« architecture des réseaux » architecture des réseaux emmanuel besson...

106
« Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON [email protected]

Upload: godard-mary

Post on 03-Apr-2015

112 views

Category:

Documents


4 download

TRANSCRIPT

Page 1: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

« Architecture des Réseaux »

Architecture des Réseaux

Emmanuel BESSON

[email protected]

Page 2: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

« Architecture des Réseaux »

Architecture des Réseaux

Architectures étendues

- Partie II -

Page 3: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 3

Agenda (deuxième journée)

Interconnexion de réseaux

Architectures étendues

Solutions de réseaux d’accès

Solutions de réseaux fédérateurs

Notions de réseaux privés virtuels

Réseaux de mobiles

Page 4: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 4

Interconnexion de réseaux

Objectifs

Connaître les différentes technologies des réseaux d'entreprise

Comprendre avantage & inconvénients des solutions du marché

Plan

Solutions de réseaux d’accès

Solutions de réseaux fédérateurs

Notions de réseaux privés virtuels

Réseaux de mobiles

Notions de réseaux privés virtuelsNotions de réseaux privés virtuels

Page 5: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 5

Solutions d’interconnexion IP

Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs :

Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service

Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures)

Le « packaging » des offres opérateurs s’orientent vers les RRéseaux PPrivés VVirtuels IPIP (RPV-IP ou VPN-IP)

Proposer des « prises IP »

Agrémenter les accès de garanties en termes de :

Qualité de Service (VPN-IP CoS)

Sécurité (VPN-IP IPSec)

Page 6: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 6

Définition d’un VPN

Un VPNVPN (VVirtual PPrivate NNetwork) ou RPV (Réseau Privé Virtuel) est un réseau qui…

… utilise et/ou partage des infrastructures publiques ou privées

… met en œuvre des mécanismes de sécuritésécurité et de Qualité de ServiceQualité de Service

Comparatif VPN / Réseau Privé

VPNVPN Réseau PrivéRéseau Privé

++ Coût

++ Flexibilité

++ Externalisation

++ Maîtrise

++ Sécurité

-- Moins de Maîtrise -- Mobilisation ressources humaines importantes

-- Investissements lourds

Page 7: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 7

Définition d’un VPN Frame Relay

VPN basé sur des infrastructures Frame Relay

VPN Frame Relay (offre traditionnelle opérateur)

Notion de CVP et de point-à-point

Maillage complet

Gestion par l’opérateur complexe

Manque de flexibilité

Page 8: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 8

Définition d’un VPN IP

De nouvelles offres : VPN IP (apparues il y a un an)

IP

Protocole universel au niveau des applications

Extension au niveau du transport pour les offres de service réseau

De nouveaux protocoles de gestion

Qualité de Service

MPLS : toujours en normalisation (essentiellement équipements)

DiffServ : normalisé

Sécurité

IPSec

Réseau constitué de routeurs IP

Transport des flux IP de façon « native » (routage dynamique)

Page 9: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 9

Constitution d’un VPN IP (1)

Page 10: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 10

Constitution d’un VPN IP (2)

Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission.

A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution

Page 11: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 11

Constitution d’un VPN IP (3)

ComposantesRéseau de transport : infrastructure « backbone » ou Internet

Moyens d’accès

CPE (Customer Premises Equipment) : routeur, modem

Connexion au réseau de transport via réseau d’accès

Moyens de sécurisation

Technologies propres au réseau de transport (ex. : CVP Frame Relay)

Déploiement d’équipements et logiciels spécifiques

Pare-feux

Serveurs d’authentification/autorisation

Plate-formes de services (hébergement)

Messagerie, accès Web, etc.

Infogérance

Moyens de supervision

Page 12: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 12

Différents types de VPN IP

VPN IP « Internet »

Infrastructure entièrement publique

Utilisation des réseaux ISP

VPN IP « Opérateur »

Infrastructure fournie par un prestataire

MPLS ou non

IPSec ou non

VPN Frame Relay & IP

Avantages & inconvénients

Comparatifs

Page 13: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 13

Définition VPN IP Internet (1)

VPN IP Internet

Utilisation des infrastructures Internet

« Intelligence » gérée au niveau des extrémités (CPE)

Création de tunnelstunnels LAN/LAN ou LAN/PC

Site A Site B

Internet

Création d'untunnel

Page 14: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 14

Définition VPN IP Internet (2)

VPN IP Internet

Utilisation de protocoles de tunneling

PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol)

Utilisés dans le cadre d’accès commutés

Environnement multi-protocoles

L2TP (Layer 2 Tunneling Protocol)

Rassemble les avantages de PPTP et L2F

Nombreuses solutions constructeurs

IPSec (IP Secured)

Norme IETF initialisée en 1992, normalisée en 2000

Sécurité supérieure

Associé à IP

Intégré dans IPv6

Page 15: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 15

Définition VPN IP Internet (3)

VPN IP Internet

Utilisation d’algorithmes de chiffrement

DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation)

Différents types de passerelle VPN IP

Passerelle dédiée : équipement situé entre le routeur du LAN et Internet

Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP)

Passerelle intégrée au firewall

Utilisation d’un serveur de sécurité (authentification/autorisation)

Serveur Radius, etc.

Page 16: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 16

Sécurité des VPN IP Internet

FonctionsFonctions SolutionsSolutions

• Authentification

• Contrôle d’accès

• Login & password

• Calculette (jetons « secure-id »)

• Signature électronique

• Confidentialité

• Intégrité des données

• Tunneling

• Chiffrement des données

Page 17: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 17

Les applications VPN IP Internet

Applications non critiques, non temps-réel

Internet : « best effort »

Pas de qualité de service

Création structure Extranet / Intranet

Accès à distance à un Intranet / Extranet

… depuis des sites de petite taille, ou situés à l’étranger

… de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)

Page 18: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 18

Définition VPN IP Opérateur (1)

VPN IP Opérateur

Réseau privatif sur infrastructure IP managée

Réseau constitué de routeurs IP

CE : Customer Equipment

PE : Provider Edge

P : Provider

Site A Site BVirtual Path

CE CE

PEPEPE

PEPE

PE

P P

P

Page 19: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 19

Définition VPN IP Opérateur (2)

VPN IP Opérateur

Offres récentes

Correspond à une logique d’externalisation (outsourcing)

Service & gestion des équipements (y compris les CPE) par l’opérateur

Deux stratégies d’opérateurs : gestion du protocole MPLS ou non

Évolution du marché : MPLSMPLS

Page 20: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 20

VPN IP Opérateur MPLS : généralités

Gestion de MPLS associé à DiffServ = QS et sécurité sous IP

Priorisation des flux avec plusieurs classes de service disponibles

Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence…

Critique : ERP, SQL, transactionnel…

Standard : Messagerie, consultation Web, …

Entre 3 et 5 classes selon les offres opérateurs

Optimisation de la bande passante

MPLS assure l’étanchéité des flux (sécurité)

Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec

Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante

Page 21: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 21

VPN IP Opérateur MPLS : QS et Applications

Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles

1. Disponibilité de services

2. Délai de transmission

3. Gigue : variation du délai de transmission

4. Débit garanti

5. Taux des paquets perdus

Les SLA sont associés aux classes de service

L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité

Page 22: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 22

VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1)

MPLS

Développé par l’organisme IETF

Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau

Performances et sécurité sous IP

Pas encore tout à fait mature

Solutions différentes pour les équipementiers

Page 23: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 23

VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2)

DiffServ

Développé par l’organisme IETF

Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique)

Se combine à MPLS pour délivrer une Qualité de Service de bout en bout

Intégré dans IPv6

Normalisé

Page 24: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 24

VPN IP Opérateur non MPLS : VPN IP IPSec

Pas de gestion de MPLS

L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné

Mélanges fréquents avec des flux Internet

Pas de classes de service (sauf recours à DiffServ)

SLA

perte de paquet, temps de transit…

moins d’engagements qu’avec des offres MPLS

Sécurité

Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement

Solutions VPN IP IPSec

Page 25: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 25

VPN IP Opérateur : applications

Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication

Offres bien adaptées aux structures et aux applications distribuées

Offres adaptées à toutes les applications existantes et à venir

Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…

Page 26: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 26

AvantagesMaturité

Qualité de Service

Sécurité (CVP)

Multi-protocoles

Adaptés aux structures en étoiles

InconvénientsManque de flexibilité (CVP)

Peu adapté aux accès à distance, aux Extranets, et aux structures maillées

Technologie plutôt en fin de vie

VPN Frame Relay : avantages & inconvénients

Page 27: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 27

VPN IP InternetAvantages

Simplicité

Coût

Sécurité

Capillarité

Flexibilité

Inconvénients

Best effort

Problèmes d’interopérabilité

Mise en œuvre délicate

VPN IP Opérateur Avantages

Idem « VPN IP Internet »

Qualité de Service

Sécurité

Aspect « any-to-any »

Classes de service

Évolutivité

Visibilité sur le réseau

Bien adapté aux nouvelles technologies d’accès

Bien adapté aux applications temps réel

Inconvénients

Technologie récente et encore peu mature (MPLS)

Offres encore incomplètes

VPN IP : avantages & inconvénients

Page 28: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 28

Comparatif Frame Relay et IP

VPN InternetVPN Internet VPN Frame RelayVPN Frame Relay VPN IP (MPLS)VPN IP (MPLS) Réseau IP privéRéseau IP privé

Intranet point-à-Intranet point-à-pointpoint

Possible mais problème de fiabilité

Bien adapté et économique

Bien adapté et très souple

Solution très coûteuse

Intranet mailléIntranet maillé Possible mais problème de fiabilité

Moyen, manque de souplesse (gestion de CVP)

Réseau nativement maillé (any-to-any)

Solution très coûteuse. Le maillage est possible mais doit être géré au niveau des routeurs d’accès.

Accès distantAccès distant Solution la plus simple et la moins coûteuse

Peu d’offres existantes

Peu d’offres existantes (via VPN Internet)

Coût important mais solution la plus souple

ExtranetsExtranets Solution la plus souple pour des échanges ponctuels mais problème de fiabilité

Peu adapté (délais, coûts, …)

Bien adapté, surtout pour des volumes échangés importants

Solution souple et fiable mais coûts importants

Page 29: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 29

Comparatif VPN IP et réseau privé IP

VPN IP InternetVPN IP Internet+ Capillarité

+ Coût- QS aléatoire

VPN IP OpérateurVPN IP Opérateur+ Évolutivité

+ QS+ Coût

Réseau Privé IPRéseau Privé IP+ Sécurité, Maîtrise

- Coût- Forte implication

de l’entreprise

CoûtCoût

QualitéQualité

Page 30: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 30

Solutions VPN

Trois types de VPN IP

VPN IP Internet

VPN IP Opérateur IPSec

VPN IP Opérateur MPLS

Les offres VPN IP Opérateur cumulent…

… les avantages du protocole IP (flexibilité, « any-to-any », coût)

… les avantages des offres VPN Frame Relay (QS et sécurité)

Évolution du marché vers les offres VPN IP MPLS

Les offres VPN Frame Relay restent attractives pour certains besoins

Page 31: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 31

Migration vers un VPN IP (1)

Réseau privé géré par l’entrepriseLocation de Liaisons Spécialisées à un

opérateur

Gestion des flux et de la QS par l’entreprise

Solution VPN IPL’infrastructure réseau local des sites

ne change pas

Gestion des flux et de la QS par l’opérateur VPN

Externalisation des coûts de gestion

Page 32: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 32

Migration vers un VPN IP (2)

Concentration des communications sur une plate-forme centraleGestion des serveurs d'accès distant

par l'entreprise.

Communications au tarif local, national voire international

Solution VPN IPConnexion des nomades via

l'infrastructure d'accès du prestataire.

Communications au tarif local

Optimisation des coûts de communication

Page 33: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 33

Migration vers un VPN (3)

La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines

Infrastructure physique

Sécurité logique

Services applicatifs

Page 34: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 34

Différentes catégories d’acteurs

Carrier to Carrier to CarrierCarrier

Carrier to Carrier to CarrierCarrier

Fournisseurs Fournisseurs d’Accès d’Accès InternetInternet

Fournisseurs Fournisseurs d’Accès d’Accès InternetInternet

Opérateurs IPOpérateurs IPOpérateurs IPOpérateurs IP

Opérateurs Opérateurs de Boucle de Boucle

LocaleLocale

Opérateurs Opérateurs de Boucle de Boucle

LocaleLocaleOpérateurs Opérateurs historiqueshistoriques

Opérateurs Opérateurs historiqueshistoriques

Opérateurs Opérateurs Télécom Télécom

NationauxNationaux

Opérateurs Opérateurs Télécom Télécom

NationauxNationaux

Page 35: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 35

Différents niveaux de VPN IP

Page 36: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 36

Différents positionnements (1)

Classes de

ServicesOutil de

reporting

FR ATMIP avec MPLS

IP sans MPLS

Accès Internet IP

Sec Nombre En ligne

9 Telecom x x x 4 xBelgacom x x ? ? ?Cable & Wireless x x x x 1 en optionCegetel x x en projet 3 à l'étudeColt x en projet x x 3 xCompletel x x 1 xEasynet x x x 3 xFrance Telecom Equant x x x x 3 xGlobal Crossing x x x en projet 3 xKaptech x x 3 xKPN Qwest x x x x 1 à venirLambdanet x x 3 xMaiaah ! x x 5 xSiris x en projet x 4 xSprint x x 1 xTelia x x ? ?WorldCom x x en cours x 3 ? x

Types de VPN

Acteurs

Choix de protocoles (fin 2001)

Page 37: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 37

Différents positionnements (2)

ATM FR IP natif IP MPLSFT EquantMaiaah !Cegetel9 TelecomBelgacomGlobal CrossingSiris en projetColt en projetWorldcom en coursKPN Qwest en projetCable & WirelessSprintKaptechEasynet

Technologie absenteTechnologie présente

Opérateurs VPN IPProtocoles de backbone supportant une offre VPN

Convergence vers MPLS

Page 38: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 38

Uniformisation des prestations (1)

Prestations techniques (liées à l’implémentation du VPN IP)Raccordement des sites

Gestion des accès

Gestion des routeurs

Gestion de la sécurité

Transport Connexion au backbone

Routage VPN client

Traitement différencié des flux

Accès à Internet Adresses IP

Dépôt de noms de domaines

Gestion de la sécurité

Services d’accompagnement client Tuning, conseil, optimisation du VPN

Page 39: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 39

Uniformisation des prestations (2)

Services proposés aux gestionnaires

Gestion des modifications

Fonctionnalités de reporting

Services transverses

Services de support

Services de facturation

SLA & contrats

Mais encore beaucoup d’offres sur mesures

Page 40: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 40

Différents positionnements (3)

RTC/RNIS LS DSL BLR FO GSM9 Telecom x x x à l'étudeBelgacom x x x x xCable & Wireless x x x x xCegetel x x x x xColt x x x xCompletel x x x à l'étude xEasynet x x xFrance Telecom Equant x x x x xGlobal Crossing x à l'étudeKaptech x x x xKPN Qwest xLambdanet x xMaiaah ! x x x xSiris x x x xSprint x à l'étude à l'étudeTelia xWorldCom x x x

ActeursTypes d'accès VPN IP

Enrichissement des offres sur les types d’accès

Page 41: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 41

Sécurité dans les VPN

L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer…… l’écoute des communications

… la falsification des données échangées

… l’usurpation d’identité

Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux :Assurer la confidentialitéconfidentialité des

données

Assurer l’intégritéintégrité des données pendant le transport

Assurer l’authentificationauthentification certaine des parties en relations

Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographiecryptographie

Page 42: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 42

Crypto-systèmes

Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement

Fonction de Chiffrement

Fonction de Déchiffrement

Ensemble des clés utilisables

Crypto-système

Page 43: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 43

Crypto-systèmes symétriques

Pour chiffrer / déchiffrer le message, on utilise une clef unique

Cette clef est appelée clef secrèteclef secrète

Une clef différente donne un résultat différent

Bonjour

Fonction de Chiffrement

Fonction de Déchiffrement

Clef secrèteClef secrète 8964K9X

Page 44: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 44

Crypto-systèmes asymétriques (1)

Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes

La clef de chiffrement est appelée clef publiqueclef publique

La clef de déchiffrement est appelée clef privéeclef privée

Bonjour Fonction de Chiffrement

Fonction de Déchiffrement

Clef publiqueClef publique

8964K9X Bonjour

Clef privéeClef privée

Page 45: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 45

La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés

La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus

Crypto-systèmes asymétriques (2)

Page 46: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 46

Mise en œuvre de la sécurité (1)

La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels

Son objectif est de créer un tunnel chiffré et authentifiétunnel chiffré et authentifié entre deux points

Le chiffrement et l’authentification des parties font appel à la cryptographie

Page 47: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 47

Mise en œuvre de la sécurité (2)

Le protocole IP ne dispose nativement d’aucune fonction cryptographique

Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie

Extension du protocole IP nommée IPSecIPSec (IP Sécurisé ou IP Secured)

IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS)

Page 48: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 48

Protocole IPSec (1)

IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatileclef volatile (mise à jour à intervalle régulier)

Cette clef est appelée clef de session

L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique

Page 49: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 49

Protocole IPSec (2)

IPSec introduit deux nouveaux protocoles IP

AHAH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification

ESPESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur

IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKEIKE (Internet Key Exchange)

Page 50: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 50

Protocole IPSec (3)

IPSec ajoute quelques fonctions intéressantes

Perfect Forward SecrecyPerfect Forward Secrecy

Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session

La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session

Back Traffic ProtectionBack Traffic Protection

Chaque clef de session est générée indépendamment des autres

La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir

Page 51: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 51

Points délicats de la sécurité (1)

A quoi faire attention ?…

Interopérabilité des équipements

IPSec norme IETF

(http://www.ietf.org/html.charters/ipsec-charter.html)

Implémentation de la norme différente selon les équipementiers et éditeurs

Certains équipements refusent obstinément de communiquer ensemble

Amélioration progressive à prévoir

Translation d’adresse (NAT)

Les mécanismes de NAT réécrivent les paquets IP

La translation d’adresse casse l’authentification

Solutions

NAT et VPN IPSec sur le même équipement

Translation avant chiffrement

Page 52: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 52

Points délicats de la sécurité (2)

A quoi faire attention ?…

Postes nomades

Quid en cas de vol d’un poste nomade ?

Pas d’authentification certaine du poste si l’utilisateur s’authentifie avec un couple identifiant/authentifiant

Envisager un mécanisme d’authentification forte

Page 53: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 53

L’avenir de la sécurité VPN

La tendance est à l’implémentation native des fonctions IPSec dans les systèmes d’exploitation (ex. : Linux, Windows 2000, Windows XP, …)

IPv6 intégrera la sécurité de façon native

Page 54: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 54

Concepts de Qualité de Service (1)

Fondamentalement, la gestion de la Qualité de Service (QS, QoS) permet de fournir un meilleur service à certains flots

Mécanismes de priorisation

Règles de gestion de la congestion (politiques de files d’attente)

Mise en forme de trafic (lissage, shaping)

Au sein d’un réseau, les liaisons n’ayant aucune réelle intelligence propre, ce sont les équipements qui implémentent les fonctions de mise en œuvre et de gestion de la QS

Page 55: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 55

Concepts de Qualité de Service (2)

L’architecture orientée QS se compose de trois méthodes d’implémentation :

Implémentation de bout-en-bout

Techniques d’identification et de marquage

Coordination de la QS entre deux équipements terminaux

Implémentation locale à un équipement

Mécanismes de files d’attente

Outils de lissage de trafic

Fonctions de contrôle et de gestion de la QS

Compteurs

Administration

Page 56: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 56

Concepts de Qualité de Service (3)

Page 57: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 57

Identification et marquage (1)

Afin de fournir un service préférentiel à un certain type de trafic, il est nécessaire que celui-ci soit identifiéidentifié

Listes d’accès

CAR (Committed Access Rate)

NBAR (Network-Based Application Recognition)

Une fois identifié, les paquets appartenant au flot requérant un certain niveau de QS peuvent être marquésmarqués ou non

Le processus d’identification/marquage est appelé classificationclassification

Page 58: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 58

Identification et marquage (2)

Identification sans marquage : classification locale

L’équipement identifie des paquets appartenant à un flot

Il met en œuvre une politique locale

La classification « disparaît » et n’est pas transmise ou nœud suivant sur le chemin

Exemples :

Priority Queuing (PQ)

Custom Queuing (CQ)

Identification et marquage : classification globale

Les paquets sont marqués pour l’ensemble du chemin

Utilisation possible des bits de précédence IP

Exemple : DiffServ (Differentiated Service)

Page 59: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 59

Implémentation locale de la QS (1)

Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés

Gestion de la congestion

Quelle réaction doit avoir le routeur lorsque la quantité de trafic excède le débit du lien ?

Stockage dans une file, plusieurs files

Exemples : PQ, CQ, WFQ (Weighted Fair Queuing), CBWFQ (Class-Based Weighted Fair Queuing)

Gestion des files d’attente

Les buffers étant de taille limitée, ils peuvent « déborder »

Quels paquets faut-il détruire ? Comment préserver les paquets prioritaires ?

Exemple : WRED (Weighted Random Early Detect)

Page 60: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 60

Implémentation locale de la QS (2)

Différents outils permettent à un équipement d’appliquer des mécanismes de Qualité de Service aux paquets identifiés

Efficacité des liens

Les liens à bas débits posent le problème du délai de transmission (sérialisation)

Exemple : un paquet de 1500 octets nécessite 214ms

Les petits paquets sont pénalisés

Solutions :

Fragmentation & entrelacement

Compression des en-têtes

Mise en forme du trafic

Utilisation de grandes capacités mémoires lors du passage d’un lien haut-débit à un lien bas-débit

Exemple : trafic retour backbone vers accès

Possibilité de « jeter » les trafics excessifs (CAR)

Page 61: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 61

Mise en œuvre de la QS

La gestion de la QS sous-entend une méthodologie permettant d’évaluer les besoins en QS, et de régler les différentes politiques de mise en œuvre :

1. Utilisation de sondes RMON

a.Caractérisation du trafic

b.Estimation des temps de réponse pour les applications critiques

2. Mise en œuvre des mécanismes de QS dans les équipements sur les chemins critiques

3. Contrôle des effets de ces mécanismes

a.Outils d’administration

b.Tests de temps de réponse, de charge, etc.

Page 62: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 62

Niveaux de QS (1)

Les niveauxniveaux de QS représentent la capacité du réseau à délivrer le service requis par un trafic réseau d’un bout à l’autre

Service « Best Effort »

Aucune garantie de QS

Connectivité simple, pas de différentiation de flots

Files FIFO

Service différencié

Certains trafics sont mieux traités que d’autres : traitement prioritaire, bande passante plus grande, taux de pertes plus faible)

Garantie « statistique »

Classification + PQ, CQ, WFQ et WRED

Service garanti

Réservation absolue de ressources réseaux pour certains trafics

RSVP, CBWFQ

Page 63: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 63

Niveaux de QS (2)

Best EffortBest Effort

GarantiGaranti

DifférenciéDifférencié

Best EffortBest Effort(IP, IPX, AppleTalk)(IP, IPX, AppleTalk)

Simple connectivité IP(Internet)

DifférenciéDifférencié(Class First,(Class First,

Business, Coach)Business, Coach)

Certains trafics sont plus importants

que les autres

GarantiGaranti(Bande passante,(Bande passante,

Délai, Gigue)Délai, Gigue)

Certaines applications requièrent des ressources

réseau spécifiques

Page 64: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 64

Classification

Pour affecter des priorités à certains flots, ceux-ci doivent préalablement être identifiés et (éventuellement) marqués

IdentificationListes d’accès (ACL)

Identification pour priorisation locale (PQ, CQ, CBWFQ)

Pas de marquage des paquets

Affectation d’une précédence IP (champ TOS étendu) Routage stratégique (PBR : Policy-Based Routing)

Associé à une identification via ACL

Déploiement en périphérie du réseau (ou de la zone de routage)

Autres méthodes d’affectation de précédence CAR : marquage des paquets excédentaires

NBAR : identification fine (niveau 4 à 7) Exemple : niveau 4 HTTP

Exemple : niveau 7 URL http://www.iae-aix.com

Page 65: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 65

PBR (Policy – Based Routing)

Le routage stratégique PBR permet…

… de classifier le trafic à partir de listes d’accès étendues

… de fixer les bits de précédence IP au sein des paquets identifiés

… de router ces paquets sur des chemins spécifiques

L’utilisation conjointe de PBR et des mécanismes de files d’attente permet de créer une différenciation des services

PBR est entièrement compatible avec les autres types de routages stratégiques comme BGP.

Page 66: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 66

CAR (Committed Access Rate)

La fonction CAR spécifie la politique de gestion à appliquer au trafic excédant l’allocation nominale de bande passante

Élimination des paquets excédentaires

Marquage (bits de précédence) des paquets excédentaires

CAR a pour objectif originel de vérifier la conformité du trafic vis-à-vis d’un débit alloué

Utilisation du mécanisme de « leaky bucket » (jetons)

Similaire à l’algorithme de GCRA pour ATM (test du PCR)

ConformeConformePrec = 6

ExcédentaireExcédentairePrec = 2Bande

passante

Débitalloué

Page 67: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 67

NBAR : Network – Based Application Recognition

NBAR effectue une identification dynamique des flots…

… à un niveau supérieur

Exemple : applications orientées Web (HTTP)

URL

MIME

Contrôle des dialogues fixant les ports dynamiques

… autorisant un marquage ultérieur plus fin

Page 68: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 68

QS différenciée

Le marquage des paquets IP permettant d’appliquer des mécanismes de priorisation est réalisé à l’aide du champ Type Of Service (TOSTOS) de l’en-tête IPv4

3 bits assignés autorisant 6 classes de service (2 réservées pour utilisation interne au fonctionnement du réseau)

Extension à 6 bits (RFC 2475) pour DiffServDiffServ

Utilisation du champ « Priority » en IPv6

Page 69: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 69

Gestion de la congestion (1)

En cas de congestion (surcharge d’un équipement ou d’un lien), les routeurs doivent stocker les paquets dans des buffers

Pour traiter la congestion sous des aspects de QS, les routeurs vont donc utiliser des algorithmes de files d’attente

Tri du trafic

Méthodes de priorisation

Les algorithmes les plus couramment utilisés sont :

FIFO (First-In, First-Out)

PQ (Priority Queuing)

CQ (Custom Queuing)

WFQ (Weighted Fair Queuing)

CBWFQ (Class – Based WFQ)

Page 70: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 70

Gestion de la congestion (2)

FIFO

Les paquets sont simplement stockés, puis transférés dans leur ordre d’arrivée lorsque la congestion disparaît

Algorithme par défaut

Aucune décision de priorité

Aucune protection contre les sources excessives

Lors du débordement, la perte s’effectue par la queue, sans distinction

inin outout

Priorité forte

Priorité moyenne

Priorité faible

perteperte

Page 71: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 71

Gestion de la congestion (3)

PQ

Définition de niveaux de priorité

Chaque niveau de priorité se voit assigner une file de taille égale

Préemption totale des files prioritaires

inin outout

Priorité forte

Priorité moyenne

Priorité faible

perteperte Pas d’indication depriorité

Page 72: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 72

Gestion de la congestion (4)

CQ

Classification du trafic

L’ensemble de la ressource mémoire est distribué à discrétion de l’administrateur aux différentes classes de trafic

Service cyclique (éventuellement pondéré, i.e. WRR = Weighted Round Robin)

inin outout

Priorité forte

Priorité moyenne

Priorité faible

perteperte Pas d’indication depriorité

Page 73: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 73

Gestion de la congestion (5)

WFQ

Définition de niveaux de priorité

Chaque niveau de priorité se voit assigner une file de taille égale

Le service est ordonnancé

La pondération (Weight) est directement calculée à partir de la valeur de précédence

Par défaut, sans priorisation, WFQ utilise le volume comme poids

inin outout

Priorité forte

Priorité moyenne

Priorité faible

perteperte

66

33

11

6/106/10

3/103/10

1/101/10

Page 74: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 74

Gestion de la congestion (6)

CBWFQ

Définition de niveaux de priorité

Chaque niveau de priorité se voit assigner une file de taille égale

Le service est ordonnancé

La pondération est décidée par l’administrateur

Les poids sont calculés à partir de la part de bande passante allouée

inin outout

Priorité forte

Priorité moyenne

Priorité faible

perteperte

1024 kb/s1024 kb/s

768kb/s768kb/s

256 kb/s256 kb/s

2Mb/s2Mb/s

Page 75: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 75

Gestion des files d’attente (1)

WRED

Principe

Dérivation de RED (Random Early Detect) avec application des précédences IP

Refuser des paquets entrants pour éviter la congestion et la perte

Objectifs

Gestion intelligente des buffers stockant les paquets pour corriger les pertes « en queue »

Refus des paquets entrants en fonction de leur priorité

La décision de refus d’un paquet entrant est statistique (probabilité croissante en fonction de la taille courante de la file)

Page 76: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 76

Gestion des files d’attente (2)

0

0,2

0,4

0,6

0,8

1

0 5 10 15 20 25

Taille de la file

Pro

bab

ilité

de

refu

s

Faible

Moyenne

Forte

WRED Exemple :

Capacité nominale de la file : 20 paquets Seuil pour les paquets de priorité forte : 20 Seuil pour les paquets de priorité moyenne : 15 Seuil pour les paquets de priorité faible : 10

Page 77: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 77

Efficacité des liens (1)

Problèmes

Taille relative des paquets de données IP

Les liens seront statistiquement plus utilisés par les trafics générant des gros paquets (transferts FTP)

Les trafics interactifs générant de petits paquets (VoIP) sont pénalisés

Taille absolue des paquets de données IP

L’en-tête des paquets de données, rapporté à la taille globale du paquet, constitue l’overheadoverhead

Les petits paquets ont une plus forte part d’overhead que les gros paquets

Exemples (TCP/UDP + IP = 40 octets minimum)

FTP : 1500 octets utiles ~ 2.6%

SQL : 256 octets utiles ~ 13.5%

VoIP : 20 octets utiles ~ 66.7%

Page 78: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 78

Efficacité des liens (2)

LFI (Link Fragmentation & Interleaving)

Fragmentation des grands datagrammes (« jumbogrammes »)

Entrelacement des fragments et des petits datagrammes

Normalisation IETF en cours

Fondée sur l’utilisation de PPP sur les liens bas-débits

MCML (MultiClass extensions to Multilink PPP)

inin outout

Grands datagrammes

Petits datagrammes

Fragments

WFQWFQ(Entrelacement)(Entrelacement)

FragmentationFragmentation

Page 79: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 79

Efficacité des liens (3)

Compression des en-têtes

Les applications multimédia interactives (VoIP) utilisent RTP (Real-time Transport Protocol) et UDP pour transporter des données audio/vidéo en mode point-à-point

Paquets RTP/UDP/IP

40 octets d’en-tête (20 IP, 8 UDP, 12 RTP)

Typiquement 20 à 150 octets d’informations (VoIP, streaming vidéo)

Paquets TCP/IP

40 octets d’en-tête (20 IP, 20 TCP)

Typiquement 500 à 1500 octets d’informations (FTP, e-mail, etc.)

Compression des en-têtes

Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)

Page 80: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 80

Efficacité des liens (4)

Compression des en-têtes

Un en-tête de 40 octets peut être compressé pour atteindre 2 à 5 octets en éliminant les informations inutiles (dues au mode point-à-point)

Utilisation de protocoles niveau 2 (PPP, HDLC) point-à-point pour l’adressage et le routage

En-tête compressé : 2 à 5 octets

Diminution de l’overhead

Diminution du temps de sérialisation (insertion sur le support, transmission)

Exemples de gains sur un lien à 64 kb/s ~ 4.5 ms

FTP : réduction de 2.3%

SQL : réduction de 11.8%

VoIP : réduction de 58.3%

Page 81: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 81

Mise en œuvre de la QS

ClassificationClassification

Gestion de la congestionGestion de la congestion(files d’attente)(files d’attente)

Efficacité des Efficacité des liensliens

AdministrationAdministrationComptabilisationComptabilisation

Page 82: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 82

Interconnexion de réseaux

Objectifs

Connaître les différentes technologies des réseaux d'entreprise

Comprendre avantage & inconvénients des solutions du marché

Plan

Solutions de réseaux d’accès

Solutions de réseaux fédérateurs

Notions de réseaux privés virtuels

Réseaux de mobilesRéseaux de mobilesRéseaux de mobiles

Page 83: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 83

Boucle locale IP

Page 84: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 84

Mobilité & débit

Page 85: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 85

Spectre radio

Page 86: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 86

Réseau ad hoc

Page 87: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 87

WPAN & WLAN

Complexité

Page 88: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 88

Bluetooth

Technologie pour remplacer les câbles

Débit inférieur à 1Mb/s

Une dizaine de mètres

Faible puissance

Coût très bas

Page 89: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 89

Piconet

Piconet de 8 utilisateurs

– 1 maître et 7 esclaves (technique de polling)

Débit 433,9 Kbit/s dans une communication

full duplex

723,2 Kbit/s et 57,6 dans l’autre sens dans une communication déséquilibrée

64 Kbit/s en synchrone

Page 90: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 90

Scatternet

Page 91: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 91

Format du paquet Bluetooth

Code d’accès

Synchronisation.

Identification.

En-tête

AM-ADDR: MAC-address

Type: payload type

Flow: flow control

ARQ: fast retransmit

HEC

Page 92: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 92

IEEE 802.11 (1)

Réseau d'infrastructure

Page 93: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 93

IEEE 802.11 (2)

Réseau en mode ad hoc

Page 94: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 94

Équipements : carte 802.11

Page 95: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 95

Équipements : cartes Wi-Fi

Prix

Carte Wi-Fi au format compact flash : 170 €

Carte Wi-Fi pour Palm : 150 €

Carte Wi-Fi pour Visor : 150 €

Page 96: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 96

Wi-Fi embarqué

D’ici 2004, plus de 80% du marché des portables seront équipés de cartes Wi-Fi embarqués

A partir de 2003, les PDA seront équipés de Wi-Fi embarqués

Page 97: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 97

Équipements : points d'accès

Page 98: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 98

Équipements : antennes

Page 99: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 99

Architecture détaillée

Page 100: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 100

Réglementation française

A l’intérieur des bâtiments Aucune demande d’autorisation

Dans 38 départements : Bande 2,400 – 2,4835 GHz, puissance 100 mW

Dans les autres départements Bande 2,4465 – 2,4835 GHz, puissance 100 mW

Bande 2,400 – 2,4835 GHz, puissance 10 mW

A l’extérieur des bâtiments (Hotspots) Dans 38 départements :

Bande 2,400 – 2,454 GHz, puissance 100 mW

Bande 2,454– 2,4835 GHz, puissance 10 mW (100 mW avec autorisation)

Dans les autres départements Bande 2,400 – 2,4465 GHz : impossible

Bande 2,4465 – 2,4835 GHz, puissance 100 mW

Page 101: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 101

Sécurité dans le Wi-Fi

Accès au réseau

Service Set ID (SSID) : équivalent au nom de réseau

Access Control List (ACL) : basé sur les adresses MAC

Wired Encryption Privacy (WEP) : Mécanisme de chiffrement basé sur le RC4

Nouvelle sécurité: TKIP, 802.1x et carte à puce

Page 102: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 102

La mobilité (1)

Page 103: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 103

La mobilité (2)

Page 104: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 104

Mobilité IP

Objectifs

1. Un mobile doit être capable de communiquer avec d’autres machines après avoir changé son point d’attachement sur l’Internet

2. Un mobile doit être capable de communiquer en utilisant uniquement son adresse IP principale, indépendamment de sa localisation sur l’Internet

3. Un mobile doit pouvoir communiquer avec une autre machine, sans que celle-ci implémente le protocole Mobile IP

4. Un mobile ne doit pas être plus exposé qu’une autre machine sur l’Internet

Page 105: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 105

Mobilité IPv4

RFC 2002

Mobile NodeMobile Node : Nœud IPv4 qui peut changer de points d’attachement sur l’Internet tout en maintenant les communications en cours (et en utilisant uniquement son adresse principale)

Home AgentHome Agent : Routeur IPv4 avec une interface sur le même lien que que le mobile (dans le réseau mère)

Foreign AgentForeign Agent : Routeur IPv4 situé dans le réseau visité par le mobile

Page 106: « Architecture des Réseaux » Architecture des Réseaux Emmanuel BESSON emmanuel.besson@francetelecom.com

page 106

Scénario simplifié