Upload
devereux-labbe
View
131
Download
12
Embed Size (px)
Citation preview
Premier jour : 9 h 30 - 17 h 30
Deuxième & troisième jour : 9 h 00 - 17 h 00
Déjeuner : 12 h 30 - 14 h 00
Réseaux: La Synthèse
Guy PUJOLLE, Serge FDIDA & Eric HORLAIT
Présentation des intervenants
• Eric Horlait
• Serge Fdida
• Guy Pujolle
La convergenceLa convergence
1996 1998 2000 2002 20040
200
400
600
800
1,000
(million
s)
Voix sur réseau Fixe
Voix sur réseauMobile
Internet
ACCES
Typologie des réseaux
FRONTIERE
COEUR
Le paysage « réseaux »
• Différents acteurs, différentes influences– Normalisation– Utilisateurs– Opérateurs– Constructeurs– Les usages– L’économie– La régulation– La recherche– L’ingénierie
Notre choix de présentation
• Le monde INTERNET– Son mode de fonctionnement– Les raisons du succès– Les services offerts, les limites
• Les Réseaux d’Entreprises– Architectures et technologies– Équipements et Interconnexion
• Réseaux Mobiles et Réseaux Sans-Fils– Architectures et Protocoles pour les réseaux mobiles– Technologies de Réseaux Sans-Fils
Internet, pas de signalisation
Datagramme
Problèmes de QoS
Paquet avec l’adressecomplète du destinataire
X.25, ATM, …signalisation
Circuit virtuel ou route
342
342
7878 9
9
421
4211 2
34
12
3
4
1
23
4
342, 1 – 3, 78
78, 1 – 3, 9
9, 2 – 4, 421
Évolution
Signalisation
Pas de signalisation
2000
Réseautéléphonique
Internet générationTelecom -GMPLS-PBM
Internetpremière génération
X.25
ArpanetCyclades
ATM
Internetsecondegénération- DiffServ
GSM GPRS UMTS
Wi-Fi
Internet fixe-mobileambiantsécurisé
1970
Routage et commutationRoutage
Commutation
1- Surdimensionnement
2- Surdimensionnementpriorité haute et contrôle deflux dans les routeurs
3- MPLSSignalisation distribuée
4- Contrôle par politiqueSignalisation centralisée
SurdimensionnementCapacité
Temps2000 2005
Support physique
Trafic application
Augmentation des capacités
– Multiplexage en longueur d’ondes WDM (Wavelength Division Multiplexing)
• Début 2000 16 x 2,5 Gbit/s = 40 Gbit/s• Début 2001 32x10 Gbit/s = 320 Gbit/s• Début 2002 128x10 Gbit/s = 1,28 Tbit/s• Début 2003 256x40 Gbit/s = 5,32 Tbit/s
– DWDM (Dense WDM)• 2005: 1000 longueurs d’onde
– Commutateur optique• circuit sur une longueur d’onde• paquet en longueur d’onde
Priorité
• 3 priorités
– Classe avec garantie complète (Premium - Premier)
– Classe avec garantie partielle (Olympic - Olympique)• Or (Gold)
• Argent (Silver)
• Bronze (Bronze)
– Sans garantie (Best effort)
– Introduction de priorité dans les routeurs
Les priorités de DiffServ
Classes CCCDD0
EF 101110
AF 11 à AF 43 001010 - 100110
BE 000000
AF11 001010
AF12 001100
AF13 001110
AF21 010010
AF31 011010
AF41 100010
AF22 010100
AF23 010110
AF32 011100
AF33 011110
AF42 100100
AF43 100110
Contrôle de flux Internet
8
16
12
4
Contrôle de flux
8
16
12
4
La boucle locale
Le réseau d’accès avec fil
-
F
F
F
F
Modem34
STB
modem1
DSLAM
STB
F
F
F
F
Modem34
STB
modem1
DSLAM
STB
F
F
F
F
Modem34
STB
modem1
DSLAM
STB
F
F
F
F
Modem34
STB
modem1
DSLAM
STB
Serveur
Réseaulargebande
La fibre optique
• La fibre optique FITL (Fiber In The Loop)– jusqu’au quartier FTTQ– jusqu’au trottoir FTTC– jusqu ’au bâtiment FTTB– jusqu’à la prise FTTH
• SONET ou RPR (Resilient Packet Ring) sur un MAN
Le CATV
• Le CATV– le modem câble– le multimédia– problème de la voie d’accès montante (utilisateur vers
terminal)– technique d’accès
• IEEE 802.14• Docsis
Réseau d’accès
• Les paires métalliques + modem xDSL (x Data Subscriber Line)– ADSL (Asymmetric Digital Subscriber Line)
• 1,5 Mbit/s pour 6 km,
2 Mbit/s pour 5 km,
6 Mbit/s pour 4 km,
9 Mbit/s pour 3 km,
13 Mbit/s pour 1,5 km,
26 Mbit/s pour 1km,
52 Mbit/s pour 300 mètres.
– SDSL (Symmetric DSL).
– HDSL (High-bit-rate DSL) et
– VDSL (Very-high-bit-rate DSL)• Téléphone et Télévision sur xDSL
Réseaux de mobiles
Les réseaux de mobile/sans fil (1/2)
• Avantages– Mobilité/Nomadisme– Topologie dynamique– Facilité d’installation– Coût
• Equipements• Bande sans licence
Les réseaux de mobile/sans fil (2/2)
• Inconvénients– Problèmes liés aux ondes radios
• Interférences• Effets multi trajets• …
– La réglementation– Effet sur la santé– La sécurité
Internet
Réseau de mobiles
Réseau avec fil
Réseau ad hoc
Réseau sans fil
Boucle locale IP
UMTS
DECT
Mobility
Débit
GSM
10kbps 500kps 10Mbps 150Mbps
WAN
MAN
PAN
2Mbps
Mobilité et débit
IEEE 802.11
IEEE 802.15 ZigBee UWB
IEEE 802.20
satellite
IEEE 802.16
LAN
CircuitCircuit
GSM BTSGSM BTS
GSMBSS
GSMBSS
GSM BTSGSM BTS
HLRAUC
MSC/VLR
GMSC
Réseau à CommutationDe circuit
InternetIP
InternetIP
SGSN GGSN
Réseau à transfert de paquets
BSBS
BSBS
Iub
UTRAN - UMTS Terrestrial Radio Access Network
Iur
UMTS RNC
UMTS RNC
UMTS Réseau cœur
InternetIP
InternetIP
SGSN GGSN
Réseau à transfert de paquets
Node BNode B
Node BNode B
UTRAN - UMTS Terrestrial Radio Access Network
UMTS RNC
UMTS RNC
UMTS RAN
ATM/AAL2
InternetTélécom
InternetTélécom
BSBS
BSBS
UTRAN - UMTS Terrestrial Radio Access Network
UMTS RNC
UMTS RNC
UMTS Réseau cœur
Réseau Sans fil
Réseauad hoc
Hot Spot
Réseau Sans fil
Réseau Sans fil
RAN
GSM et GPRS
GSM = 1 slot = 9,6 ou 11 ou 14 Kbit/s
GPRS = X + Y
Par exemple 4 + 1 pour un total de 53 + 2 pour un total de 44 + 4 pour un total de 5
GSM = n slot à 9,6, 11, 14 ou 20 Kbit/s
Évolutions des technologies
GSM
PDC
IS-136
IS-95
IS-41GSM-MAP
3G 2G
E-GPRS
W-CDMA cdma2000
UWC-136
UTRA
Réseaux de mobiles
• Les réseaux de mobiles et sans fil– Réseaux cellulaires
• de la pico cellule à la cellule parapluie
• 1er génération– Réseaux analogiques
• 2è génération– Réseaux numérique circuit
• GSM– Circuit à 9,6 Kbit/s
• IS95• IS136
• 2,5è génération– GPRS– Réseaux numérique circuit + paquets
Réseaux de mobiles
• 3è génération– IMT 2000 (International Mobile Telecommunication for the year
2000)• UMTS (Europe)---------- UMTS TDD• W-CDMA (Japon)------- UMTS FDD• Cdma 2000 (USA)• EDGE (USA)
– UMTS (Universal Mobile Telecommunication System)• faible mobilité: 2 Mbit/s ou 10 Mbit/s• Moyenne mobilité: 384 Kbit/s• forte mobilité: 64 Kbit/s
UMTS
• Fréquences– autour de 2GHz : bande de 230MHz
• Bandes appairées (120MHz) : 1920-1980 et 2110-2170 FDD/W-CDMA
• Bandes non appairées (50MHz) : TDD/TD-CDMA• Satellites (MSS) : 60 MHz
• Débit prévisible à forte charge: faible de 30 à 50 Kbit/s
Réseaux sans fil
Radio Spectrum
100 Mhz
5.725 Ghz5.825 Ghz
802.11aHiperLan II
83.5 Mhz
2.4 Ghz
2.4835 Ghz
802.11bBluetoothFour à microondes
12cm 5cm
200 Mhz
5.35 Ghz5.15 Ghz
Wireless networks
Standard for wireless networks• PAN
– IEEE 802.15 and WiMedia Alliance• IEEE 802.15.1 - Bluetooth• IEEE 802.15.3 – UWB (Ultra Wide Band)• IEEE 802.15.4 – ZigBee
– HiperPAN
• WLAN– IEEE 802.11 (Wi-Fi)
• IEEE 802.11b • IEEE 802.11a• IEEE 802.11g• IEEE 802.11n
– HiperLAN
• WMAN– IEEE 802.16 and WiMax
• IEEE 802.16a• IEEE 802.16b
– HiperMAN
• WWAN– IEEE 802.20 (MBWA)
Ad hoc networksSensor networks
Bluetooth
Qui est Bluetooth?
• Harald Blaatand « Bluetooth » II– Roi du Danemark (940-981)
Réseaux WPAN
Bluetooth
• Technologie pour remplacer les câbles• Moins de 1 Mbit/s• Portée de 10 mètres• Single chip radio + bande de base
– Très faible puissance & très bas prix
Bluetooth pourquoi faire ?
Personal Ad-Personal Ad-hoc Networkshoc Networks
Cable Cable ReplacementReplacement
Landline
Data/Voice Data/Voice Access Access PointsPoints
Bluetooth Radio Link
• Saut de fréquence– 2.402 GHz + k MHz, k=0, …, 78– 1,600 sauts par seconde
• 1 Mbit/s
. . .
1Mhz
1 2 3 79
83.5 Mhz
Piconet
• Piconet de 8 utilisateurs– 1 maître et 7 esclaves (technique de polling)
• Débit– 433,9 Kbit/s dans une communication full duplex– 723,2 Kbit/s et 57,6 dans l’autre sens dans une communication
déséquilibrée – 64 Kbit/s en synchrone– 1 canal asynchrone et jusqu’à 3 canaux synchrones
PDA
téléphone
souris
PDAtéléphone
Casque sans fil
téléphone
PDA
téléphone
souris
Piconet et Scatternet
UWBUltra Wide Band
Indoor limit
0.96 1.61
1.99
3.1 10.6
GPS Band
UWB - Regulation de la FCC
Régulation de la FCC
• Approuvé le 14 février 2002: permet l’introduction de station UWB sans licence.
• Trois classes de stations UWB
– Système d’imagerie (médical, système de surveillance, système radar d’exploration du sol et des mur).
– Système radar pour les véhicules– Système de communications et de mesures
WiMedia
WiMedia
WiMedia
ZigBee
Vitesse 250 Kbit/s et 20 Kbit/s
Data CommunicationTwo way
Dealer
Server
Field Service
Retailer SOHO
Telephone Cable line
ServiceProvider
ZigBee example
AC or heat
Pump
Gateway(s)
Temp. Sensor
Body monitor
Security Sensor
PC & peripherals Entertainment
Back EndServer
Customers
White goods
Fréquences et débit
Bande Couverture Débit # de canaux
2.4 GHz ISM Monde 250 kbps 16
868 MHz Europe 20 kbps 1
915 MHz ISM Amérique 40 kbps 10
ZigBee
• Version 250 Kbit/s– Topologie en étoile– 255 nœuds– CSMA/CA– Garantie de bande passante– Batterie très basse consommation (plusieurs mois;
presque infini)– 2,4 GHz et 868/915 MHz– 10 mètres de portée
ZigBee
• PAN à bas débits / Réseaux de capteurs (IEEE SG 802.15.4a)– Débits: 20 Kbit/s– Couverture : 10-75m– jusqu’à 65 000 nœuds– esclaves par réseau– jusqu’à 100 réseaux co-localisés– jusqu’à 2 ans d’autonomie avec des piles Alkaline
standard– Exemples: contrôle domotique et automatique
d’immeuble, équipements grand public, périphériques de PC, surveillance médicale, jeux, badges actifs, etc.
ZigBeeLOW DATA-RATERADIO DEVICES
HOMEAUTOMATION
CONSUMERELECTRONICS
TVVCRDVD/CDremote
securityHVAClightingclosures
PC &PERIPHERALS
TOYS & GAMES
consolesportables
educational
PERSONALHEALTH CARE
INDUSTRIAL &COMMERCIAL
monitorssensors
automationcontrol
mousekeyboardjoystick
monitorsdiagnostics
sensors
Wi-Fi
La tendance est au sans-fil
Source: IDC 6/02Source: IDC 6/02
Mobile PC Mobile PC Units (M)Units (M)
20022002 20032003 20042004
PC mobiles PC mobiles équipés enéquipés en“sans fil” “sans fil”
60%60%
90%90%
0%0%
30%30%
Source: Gartner 6/02Source: Gartner 6/02 Source: IDC 8/02Source: IDC 8/02
00
1010
2020
3030
4040
5050
6060
20012001 20022002 20032003 20042004 20052005 20062006
Croissance Croissance annuelle annuelle
moyenne = 15%moyenne = 15%
IEEE 802.11
• Couche Physique– 802.11b (1999) - Vitesse jusqu’à 11 Mbit/s (bande ISM)– 802.11a (2001) - Vitesse jusqu’à 54 Mbit/s (bande UNII)– 802.11g (2003) - Vitesse jusqu’à 54 Mbit/s (bande ISM) – 802.11n (2005/2006) - Vitesse jusqu’à 320 Mbit/s
• Couche Liaison de données– 802.11e (2004) - Qualité de service – 802.11i (2004) - Amélioration de la sécurité – 802.11f (2004) – Gestion des handovers
Café
A la maison
A la maison
Au bureauAu bureau
AéroportAéroport
Chez un clientChez un client
AéroportAéroport
Au siègeAu siège
Hot SpotsHot Spots
BureauBureau
TransportsTransports
DomicileDomicile
Le nomadisme
Hôtel
Wi-Fi Alliance (1/3)
• Wi-Fi Alliance : Organisme qui regroupe les principaux acteurs du marché sans fils dans le monde
• Son but : – promouvoir Wi-Fi comme standard international pour
les réseaux sans fil– garantir l’interopérabilité des produits Wi-Fi (Wireless
Fidelity)– garantir la sécurité dans Wi-Fi (WPA)
Wi-Fi Alliance (2/3)
• Wi-Fi : programme de certification– Tests visant à labelliser tout type d’équipement basé sur
le standard 802.11• Cartes • Point d’accès
– Matériel de référence :• Orinoco, Cisco, Intersil
• But : Permettre l’interopérabilité entre tous les équipements Wi-Fi
Wi-Fi Alliance (3/3)
• WPA (Wi-Fi Protected Access)– Certification pour la sécurité– Architecture de sécurité basé sur l’utilisation de 802.1x
et TKIP– Sera compatible avec IEEE 802.11i
• Wi-Fi Zone– Certification pour les hot spots
• Déploiement• Fiabilité• Sécurité
Basic Service Set (BSS)
BSS
STATION
STATION
STATION
STATION
STATION
Point d’accès
Caractéristiques principales :
• Nom de réseau (SSID)
• Canal de transmission
• Mécanismes de sécurité
• Topologie
Réseau d’infrastructure (ESS)
BSS
STATION
Point d’accès
STATION
STATION
ESS
Système de distribution
BSS
STATION
Point d’accès
STATION
STATION
Caractéristiques principales :
• Nom de réseau (SSID)
• Canal de transmission
• Mécanismes de sécurité
• Topologie
Internet
Réseau en mode ad hoc (IBSS)
IBSS
STATION
STATION
STATION
STATION
Caractéristiques principales :
• Nom de réseau (SSID)
• Canal de transmission
• Mécanismes de sécurité
• Topologie
Architecture centralisé
Réseau 802.11bRéseau 802.11a
Ethernet Alimenté (PoE)
AP controller
Power System
Gestion des handovers
Configuration dynamique des points d’accès 802.11b, 802.11g et 802.11a
Contrôleur de point d’accès
• Configuration dynamique des points d’accès• Gestion des handovers• Evite le problème des points d’accès pirates par
des systèmes de détection• Solution d’intégration pour 802.11a/g• Nombre de points d’accès limité
Equipements : Pont/Commutateur
• Même rôle que les ponts/commutateur Ethernet• Permet de relier plusieurs réseaux 802.11• Architecture sécurisée par des VLAN• Avantage :
– Améliorer l’architecture réseau
Equipements : Antennes
• Permet d’améliorer les transmissions radios• Ne joue pas le rôle d’amplificateur• Performance exprimé en dBi• Inconvénient : toutes les cartes et tous les points d’accès n’ont
pas de connecteurs permettant de les connecter à une antenne• Différents types d’antennes
– Omni– Sector– Yagi– Parabole– Autres
Antenne
Ligne point à pointJusqu’à 30 Km en vue directe
SITE 1 SITE 2
Liaison Wi-Fi spécialisé
Bandes de fréquences dans Wi-Fi
• Pour 802.11, 802.11b et 802.11g– Bande sans licence ISM dans les 2,4 GHz– Largeur de bande : 83 MHz
• Pour 802.11a– Bande sans licence UN-II dans les 5 GHz– Largeur de bande : 300 MHz
Réglementation de la bande ISM
2,400 – 2,4835 GHz
2,471 – 2,497 GHz
2,400 – 2,4835 GHz
2,400 – 2,485 GHz
Bandes de fréquencesPays
Etats-UnisFCC
EuropeETSI
JaponMKK
FranceART
La réglementation française
• Aucune demande d’autorisation– A l’intérieur des bâtiments
• Bande 2,400 – 2,4835 GHz, puissance 100 mW
– A l’extérieur des bâtiments • Bande 2.400- 2,454 GHz, puissance 100 mW• Bande 2,454 – 2,4835 GHz, puissance 10 mW
• Autorisation nécessaire pour une utilisation complète de la bande des 2,4 GHz
802.11b/b+/g
• Bande ISM• Bande divisée en 14 canaux de 20 MHz• La transmission ne se fait que sur un seul canal• Superposition de 3 réseaux au sein d’un même espace• Débits compris entre :
– 1 et 11 Mbit/s pour 802.11b– 1 et 22 Mbit/s pour 802.11b+– 1 et 54 Mbit/s pour 802.11g
• Mécanisme de variation de débits selon la qualité de l’environnement radio
Canal 4 Canal 5 Canal 6 Canal 7 Canal 8 Canal 9Canal 3
F
Les canaux de 802.11b/b+/gCanal Fréquence
(en GHz)
1 2,412
2 2,417
3 2,422
4 2,427
5 2,432
6 2,437
7 2,442
8 2,447
9 2,452
10 2,457
11 2,462
12 2,467
13 2,472
14 2,477
Un canal de transmission
Affectation des canaux (1/2)
2,4 GHz 2,4835 GHz
Canal 1 Canal 7 Canal 13
83,5 MHz
2,4 GHz 2,4835 GHz83,5 MHz
Canal 9 Canal 13Canal 1 Canal 5
Affectation des canaux (2/2)
1 137
13
13 1
1 13
13
13
Zone de couverture (1/2)
• Dépend de l’environnement
– Les murs– Les meubles– Les personnes
• Distance entre les équipements du réseau
• Interférences– Autres réseaux Wi-Fi– Bluetooth– Les fours micro-
ondes– Autres équipements
utilisant la bande ISM
Point d’accès
Zone de couverture (2/2)
• A l’intérieur
des bâtiments
• A l’extérieur
des bâtiments
Vitesses (Mbit/s) Portée (Mètres)
11 20
5 30
2 40
1 50
Vitesses (Mbit/s) Portée (Mètres)
11 150
5 250
2 300
1 350
IEEE 802.11a
5,15 GHz 5,20 GHz 5,25 GHz 5,30 GHz 5,35 GHz 5,725 GHz 5,775 GHz 5,825 GHz
Low Middle High
40 mW 200 mW 800 mW
Intérieur ExtérieurDomaines d’applications
Puissance
Bande U-NII
Fréquences
• Bande UN-II (5GHz)• Largeur de la bande : 300 MHz• Basé sur OFDM• Débits compris entre 6 et 54 Mbits/s• Mode Turbo ou 2X : 108 Mbits/s
Les canaux de 802.11a
• 8 canaux de 20 MHz• Co-localisation de 8 réseaux au sein du même
espace
5,18 GHz 5,2 GHz 5,28 GHz5,22 GHz 5,24 GHz 5,26 GHz 5,3 GHz 5,32 GHz 5,35 GHz5,15 GHz
2,4835 GHz200 MHz
Canal Fréquence(en GHz)
36 5,18
40 5,20
44 5,22
48 5,24
52 5,28
56 5,30
60 5,32
Affectation des canaux
36 44
40 56
48 60
52
64 36 44
40 56
4860
5264
802.11a - Zone de couverture
• A l’intérieur des bâtiments
Vitesses (Mbit/s) Portée (Mètres)
54 5
48 10
38 15
24 20
12 30
6 40
WLAN et LAN
92
8
5
7
18
22
14
0 20 40 60 80 100
1
802.11g
802.11a 2X
802.11a
802.11b+
802.11b
Ethernet 10
Ethernet 100
Qualité de service
• Définition ?• QoS : Garantir un délai, une gigue, une bande passante et
taux de perte pour un flux donné• Exemple : Pour la voix, le délai maximum est de 300 ms• Deux modèles de QoS existent :
– Diffserv (Differenciated Services)– Intserv (Integrated Services)
Débit dans les réseaux Wi-Fi
11 Mbits/s 11 Mbits/s
Interferences
Point d’accès
STATIONSTATION
5,5 Mbits/sSTATION
1 Mbits/sSTATION
5,5 Mbits/sSTATION
2 Mbits/sSTATION
1 Mbits/sSTATION
1 Mbits/sSTATION
2 Mbits/sSTATION
Téléphonie sur Wi-Fi
• Qualité de serviceProblématiqueIEEE 802.11e
• Handover– IEEE 802.11f
Sécurité dans les réseaux
• But : – Identification & Autorisation
• Authentification, signature électronique
– Confidentialité• Cryptographie
– Intégrité• Checksum(CRC, MIC), signature électronique
802.11 Radio Confidentiality
• 1st generation Wireless Equivalent Privacy (WEP), defined in 802.11 standard
• 2nd generation, 802.1x architecture (with WEP).
• 3nd generation, TKIP, hardware compatible with WEP, WPA
• 4nd generation, 802.1i + AES, hardware incompatible with WEP.
IEEE 802.1x
• Utilisé pour tous les réseaux IEEE 802.x• Basé sur Extensible Authentication Protocol
(EAP)• RADIUS : Remote Authentication Dial in User
Service• Protocole d’authentification client/serveur utilisé pour
l’accès à distance
Sécurité dans Wi-Fi
• Accès au réseau– Service Set ID (SSID) : équivalent au nom de réseau– Access Control List (ACL) : basé sur les adresses MAC
• Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4– Authentification– Chiffrement
Failles - SSID et ACL
• SSID– Le SSID est envoyé en clair dans les trames « beacon »– Solution : Eviter d’envoyer le SSID en clair– Inconvénient : le SSID est toujours envoyer en clair dans
les trames « probe »
• MAC : – L’adresse MAC est facilement récupérable par un sniffer– Facilité aussi pour reconfigurer l’adresse MAC d’une
machine
Failles - WEP
• Chiffrement– Faiblesse du RC4– Implémentation de l’IV par les constructeurs
• Authentification– Faille du au RC4– Possibilité de s’authentifier sans avoir la clé
Solutions
• Solution potentielle– 802.1x– TKIP– WPA– Carte à puce– Firewall/Filtre applicatif– VPN
• Normalisation future– 802.11i – Biométrie
IEEE 802.1x
• Utilisé pour tous les réseaux IEEE 802.x• Basé sur Extensible Authentication Protocol
(EAP)• RADIUS : Remote Authentication Dial in User
Service• Protocole d’authentification client/serveur utilisé pour
l’accès à distance
IEEE 802.1x
Liaison sans fil ou filaire
STATION
CLIENT
(Supplicant)
CONTROLLEUR
(Authenticator)
Liaison filaire
SERVEUR D’AUTHENTIFICATION
Port non contrôlé
Port contrôlé
CONTROLLEUR
+
SERVEUR D’AUTHENTIFICATION
EAPOL EAP over …
EAPOL/RADIUSSTATION
Serveur RADIUS
RADIUS - Access Request
EAPOL - Start
EAP – Response (Identity)
EAP – Request (Identity)
EAP – Success
EAPOL - Logoff
EAP – Fail
EAP – Response (Challenge)
EAP – Request (Challenge) RADIUS - Access Challenge
RADIUS - Access Request
RADIUS - Access Accept
RADIUS - Access Reject
Point d’accès
TKIP
• TKIP : Temporal Key Integrity Protocol– MIC (Message Integrity Code)– Nouvel implémentation de l’IV– Une clé par trame– Une gestion des clés améliorés
• Inconvénient : performances
WPA
• WPA : Wi-Fi Protected Access– Initié par le Wi-Fi Alliance– Basé sur TKIP : Changement de clé tous les 10 ko de
données échangées– IEEE802.1x
• Sécurité assurée pour quelques années
IEEE 802.11i – WPA2
• Juin 2004 WPA2
• Utilisation de TKIP et de 802.1x
• Nouvel algorithme de chiffrement : AES– Le RC4 est remplacé par AES
– AES nouveau standard pour le chiffrement des données
– Algorithme très fiable et rapide
Carte à puce
• Authentification SIM– EAP-SIM
• Authentification TLS– EAP-TLS
• Authentification WSC– SIM – TLS
– http://www.WLANSmartCard.org
Filtres applicatifs
• Firewall permet de bloquer des applications en fonction du n° de port– De nombreuses applications utilisent des ports
dynamiques (exemple : P2P)
• Filtre applicatif se base la sémantique des flots– Reconnaissance de la grammaire du protocole– Adéquation avec le RFC
Réseaux Privés Virtuels (VPN)
• But : créer un « tunnel »sécurisé entre un client et un serveur
• Le VPN permet :– D’identifier les clients– D’autoriser les clients– De chiffrer le trafic des clients
• IPSec (Internet Protocol Security)– PPTP– L2TP
IEEE 802.11n
• IEEE 802.11n
– Contrôle de puissance– Gestion des fréquences– Utilisation des deux bandes 2.4 et 5 GHz– 320 Mbit/s– Intégration de
• IEEE 802.11i• IEEE 802.11f• IEEE 802.11e
WMAN et WWAN
• Wimax IEEE 802.16
• Wi-Mobile IEEE 802.20
IEEE 802.16 - WiMAX
WiMax
• Remplacement des câbles (xDSL, CATV)• Charter: Certfier les équipements qui suivent le
standard IEEE 802.16 • Inclus les équipements non compatibles mais qui
pourrait avoir une interface interopérable comme as ETSI HiperMAN
IEEE 802.16
WLL - Wireless Local Loop
IEEE 802.16
IEEE 802.20 – Wi-Mobile
WI-Mobile - IEEE 802.20
• Développer une spécification pour les niveaux physique et MAC pour une interface air, large bande, pour mobile
– Dans les fréquence inférieures à 3,5 GHz
– Au moins 1 Mbit/s par utilisateur
– Vitesse jusqu’à 250 km/h
– Cellules de grande taille
– Accès partout et tout le temps
Architecture IEEE 802.20 vs 3GPP2
Réseaux ad hoc
Réseaux ad hoc
Les réseaux ad hoc
Inondation
Avec tables de routage
Réseaux de capteurs
Capteurs
Capteurs
LAN
LAN
Internet ambiant
Internet
Le futur PDP
PDP
PDP
PDP
PDP
HomeHandover diagonal /vertical
Réseaux: La synthèse
2ème Partie:
Les Réseaux d’Entreprises
Serge [email protected]://www.lip6.fr/rp/~sf
Seconde partie : Plan
1. Historique et motivations 2. Les réseaux locaux3. L ’Interconnexion 4. Conclusion
Etat des lieux
• Domination du modèle Informatique– Architecture tirée par les applications– Croissance du trafic de données– Interface IP
• Support de l ’existant– Réseaux et applicatifs
• Evolutions– Hauts Débits– Multimédia et Qualité de Service– Mobilité
Est-ce si différent?
• Besoins en débit• de 64 kb/s voix sur RNIS-BE à ~10kb/s • 10 à 1000Mb/s pour les données• 1.5 à 25 Mb/s pour l'image
• Caractéristiques du trafic• mode paquet• souvent sporadique, quelquefois continu• comportement fractale
• Contraintes de Qualité de Service
• sensibilité aux pertes• sensibilité aux délais (de bout en bout,
gigue)
INTEGRATION
Trafic Internet
http://www.internettrafficreport.com/index.html
Trafic Internet
Trafic & Applications Internet
• Internet est « vivant »• Nouvelles applications, nouveaux
trafics• Exemple du Peer-to-Peer
– Napster, Gnutella, Kazaa, etc…– http://tests.napsterfr.net/?introduction
Nouveaux besoins? Nouveaux besoins? Quelles solutions?Quelles solutions?
• Augmenter le débit – Où et comment?– Avec quelle(s) technologie(s)
• Apporter des Garanties (QoS)– quand? comment?– Téléphonie, Vidéo, …
• Traiter la mobilité– Quels besoins?
Introduction aux réseaux locaux
• Technologie des années 80• LAN : Local Area Network• Apparition avec les PCs• Approche «pragmatique», fortement US• Support des Réseau d'entreprise … IN/EXTRANET
• Système privé• Débit important 10-1000 Mbps et au delà• Flexibilité (câblage)• Partage de ressources• Ingénierie du trafic
Domaines d'utilisation variés
•Environnements bureautiques- PCs, serveurs - 10/100 Mbps
- Pas de contraintes temporelles
•Environnements Scientifiques- Stations, machines spécialisées, serveurs –
- 10/100/1000 Mbps
- Contraintes temporelles Variables (QoS)
•Environnements de Production- Automates programmables, capteurs, actionneurs, systèmes informatiques - 1/100 Mbps
- Contraintes temporelles
•Multimédia- Données, voix, image - Débit >100Mbps
- Contraintes temporelles variables
Composants
• Un réseau local : LAN– ie : un domaine de diffusion– Support physique– Topologie– Technique d’accès ou de commutation– Des composants– Des équipements d ’interconnexion– Une ingénierie du trafic– Des services et des outils
Les supports Physiques• Paramètres principaux:
Bande passante, Facilité d'installation, Coût
• Paire TorsadéeUTP (Unshielded Twisted Pair): Non blindée
STP (Shielded Twisted Pair) : Blindée / Ecrantée
• Câble CoaxialCompromis historique
Câblage volant (Ethernet fin)
• Fibre OptiqueOnde lumineuse
Faible encombrement, Immunité aux bruits
Large bande passante. Monomode, Multimode
• RadioBande de fréquence radio, eg. 2.4Ghz, 5Ghz
Canal versatile, débit limité (2, 11, 54Mbps)
Câblage
• Le réseau départemental et l'irrigation capillaire
Câble de distribution
Station
Equipement réseau
Prise RJ/45
Cordon debrassage
<90m
<100m
ROCADE
Les supports physiques électriques
• Câble coaxial– 50 Ohms (numérique) - Bande de base– 75 Ohms (analogique/numérique) - Large bande
• Paires torsadées– 100 Ohms (US), – 120 Ohms (France), – 150 Ohms (IBM)– Adaptation d’impédance
PrisesPrises CarteCarte
Paire torsadée UTP-5, 5+, 5e, 6Paire torsadée UTP-5, 5+, 5e, 6• Norme EIA/TIA catégorie 5• Extension 5e pour Gigabit Ethernet• Solution actuelle pour l’irrigation capillaire
– Classe D: câble, connecteurs et cordons de brassage catégorie 5– Longeur max câble= 90m– Longueur max brassage = 10m– 100Mhz sur 100m– 4 paires
• Proposition de norme ISO/IEC catégorie 6– 250Mhz
• 150$ par « drop », 300$ pour fibre monomode, 200$ pour multimode
Topologies
• Organisation du support pour interconnecter les différentes stationsEtoile,Bus,ArbreAnneauCellule
BUS
Topologie BUS
• Structure partagée passive, i.e. non alimentée électriquement
• Terminateurs aux extrémités du câble• Diffusion• Prolongation par répéteurs locaux ou
distants• Distance couverte fonction du type de
support et du débit:
500m Ethernet jaune (50 Ohms)200m Ethernet fin (noir, 50 Ohms)3600m CATV 75 Ohms
Topologie Anneau
• Structure active partagée• Sensibilité aux pannes (supervision)• Diffusion à assurer• Cascade de liaisons point à point
•Exemples de topologie Anneau•Token Ring•FDDI
Topologie Arbre
• Structure active partagée• Sensibilité aux pannes (supervision
racine)• Diffusion (similaire au bus)
•Exemples de topologie Arbre•Ethernet en paire torsadée : 10BaseT, 100BaseT, etc...
HUB
Convergence Architecture RL
Câble de distribution
Equipement réseau
Prise RJ/45
<90m
<100mCarteTransceiver/
Communicateur
Carte Réseau
HUB, Switch, Ethernet/Token Ring/ATM
Partagé/Dédié
Indépendance CâblageEvolution Haut DébitFlexibilité
Câblage d'Établissement
• Possibilité d'intégrer plusieurs topologies sur le même système de câblage
• Utilisation de systèmes d'interconnexionRépéteursPontsCommutateurs, Routeurs
• Le câblage d'EtablissementRocades interconnectant les locaux réseauxRéseaux Locaux
G1: Bus, Etoiles optiques passives et pontsG2: Anneaux: FDDIG3: Commutateurs (architecture effondrée)
Plan
• 1. Historique et motivations • 2. Les réseaux locaux• 3. L ’Interconnexion • 4. Conclusions
Architecture
• Pas de solution homogène• Architecture & Interconnexion
Réseaux capillaires (accès)Réseaux d'établissement (« backbone »)Réseaux métropolitains (MANs)
• Equipements d'interconnexion (Relais: pont, commutateur, routeur)
• Réseaux Virtuels (VLANs)
ArchitectureArchitecture
• Distribuée / Effondrée
RLC
RLC
RLC
Relai
Relai
Relai
RLE
RLC
RLC
RLC
Routeur/Commutateur
RLC: Réseau Local CapillaireRLE : Réseau Local d’Entreprise
Architecture centraliséeRLC
RLC
RLC
Commutateur
RLC
RLC
RLC
Commutateur
Routeur Routeur
Réseau Fédérateur- Routeurs
- Commutateurs Ethernet- MPLS
Les réseaux virtuelsLes réseaux virtuels
RLC
RLC
RLC
RelaiRelaiRelai
RLE
Du réseau physique au groupe logique
Les réseaux virtuels
• Définition– domaine de diffusion limité – toute station du réseau peut appartenir à un VLAN
quelque soit sa localisation physique– un VLAN représente des « mécanismes » qui assurent la
diffusion sélective des informations
• Solution pour– contenir le trafic de diffusion pour réduire la
dépendance aux routeurs (« broadcast storms »)– réduction dans les coûts d ’évolution du réseau
Les types de VLANs
• L ’appartenance (« membership ») à un VLAN peut être définie de plusieurs façons:– Port-Based– Protocol-Based– MAC Layer Grouping– Network Layer Grouping– IP Multicast Grouping– Combinaison– ...
Réseaux Virtuels (ports physiques)
VLAN 1: #1,3VLAN 1: #1,3
VLAN 2: # 2,4,5VLAN 2: # 2,4,5
STATION B
Switch A
STATION A STATION C
STATION D STATION F
11 22 3344
55
Réseaux Virtuels (adresses MAC)
VLAN 2VLAN 2
STATION B
Switch A
STATION A STATION C
STATION D
STATION F2
Switch BSTATION F3
STATION F1
VLAN 1VLAN 1
Les standards IEEE du VLAN
• IEEE 802.1D– Media Access Control Bridges: Traffic Class
Expediting and Dynamic Multicast Filtering (similar to Spanning Tree)
• IEEE 802.1p– Standard for Local and Metropolitan Area
Networks (priorités, multicast, …)
• IEEE 802.1Q– Frame tagging, VLAN architecture, ...
Réseaux Locaux
Technologie et mécanismes des LANs
Les mécanismes de contrôle d'accès
• COUCHE MAC (Norme IEEE)Medium Access Control
• Partage du support de transmissionPropriété d'équité
Simplicité et adéquation à la topologie
Du partagé au dédié (la commutation)
• Principales techniquesAccès Aléatoire (CSMA)
Jeton (Token)
Commutation (Switching)
Techniques Aléatoires
• Basée sur l'ALOHA• ALOHA en tranche• Accès aléatoire avec écoute de la porteuse
Carrier Sense Multiple Access: CSMACSMA/CD (Collision Detection)
• ContraintesCollisions : performanceDébit : service offertCouverture géographique : distances couvetres
MAC Ethernet: CSMA/CD
• with Collision Detection
Station 1
Station 2
Station 3
• Persistant (attente de libération du support)
Contraintes de distances CSMA/CD
• Le support étant partagé, des contraintes fortes existent qui dépendent de la vitesse du réseau:
• Notion de fenêtre de collision– Existence d’une période de vulnérabilité : a
• C: Capacité du support (bits/s)• L : Longueur d’une trame (bits)
– Performance du système dépend du rapport X = aC/L– Détermine la distance maximum du réseau (D)
a L/C
Contraintes CSMA/CD Ethernet
Contrainte C=10Mbps, Lmin = 64 octets
a < L/C = 512 bits / 10 Mbps = 51,2 sec
a=2tp < 51,2 sec
2Dmax < 10 km
Répéteurs => Dmax< 2.5 km
Station A Station B
Station X
tpDmax
Performance CSMA/CD
0
5
10
15
20
25
30
35
40
45
50
0 10 20 30 40 50 60 70 80 90 100
Charge (%)= débit offert / capacité
Débit écoulé
C1
D1
C2
D2
Technique Jeton
• Jeton Simple• Jetons Multiples• Jeton Temporisés• Jeton sur Bus• Gestion plus difficile• Performance
Tenue de la chargeComparaison avec CSMA/CD
La solution actuelle
• Commutation– On traite le problème au niveau de
l’équipement de connexion (commutateur)– Ethernet/Token Ring/ ATM, IP, etc.– Augmente le débit,– Préserve l’existant,– Supporte les réseaux virtuels
Réseaux Locaux: Normalisation
• Modèle
Physique
Liaison
Réseau
Transport
Synchronisation
Présentation
Application
PMD
PHY
MAC
LLC
Logical Link Control
Medium Access Control
Physical Signalling
Physical Medium Dependant
Normalisation
• Objectif: Interconnexion des réseaux locaux entre eux et réseaux publics• LE COMITE 802 de l'IEEE
• NORME ISO 8802.x
Plusieurs solutions complémentaires retenues:IEEE Débit Accès Support Exemple• 802.3
10BaseT 10Mb/s CSMA/CD PT 100m Ethernet TP
10Base5 10Mb/s CSMA/CD Coax500m Ethernet
10Base2 10Mb/s CSMA/CD Coax180m Ethernet fin
10BaseF 10Mb/s CSMA/CD FO (500m/2km) Etoile optique
1Base5 1Mb/s CSMA/CD PT 250m Starlan
100BaseT 100Mb/s CSMA/CD PT 100m Ethernet 100
1000BaseT 1000Mb/s CSMA/CD* UTP5 100m GigaEthernet
10Broad36 10Mb/s CSMA/CD Coax LB 3600m
...
• 802.4 5-10Mb/s Token Bus Large Bande MAP
• 802.5 4-16-100 Token Ring PT, FO IBM
…….
Normalisation
• Autres
• FDDI ANSI X3T9.5 & ISO9314
Ansi & ISO 9314
100mb/s, FO, Anneau
Jeton temporisé
• 802.11a, b, g, etc…
Réseaux locaux sans fils
• 802.14
Cable-TV Broadband• 802.15
Bluetooth, réseaux ad hocs
• 802.17 « Ethernet » résilientRPR Resilient Packet Ring
• Autres types de problèmes 802.1q, 802.1p, 802.1w, etc.
• EthernetsEthernet First Mile : 802.3ahElectricité sur Ethernet : 802.3afEthernet 10gigabits
• MPLSIETFMultiprotocol Label Switching
Les Réseaux Locaux
TECHNOLOGIES DE RESEAUX LOCAUX
Ethernet
• Une grande famille de produits qui ont en commun un même ancêtre
• Trame Ethernet• CSMA/CD ou autre CSMA (Wavelan)
Ethernet (standard 10Meg)
• Ethernet 10 Base TTopologie ArbrePaires torsadéesConnexion par HubHub = répéteur multiportStructure activeSensibilité aux pannes (supervision racine)Diffusion (similaire au bus)Nombre de niveaux dans l’arbre = 5 max*
HUB
HUB
HUB
HUB
HUB
HUB
Ethernet 100BaseT
• Configuration identique au 10BaseT• Existence d'un HUB (Répéteur multiport)• 802.3 MAC protocol• Division par 10 de l'interframe gap (0.96µs)• Conséquence : Un seul niveau dans l’arbre• 2 spécifications du niveau physique
100BaseX (TX, FX)UTP-5, STP, FO, Utilisation du 4B/5B, 2 paires
4T+UTP-3 ou mieux, codage 8B/6T, 4 paires, non full-duplex
• Conservation de l'interface
• Commutateur de paquetéquivalent à un pont multi-ports
• Commutateur de Portdivise les ports en domaines de
collision
statiquement configurable
pontage entre les domaines de collision
Ethernet Commuté (Switch)
RLC
RLC
RLC
Commutateur
Serveur
Gigabit EthernetGigabit Ethernet
• Construire sur Ethernet...– GEA: Gigabit Eternet Alliance (+100 membres)
• Mais...– MAC modifié en mode partagé (Hub)– Fibre optique (MM=550m, SM=3km et plus)– Coaxial=30m– UTP5: 802.3ab– Contrôle de flux– Qualité de service
Les Interfaces Physiques de base
Shielded Copper25m
1000BaseCXSTP
SMF3km
MMF50m550m
1000BaseLX1300nmOptique
MMF50 m550m
MMF62.5 m
220/275m
100BaseSX850nmOptique
8 /10Codage B B
5 Cat UTP100m
1000BaseT4 paires UTP
1000BaseT/codage dÈcodage
D’autres interfaces sont maintenant disponibles
Gigabit EthernetGigabit Ethernet
• Distances– théoriquement 20m si CSMA/CD– 64 octets à 100Mb/s = 512 octets à 1 Gb/s– 1 unique Hub– plusieurs commutateurs
• Cible– fédérateur– liens Inter-commutateurs distants– accès aux serveurs départementaux (fermes)– compétiteur ATM
Migration Gigabit Ethernet
Gigabit Switch Gigabit Switch
10Mbps Switch 100Mbps SwitchServeurs Serveurs
Station
Réseau EthernetDépartemental
Station
1 Gbps
1 Gbps
10Mbps
100/1000Mbps
Ethernet Gigabit Framing
• Support de trame Ethernet sur de longues distances• Spécification IEEE 10xGbE 802.3ae• Coarse WDM• distance inter-répéteurs 50km
– Coût par port de l’ordre de 39k$ alors qu’il est de 1k$ pour le GigaEthernet
– Comparaison vs Aggregation de 8 Ethernet Gigabit avec le protocole 802.3ad
– Coûts prévus plus faibles qu’avec SDH/Sonet– un réseau OC48 SDH/Sonet coûte 4/5000$ par km/an
– un réseau “Optical Internet” coûte 500-750$ par km et par an
Réseaux Ethernet mobile
• IEEE 802.11b – 2 400 et 2 483,5 Mhz– 11 Mbit/s
• IEEE 802.11a– HiperLAN 2 (MAC + ATM) from ETSI– 802.11a opère sur la bande des 5 Ghz– 802.11a propose 8 vitesses de 6 à 54 Mbit/s– 802.11e : qualité de service– etc. : http://ieee802.org/11/
• Sécurité? Fast packet keying…
Réseaux domestiques
• Ethernet– $20 par PC + HUB/Switch et câblage– Débit de 10 à 100 Mbps
• HPNA– Ethernet sur réseau téléphonique– $40-60, 4-6Mbps– Peu mature, normalisation mais peu de produits
• Powerline– Ethernet sur réseau électrique– $99, 14Mbps– Coût, interférences
• WiFi– Ethernet radio– 802.11b : $80 + AP – 11Mbps– 802.11a : $140 + AP – 54 Mbps– Marché en forte croissance
Bluetooth
• PAN: personal area networking• 2.4 Ghz• Support industriel: Bluetooth sig
– Ericsson, Nokia, IBM, Intel, etc.
• Distances: 10m – 100m• Débit : 720kbps par canal• Coût: objectif 5$ par module• http://www.bluetooth.com
Token Ring
• Octobre 85:Annonce officielle au plan mondial
• Disponibilité: début 1987Pb seconde source des circuitsClones PCsComplexité
• CaractéristiquesConforme au 8802.2 et 8802.5Connexion par des concentrateurs ou commutateursVersion 4 ou 16 Mb/sUtilisation de PontsEvolution HSTR 100mb/s (High-Speed Token Ring)
Token Ring
• Isolation des stations défaillantes
• Interconnexion de plusieurs concentrateurs
Stations
Relai
Connecteurrebouclé
Connecteur
1ère paire 2ème paire
1ère paire
2ème paire
En fonction Hors fonction
Token Ring
• Les composants de l'anneau à jeton
Carted’accès
Concentrateurcâblage interne en anneauirrigation physique en étoile
Concentrateur
High Speed Token Ring
• Version 100Mbps du Token Ring
• Caractéristiques– prix environ double du 16Mbps (de 450 à 800$)
– adaptateurs “autosense 4/16/100”
• Groupe IEEE802.5– 802.5t HSTR UTP5
– 802.5u HSTR fiber
– 802.5v gigabit transport
• Evolution limitée / Migration
FDDI :Fiber Distributed Data Interface
• Réseau Métropolitain Réseau fédérateur
100MbpsTolérance aux pannes
• Hier86-92 :« Majorité » du marché des «Fédérateurs»
• Aujourd’huiPas d ’avenir (continuité dans le fédérateur)
FDDI Topologies
Secondary Ring
Primary Ring
Classe A
ConcentrateurClasse B
AnneauPrimaire
AnneauSecondaire
FDDI Topologies
Reconfiguration et BypassReconfiguration et Bypass
Classe A
Classe B
AnneauPrimaire
AnneauSecondaire
Secondary Ring
Primary Ring
Concentrateur
Comparaison des solutions
Solutions Débit UTP5 UTP3 Data MM Ct/10BT Norme
10BaseT 10Mb/s 100m 100m Oui Non 1 802.3Token-Ring 4-16 40-100 40 Oui Limité 2 802.5HSTR 100 100 Non Oui Non 4 802.5FDDI 100 Non Non Oui Sync. 10 ISO 9314TPDDI 100 100m Non Oui Sync. 7 ANSI 100BaseT 100 100 100 Oui Non 1. + 802.3Switch Eth. 10/100 100 100 Oui Non 1.5/3 -Switch Eth. 1000 Non Non Oui Non 10 802.3zATM 155 100 Non Oui Oui 15 IUT, ATMFWavelan 11Mbps - - Oui Non 4+ IEEE
MM= "Multimédia", i.e. certaines propriétés temporelles
LAN Emulation sur ATM
• Utiliser les services réseaux locaux sur ATM• Autre approche vs Classical IP over ATM (RFC 1577)• Les problèmes rencontrés
– mode connecté et non connecté– Broadcast, Adressage, Services
• Les composants– LEC: LAN Emulation Client– LECS: LAN Emulation Configuration Server– LES: LAN Emulation Server– BUS: Broadcast & Unknown Server
LANELANE
Réseau ATM
Token Ring
Hub
LAN Emulation sur ATMLAN Emulation sur ATM
• LE Configuration Server– informations de configuration– adresse du LE server
• LE Server– Implémente enregistrement/ résolution
d'adresses– LE-ARP
• Broadcast/Unknown Server– Fournit les services de Broadcast, Multicast et
Unicast inconnu
Plan
• 1. Historique et motivations • 2. Les réseaux locaux• 3. L ’Interconnexion • 4. Conclusions
Interconnexion
• Différents équipements en fonction des besoins• Marché très important aujourd'hui• Très exploité pour la segmentation des réseaux• Ingénierie du trafic• Solutions
Répéteurs (Repeaters)Ponts (Bridges) & Commutateurs (Switchs)Routeurs (Routers)Passerelles (Gateways)
• EnvironnementsEthernet, Token Ring, FDDI, ATM, IP
• Permettent de créer des réseaux de dimensions variables
Répéteurs
• Relai de niveau physique
Exemple : Hub
B
A
D
C
X1SR1 SR2
SR3
PONTS
• Relai de niveau Liaison
• Filtrage, Apprentissage
1
2 MAC
2 LLC
1
2 MAC
2 LLC
HOMOGENE HETEROGENE
B
A
D
C
P1
SR1 SR2
SR3Filtre
PONTS
• Pontage de Réseaux Locaux:Analyse et conversion de trame d'un
RL vers l'autreEthernet, 802.3, 802.5, FDDI
• Fonctions: – Apprentissage, Filtrage
• Ponts simples, multiples, distants
Spanning Tree 802.1d, 802.1w
Ethernet
Ethernet
Ethernet
Bridge P2
Bridge P3
Bridge P1
STATION A
STATION B
AA AA
standbyestandbye
SPT : Spanning Tree Protocol 802.1dRSPT : Rapid Spanning Tree Protocol 802.1w
PONTPONT
• Techniques– Spanning Tree (802.3)– Source Routing (802.5)
• Utilisation– Petits réseaux ou VLANs– Adressage Plat– Plan d ’adressage MAC (ie. niveau 2)– Similaire aux commutateurs
ROUTEURS
• Relai de niveau Réseau
•ROUTAGE•Protocole IP•Routage Interne (RIP, OSPF)•Routage Externe (EGP, BGP)
1
2
3
A
B
C
DE
Routeur
Architecture IP
Applications Applications
Réseau R1
Protocole d'accès à R1
IP
Réseau R2
Protocole d'accès à R2
IP
R1 R2
IP
Station A Station B
TCP/UDP TCP/UDPRouteur
Un réseau InternetUn réseau Internet
• L'environnement Internet• Stations (adresses IP, Noms)• Routeurs• Réseaux hétérogènes (ATM, Radio, Ethernet,
Satellite, X25, etc.)
Routeur-a
Routeur-b
Routeur-c
Réseau-1
Réseau-2
Réseau-3
Réseau-4Réseau-5
Principe du routage
• Déterminer une route (séquence de routeurs) de la source vers la destination.
• Facteur d’echelle->– Plusieurs niveaux de routage– Interne (un seul AS)– Externe (plusieurs AS)
• Protocole de routage: recherche d’un chemin de coût minimum dans un graphe valué
A
ED
CB
F
2
2
13
1
1
2
53
5
• “bon” chemin:– Chemin de coût
minimum– Coût = délai, $, etc..
Exemple : Algorithme de Dijsktra
1 Initialisation: 2 N = {A} 3 Pour tout noeud v 4 si v adjacent à A 5 alors D(v) = c(A,v) 6 sinon D(v) = infini 7 8 Boucle 9 trouver w non dans N tel que D(w) est minimum 10 ajouter w à N 11 maj D(v) pour tout v adjacent à w et non dans N: 12 D(v) = min( D(v), D(w) + c(w,v) ) 13 /* nouveau coût de v est soit l’ancien coût de v soit le coût14 minimum du chemin connu vers w plus le coût de w vers v */ 15 jusqu’à inclure tous les noeuds dans N
Exemple de l’algorithme de Dijkstra’sPas
012345
début NA
ADADE
ADEBADEBC
ADEBCF
D(B),p(B)2,A2,A2,A
D(C),p(C)5,A4,D3,E3,E
D(D),p(D)1,A
D(E),p(E)infini2,D
D(F),p(F)infiniinfini
4,E4,E4,E
A
ED
CB
F
2
2
13
1
1
2
53
5
La couche réseau de l’Internet
Tableroutage
Protoc de routage•acheminement•RIP, OSPF, BGP
Protocole IP•adressage•format des paquets•Contrôle
Protocole ICMP•Report erreurs•signalisation
Couche Transport : TCP, UDP
Couche liaison
Couche physique
CoucheRéseau
Adresses MAC et adresses IP
Adresse IP sur 32-bits (IPv4)• Adresse réseau• Utilisée pour acheminer le datagramme IP vers sa
destination (plan d’adressage IP)
Adresse MAC ou physique • Utilisée pour acheminer un datagramme d’une interface
vers une autre interface physiquement connectée sur le même réseau
• Adresse MAC 48 bit (pour la plupart des LANs) en “dur” dans la ROM de l’adapteur
Adresses MACChaque carte (“adapter”) possède une adresse MAC uniqueChaque interface réseau possède une adresse IP
AdresseMAC R
AdresseMAC E
AdresseIP E
AdresseIP R IP payload
datagramme
Adresses MAC et IP
Trame
Adresse TrameSource, Destination
Adresse DatagrammeSource, Destination
ARP & RARPARP & RARP
• ARP permet de trouver l'adresse NIC d'une adresse IP donnée
• RARP est l'inverse de ARP
Routeur-a
Réseau--2Réseau-1
208.0.0.1
208.0.0208.0.0.4
222.0.0.3
222.0.0.9
222.0.0
208.0.0.2
222.0.0.208002B00EE0B
08002B00FA06
Destinataire (Host-y)Adresse IP (208.0.0.4)
ARP Adresse Physique08002B00FA06
• Encapsulation IP
PHY1
MAC @AA:...:23
IP @129.215.4.1
PHY1
MAC @01:...:76
PHY2
MAC @00:...:38
IP @192.41.34.3Rés Rés
Relai
PHY2
MAC @03:...:54
LAN A LAN B
Réseau LAN A LAN B PONT au lieu de RouteurDestination MAC 01:...:76 00:...:38 00:...:38Source MAC AA:...:23 03:...:54 AA:...:23Destination IP 192.41.34.3 192.41.34.3192.41.34.3Source IP 129.215.4.1 129.215.4.1129.215.4.1
Illustration de ces principes
Commutation & Routage
• Commutation IP• Commutation MPLS• Commutation de niveau 4• Commutation de niveau 7• Routage• ……………
Le cœur du réseau
Commutateurs et niveau 3Commutateurs et niveau 3
• Commutation ou Routage?– routeurs flexibles, lents et chers (hier!)– commutateurs rapides, économiques
• Des routeurs rapides?– Gigabit/Terabits routeurs
• Associé IP et la commutation– A l’origine (1996) IP switching, Tag Switching– Puis MPLS (IETF)– Aussi mais disparu, MPOA (ATM Forum)
• Un moyen pour accélérer les routeurs
Le Table-Look-up
Commutateur/RouteurA B
X Y
AX BY
Table
en-tête
Paquet/Trame
Note : IP : A = B : @IPATM : AB : @VPI/VCI
Commutation et Routage
Niveau 3
Niveau 2
Niveau 1 signal
trame
paquet
Commutation de Trames
Niveau 2
Niveau 1
EthernetFrame Relay
@
MAC/DLCI
Routage pur
Niveau 3
Niveau 2
Niveau 1
@IP
Commutateur/Routeur de Label (LSR)
Niveau 3
Niveau 2
Niveau 1
Label Swapping
@IP
@MAC@ ATM, etc.
+Label Distribution
Label
Exemple Label Switching
Router
Router
Router
Site ASite B
XY
A/L1/X
L1/L2/Y
L2/B
Association niveau 2/niveau 3
Cellule ATMCellule ATMTrame FRTrame FR
88Label Label Local?Local?
1. Recuperer le datagramme IP
2. Le passer au niveau supérieur 1. Label
look-up
2. Nœud suivant
3. Swapper le label
NN 1010AA
AA 88 BB 1010
BB
TranslationTranslationd’en-têted’en-tête
Exemple : Les Circuits virtuels de X25
• Mode avec connexion: circuits virtuels.– table de commutation, exemple Ai Cj
Bj Dk
numéro de voie logique
numéro de voie logique
i
i
mm
circuit virtuel = association de i, j, k, l, m
j
k
l
A
B
C
D
E
F
Exemple : Acheminement ATMExemple : Acheminement ATM
5
5/X
9
8
9/D
8/T
F
D
T
I
A
5F
9I
8A
•Mode connecté•Conservation de l'ordre•Simplification de la gestion du trafic•Rapide (Table-Lookup)•Insertion des cellules dans le multiplex•Adaptation de débit par utilisation de cellules vide
Exemple de commutation de label
171.69
128.89.10
i/f 0
i/f 1i/f 1
AddressPrefix Interface
...
128.89.10
1
0
171.69
...
128.89.10
1
1
171.69
Informer l’accessibilitéde 128.89.10
Informer l’accessibilité de 128.89.10 et 171.69
Destination-Based Routing ModuleAddress
Prefix Interface
10
Informer l’accessibilitéde 171.69
IGP
Exemple de commutation de label (suite)
171.69
128.89.10
i/f 0
i/f 1i/f 1
AddressPrefix Interface
...
128.89.10
1
0
171.69
...
128.89.10
1
1
171.69
Informer Correspondance<7,171.69> avec LDP
Informer Correspondance<5,128.89.10> avec LDP
Informer Correspondance<3,128.89.10><4,171.69> avec LDP
AddressPrefix Interface
11
Label Switching Example (Cont.)
171.69
128.89.10
0
1
1
171.69.12.1 data 171.69.12.1 data171.69.12.1 data
4 7
...
128.89.10
1
0
171.69
3
4
5
7
...
128.89.10
1
1
171.69
LocalLabel
RemoteLabel
AddressPrefix Interface
x
x
3
4
‘Edge’ Label Router réaliseLongest Match, Ajouter Label
Label Routers suivantAchemine uniquement sur le Label
LocalLabel
RemoteLabel
AddressPrefix Interface
Commutation et routage
Layer 2
Switching
Layer 3
Routing
Label switching
Layer 3
Switching
Layer 4
Switching
Layer 3 to Layer 2 mapping
IP switching
Route Server
MPLS
MPOA -
NHRP
Tag Switching
Switching & Routing
ACCES
Synthèse LAN
FRONTIERE
COEUR Giga Ethernet,LSR (MPLS)
Routeurs, LSR
IP/Ethernet<Sans fils, UTP, Fibre optique>
Plan
• 1. Historique et motivations • 2. Les réseaux locaux• 3. L ’Interconnexion • 4. Conclusions
Etat des lieux
• Besoins– Trafic variable, haut débit– Interface IP– Qualité de service
• Quelle(s) solution(s)?– LS, Numeris– Frame Relay, IP– Convergence Voix/Données
Interconnexion des LANs
LAN1LAN1LAN2LAN2
LANnLANn
?
Data & VoixData & Voix
Profil des multinationales
• La facture telecom:– “moyenne” multinationale: 410 000 $ /an– “grande” multinationale: 8.2 million $ /an
• Les services (variations par pays)– Voix (y compris mobiles): 60% du budget
40% local, 50% national, 10% international
– Interconnexion de LANs: 15 à 35% du bud.Supports: LS (70%), FR (25%), ISDN, X25
– Services commerciaux: 25% du budget– Organisations virtuelles: 8% du budget
Revenu et trafic
20% du trafic produit 80% des revenus
Marges plus faibles dans l’espace des données
Business Models pour les données à enrichir
RevenuRevenu Trafic (volume)Trafic (volume)
VoiceVoice80%80%
DataData20%20%
VoiceVoice20%20%
DataData80%80%
Frame Relay• Solution pragmatique• Accélérer une architecture X25• Commutation de niveau 2 (adresse DLCI)• Mode connecté• Fonctions de contrôle d ’erreur et contrôle de flux
reportées à la périphérie• A priori, transfert de données• Intégration de la voix• Intégration ATM• Transport d ’IP
Frame Relay (Relai de Trames)
• Solution pragmatique pour migrer de X25 vers des hauts débits
• Recommandations UIT-T I.122 Framework / Q.922, I.141 Commutation de trames
• Comment accélérer X25?– Commutation de trames
Q.922 (routage de niveau 2)– Relayage de trame
Q.922 core / élimination des fonctions de contrôle (flux, erreur).
X25 PLP
HDLC
X21
Relais de Trame
• Les arguments du Frame Relay– Plus simple à mettre en œuvre
pour un nombre restreint de sites pour une topologie plutôt centralisée
– Débit minimum garanti (CIR)– Multiprotocole (DecNet, IP, IPX, SNA, etc)– Intégration de la voix
Multiplexage voix-données Economique
VPN Réseaux privés virtuels
• Emulation d’un réseau privé de télécommunications sur une infrastructure partagée
• Privée car un ensemble limité et contrôlé de sites peuvent accéder
• Elements principaux– Economie d’échelle (partage)– Flexibilité– Fiabilité– Sécurité
VPN scenarios
• VPN de niveau 2– Basé sur des VC (Virtual Circuit)– Correspondance des routes sur des circuits
• Tunnels de niveau 2 (de edge device à edge device)• FR, ATM, IP/MPLS, VPLS (VLANs)
• VPN de niveau 3– Souvent basé sur IPSec– Autre solution : BGP/MPLS
Services IP
• Les services IP sont l ’avenir!• Les arguments
– réseaux privés virtuels– topologies complexes et larges– Intranet, Extranet– Intégration de la mobilité
• Les limites– Qualité de service (à suivre)
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
TCP-IP: origine
• Commutation de paquets• Approche « informatique » vs « télécom »• Expérimentations de chercheurs• Approche intégrée: des applications aux outils techniques• Approche de complémentarité par rapport à l’existant• Déploiement rapide• Devient standard de fait• Internet• Le Web• Les évolutions nécessaires
1
Réseau 1
BA
Réseau 2
Réseau 3
Réseau 4
P1
P2
C
DE G
F
P1
Px
Interconnexion de réseaux
• Les réseaux d'entreprise
• Les passerelles• Les protocoles• Les adresses• Approche DoD• Le monde TCP-IP
1
Réseau R1
Protocole d'accès à R1
Protocole IP
Réseau R2
Protocole d'accès à R2
Protocole IP
R1 R2
Protocole IP
Machine A Machine DPasserelle
Architecture TCP-IP
Applicationsstandards
Applicationsstandards
Transport Transport
Applicationsstandards
Applicationsstandards
Architecture TCP-IP: adressage
• Adressage hiérarchique– 32 bits
– Réseau / Machine
• Classes d'adresses
• Adresses de groupes
• Écriture standard– 132.227.61.27
Réseau Machine
32 bits
0 <7 bits>
10 <14 bits>
110 <21 bits>
1110 <28 bits>
A
B
C
D
En - tête
Données
Ver IHL
Adresse SourceAdresse destination
Options
Service Total length
ChecksumProtocolTTLOffsetIdentification F
Le protocole IP v4
IP multicast
• Adresses de classe D
• Interface de programmation simple• Impact important sur le routage• Reste « best effort » sur la sémantique• Correspondance avec les réseaux support• Cohabitation multicast/unicast
1
Diffusion IP Multicast
• Traffic Multicast– Un seul paquet
transite pour n destinations
– Economie de la bande passante
Routeurs
multicast !
Routeurs
unicast !
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
Evolution IP v6
• Taille du réseau, nombre de machines– Croissance exponentielle– Gestion des adresses– Manque de hiérarchie des adresses
• Evolution v6– Adresses de 128 bits– Compatibilité v4, adresses locales, opérateurs,
multidestination– Gestion de ressources possible
1
Ce qu’est IP version 6
IP v4
ICMP
IGMP
Mcast
IPsec
Mobilité
Auto Conf
IP v6
ICMP v6
1
Le 6-bone
http://www.cs-ipv6.lancs.ac.uk/ftp-archive/6Bone/Maps/all6bone.gif
1
IPv6 – les produits
• Routeurs
• Systèmes
http://playground.sun.com/pub/ipng/html/ipng-implementations.html
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
Le niveau transport
• TCP– Fiabilité– Contrôles d'erreur, de flux, d'ordre
• UDP– Vérification des erreurs
• Autres protocoles– Applications spécifiques (haut débit)
1
En - tête
Données
Numéro de séquenceAcquittement
Options
Port destPort source
FenêtreDonnées URGChecksum
Drapeaux
TCP: élément de protocole
1
Données
Port destPort sourceChecksumLongueur
UDP: transport minimal
• Sans connexion
• Remise si correct• Pas d'ordre• Pas de correction
d'erreurs• Mode client/serveur
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
Taille de l’Internet: 171 638 297 en janvier 2003
020000000400000006000000080000000
100000000120000000140000000160000000180000000200000000
jan-93jan-94jan-95jan-96jan-97jan-98jan-99jan-00jan-01jan-02jan-03
Source: http://www.isc.org
Vitesse de croissance sur un 12 mois
0,00%
20,00%
40,00%
60,00%
80,00%
100,00%
120,00%
140,00%
01-janv-9301-juil-9301-janv-9401-juil-9401-janv-9501-juil-9501-janv-9601-juil-9601-janv-9701-juil-9701-janv-9801-juil-9801-janv-9901-juil-9901-janv-0001-juil-0001-janv-0101-juil-0101-janv-0201-juil-0201-janv-03
Nombre d’utilisateurs d’Internet
• D’après http://www.nua.ie/surveys, le nombre de PERSONNES ayant accès à INTERNET était de 605 Millions en Septembre 2002
• En France, de l’ordre de 18 Millions de personnes, soit 1/3 de la population, en mars 2003.
• UK: 60%, D: 40%, I: 36%, E: 20%, NL: 61%
World Total
605.60 million
Africa6.31 million
Asia/Pacific
187.24 million
Europe190.91 million
Middle East
5.12 million
Canada & USA
182.67 million
Latin America
33.35 million
1
Le monde Internet
• Connexion isolée "privée"
• Connexion à l'INTERNET
INTERNET
Opérateur
Accès personnel
Réseau d'accès
1
Fournisseur deservice
ISPISP
Internet
• Qui paie le réseau d’accès?
– Utilisateur– L’ISP
• Mais l’ISP est un « vendeur de trafic » pour le réseau d’accès
– Le réseau d’accès paie l’ISPISP
Réseau d’accès
Utilisateur
Fournisseur deservice
GIX
Médiation
€€€
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
La qualité de service et IP
• Le « best effort » seul est insuffisant• Plusieurs approches sont possibles:
– Surdimensionnement– Adaptation du comportement des applications– Réservation de ressources dans le réseau– Adaptation du comportement du réseau
• Les outils– Les infrastructures: Commutation Ethernet, ATM, etc.– RTP/RTCP– INTSERV et RSVP– DIFFSERV
• Signalisation globale?
1
Gestion des ressources par protocole
• Le réseau d’entreprise– Outil de signalisation : RSVP– Mécanismes de gestion (débit, délai)
• Le réseau d’opérateur– agrégation de trafics– services différenciés
• Adaptation applicative– Ce qui est utilisé aujourd’hui (RTP/RTCP)
• Commutation, QoS routing
1
IP et QoS: approche applicative
• Hypothèse– Les applications vivent avec un réseau sur lequel aucune
modification n’est possible
• Adaptation– Modification du comportement des applications en fonction du
comportement du réseau (exemple, modification des codages)– L’application est en prise la plus directe possible avec le
réseau: RTP– Besoin d’un mécanisme d’observation: RTCP– Synchronisation des horloges
1
Approche INTSERV
• INTegrated SERVices• Trois types de profils:
• Best effort– Le service classique
• Controlled load– Le réseau se comporte comme un réseau best effort peu
chargé
• Guaranteed– Garantie de débit, délai et gigue
• Signalisation - réservation
1
Classification des trafics
• A l’entrée d’un réseau, les trafics sont triés et étiquetés
• Chaque routeur traite alors les paquets en fonction de leur classe
Routeur extérieurRouteur interne
• Tri et étiquetage• Conversion de signalisation (e.g. de ou vers RSVP)• Administration
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
Utilisation de l’INTERNET
• Une application majoritaire: le WEB dans les années 90– 90% des connexions– 60% à 70% des octets
• Le reste:– Transfert de fichiers– Messagerie– Signalisation, routage, gestion
• Dans l’intranet– Identique en grandes masses
• Demain?– Voix sur IP?– Peer to Peer (Pair à pair) autour de 25% des octets en 2003
1
GOV
EDU
ARPA
COM
MIL
ORG
UK
FR
CA
...
LIP6
Applications: DNS
• Problème de gestion des noms
• Organisation hiérarchique (1983)
• Syntaxe et application• Les requêtes
1
Domaines récents
• Annonce de l’ICANN (novembre 2000):• aero – Société Internationale de Télécommunications
Aéronautiques SC, (SITA) • .biz – JVTeam, LLC • .coop – National Cooperative Business Association, (NCBA) • .info – Afilias, LLC • .museum – Museum Domain Management Association, (MDMA) • .name – Global Name Registry, LTD • .pro – RegistryPro, LTD
1
Réseau TCP-IP
Application
Terminal
Applications: Telnet
• Gestion de terminaux
• Options pour diverses émulations
– VT100, 3270, Minitel– Authentification
• Transparence• Performances?
1
Réseau TCP-IP
Système de fichiers
Utilisateur
Applications: FTP
• Transfert de fichiers
• Types de données– Caractères– Octets binaires– Compression
• Transfert tiers• Protection des accès
1
En-tête
Corps 1
Corps 1
Corps 3
Corps 2
Corps 1
Définition
Applications: SMTP
• Messagerie• Transfert d'informations• Structure des messages
– RFC 822– MIME (RFC 1521-1522)
• Codage de transfert• Les protocoles
– SMTP– POP3– IMAP4
1
Applications: News
• Messagerie par thème• Panneau d’affichage électronique• Base de données dupliquée• Gestion
– Abonnement– Modération– Diffusion
• Protocole NNTP• Codages identiques à SMTP
1
Applications: NFS
• Partage de fichiers sur un réseau
• Gestion "à la UNIX"• Echanges contrôlés par UDP• Modèle client/serveur (RPC)• Large disponibilité• Précautions d'emploi
Le peer to peer
• Abandon du client/serveur• Les ressources sont à l’extérieur du réseau• Les ressources ne sont pas toujours disponibles• Les ressources ne sont pas toujours connues• Exemple d’applications:
– Partage de fichiers: Napster, Gnutella, KazaA– Instant messaging– Partage de temps CPU: Seti@home
• 25% du trafic au moins en 2003
Exemple de Napster
• Un serveur• Le client se connecte au serveur pour échanger
des listes de fichiers• Choix du fichier et de sa localisation• Téléchargement ensuite• Fin en juillet 2001
Gnutella
• Présenté par AOL en 2000 puis passé en domaine public
• Distribution par inondation (7 voisins à chaque fois, détection de boucles, 10 niveaux seulement)
• Nœuds « bootstrap »• Difficile à « débrancher »
KazaA
• Plus de 3 millions de « peers » connectés avec plus de 3 000 To de données disponibles
• Téléchargement parallèle avec optimisation• Notion de « super nœud » dont la liste est livrée avec le
logiciel• Lors d’une connexion à un super nœud, mise à jour de la
liste et choix de 5 voisins « optimaux » (performances évaluées par ping )
• Le modèle économique:– La société Fastrack aa développé le logiciel à Amsterdam et l’a
licencié à des éditeurs (music city/Morpheus par exemple)– Fin de la licence– Aujourd’hui, la société détenant le logiciel (Sharman network)
est au Vanuatu et le code est déposé en Estonie….
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
Evolution du Web
Source: http://www.netcraft.com/Survey/Reports
1
Evolution du Web
Source: http://www.netcraft.com/Survey/Reports
1
La Saga HTML
• Le travail de l’ISO sur la structuration des documents: SGML
• Un utilisateur: le CERN• Les DTD• HTML est une DTD• Les évolutions: interactions,
exécution• D-HTML• XML, comme synthèse?• Le travail du W3C
– LCS/MIT, Keio Univ., INRIA
1
Le Web: interactions
• A l’origine serveur vers client
• Les réponses du client
• CGI: Common Gateway Interface 1 2 3 4
1- requête2- page3- paramètres4- résultats
1
Le Web: interactions
• Accès aux données sur d’autres serveurs
• Une véritable architecture d’applications• Séparation de la visualisation, de la présentation et du
calcul
Serveur Web
Base dedonnées
HTTP
JDBCODBCNSAPIISAPI
1
Java
• Origine de SUN
• Langage orienté objet (type C++)• Sécurité du code• Sécurité de l’exécution• Interprétation/compilation• Indépendance de la plate-forme matérielle
1
Java: exécution
Matériel
Système d’exploitation
Client Web
Visualisation
Protocole HTTP
Machine virtuelle
1
Les outils Java
• D ’abord, le JDK!• Java Cryptography Extension (JCE)• Java DataBase Connector (JDBC)• Jave Beans / Java RMI• Java Communications• Java InfoBus• Java Media Framework• Java Telephony• Systèmes d’exploitation, TR, etc.
L'architecture « complète »
Protocole IP
ICMP/IGMP
Autres
TCPUDP
...
Ethernet Token Ring Réseaux m X25
PPP, SLIP FR, ATM FDDI
FTP, SMTP, Telnet, DNS, HTTP,
etc.
Applicationsde gestion(routage)
ClientServeur(NFS)
Applications dérivéesde l’ISO (SNMP,
LDAP)
Représentation des données
Applicationscoopératives
(multicast,multimedia,
etc.)
ISO
RTP/RTCPRSVP DHCP
SécuritéMobilité
1
Synthèse sur TCP/IP
• Une architecture d’expérimentation devenue opérationnelle• Une expérience de trente ans• Une architecture unifiée pour le poste de travail, pour le réseau
d’entreprise, pour le réseau local• Des évolutions nécessaires pour le passage à l’échelle: IPv6, QoS• Prise en charge constante de l’aspect utilisateur• Une application modèle d’environnement distribué: le Web• Une idée d’indépendance des infrastructures vues de l’utilisateur• Une idée d’indépendance des applications vues de l’interface• Une idée d’indépendance des systèmes vus des applications
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
La sécurité dans les réseaux
• D'où viennent les problèmes?• Distribution des informations et des machines.• Réseaux mondiaux: Nombre d’utilisateurs élevé, utilisateurs inconnus.• Réseaux locaux: 80% des « attaques »• Commerce et paiement: Le paradoxe du nombre et de la confiance!
• Les techniques• Cryptographie principalement• L’information se protège et se transmet facilement, pour la confiance, les
choses sont plus délicates
• Les limites réglementaires et/ou techniques• Besoin de contrôle des autorités.• Problèmes douaniers / Lieu et méthode de taxation.• Comment exercer réellement un contrôle?
1
La sécurité: les méthodes
• Une trilogie « vitale »:– Audit
• Analyse des besoins, des risques
– Les outils techniques• Cryptographie
– Contrôle• Logiciels ou matériels de surveillance
• Une seule étape vous manque … et tout est dépeuplé!
1
•Un utilisateur quelconque •se connecte sur Internet
•Il récupère le code d’un « exploit »
•Il le compile et l’exécute
•Il est root
Une attaque directe UNIX
1
• Un utilisateur quelconque se connecte sur Internet• Il récupère le programme « sechole.exe »• Il l’exécute • Son compte est ajouté au groupe Administrators
Une attaque directe NT
1
Attaque des mots de passe
• Versions codées disponibles dans le systèmes• Algorithmes connus• Utilisation de dictionnaires• Règles mnémotechniques• Essais pour trouver UN MOT DE PASSE
1
La sécurité: filtrage
RouteurFirewall
INTERNET
Sécurité renforcée
DMZ (Zone Démilitarisée)
MailWebDNS
FTPTelnetX
1
Chiffrement - 1
• Algorithmes symétriques– RC-4, RC-5– DES, 3-DES
Clef Partagée
abc abc#!&$ #!&$
1
Alice
clef privée clef publique
Bob
Chiffrement - 2• Pas de secret partagé, seulement l ’algorithme• Génération des clés• Algorithmes asymétriques à cause des clés
– RSA• Chiffrement, Authentification, Intégrité
• Problème de la distribution des clés et des performances• Exemples:
Alice
clef privéeclef publique
Bob
abc abc#!&$ #!&$
abc abc#!&$ #!&$
1
Chiffrement - 3
Clef privée
Clef publique
=
hash
Message
Digest
Signature
Message Signature
hash
Digest Digest
1
IPSec
IP HDR ESP DATA
authentification + chiffrement
IP HDR AH
authentification
IP HDR
authentification
chiffrement
DATA
DATAIP HDRESPAH
• Chiffrement• ESP: Encapsulated
Security Protocol
• Authentification• AH: Authentication
Header
• VPN• Virtual Private Network
1
Qu’est-ce qu’un VPN IP?
SSL (Secure Socket Layer)
Développé par Netscape fondé sur un algorithme de type RSA
2 phases : Authentification serveur et client Echange de donnée
Notions importante : •Certificat X509 (authentification)•Clé publique / clé privée• Algorithme de cryptage (RC2, RC4 , DES etc..)
TCP/IP
FTPSMTPSSL
HTTP SET
Sécurité - réglementation
• Avant 1986 (décret loi du 14/4/1939)
• Décret 86-250 du 18/2/1986• Loi du 29/12/90 - décret 92-
1358...– SCSSI
• Loi de Juillet 1996• DCSSI
• Simple déclaration pour l'authentification et l'intégrité des messages
• Demande d'autorisation pour le reste
• DCSSI, 18 rue du Dr Zamenhof
• 92131 ISSY LES MOULINEAUX
1
Sécurité -Réglementation• Loi de Juillet 1996
– Libéralisation de l’authentification– Utilisation du cryptage possible
• Tiers de confiance (Key Escrow)• Algorithmes possibles?
– Organisation de l’INTERNET– Les décrets d’applications (fin 96?)– Parus en février-mars 1998!
• Valeur probante de la signature électronique Août 99• Loi du 13 mars 2000
– portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique
– Force probante de la forme électronique des documents, de la signature électronique
1
Coordination des utilisateurs
1
CERT en France
CERT en France
1
La signature électronique
• Loi n° 2000-230 du 13 mars 2000– J.O. n° 62 du 14 mars 2000 page 3968,– adaptation du droit de la preuve aux technologies de
l’information et relative à la signature électronique.
• Article1316-3 du code civil devient: – « L’écrit sur support électronique a la même force
probante que l’écrit sur support papier »
1
Synthèse sécurité
• La notion de sécurité « réseau » n’existe pas• Il faut apprécier les risques• Les systèmes et les réseaux participent conjointement et de façon
indissociable à la sécurité du système d’information• Sur le plan technique:
– Les firewalls: algorithmique modifiant le traitement des protocoles– La cryptographie: modifiant les applications– L’algorithmique des applications (ex: OTP)– Les protocoles: installation de services de sécurité dans les protocoles (ex:
IPSec)– L’intégration de sécurité dans le logiciel (ex: Java)
• Sur le plan réglementaire:– Situation nationale et internationale différente (!)– Aspects de la sécurité liés au commerce électronique
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
Gestion de réseaux
• Administration ISO• Démarche de convergence ISO-TCP/IP• Création de SNMP• SNMP v2• CMIP• SNMP v3
– Une synthèse des besoins– Aspect dynamique des fonctions/services– Environnement d’exécution
1
Gestion de réseau: modèle ISO
• Les domaines fonctionnels:– Gestion des configurations– Gestion des performances– Gestion des fautes– Gestion des ressources– Gestion de la sécurité
• Pour quoi faire?– Echelle des temps– Surveillance, contrôle, mesure, dépannage
1
LME
LME
LME
LME
LME
LME
LME
A
P
S
T
R
L
P
SMAE
?
GetSet
ActionCreateDelete
Event-reportMIB
Description
Gestion des réseaux: modèle ISO
1
$ ping -c 10 hera.ibp.frPING hera.ibp.fr (132.227.61.135): 56 data bytes64 bytes from 132.227.61.135: icmp_seq=0 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=1 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=2 ttl=254 time=3.8 ms64 bytes from 132.227.61.135: icmp_seq=3 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=4 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=5 ttl=254 time=2.4 ms64 bytes from 132.227.61.135: icmp_seq=6 ttl=254 time=2.8 ms64 bytes from 132.227.61.135: icmp_seq=7 ttl=254 time=2.5 ms64 bytes from 132.227.61.135: icmp_seq=8 ttl=254 time=2.7 ms64 bytes from 132.227.61.135: icmp_seq=9 ttl=254 time=2.5 ms
--- hera.ibp.fr ping statistics ---10 packets transmitted, 10 packets received, 0% packet lossround-trip min/avg/max = 2.4/2.6/3.8 ms
Gestion des réseaux: TCP-IP
• Méthodes simples
1
$ ping -c 10 mozart.ee.uts.edu.auPING mozart.ee.uts.edu.au (138.25.40.35): 56 data bytes64 bytes from 138.25.40.35: icmp_seq=0 ttl=223 time=689.9 ms64 bytes from 138.25.40.35: icmp_seq=1 ttl=223 time=780.0 ms64 bytes from 138.25.40.35: icmp_seq=2 ttl=223 time=793.5 ms64 bytes from 138.25.40.35: icmp_seq=3 ttl=223 time=758.5 ms64 bytes from 138.25.40.35: icmp_seq=4 ttl=223 time=676.1 ms64 bytes from 138.25.40.35: icmp_seq=5 ttl=223 time=640.1 ms64 bytes from 138.25.40.35: icmp_seq=8 ttl=223 time=1076.1 ms64 bytes from 138.25.40.35: icmp_seq=9 ttl=223 time=921.0 ms
--- mozart.ee.uts.edu.au ping statistics ---10 packets transmitted, 8 packets received, 20% packet lossround-trip min/avg/max = 640.1/791.9/1076.1 ms
Gestion des réseaux: TCP-IP
• Méthodes simples
1
$ traceroute sophia.inria.fr traceroute to sophia.inria.fr (138.96.32.20), 30 hops max, 40 byte packets 1 mercure-gw.ibp.fr (132.227.72.1) 1 ms 1 ms 1 ms 2 hera.ibp.fr (132.227.61.135) 2 ms 2 ms 2 ms 3 kerbere.ibp.fr (132.227.60.3) 4 ms 4 ms 4 ms 4 r-jusren.reseau.jussieu.fr (134.157.252.254) 125 ms 10 ms 92 ms 5 r-rerif.reseau.jussieu.fr (192.44.54.1) 4 ms 33 ms 34 ms 6 danton1.rerif.ft.net (193.48.58.121) 31 ms 12 ms 15 ms 7 stlamb3.rerif.ft.net (193.48.53.49) 16 ms 28 ms 32 ms 8 stamand1.renater.ft.net (192.93.43.115) 206 ms 136 ms 47 ms 9 lyon1.renater.ft.net (192.93.43.89) 360 ms 30 ms 33 ms10 marseille.renater.ft.net (192.93.43.73) 32 ms 49 ms 32 ms11 marseille1.r3t2.ft.net (192.93.43.49) 36 ms 24 ms 17 ms12 sophia1.r3t2.ft.net (193.48.50.33) 32 ms 24 ms 28 ms13 inria-sophia.r3t2.ft.net (193.48.50.50) 26 ms 33 ms 36 ms14 193.48.50.170 (193.48.50.170) 46 ms 31 ms 27 ms15 sophia-gw.inria.fr (193.51.208.1) 33 ms 45 ms 29 ms16 t8-gw.inria.fr (138.96.64.250) 23 ms 39 ms 26 ms17 sophia.inria.fr (138.96.32.20) 38 ms 33 ms 27 ms
Gestion des réseaux: TCP-IP
• Méthodes simples
1
Centrede gestion
Systèmegéré
Requête
Alarme
PROXYSystème
géré
Gestion de réseaux: SNMP
• Primitives simples
• Structuration des réseaux• Limitations
– nombre– sécurité
• Logiciels "hyperviseurs"
1
sysDescrsysObjectIDsysUpTimesysContactsysNamesysLocationsysServices
Description libre du systèmeIdentification logiciel agentTemps depuis activationNom d'un administrateurNom du systèmeEmplacement physiqueServices offerts (niveaux)
Gestion de réseaux: SNMP
• Structure de la MIB– 171 objets définis dans la MIB II
• Exemple du groupe system
1
La gestion politique
• Notion de règles politiques– Statiques ou dynamiques– Définies par l’organisation, par l’individu, par l’opérateur
de réseau– Pour prendre des décisions
• Contrôle d’accès• Gestion de QoS
1
Modèle de gestion politique
Stockage des règles
PDP
Prise de décision
PEP
Mise en œuvre dela décision
LDAP COPS
1
Synthèse gestion des réseaux
• Une tâche complexe aux facettes multiples
• Accès à l’information détenue dans le réseau d’où le besoin d’un protocole
• Le protocole n’est que le point de départ• Autres fonctions vitales: analyse, modélisation, etc.• Du point de vue technique: un standard de fait aux
évolutions nécessaires
1
Plan
• TCP-IP: Introduction• IP version 6• Le transport• Internet• La qualité de service• Les applications• Le Web• Sécurité• Gestion de réseaux• Voix sur IP
1
Modèle économique
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
An 1 An 2 An 3 An 4
Internet vs Téléphone
Internet
Téléphone
Hypothèse: Téléphone 15%, Internet 300%
1
La disponibilité
32 s/an99.9999%6
Téléphone5 min/an99.999%5
53 min/an99.99%4
Bon ISP?8.8 h/an99.9%3
3.65 j/an99%2
36.5 j/an90%1
1
La voix sur IP
• Transmission d’une information isochrone• Problème de maîtrise des délais et de la gigue• Expérimentations nombreuses• Produits opérationnels
• Architecture normalisée H323 – le standard• Utilisation de RTP/RTCP pour le contrôle de la qualité de service• MGCP (Media Gateway Control Protocol) pour la localisation des outils de
conversion• Développement de SIP (session initiation protocol) à l’IETF –
Développement dynamique de services• Les acteurs: l’informatique d’abord; les télécommunications aujourd’hui;
les opérateurs demain?
1
Les codages de la voix
3
-
-
4.8
DOD 1016(2)
4.13.6-3.83.9/3.74.04.2Qualité MOS(*)
202030100.125Trame
(ms)
15.42.516/18220.1Complex. MIPS
12.2136.3/5.3864Débit
(kbps)
GSM06.60
(1996)
GSM (3)
06.10
(1988)
G 723.1(4)/(2)
G.729(2)G.711Standard
1 Mean Opinion Scores2 CELP: Code Excited Linear Predictive3 RLP-LTP: Regular Pulse Excited with Long Term Prediction4 MP-MLQ: Multipulse Maximum Likelihood Quantization
1
Architecture de protocoles
• Le cadre général actuel est H323 de l’ITU-T intégrant voix - données - audio sur réseaux de données
– Intègre RTP/RTCP
• SIP à l’IETF• La Convergence
H.2
25
Rés
eau
H.245
Q.931Contrôle
T.120Données
Voix
Vidéo
G.7xx
H.26x
1
Exemple de téléphone IP (Cisco)
1
Applications coopératives
• Netmeeting de Microsoft• Architecture d’application
adaptative• Respect des normes• Indépendant des
applications partagées
1
Synthèse multimédia
• Le problème du codage est globalement traité• Une approche « informatique » pour un problème
« télécom »• Les contraintes de gestion du temps et la qualité de service• Une application aujourd’hui: la voix et l’un de ses dérivés,
la téléphonie• L’intégration dans le Web, clé du succès?