP Paris Secondaire : grenoble.urec.cnrs.fr, reverse rseau IP Grenoble
Un serveur DNS Grenoble (un autre administrateur)

Primaire pour grenoble.urec.cnrs.fr, reverse rseau IP grenoble Secondaire : urec.cnrs.fr, paris.urec.cnrs.fr, reverse rseau IP Paris
cel-00561873, version 1 - 2 Feb 2011
Lyon, Marseille : nommage machines laboratoires locaux Alias dans DNS urec.cnrs.fr,
www.urec.cnrs.fr ? www.paris.urec.cnrs.fr : visibilit Idem autres services : mail, Autres services dans domaine services.cnrs.fr ? urec.cnrs.fr

Exemple : IMAG (fdration de 8 laboratoires)
Domaine imag.fr - pas de sous -domaine Un serveur DNS primaire imag.fr N serveurs DNS secondaires imag.fr
Pour lextrieur (authoritative) : 3 En interne, au moins un par laboratoire
Equipe dadministrateurs soude

Choix des noms de toutes les machines centralis Bases de donnes mise jour par chaque administrateur de labo
Script de mise jour automatique du DNS primaire
Serveurs Web de labo : nom du labo le nom : image

www.imag.fr, www-id.imag.fr, www-clips.imag.fr,
Choix pas de ss-domaine ? visibilit de la fdration

Une autre possibilit aurait t : un sous domaine par laboratoire
111
Services : plan nommage machines

Choix
Divers : image, organisation entreprise, organisation des administrateurs, histoire, Quils soient clairs : document de rfrence :
Comment est-ce organis ? Qui fait quoi ?
Visibilit / extrieur
Pour les noms des serveurs Pour le nom des stations clientes : intrieur : choix technique
Adressage priv - NAT

2 nommages : 2 DNS : interne externe Les noms de stations internes ne sont plus visibles de lextrieur Mais il faut nanmoins que les stations internes communiquent entre elles : document de rfrence toujours utile
cel-00561873, version 1 - 2 Feb 2011
Les FAI offrent des services de DNS Pb : quand rachat entreprise ? changement de nom ?
Services : messagerie
Messagerie Internet : protocole SMTP
Messagerie interne dans lentreprise peut tre diffrence : passerelle ncessaire Dans ce chapitre : messagerie interne SMTP, logiciel Sendmail ou Postfix
Plan
Choix de la forme des adresses Rpartition des serveurs Mthodes daccs aux boites aux lettres Format des messages
112
Services : messagerie : adresses

Adresses de messagerie : quelle stratgie ? De prfrence forme canonique : Prnom.Nom@
Exemple : Jean-Luc.Archimbaud@urec.cnrs.fr Avantages
Adresse unique (sauf homonymes) Adresse parlante : peut viter un annuaire
Faire appara tre sous -domaines ou non ?

Pierre.Durant@etudes.edf.fr ou Pierre.Durant@edf.fr ? Prennit de ladresse et forme simple / centralisation
Utiliser des adresses gnriques cel-00561873, version 1 - 2 Feb 2011

webmaster@.., postmaster@, info@, Peut-tre pour des fonctions : direction@, secrtariat@, Avantage : prennit quand la personne change de fonction
225
Services : messagerie : adresses

Transformation dadresses - redirection
Diffrents mcanismes peuvent modifier les champs To et From sur les messages arrivants ou partants Serveurs-relais de messagerie : messages arrivants
To : Francis.Duval@edf.fr ? Francis.Duval@der.edf.fr
Serveurs-relais de messagerie : messages partants

From : jla ? From : Jean-Luc.Archimbaud@urec.cnrs.fr
Comptes utilisateurs : .forward (messages arrivants)

To : jla@imag.fr ? To : Jean-Luc.Archimbaud@urec.cnrs.fr
Ne pas en abuser
Doit simplement rsoudre les cas particuliers
Diffrencier adresse professionnelle et personnelle ? (au travail)

Probl me : correspondance priv : dbat non tranch e
Cacher les adresses pour limiter les SPAM ?

113
Services : messagerie : serveurs

2 services assurer :
Relais de messages et hbergement de boites aux lettres
Entrant : un seul serveur relais avec les boites aux lettres

Accessible depuis lInternet Avec machine back-up quand indisponible
DNS : plusieurs MX records
Probl me de scurit : attaque des boites aux lettres
Entrant : un serveur relais sans boite aux lettres

Accessible depuis lInternet Redirige vers 1 ou plusieurs serveurs internes suivant ladresse du destinataire :
cel-00561873, version 1 - 2 Feb 2011
Si adresses avec sous-domaine ? le serveur interne du sous-domaine Sinon, base de donnes : une adresse ? son serveur interne
Boites aux lettres sur serveurs internes Serveurs internes non accessibles depuis lInternet
Sortant : prfrable de passer par un seul serveur relais

Canonisation des adresses, surveillance, traces,

227
Services : messagerie : serveurs relais

Service surveiller de prs
Trs souvent attaqu Trace des abus
Interdire le relayage : @ externe ? @ externes

Probl me SPAM : obligatoire
Installer un anti-virus
Evite MAJ sur chaque poste interne
Lutter contre le SPAM

Outils avec mots cls et/ou black lists (pas de solution miracle) La solution est la signature lectronique
Lutte anti-virus - SPAM : accord du personnel ncessaire Exemple IMAG

Un relais de messagerie externe (reoit To : X@imag.fr ) N serveurs de messagerie internes avec boites : 1 / labo Table : @ dune personne ? serveur de messagerie interne Gestion idem DNS
114
Services : messagerie : accs aux boites

Connexion interactive sur le serveur
Qui contient les boites aux lettres : commande Mail Unix Pb : il faut grer autant de comptes interactifs que de boites
POP - Post Office Protocol

Accs depuis une station personnelle avec outil (navigateur, ) Les boites aux lettres sont transfres sur la station personnelle
IMAP - Internet Message Access Protocol

Accs depuis une station personnelle (navigateur, ) Les boites aux lettres restent sur le serveur
IMAP/POP ?
De plus en plus de IMAP Dpend de lutilisation :
cel-00561873, version 1 - 2 Feb 2011
Veut-on garder sur le serveur les messages (place, sauvegarde, ) ? Les utilisateurs sont ils connects lorsquils utilisent la messagerie ?
Versions scuris es : POPS IMAPS

Authentification ou non des clients
Service : messagerie : formats messages

MIME - Multipurpose Internet Mail Extensions
Standard pour format de messages contenant tous types de donnes : texte, video, voix,
S/MIME Security
Version scurise de MIME Certificats lectroniques Signature lectronique
Authentification Intgrit
Chiffrement Concurrent : PGP
Principal pb messagerie : pas authentification expditeur

SPAM, Virus, pas de valeur juridique,
Messagerie : service externalisable

115
Annuaires : un standard
LDAP - Lightweight Directory Access Protocol
Communications client-serveur (scurises si voulu) Modle de donnes
Arborescence hirarchique Classes dobjets Nommage
Modle fonctionnel
Recherche, comparaison, ajout,
API Rplication cel-00561873, version 1 - 2 Feb 2011
Un annuaire LDAP
Peut utiliser un logiciel de base de donnes : oracle
LDAP : Interface standard daccs
Annuaires LDAP : utilisations

Classique de personnes : adresses lectroniques
Accs avec navigateur compltion dadresse Gestionnaire de liste de diffusion,
De certificats lectroniques De droits daccs

A des systmes, des applications, Remplacement de NIS, NIS+
De ressources
Grilles de calcul Equipements (rseau)
Besoin davoir une rflexion sur larchitecture

Un seul annuaire ou n / utilisation ou groupe Sparer LDAPs publics et privs (internes) Scurisation de lannuaire, pb de SPAM (limitation du nb daccs),
116
Services Web
Accs aux serveurs Web externes (Internet)
Autorisation ou non ?
Dcision de direction, pas dadministrateur rseau
Proxy ou non ? Attention aux problmes de scurit

Virus dans documents rcuprs Excution de code localement : javascript, ? Proxy utile
Serveurs Web de lentreprise

Diffrencier administration technique / contenu Dfinir les droits daccs et une mthode de mise jour Pour Intranet
cel-00561873, version 1 - 2 Feb 2011
Informations internes Serveurs dans un sous-rseau non accessible depuis lextrieur
Pour Extranet Internet

Information publiques Serveurs dans un sous-rseau public
Fonctions annexes quipements actifs

PLAN Administration Tunnels IPSec NAT Filtrage Multicast Gestion files dattente
234
117
Fonctions annexes quipements actifs

Administration
Agent SNMP Traces ? syslog Compteurs : charge, nb de datagrammes, de bytes,
Tunneling
Cf chapitre sur les rseaux virtuels : VPN Dans les routeurs, stations IP Pour scurit mais aussi IPv6 dans IPv4, multicast dans unicast, cel-00561873, version 1 - 2 Feb 2011
IPSec
Cf chapitre sur les rseaux virtuels Dans les routeurs, stations IP
Fcts annexes qts actifs : NAT

NAT Network Address Translation (traduction) Fonction dans routeur daccs (entre site et Internet) Traduit les adresses IP
Modifie lentte des datagrammes IP changs avec lextrieur Dans les sens sortant et entrant
Une station du site

Possde une adresse interne 10.1.1.2
Elle est configure avec cette adresse Les machines internes communiquent avec elle avec cette adresse
Connue de lextrieur avec ladresse 193.96.49.64 (@ externe)

Les machines de lInternet communiquent avec elle avec cette adresse
Le systme est transparent pour les stations

Le routeur entre le site et lInternet fait la traduction
236
118

Site
@ orig 10.1.1.2 @ dest 129.88.35.3 @ orig 129.88.35.3 @ dest 10.1.1.2
Extrieur
@ orig 193.96.49.64 @ dest 129.88.35.3 @ orig 129.88.35.3 @ dest 193.96.49.64
Station
129.88.35.3
Station 10.1.1.2
@
LAN
Routeur NAT
Internet Internet
1.2 .1. .4 10 .1.1 1.4 ig 10 .1. .2 or st 10 .1.1 @ de ig 10 or st de @
cel-00561873, version 1 - 2 Feb 2011
Station 10.1.1.4
Table de traduction dans le routeur NAT @ interne 10.1.1.2 ?? @ externe 193.96.49.64


Traduction statique
10.1.1.2 ?? 193.96.49.64 10.1.1.3 ?? 193.96.49.66 ? Besoin autant dadresses IP officielles que de stations
Traduction dynamique
Pool dadresses officielles (externes) pouvant tre attribus
Ex : 193.96.49.0/24
Attribution dune adresse externe lors du premier datagramme reu par le routeur Adresse libre au bout dun temps dinactivit
Ex : pas de datagramme avec cette adresse reu depuis 3 heures
? On peut avoir plus de stations que dadresses IP officielles
On mixte : serveurs : statique - clients : dynamique

119
NAT : PAT Port Address Translation

Site
Station 10.1.1.2 @ orig 10.1.1.2:1504 @ dest 129.88.35.3:80 @ orig 129.88.35.3:80 @ dest 10.1.1.2:1504
Extrieur
@ orig 193.96.49.64:1504 @ dest 129.88.35.3:80 @ orig 129.88.35.3:80 @ dest 193.96.49.64:1504 Internet Internet
LAN
Routeur NAT
Station
129.88.35.3
Station 10.1.1.4
@ orig 10.1.1.4:1580 @ dest 129.88.35.3:80 @ orig 129.88.35.3:80 @ dest 10.1.1.4:1580
@ orig 193.96.49.64:1505 @ dest 129.88.35.3:80 @ orig 129.88.35.3:80 @ dest 193.96.49.64:1505
cel-00561873, version 1 - 2 Feb 2011
Table de traduction dans le routeur NAT (PAT) @ interne 10.1.1.2:1504 ?? @ externe 193.96.49.64:1504 @ interne 10.1.1.4:1580 ?? @ externe 193.96.49.64:1505

Contenu de datagrammes (donnes) modifier
Pour certains services :ICMP, FTP, H323,
Besoin de 2 serveurs DNS

Un interne : non accessible depuis lextrieur
Contient toutes les adresses internes
Un externe : dans la DMZ

Contient les adresses externes
Les noms des stations clientes sont alatoires
Serveurs accds depuis lInternet

Adresses statiques
Ladressage interne peut stendre sur n sites

Avec un VPN Un routeur NAT pour communiquer avec lextrieur
120
NAT : pourquoi ?
On manque dadresses officielles IP (4 bytes)
On ne peut plus numroter toutes les stations IP de la plante de manire unique En interne, sur les sites, numrote les stations avec les @ prives
10/8, 172.16/12, 192.168/16 Plusieurs sites peuvent utiliser les mmes adresses
Exemple : site avec une @ rseau officielle 193.96.49.0/24

5000 machines internes Numrote ses stations avec une adresse rseau prive : 10/8
Peut numroter des millions de machines
Quelques adresses 193.96.49.0/24 rserves aux serveurs

Accds depuis lInternet : DNS externe 193.96.49.1, Web externe 193.96.49.2, Mail 193.96.49.3 (avec PAT ce peut tre le mme numro)
cel-00561873, version 1 - 2 Feb 2011
Pool dadresses 193.96.49.[4,254] disponibles (NAT)

Attribues dynamiquement aux stations locales quand elles communiquent avec lInternet 250 machines internes peuvent communiquer avec lInternet simultanment : beaucoup plus si on utilise PAT
NAT : plus et moins

Avantages
On dispose dun espace dadresses norme en interne
Pas de limitation dans larchitecture des sous-rseaux Pas de problme quand nouvelles stations numroter
Les stations clientes ont des @ IP dynamiques

Plus difficiles attaquer : meilleure scurit
Dsavantages
Scurit : les stations clientes sont anonymes
Difficile de savoir quelle station interne a attaqu un site ext erne
Contrle daccs / @ IP effectu sur certains serveurs

Impossible sauf si traduction statique
Rompt le principe IP de connectivit de bout en bout

Peut avoir des effets de bord sur certaines applications
Retarde larrive de IPv6

121
NAT : conclusion
De trs nombreux sites lutilisent
Peu universitaires car premiers venus sur Internet, ils disposent de beaucoup dadresses officielles Systme trs bien huil maintenant
NAT / DHCP
DHCP : autre manire dconomiser des adresses Mais beaucoup moins dconomie que NAT
DHCP : une station a besoin dune adresse officielle ds quelle communique avec lextrieur mais aussi avec lintrieur Pas de possibilit de PAT
cel-00561873, version 1 - 2 Feb 2011
On peut faire les 2

DHCP : pour ses fonctions de configuration dynamique NAT : pour ses fonctions de traduction dadresse
Fcts annexes qts actifs : filtrage

Consiste laisser passer ou non certains flux selon les informations trouves dans
Les enttes des trames Ethernet Les enttes des datagrammes IP Les enttes des segments TCP, UDP
Ponts, Commutateurs
Filtrage de niveau 2 Sur le contenu des enttes des trames Ethernet
Routeurs
Filtrage de niveau 3 Sur les enttes IP, TCP, UDP
244
122
Filtrage : rappel trame Ethernet IP

Entte Ethernet
@ Ethernet destination @ Ethernet origine Champ type : protocole : 0800 IP, 0806 ARP,
Entte IP
@ IP origine @ IP destination Protocole : 1 ICMP, 6 TCP, 17 UDP,
Entte TCP ou UDP

cel-00561873, version 1 - 2 Feb 2011 Numro de port source (application station source) Numro de port destination (application station destination)
Filtrage : niveau 2
Ponts commutateurs / port
Sur les enttes Ethernet
Exemple : filtrer sur un port

Certains protocoles : Appletalk, IPX,
Car il ny a pas de stations qui utilisent ces procotoles sur ce port Diminue la charge du ct du port
Filtre les trames multicast ou broadcast de ces protocoles
Evite les erreurs

Des utilisateurs sans comptence qui pourraient lancer ces protocoles sur leur station et perturber les autres stations
Certaines adresses Ethernet origine

Stations trop bavardes, polluantes
Certaines adresses Ethernet destination multicast, broadcast
But principal : diminuer la charge

123
Filtrage : niveau 3
Dans les routeurs
Sur les enttes IP, TCP, UDP
But principal
Scurit (protection de stations, de services, de serveur) Limitation des flux applicatifs (pas de chat, P2P, )
Deux politiques :
Par dfaut : tout est autoris (P1)
On interdit ce que lon ne veut pas
Par dfaut : tout est interdit (P2)

On autorise ce que lon veut
Deux types de filtrages cel-00561873, version 1 - 2 Feb 2011

Sur les adresses IP (de stations ou de (ss-)-rseaux) Sur les numros de ports (applications)
247
Filtrage : niveau 3
Filtrage sur @ IP de station ou de (ss-)rseau
Sens entrant (Internet ? Site) / @ IP destination
P1 : interdit laccs des stations protger P2 : autorise uniquement laccs certains serveurs (publics)
Sens entrant / @ IP origine

P1 : interdit lentre de datagrammes de stations dangereuses (black-list) P2 : autorise laccs que depuis certaines stations
Sens sortant (Site ? Internet) / @ IP origine

P1 : interdit certaines stations de sortir (sur lInternet, ) P2 : autorise uniquement certaines stations sortir
Sens sortant / @ IP destination

P1 : interdit laccs des serveurs contenu peu recommandable P2 : nautorise laccs que vers des serveurs rpertoris
124
Filtrage : numros de port

Applications IP : mode client serveur
Serveur : wellknown ports
HTTP : 80, Telnet : 23, SMTP : 25,
Client
1024, 1025, 1026, pour FTP, Telnet, 1023, 1022, 1021 pour rexec, rlogin, rsh, rcp,
Exemples de filtre sens entrant (Internet ? Site)

P2 : Laisse passer uniquement les datagrammes avec port destination = 80 vers @IP destination 194.33.2.5
Autorise uniquement laccs HTTP sur le serveur Web 194.33.2.5 Si un autre utilisateur interne installe un serveur Web, il ne sera pas accessible depuis lextrieur
cel-00561873, version 1 - 2 Feb 2011
P1 : Filtre tous les datagrammes avec port destination = 23

Interdit laccs en telnet sur toutes les machines internes depuis lextrieur
249
Filtrage : numros de port

Exemple de filtre sens sortant (Site ? Internet)
P2 : laisse passer tous les datagrammes avec numros de ports source > 980 ?Autorise toutes les stations tre cliente sur des serveurs Internet P2 : laisse passer les datagrammes avec port dest=25 uniquement vers station 129.88.32.2 ? Oblige toutes les stations interne passer par le relais de messagerie 129.88.32.2 pour envoyer du courrier
250
125
Filtrage : exemple de politique

Site 192.56.62/24 Extrieur
192.56.62.X 192.56.62.90
Clientes uniquement LAN Routeur Filtres

Internet Internet
A isoler
192.56.62.80
Serveur Telnet
192.56.62.70
cel-00561873, version 1 - 2 Feb 2011
Serveur DNS SMTP, Web

Filtrage : ex (simplifi) de politique 2

Les filtres sont excuts en squence (ACL CISCO)
Pour chaque datagramme
Si condition remplie : action - exit Sinon : continue les filtres
Si @ IP dest = 192.56.62.90 : filtre

Isole 192.56.62.90
Si @ IP dest = 192.56.62.80 et port dest = 23 : laisse passer

Ouvre accs au serveur telnet : 192.56.62.80
Si @ IP dest = 192.56.62.70 et port dest = (53 ou 25 ou 80) : laisse passer

Ouvre accs au serveur DNS, SMTP, Web 192.56.62.70
Si port dest > 980 : laisse passer

Laisse passer le trafic vers stations clientes internes
Reste : filtre
Interdit tous les autres trafics
126
Filtrage : bilan
Les filtres peuvent tre installs lintrieur du site
Sur les routeurs entre services, quipes, par exemple Entre sous -rseaux ou VLAN
Avec lInternet : politique 2 recommande

On interdit tout sauf Si P1 : nouvelle vulnrabilit dcouverte ? MAJ des filtres
cel-00561873, version 1 - 2 Feb 2011
Si fonction dans une boit ddie avec interface graphique ? Garde-barrire

Fonction appel filtrage statique dans les gardesbarrires
Filtrage : bilan
Filtrage dans les routeurs
Beaucoup utilis en entre de campus, laboratoires En entreprise plutt entre sous -rseaux internes
En entre (site-Internet) : garde-barrire
Limitations techniques
Bas sur des numros de port : les applications peuvent utiliser dautres numros que les wellknown port (pb cheval de Troie) Rebonds applicatifs indtectables Tunnels applicatifs non dtectable (HTTP par exemple) ? filtrage statefull dans garde -barri re ncessaire
127
Fcts annexes qts actifs : multicast IP

Applications habituelles : unicast
Point point 1 metteur ? 1 rcepteur
Le rcepteur devenant ensuite metteur
Adresses Ethernet et IP unicast
Applications multicast
1 metteur ? n rcepteurs (diffusion cible) Radio (plutt broadcast) Tlvision cel-00561873, version 1 - 2 Feb 2011
Non crypte : broadcast Crypte (Canal + ) : multicast
Tl-sminaire, tl-runion, vido-confrence,

Dans ce cas un rcepteur peut aussi devenir metteur
Multicast IP
Rcepteur 1 Emetteur Rcepteur 2 Rcepteur 3 Rcepteur 4 Rcepteur 5
Media idal de transport : air

Ondes radio avec metteurs terrestres, satellites, Pas de problme sauf partage des frquences
256
128
Multicast IP
Rseau filaire IP avec technique classique
On transporte n fois les mmes donnes On utilise beaucoup de bande passante Rcepteur 1 Emetteur
Internet Internet
Rcepteur 2 Rcepteur 3 Rcepteur 4 Rcepteur 5
cel-00561873, version 1 - 2 Feb 2011
Pour ne transporter quune fois les donnes :

Adresses, protocoles, routages, multicast
257
Multicast IP
Participants une appli multicast : groupe multicast Identification du groupe multicast : @ IP
Une adresse IP de classe D : 224.0.0.0 ? 239.255.255.255 Emetteur ? groupe : @ IP destination = @ IP multicast
Choix dune adresse multicast : statique Choix dune adresse multicast : dynamique
Annuaire de groupes multicast en cours (ex : application SDR) Responsable du groupe ? annuaire
Je veux ouvrir une session cours ARR pour tel crneau horaire Fournis moi une adresse multicast
Annuaire
Donne une adresse multicast au responsable : 224.2.0.1 Publie : cours ARR a telle @ multicast
Participants au groupe
Consultent annuaire et rcupre ladresse multicast du groupe
258
129
Multicast IP
Protocoles : UDP, RTP, RTCP (cf H323), Lmetteur mettra ses donnes
Avec @ IP destination multicast : 224.2.0.1 @ IP origine : son @ IP (unicast)
Les rcepteurs se mettront lcoute

Pour recevoir les datagrammes avec cette @ dest
Emetteur-rcepteurs sur mme rseau Ethernet

Utilisation du multicast Ethernet cel-00561873, version 1 - 2 Feb 2011
Premier octet de l@ impair IEEE a attribu 01.00.5E.X.Y.Z pour applications multicast IP
@ Destination Ethernet : 01.00.5E.X.Y.Z

IP : 224.2.0.1 ? Ethernet 01.00.5E.02.00.01
Multicast IP : routeurs
Pb : quand il y a des routeurs entre metteur et rcepteurs
Rcepteur
R2 R8 hub
Emetteur
hub
Rcepteur
R1
R3 R5 R4
R7 R6
Rcepteur Rcepteur
hub
Rcepteur
Rcepteur
hub
Les routeurs : @ dest 224.2.0.1 : que faire ?

R3 doit les renvoyer vers R4 et R7 mais pas vers R2
? tables de routages et protocoles de routage spcifiques

130
Multicast IP : protocoles de routage

Protocole entre stations et premier routeur Principe : stations : je veux mabonner
Je veux recevoir le flux multicast 224.2.0.1 R4, R6, R8 vont recevoir ce message R2 ne va pas le recevoir
Exemple : IGMP
Internet Group Management Protocol Le routeur met un datagramme toutes les minutes
Qui veut sabonner des groupes multicast ?
cel-00561873, version 1 - 2 Feb 2011
Les stations intresses rpondent Le routeur le redemande rgulirement

Pour savoir si de nouvelles stations sont intresses Pour savoir si les anciennes abonnes sont toujours intresses
Multicast IP: protocoles de routage

Protocole entre routeurs Exemple PIM Protocol Independant Multicast But : arriver un arbre de diffusion : 2 principes Dense mode
Les routeurs envoient tous les routeurs tous les flux multicast
Au dpart. Exemple : R3 vers R4, R7, R2
Les routeurs non intresss demandent darrter lmission

R2 indique R3 : il y a personne chez moi dintress par 224.2.0.1 R3 arrtera dmettre vers R2 ce flux : pruning
Sparse mode
Le routeur metteur senregistre auprs du RP
RP : Rendez vous Point Je vais diffuser vers 224.2.0.1 Aucun routeur nmet encore ce stade
Quand station intresse : senregistre auprs du RP

Celui-ci avertit les routeurs concerns dmettre
131
Multicast IP
Quand partie du rseau non multicast : tunnels
Ex : uniquement les routeurs de sites R1, R4, R6 et R8 supporte le multicast (au cur rseau doprateur)
Rcepteur
R2 R8 hub cel-00561873, version 1 - 2 Feb 2011

Emetteur
hub
Rcepteur
R1
R3 R5 R4
R7 R6
Rcepteur Rcepteur
hub
Rcepteur
Rcepteur
hub
Multicast IP
Rseaux (routeurs) : complexe Travail doprateur : trs important
En France uniquement Renater offre rellement ce service On peut faire des tunnels
Aujourdhui
Beaucoup dexprimentations autour du multicast Rseau MBONE (oprationnel) Tlvision sur Internet : ide abandonne Radio sur Internet : pas multicast Vidoconf rence : 3 solutions
Multicast IP H323 RNIS
132
Fcts annexes qts actifs : gestion des files dattente

Dans les routeurs : files dattente
En entre : gnralement gres basiquement En sortie, pour chaque interface, choix :
Taille de la file dattente
Important car quand elle est pleine le routeur jette les datagrammes
La classification
Permet de faire passer en priorit certains datagrammes (voix / FTP par exemple)
Gestion des files dattente : fondamental dans un rseau en mode non connect (IP) Diffrentes techniques implmentes cel-00561873, version 1 - 2 Feb 2011
FIFO WFQ PQ CQ
Gestion des files dattente : FIFO

FIFO First In First Out
Mcanisme simple :
Une file dattente / interface de sortie Emission par ordre darrive
Plus : simple donc logiciels performants Pas de problme quand rseau peu charg et files dattente de taille suffisante
Pas de perte de datagramme Temps de traitement (latence) court
Dans le cas contraire

Temps de traitement peut-tre trop long pour certaines sessions TCP ou autre (par exemple sil y a un gros transfert FTP en cours, il va bloquer le flux H323 dune communication voix)
Perte de datagrammes (file dattente pleine) Latence trop grande TCP ? retransmission, slow start, : service trs dgrad
133
Gestion des files dattente : PQ

PQ : Priority Queuing Plusieurs files dattente / interface de sortie
Une file par priorit La file la plus prioritaire est envoye avant les autres Le routeur peut dterminer la priorit selon
Le protocole niveau 3 : IP/IPX Le protocole niveau 4 : TCP/UDP Les applications : Telnet/FTP/H323/
cel-00561873, version 1 - 2 Feb 2011
Pb : certains types de trafic (priorit trop basse) peuvent ne jamais tre mis
Coupures de session, : catastrophe
Gestion des files dattente : CBQ

CBQ : Class Based Queuing
Ou CQ - Custom Queuing Amlioration du PQ
Exemple : 3 files dattente / interface de sortie

Haute, moyenne et basse priorit A chaque rotation le routeur envoie 10 datagrammes de la file haute, 6 de ma moyenne, 3 de la basse.
Evite que la basse priorit ne soit jamais mise Peut tre une mthode pour partager une bande passante (entre classes de services) Pb : ncessite du CPU pour du trs haut dbit
134
Gestion des files dattente

WFQ : Weighted Fair Queuing
Modification du CBQ en prenant en compte le volume de donnes (nb de bytes) dans la rpartition Evite que les flux avec des gros datagrammes dcrasent ceux avec des petits datagrammes
Exemple defficacit de ces mcanismes

Exprience CISCO sur une liaison surcharge Flux Telnet, FTP, Voix combins sur un routeur
Sans ces mcanismes : occupation bande passante 57 % Avec ces mcanismes : occupation bande passante 98 %
Pb : rglage de ces mcanismes

cel-00561873, version 1 - 2 Feb 2011 Le constructeur fournit des exemples Mais a dpend de lenvironnement : flux,
Fcts annexes qts actifs : bilan

Les routeurs peuvent tre trs simples configurer et administrer
Entre 2 Ethernet, avec uniquement la fonction de routage pour connecter un rseau de classe C avec lextrieur Une dizaine de lignes de configuration
Mais aussi trs complexes

Si on rajoute : comptabilit, tunnels, IPSec, routage dynamique, filtrage, NAT, multicast, files dattente, Plusieurs centaines, voire milliers de lignes de configuration Demande des experts : chaque ligne de configuration est importante
Choix lors de lachat dun nouveau matriel

Tendance prendre toujours le mme constructeur
Exprience, habitude des ingnieurs
Attention au monopole Des Clones dOS de routeurs connus existent

135
Qualit de service QoS (IP)

Internet (IP) de base : best effort
Le rseau peut avoir une mauvaise qualit (pertes, ) voire devenir inutilisable
La QoS repose sur quelques paramtres techniques

Dbit (bande passante) Pertes Latence (dlai de transmission) Variation de la latence : gigue ou jitter Mais impossibles garantir dans lInternet entre 2 utilisateurs
QoS pour lutilisateur : le rseau doit tre transparent QoS o ? cel-00561873, version 1 - 2 Feb 2011
Entre deux sites Entre deux utilisateurs Pour un type dapplication ?
2 standards (principes) pour Internet : RSVP et DiffServ

Qualit de service (IP) : RSVP

RSVP : Resource Reservation Protocol Protocole en // de TCP, UDP
Comme ICMP et les protocoles de routage
Principes
La station (rceptrice) demande une QoS au rseau (bande passante, ) Tous les routeurs le long du chemin
Prennent en compte cette demande et rservent les ressources ncessaires : CPU, mmoire, (ils peuvent refuser) Tiennent jour une table avec toutes les rservations effectues
Problme : (trop) complexe

Adapt au mode connect, pas IP
Que se passe-t-il quand le routage est dissymtrique ou change ? Flux multicast ?
272
136
Qualit de service (IP) : Diffserv

Diffserv : Differentiated Services Les datagrammes sont marqus / contenu
Champ TOS dans IPv4, Traffic Class dans IPv6 Par la station / routeur d entre
Chaque routeur traite diffremment les datagrammes

Mcanismes dans routeur : gestion files dattente adapte au champ TOS ou Traffic Class
Simple mais peu prcis

cel-00561873, version 1 - 2 Feb 2011 Peut tre facilement implment L ou cela peut tre utile (sur une partie du chemin)
Liaisons moyen, bas dbits Pour certaines applications
Qualit de service (IP)

Quand bande passante profusion : QoS inutile
Le cas gnralement des LAN La bande passante disponible sur FO devient norme
Problme
Besoin de QoS quand la bande passante est limite car chre cest dire dans les WAN Or cest le plus difficile car prsence dun oprateur et souvent mme de plusieurs oprateurs
Comment vrifier que le client respecte le contrat ?

Non trait dans ce cours : policy
On ne pourra pas implmenter un mcanisme de qualit de service global dans tout lInternet Les oprateurs utilisent plutt des mcanismes lgers
Sur certaines portions, pour certains clients/applications
Entreprises : choisissent des quipements qui supportent DiffServ, au cas o

137
Administration de rseau : plan

Que faut il administrer ? Les hommes
Administrateurs et utilisateurs
Les standards
SNMP
La configuration des quipements La surveillance

Dtection des anomalies
cel-00561873, version 1 - 2 Feb 2011
Le dpannage Les stations dadministration La scurit La mtrologie

Qui consomme quoi ? ? Comptabilit Performances ? Evolution (anticiper)
Remarques
Administration de rseau : quoi ?

Que faut il administrer ?
Tout ce que lon a vu, en particulier :
Le cblage
Disposer des plans A JOUR Garder les cahiers de recette Disposer de valises de tests pour les grands rseaux
Elments dinterconnexion
Hubs , ponts, commutateurs, routeurs Configuration, surveillance, mtrologie
Services (couche 7)
DNS
Configurer, mettre jour
Relais et serveurs de messagerie

Configurer, mettre jour, surveiller (spool), mtrologie
Scurit
138
Administration de rseau : les hommes

Constituer une quipe dadministrateurs
Qui fait quoi ? Sur quoi ? Oprateurs Techniciens Ingnieurs Gourous
Faut il sparer trs strictement les niveaux ?
Difficile car volution des rseaux trs rapide
Selon les stades dinstallation : besoins diffrents de comptences
Exemple entreprise : 3 quipes

Infrastructure : cblage Ingnierie : configuration quipements dinterco, services, routage Supervision : surveillance, mtrologie, scurit
Exemple oprateur Internet

NOC : Network Operation Center : fait marcher
cel-00561873, version 1 - 2 Feb 2011
Configuration, surveillance, Procdures en cas dincidents : tickets dincidents, base de donnes,
NIC : Network Information Center : interface avec les utilisateurs

Nommage, informations aux utilisateurs, hot line,
Administration de rseau : les hommes

O sarrte le service dadministration rseau ?
Administration des serveurs Web ? Installation des clients de messagerie sur les postes utilisateurs ? .
Astreinte ?
Selon les besoins de lentreprise : cela cote cher Peut tre externalise
Assistance (hot line) pour les utilisateurs

Ca ne marche pas ! Obligatoire Centrale puis dispatching Locale puis appel lassistance centrale si besoin Difficile pour un utilisateur de sparer rseau / application
Il faut une trs bonne organisation humaine

Ne pas hsiter dcentraliser (noms, adresses, ) Comptences : formation continue obligatoire
139
Administration de rseau : standards

ICMP
Echo, TTL exceeded, Dest unreachable, redirect, Utilis par les outils ping, traceroute par exemple Avantage : support par toute station IP (ordi , routeur, ) Peut sembler anodin mais en fait trs utilis
SNMP - Simple Network Management Protocol

Agent (serveur) dans hub, commut, routeur, station, Manager depuis station dadministration MIB : informations (@, ) standard ou constructeur Fonctions : GET SET TRAP sur UDP Scurit embryonnaire ? config ne se fait pas avec SNMP
cel-00561873, version 1 - 2 Feb 2011
RMON RMON2 : MIBs pour sondes Les standards permettent davoir un mme outil pour administrer des matriels htrognes
Administration de rseau : configuration des quipements

Avec telnet ou interface Web
Pas SNMP Telnet est souvent plus prcis (pour les spcialistes) Attention aux mots de passe : ajouter filtrage / @ IP
Perte de la configuration quand arrt de lquipement ? Stockage des diffrentes configurations

Gnralement : TFTP
Permet de sauvegarder une configuration sur un serveur Inversement de charger cette configuration depuis ce serveur dans lquipement actif
Attention : pas de mot de passe dans TFTP
Outils de constructeurs qui permettent de grer plusieurs versions de configuration et dOS

140
Administration de rseau : surveillance

But : dtecter (rapidement) des anomalies 2 types dinformations utiles
Alarmes : lien coup, lment arrt, daemon/service inactif, Relevs (courbes, tableaux, ) sur une courte priode indiquant des charges, utilisations anormales (inhabituelles)
Longue priode ? mtrologie
Transport : liens, quipements actifs

Traps SNMP mis par les quipements Outils base de ping et/ou traceroute depuis un point Lors rcupration de compteurs SNMP, sondes : courbes inhabituelles
Services : messagerie, cel-00561873, version 1 - 2 Feb 2011

Daemon (service) inactif, spool plein, Ex doutil : Big Brother
Depuis une station interroge un daemon spcifique sur chaque machine de service Dtecte si service inactif, remonte des alarmes sur des seuils,
Administration de rseau : surveillance

Alarmes et relevs
Arrivent sur ou partent de la station dadministration Alarmes peuvent gnrer des mails aux admins
Des lments de charges, activits anormales permettent de dtecter des problmes de scurit
Brusque trafic vers une station, dune application,
Les construire avec lexprience

On peut rcuprer normment dinformations Lesquelles sont pertinentes ?
Les utilisateurs sont souvent plus rapides que les outils

Pour avertir : a ne marche pas !
141
Administration de rseau : dpannage

O se situe le problme ? Quand localis : rponse simple Faire preuve de logique
Premire question : quest-ce qui a chang ? Procder par limination
Ex de dmarche : telnet www.inpg.fr ne marche pas

Est-ce que la machine est accessible : ping www.inpg.fr ? Si non, o sarrte laccs : traceroute www.inpg.fr ?
Tout de suite : problme trs local
Ping machine locale ? pb sur routeur sortant ou sur rseau local Cblage ? Essai dune prise voisine
Si arrt un routeur : lequel ?

Sur le site distant : tlphone ladministrateur distant Sur le site local
cel-00561873, version 1 - 2 Feb 2011
Est-ce uniquement vers ce site : essaie datteindre un autre site de lInternet
Si oui, service arrt ? Problme de filtrage ?

Administration de rseau : dpannage

Demande de connatre
La thorie : protocoles, fonctions des quipements, Son rseau, ses utilisateurs et leurs applications
Analyseurs de protocoles
Quand vraiment on ne peut pas faire autrement Ex de logiciel du domaine public :TcpDump Station portable avec logiciel commercial Il faut bien connatre les protocoles
Problmes logiciels : dautres ont eu le mme pb

Ne pas hsiter utiliser les moteurs de recherche, news,
284
142
Admin rseau : station dadministration

Objectif : disposer dUNE station qui
Permette de configurer tous les quipements et de stocker toutes les configurations Reoive toutes les alarmes (Traps SNMP, ) Permette dexcuter des scripts de surveillance dvelopps, Dessine (automatiquement) la carte du rseau : liens, stations, quipements actifs, services Affiche en rouge ce qui ne marche pas Rcupre des donnes de mtrologie, les stocke, les affiche
Trois types
Stations gnrales (Sun, HP, IBM, )
Beaucoup de temps pour les matriser
cel-00561873, version 1 - 2 Feb 2011
Stations de constructeurs dquipements (CISCO) Stations artisanales avec outils du domaine public
Actuellement personne vise lunicit (LA station)

Les grands sites ont les 3 types de stations prcdentes
Administration de rseau : scurit

De plus en plus de problmes de scurit lis au rseau
Intrusion depuis lInternet sur des machines internes Attaque de serveurs Internet : Web, messagerie, DNS Virus dans les messages lectroniques, SPAM Vers se propageant par le rseau Spoofing d@ IP, d@ de messagerie Charge de liens (trafic parasite) ? deny de service
Organisation coopration troite entre responsable scurit et administrateur rseau

Surveillance du rseau ? peut indiquer des probl mes de scurit Architecture de rseau ? permet dappliquer facilement une politique de scurit
Maintenant la scurit est un critre de choix important dans larchitecture et les quipements
143
Administration de rseau : mtrologie

But : rpondre aux questions
A quoi sert le rseau ? A quelles applications ? A qui ? Quand ? Qui lutilise ? ? comptabilit si ncessaire Y-a-t-il des goulots dtranglement ? Des problmes de performances ? ? Qualit de service Quelle volution ? ? Anticiper les besoins
Commander laugmentation de dbit dune liaison avant sa saturation
Ensemble de compteurs ? tableaux, courbes, Qui fournit les informations ?

Equipements en coute passive sur le rseau
Sondes RMON, RMON2 Logiciel IPTrafic Pb : nb dquipements ncessaires, o les mettre (pb commutation)
cel-00561873, version 1 - 2 Feb 2011
Equipements actifs du rseau : commutateurs, routeurs

Comptent diffrentes choses ? compteurs sp cifiques ou MIBs Sont interrogs par telnet ou SNMP Peuvent ne plus compter correctement quand dautres urgences (charge)
Administration de rseau : mtrologie

Quelles informations ?
Charge et taux de collisions / interface Issues de comptage de diffrents champs des datagrammes
@ IP (? numros de rseaux), ports (? applications)
Exemples dinformations fournies

Le graphe journalier, hebdomadaire de la charge de chaque brin Ethernet, de chaque liaison, du taux de collision La rpartition entre HTTP, MAIL, FTP, sur chaque liaison Les 20 stations les plus consommatrices Le pourcentage de trafic intra-entreprise et extra-entreprise Le pourcentage de bande passante de laccs Internet consomm par chaque service de lentreprise
MRTG : logiciel graphique

Visualise le trafic sur les interfaces des commutateurs, routeurs, stations Informations dans MIBs, obtenues par SNMP
144
Administration de rseau : remarques

Fondamentale quand rseau denvergure Surveillance :
Confidentialit des relevs Respect de la vie prive
Constats
Les quipements et les liaisons fonctionnent bien IP est trs solide ? Consquence ngative sur le besoin dadministration
Il faut se construire soi-mme sa boite outils

Pas une seule solution avec un seul produit Difficile de conduire une approche thorique globale
cel-00561873, version 1 - 2 Feb 2011
Beaucoup doutils du domaine public existent

Mais chaque outil a un but particulier Un administrateur doit bien savoir ce quil veut obtenir
Administration de rseau : remarques

Exemple de choix de logiciels du domaine public
Outil de dpannage : tcpdump

Analyseur sur station Unix Utilise ping et traceroute Dtecte rapidement une anomalie sur une liaison (coupure, engorgement). Sort des statistiques. Sonde Indique quoi est utilis le rseau : charge, stations les plus bavardes, qui dialogue avec qui, avec quels protocoles, Sur une courte priode Services surveills : messagerie, Web, FTP, SMTP, POP, IMAP, Alerte (mail) quand indisponibles
Outil de surveillance de liaison : MTR
Outil de surveillance de trafic : NTOP

Outil de surveillance de services : Mon

Outil de mtrologie : Cricket bas sur MRTG

Interroge des routeurs, commutateurs en SNMP Charge, trafic sur une longue priode
Outil de mtrologie orient comptabilit : acct-cisco

Comptabilit (et rpartition de charge) sur un routeur CISCO
290
145
Elments de scurit
De protection contre les agressions externes en provenance de lInternet (donc via le rseau) Garde-barrire
Equipement entre lextrieur (hostile) et lintrieur (de confiance) : routeur, quipement spcifique 3 ensembles principaux de contrle
Filtrage IP de base : cf cours sur les fonctions annexes des routeurs Filtrage IP statefull : analyse des sessions applicatives Relais applicatifs
Ex telnet : login sur garde-barrire puis login sur machine interne Permet de concentrer les contrles sur une machine Difficile davoir des dbits trs levs (Gigabits : non)
cel-00561873, version 1 - 2 Feb 2011
Fiabilit : prvoir un quipement de secours Entre rseau interne de lentreprise et lInternet

Elments de scurit
Architecture segmente : un exemple
Internet Internet
R NAT WWW Relais Mail DNS Sonde G-B
Service administratif Service R&D R Service X

Mail WWW DNS Calcul Stockage
Serveurs internes DMZ Serveurs Internet

146
Elments de scurit
Un pb de cette architecture : travail distance
Comment consulter son courrier distance ? Comment accder lIntranet distance ? Solutions : cf connexion depuis lInternet
Un autre pb : portables
O les connecter en interne (peuvent transporter des virus ou vers) ?
Garde-barrire
Ne pas se reposer uniquement sur sa protection
Sonde de dtection dintrusions

Sonde avec bibliothque de signatures dattaques
cel-00561873, version 1 - 2 Feb 2011
Logiciel de simulation dintrusions

Test de vulnrabilits travers le rseau
Rq : jamais de scurit 100 % (ne pas connecter ?)

Accs lInternet (Web)

Station interne LAN entreprise ? Internet Connexion directe (sans NAT)
@ IP officielle station ? @ IP serveur Web
Connexion directe avec NAT

@ IP prive station ? @ IP serveur Web NAT @ IP officielle ? @ IP serveur Web
Proxy-cache Web : serveur dans DMZ

@ IP station ? @ IP proxy Web @ IP proxy Web ? @ IP serveur Web 2 sessions TCP (HTTP) : StationProxy et Proxy Serveur Web Cache, gain bande passante, filtrage, traces, anti-virus
Scuris : 3ime mthode > 2nde > 1re Accs lInternet : autorisation ou non aux salaris ?
147
Accs depuis lInternet

Serveurs Internet Extranet de lentreprise O les mettre ?
Dans la DMZ
Zone Dmilitarise, semi-ouverte
Chez un fournisseur daccs ou hbergeur
Stations ddies Serveurs aux CNRS

Plutt apache et Linux Un peu IIS et Win-NT : bcq trop de pbs de scurit cel-00561873, version 1 - 2 Feb 2011
Prvoir un mcanisme de MAJ Bien les scuriser


au rseau de lentreprise Comment travailler distance ?
Consulter sa messagerie et mettre des messages Accder (interactif) aux stations internes Transfrer des fichiers Accder globalement toutes les ressources de lIntranet (rseau interne) De manire scurise (pas de mot de passe en clair sur le rseau)
Consulter sa boite aux lettres

Accs interactif, POP, IMAP trop dangereux SSL : POPS, IMAPS, Passerelle Web (HTTPS)
Chiffrement uniquement Chiffrement et authentification du client : certificat client
Emettre des messages

Relais public ou Sendmail-TLS
148

au rseau de lentreprise Accs interactif et transfert de fichiers
Scurisation niveau application : SSH par exemple Garde-barrire
Accder toutes les ressources internes

VPN PPT, L2TP, IPSec
cel-00561873, version 1 - 2 Feb 2011
Tous ces mcanismes demandent des comptences pointues pour ne pas crer des trous de scurit Personnel trs mobile : tout sur le portable ?
Attention aux vols Prvoir sauvegardes
Construire un rseau solide

Fiabilit, disponibilit, tolrance aux pannes, Faire une architecture (physique et logique) simple
IP est trs souple : ne pas abuser des possibilits pointues
Faire des cahiers des charges (pour chaque volution)

Quest-ce quon veut comme fonctionnalits ? Laisser rpondre les intgrateurs
Choisir des quipements spcialiss

Un PC avec Linux nest pas un routeur
Ne pas hsiter multiplier les machines ddies /services

Web FTP Mail - DNS -
Services rseaux
Sous Unix ou sous NT ? Selon comptences habitudes schma directeur
149
Construire un rseau solide

Faire en fonction des moyens dont on dispose
Identifier ce qui est vital et non
Cela va dpendre des applications
Lexprience est trs utile

De chaque incident on tire une leon Il est difficile de travailler uniquement en thorie
Ex de question : les quipements et les liaisons sont ils fiables ? Comment le savoir sans exprience ? Les routeurs par exemple sont jusqu prsent trs fiables
Faire appel aux entreprises du mtier cel-00561873, version 1 - 2 Feb 2011

Ne pas faire son cblage soi-mme Utiliser les services des oprateurs Mais comprendre et contrler (le domaine volue vite)
Rseau solide : disponibilit

Des liaisons
Chaque contrat avec oprateur garantit :
Dlai dintervention Dlai de rtablissement : 4 h par exemple
Etablir le mme principe en interne

Pb bien connu : coup de pelleteuse
Des quipements dinterconnexion (matriel)

Spare Contrats de maintenance Garantie : souvent vie maintenant Dans locaux rservs et protgs (accs, feu, climatisation ?, )
Des serveurs
Classique informatique
Ces aspects sont trs important (pbs engendrs graves)

Les informaticiens peuvent avoir tendance le sous-estim
150
Rseau solide : tolrance aux pannes

Pannes
Rupture de liens Arrt dquipements actifs et de services
Liaisons (niveau 1)
Rseau maill sur site
Cbles mais aussi tranches Btiment : deux accs diffrents ?
Liaisons externes LS
2 LS diffrentes ? : rare
Oprateurs : assurent le maillage
cel-00561873, version 1 - 2 Feb 2011
Back up par rseaux commuts : souvent

Dbits infrieurs : est-ce que les applications fonctionnent toujours ? ? Est-ce utile ?
2 points darrives des liaisons externes diffrents ?


Niveau 2 : difficult : Ethernet = bus (? toile) Pas de structure danneau ou de maillage : pas de maillage possible en extrmit
(dans rseau capillaire : stations) Sauf manipulation (changement de prise )
Au cur : rseau maill de commutateurs possible

Algorithme de Spanning Tree Mais construction dun arbre
Un seul chemin utilis un moment Lautre inutilis : gaspillage
302
151

Niveau 3 IP : Routage dynamique sur rseau maill de routeurs Fonctionne trs bien : permet de basculer dun chemin un autre sans intervention manuelle Pb (similaire Eth) : un instant une seule route vers une destination
On peut avoir 2 chemins diffrents pour une destination mais avec des poids diffrents
Quand tout va bien : utilise le chemin avec le poids le plus fort Bascule sur lautre quand le premier chemin est coup Pas de rpartition de charge / destination
cel-00561873, version 1 - 2 Feb 2011
Mais on peut rpartir plusieurs destinations entre des chemins diffrents

Avec des poids diffrents permettant de basculer tout le trafic sur un chemin ou lautre en cas de rupture dun des chemins

Services : serveurs secondaires DNS : ce service doit tre trs fiable
Bien rpartir les serveurs secondaires Au moins un sur le mme site
Pas ct du primaire (en cas de coupure de lien, )
2 autres ailleurs
Messagerie (relais) : serveurs secondaires

DNS : MX records / domaine avec poids diffrents Mcanisme supplmentaire de file dattente sur serveur metteur
Reste 4 j par dfaut si serveur distant ne rpond pas Mais cest moins que la dure des priodes de fermeture des entreprises
Serveurs Web de lentreprise

Si service important : image de marque, source de revenue, outil de travail (B2B) avec fournisseur/client Rplication de serveurs : solutions commerciales disponibles
304
152
Rseau solide : scurit

Problme scurit souvent trs coteux
Serveurs indisponibles, rseau bloqu, vols dinformation, Or attaques viennent maintenant du rseau
Outils imparfaits
Disparates (un peu tous les niveaux ) Ne colmatent quune partie des trous : toujours de nouveaux
IP et Internet : conus sans souci de scurit

Principe dun rseau global, galitaire, sans frontire
Pas conu pour modle raliste : rseaux internes (entreprises) et un rseau dinterconnexion
cel-00561873, version 1 - 2 Feb 2011
Pas de limitation de dbit / station ou application Transport en clair des informations (mot de passe donc) Pas garantie metteur dans messagerie lectronique
Actuellement la scurit est une partie trs importante du travail dun administrateur de rseaux
Rseau solide : qualit de service

Le rseau est vital pour toutes les activits
On demande plus au rseau
Et ses administrateurs
Pas uniquement de garantir la connectivit

Que le ping marche ne suffit plus
Mais que les applications fonctionnent correctement
? Qualit de service
Savoir rserver des bandes passantes (avec certaines qualits)
Des utilisateurs (fonctionnellement des sous-rseaux IP) Des applications (fonctionnellement des numros de ports)
Mcanismes
Cf chapitres : files dattente routeurs et QoS
153
La conception de rseaux
Assemblage de briques un peu disparates Mais larchitecte doit avoir une vision globale
Cbles ? applications Connaissances dans des domaines trs divers
Le rseau demande un budget consquent

Difficile faire accepter la direction Arguments trop techniques
Mtier difficile
A risques
Si le rseau ne marche pas ? catastrophe pour lentreprise
Forte volution des technologies

Remise niveau continuel des connaissances
cel-00561873, version 1 - 2 Feb 2011
Sens relationnel obligatoire

Psychonet parfois
Mais intressant
Etudes de cas : plan

Rseau de petit laboratoire clat : UREC
Rseau dune PME sur 2 sites
Rseau de campus
Rseau dun gros site dune entreprise
Rseau Renater (national)

Rseau oprateur tlcom Rseau grande entreprise multi-sites
308
154
Rseau UREC : stations Paris-Grenoble

Paris
7 personnes 5 bureaux, salle machines (climatise)
Grenoble
4 personnes + stagiaires 6 bureaux, salle machines (climatise), local technique
Choix OS
Stations personnelles : bureautique ? Windows Serveur fichiers interne et sauvegarde ? Windows Serveurs Internet (DNS, Mail, Web, ) ? Linux Dveloppement, tests ? Cela dpend
cel-00561873, version 1 - 2 Feb 2011
Rseaux UREC : cblage

Cblages effectus par 2 socits spcialises
Cahier de recette : plans, reprage des prises, rsultats tests
TP catgorie 5 : 100 Mbps OK

Post-cblage Grenoble Pr-cblage Paris (nouveaux bureaux) Lors du dmnagement Paris : abandon de la FO 3 prises par personne : 2 informatiques, 1 tlphone
Cur toiles
Local technique Grenoble, salle machine Paris Armoires de brassage
Chemins de cble
Goulottes dans les bureaux et faux plafonds ailleurs
Evolution court terme

Bornes sans fil : portables, visiteurs
155
Rseaux UREC
Equipements actifs
Paris et Grenoble : un commutateur routeur 2 ports FO Gbps Ethernet 48 ports TP 10-100 Mbps Ethernet Contrat de maintenance Avant : routeurs , commutateurs Ethernet et ATM, Hub Ethernet, Stations Eth et/ou ATM Connexion extrieure : prise Giga Eth rseau de campus
Plan dadressage
cel-00561873, version 1 - 2 Feb 2011 1 numro de classe C officiel Paris 1 numro de classe C officiel Grenoble Sous-rseaux sur les sites : utilisation des VLAN
Rseaux UREC sur 2 sites : VLAN

Stations utilisateurs Serveurs internes : fichiers, log, mail, Web Intranet Serveurs Internet : DNS, mail, Web,
FO Campus
Commut Routeur
Stations visiteurs Stations tests
Autre possibilit : faire des VLAN tendus sur 2 sites

Pas vraiment de besoin (serveurs mail dupliqus) Trop de dpendance dun site / lautre (pb si coupure Renater par exemple)
156
Rseau UREC : noms machines (Rappel : dj expliqu avant)

Domaine urec.cnrs .fr
Ss-domaine grenoble.urec.cnrs.fr : toutes machines de Grenoble Ss-domaine paris.urec.cnrs.fr : toutes les machines de Paris
Alias
www.urec.fr ? elea.paris.urec.cnrs.fr mail.urec.cnrs.fr ? thinos.paris.urec.cnrs.fr services.cnrs.fr ? kaki.grenoble.urec.cnrs.fr
Serveur DNS serveur Paris

Primaire urec.cnrs.fr et paris.urec.cnrs.fr Secondaire grenoble.urec.cnrs.fr
cel-00561873, version 1 - 2 Feb 2011
Serveur DNS Grenoble

Primaire grenoble.urec.cnrs.fr Secondaire paris.urec.cnrs.fr et urec.cnrs.fr
Serveurs DNS secondaires : Jussieu, Grenoble,

UREC : messagerie
Objectifs architecture
Adresses standards : Prnom.Nom@urec.cnrs.fr Utiliser 2 serveurs (back up) : Paris et Grenoble
MX urec.cnrs.fr ? Serveurs :
Mail.paris.urec.cnrs.fr (prioritaire) Mail.grenoble.urec.cnrs .fr
Alias par personne :

Jean-Luc.Archimbaud@urec.cnrs.fr ? JeanLuc.Archimbaud@grenoble.urec.cnrs.fr
Service accs aux boites aux lettres :

IMAP en local IMAPS avec certificats lectroniques distance
157
UREC : autres services (pour lUREC)

Web Intranet :
Contrle daccs par certificat
Annuaire LDAP : interne Service listes de diffusion : SYMPA Multicast : routeurs configurs pour le recevoir NAT : pas utilis Videoconf (actuellement tlconfrence)
Etude pour lachat dun matriel H323 ddi (cran )
cel-00561873, version 1 - 2 Feb 2011
Administration
Un administrateur Paris, un Grenoble Utilisation de BigBrother
UREC : scurit
Base sur la segmentation et le filtrage Connexion vers lextrieur
Tout est possible pour toutes les stations du personnel Pour les autres (serveurs, machines tests, ) : limite au maximum
Connexion depuis lextrieur

Vers certains serveurs locaux, depuis certains rseaux
Filtres IP : aucun accs possible :

Extrieur ? ? machines tests, serveurs internes Extrieur ? machines utilisateurs Machines tests ? machines utilisateurs
Filtres IP : accs restreints :

Extrieur ? serveur Web : uniquement Web
158
UREC : scurisation accs distants

Actuellement : n applications
Telnet, FTP, IMAP, HTTP vers Intranet Scurisation
Filtrage : uniquement depuis certaines stations Mot de passe ? SSL des applications (telnets, ftps, imps, https) avec utilisation des certificats lectroniques
A ltude : IPSec avec certificats lectroniques

Station distante considre comme station locale Probl mes :
Paramtrage de IPSec (fragmentation UDP) Plus de dbit ncessaire sur la liaison Montages en tous sens demande bande passante LA STATION NOMADE DOIT ETRE DE CONFIANCE
Pas dautres connexions lInternet possible depuis cette station
cel-00561873, version 1 - 2 Feb 2011
317
Rseau de campus
CNRS Meudon : 10 btiments Cblage :
Interconnexion FO Intrieur des btiments TP Cat5
Niveau 2-3
Cur de rseau : commutateur 100 et GigaEth A lentre de chaque btiment : routeur A lintrieur des btiments : commutateurs hubs Sortie vers Renater : routeur
Adressage IP
3 classes C
159
Rseau de campus : services

Messagerie Serveur Web
Internet Intranet : contrle daccs par numro IP
Scurit
Filtres sur les routeurs Contrle daccs et traces sur les serveurs (tcpwrapper)
Equipe
cel-00561873, version 1 - 2 Feb 2011 2 ingnieurs Groupe des correspondants de laboratoire
RENATER : services
REseau NAtional de la Technologie, de lEnseignement et de la Recherche
GIP : Min Ens Sup, CNRS, INRIA, CEA,
Service interconnexion IP
Rseaux rgion Rseaux mtropolitains (MAN) Gros sites Autres oprateurs franais : GIX : SPHINX Connexion internationale
Autres services
IPv6 Multicast VPN CERT
160
RENATER : architecture
Oprateurs
N oprateurs pour les liaisons (FO) Principaux : TD et FT Un oprateur pour ladministration des quipements actifs (routeurs ) : CS
Architecture
ATM (VC avec IP) ? IP sur SDH VPN : VC ATM ? IPSec
NRDs : Nuds de raccordement

cel-00561873, version 1 - 2 Feb 2011 Locaux techniques avec routeurs Dans sites en rgion
321
322
161

2002 11 Cours Interco Reseaux

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2002 11 Cours Interco Reseaux

Uploaded by

Copyright:

Available Formats

Interconnexion et conception de rseaux

Cours de 24 h pour 3ime anne Ecole dingnieurs rseaux 2002

Jean-Luc Archimbaud CNRS/UREC

Interconnexion et conception de rseaux 2002

Interconnexion et conception de rseaux

Concevoir un rseau cest actuellement :

Concevoir un rseau cest dfinir

Larchitecture logique (rseau = rseau IP)

Ladministration des quipements - surveillance Les services rseaux

cel-00561873, version 1 - 2 Feb 2011

Les outils de scurit Les connexions avec lextrieur : Internet,

Adapte aux quipements - besoins des utilisateurs

Rappels : caractristiques du protocole IP Elments actifs dinterconnexion Eth-IP

cel-00561873, version 1 - 2 Feb 2011

MPLS Intgration voix-donnes (tlphonie informatique)

Interconnexion et conception de rseaux 2002

Services dinterconnexion de France Tlcom

Services assurer couche 7 cel-00561873, version 1 - 2 Feb 2011

Fonctions annexes de certains quipements actifs

Administration de rseau Quoi ?

Construction dun rseau solide Etudes de cas

Rseau Renater (national)

Elements dinterconnexion Ethernet

Pointeurs cours, mmoires

MAN : Metropolitan Area Network

cel-00561873, version 1 - 2 Feb 2011

WAN : Wide Area Network

LAN : Liens physiques : critres choix

Immunit aux perturbations

Longueur maximum possible entre deux quipements actifs (? minimiser le nb)

Dbits possibles (surtout dbit max) : bps

LAN : liens physiques : cble coaxial

Large bande : Broadband (LAN, MAN, WAN)

Bons dbits (Gbits/s) et distances, bonne immunit Problme : cher

Utilis dans le rseau cble des villes

LAN : cble coaxial fin et prise en T

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : TP

Blindage des cbles : cel-00561873, version 1 - 2 Feb 2011

LAN : Liens physiques : TP

Cest le media le plus utilis lintrieur des btiments

LAN : photos TP et RJ45

cel-00561873, version 1 - 2 Feb 2011

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : FO

Monomode (single mode) : rayons lumineux en ligne droite

Monomode pour de plus longues distances et plus haut dbits

Plusieurs fentres de longueurs donde possibles pour le faisceau lumineux mis

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : FO

Unidirectionnel : 2 FO pour une liaison Cbles gnralement de 2 40 fibres

LAN : Liens physiques : FO

Affaiblissements dans chaque liaison

Affaiblissement total de la liaison < budget optique

Interconnexion et conception de rseaux 2002

LAN : Liens physiques : FO

cel-00561873, version 1 - 2 Feb 2011

Interconnexion et conception de rseaux 2002

LAN : photos de FO et connecteurs

Interconnexion et conception de rseaux 2002

LAN : sans fil

Normes IEEE 802.11

Distance max station-borne : entre 50 et 200 m Dbits max

Interconnexion et conception de rseaux 2002