CARATCARATContrôle d ’Accès et qualité de Contrôle d ’Accès et qualité de service dans les Réseaux ATMservice dans les Réseaux ATM
Sylvain GombaultSylvain Gombault Gwenn GueguenGwenn Gueguen
Maryline LaurentMaryline Laurent Olivier PaulOlivier Paul
ENST de BretagneENST de Bretagne
PartenairesPartenaires
R&DCELAR
Projet ARMOR
PlanPlan
IntroductionIntroduction CARATCARAT
– Le gestionnaireLe gestionnaire– Le filtre de signalisationLe filtre de signalisation– Le filtre au niveau cellule: Cartes IFTLe filtre au niveau cellule: Cartes IFT
Conclusion et travaux à venirConclusion et travaux à venir
IntroductionIntroduction
ATM (Asynchronous Transfer Mode) :ATM (Asynchronous Transfer Mode) :– Spécifié pour le transport de flux de natures Spécifié pour le transport de flux de natures
variées.variées.– Permet aux applications de demander au réseau Permet aux applications de demander au réseau
des garanties de qualité de servicedes garanties de qualité de service– Orienté connexion.Orienté connexion.– Information transportée sous forme de cellules.Information transportée sous forme de cellules.– Usage:Usage:
Direct: Quelques applications ATM natives (ANS, VoD).Direct: Quelques applications ATM natives (ANS, VoD). Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage
le plus courant. le plus courant.
IntroductionIntroduction Le contrôle d ’accès:Le contrôle d ’accès:
– Service qui assure une protection contre une Service qui assure une protection contre une utilisation non autorisée de ressources par une utilisation non autorisée de ressources par une entité ou un groupe d ’entité (ISO).entité ou un groupe d ’entité (ISO).
Réseau
Client Serveur
Firewall
Comment ca marche ?Comment ca marche ? Le Firewall se Le Firewall se
situe entre le situe entre le réseau interne réseau interne et le réseau et le réseau externeexterne
ATM
TCP/UDP
IP
PacketFilter
ApplicationProxy
InsideOutside
Comment ca marche ?Comment ca marche ? Les paquets IP Les paquets IP
sont filtrés au sont filtrés au niveau niveau réseau/transporréseau/transport et au niveau t et au niveau application si application si une passerelle a une passerelle a été configurée.été configurée.
ATM
TCP/UDP
IP
PacketFilter
ApplicationProxy
InsideOutside
src and dst addressesProtocol ID
src and dst ports
Direction and flags
Protocol Info.
Application Data
Comment ca marche ?Comment ca marche ? Si le paquet est Si le paquet est
autorisé, une autorisé, une connexion ATM connexion ATM est établie avec est établie avec le nœud suivant le nœud suivant dans le réseau dans le réseau IP. IP.
Le paquet est Le paquet est envoyé sur le envoyé sur le réseau externe.réseau externe.
ATM
TCP/UDP
IP
PacketFilter
ApplicationProxy
InsideOutside
ATM cell
Quels problèmes ?Quels problèmes ? Le niveau ATM Le niveau ATM
est considérée est considérée comme une comme une couche de couche de niveau 2.niveau 2.– Pas de Pas de
contrôle contrôle d’accès au d’accès au niveau ATM.niveau ATM.
– Applications Applications natives ATM natives ATM ne sont pas ne sont pas filtrées.filtrées.
ATM
TCP/UDP
IP
PacketFilter
ApplicationProxy
InsideOutside
Quels problèmes ?Quels problèmes ? Les couches Les couches
réseau, réseau, transport et transport et application ne application ne connaissent pas connaissent pas la QoS négociée la QoS négociée au niveau ATM.au niveau ATM.– Fournir une Fournir une
qualité de qualité de service de service de bout en bout bout en bout n’est pas n’est pas possible.possible.
ATM
TCP/UDP
IP
PacketFilter
ApplicationProxy
InsideOutside
Quels problèmes ?Quels problèmes ? Le processus de Le processus de
filtrage est filtrage est souvent souvent gourmand en gourmand en ressources.ressources.– Performances Performances
faibles faibles (200Mb/s).(200Mb/s).
– Modification Modification importante des importante des paramètres de paramètres de qualité de qualité de service.service.
ATM
TCP/UDP
IP
PacketFilter
ApplicationProxy
InsideOutside
CARAT - objectifsCARAT - objectifs
Filtrage aux niveaux ATM, TCP/IP.Filtrage aux niveaux ATM, TCP/IP. Haut débit.Haut débit.
– Filtrage à 622 Mb/s au niveau cellule.Filtrage à 622 Mb/s au niveau cellule. Maintient de la QoS.Maintient de la QoS.
– Délai au niveau cellule.Délai au niveau cellule. Facilité de gestion.Facilité de gestion.
Vue généraleVue générale Se place entre le réseau Se place entre le réseau
public et le réseau privé.public et le réseau privé. Composé de trois modules:Composé de trois modules:
ATM ATM IFT IFT
Analyseur deSignalisation
Gestionnaire
Station SUN
Driver IFT
Démon
SwitchATM
PC Solaris
RéseauInterne
RéseauExterne
Contrôleur
S ’intègre aux S ’intègre aux équipements existants.équipements existants.
Les modules sont Les modules sont configurés au moyen configurés au moyen d ’un langage unique. d ’un langage unique.
– Gestionnaire.Gestionnaire.– Filtre de signalisation.Filtre de signalisation.
– Filtre de niveau cellule.Filtre de niveau cellule.
Un langage générique de Un langage générique de définition du contrôle définition du contrôle
d ’accèsd ’accès
Basé sur des travaux du Policy WG à Basé sur des travaux du Policy WG à l ’IETF.l ’IETF.
Une politique de contrôle d ’accès est Une politique de contrôle d ’accès est un ensemble de règles.un ensemble de règles.
Une règle est formée d ’un ensemble de Une règle est formée d ’un ensemble de conditions et d ’une action.conditions et d ’une action.
Conditions et actions aux niveaux ATM, Conditions et actions aux niveaux ATM, IP et Transport.IP et Transport.
exempleexemple
autoriser la machine d ’adresse 192.165.203.5 à utiliser autoriser la machine d ’adresse 192.165.203.5 à utiliser des serveurs WWW externes:des serveurs WWW externes:IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) AND (DST_PORT = 80) THEN PERMIT.
IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND (SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> SYN) THEN PERMIT.
Le gestionnaireLe gestionnaire Effectue la traduction Effectue la traduction
entre politique de entre politique de contrôle d ’accès contrôle d ’accès générique et générique et commandes de contrôle commandes de contrôle d ’accès au niveaud ’accès au niveau– Du contrôleur de Du contrôleur de
signalisation.signalisation.– Du contrôleur de Du contrôleur de
niveau cellule.niveau cellule.
Politique decontrôle d’accès
sur la signalisation
Information designalisation
Politique de contrôled’accès dynamique de
niveau cellule
Politique de contrôled’accès statique de
niveau cellule
Politique decontrôled’accès
Politique de contrôled’accès de niveau cellule
Politique decontrôle d’accès
générique TCP/IP
Informationsdynamiques de
niveaux cellule et IP
Etablissement de Etablissement de connexionconnexion
Gestionnaire
Filtre de signalisation Filtre cellule
connexion(encaps,vpi,vci,@ATMs,@ATMd)
Politique C.A. Sig. Politique C.A. TCP/IP statique
Table de conversion adresses IP/ATM
@ATM
@IP
Politique C.A. TCP/IP(encaps,vpi,vci,@Ips,@Ipd)
Fin de connexionFin de connexion
Gestionnaire
Filtre de signalisation Filtre cellule
Fin de connexion(vpi,vci) Destruction politique C.A. TCP/IP (vpi,vci)
Le Filtre de signalisationLe Filtre de signalisation
Capacités de filtrage.Capacités de filtrage.– UNI 3.1.UNI 3.1.– Informations d ’adressage.Informations d ’adressage.
Adresses, Sous adresses.Adresses, Sous adresses.
– Informations de QoS.Informations de QoS. PCR, SCR, MCR.PCR, SCR, MCR.
– Informations caractérisant le service utilisé.Informations caractérisant le service utilisé. Applications natives : BHLI.Applications natives : BHLI. Utilisation : BLLI.Utilisation : BLLI.
Le Filtre de signalisationLe Filtre de signalisation Basé sur la pile de Basé sur la pile de
signalisation ATM SUNsignalisation ATM SUN Module Q93B modifié.Module Q93B modifié. Module de Module de
décomposition des décomposition des messages.messages.
FiltreFiltre– Gestion d ’une Gestion d ’une
structure pour chaque structure pour chaque connexion.connexion.
Module de construction Module de construction des messages.des messages.– Masquage d ’adresse.Masquage d ’adresse.
Communication avec le Communication avec le gestionnaire.gestionnaire.
Module Q93B
Module SSCOP
Filtre
Noyau
EspaceUtilisateur
décomposition desmessages de sig.decomposition
Construction desmessages de sig.
Interface ATM 0 Interface ATM 1
Station SUN
Module SSCOP
Le Filtre niveau celluleLe Filtre niveau cellule Cartes IFT/CNETCartes IFT/CNET
– 622 Mb/s unidirectionnel.622 Mb/s unidirectionnel.– Analyse de la première cellule Analyse de la première cellule
d ’une trame AAL5.d ’une trame AAL5.– Action possible : commutationAction possible : commutation
Rejeter : VC inexistant.Rejeter : VC inexistant. Accepter : VC inchangé.Accepter : VC inchangé.
– Temps d ’analyse variable.Temps d ’analyse variable.– Changement de configuration Changement de configuration
en cours de fonctionnement.en cours de fonctionnement.
Mémoire de filtrage
Découplage Cellule ATM
Mémoire de filtrage
Découplage Cellule ATM
PC Solaris
Driver IFTDriver IFT– Configurable à distance.Configurable à distance.– Autorise plusieurs Autorise plusieurs
gestionnaires.gestionnaires.
Driver IFT
Démon RPC
Bibliothèque de configuration.Bibliothèque de configuration.
Capacités de filtrageCapacités de filtrage
Configuration de la Configuration de la mémoire de filtragemémoire de filtrage
Adresse/Valeur 0 1 2 3 4 5 6 7 8 9 A B C D E F0x000000000x000000100x000000200x000000300x000000400x00000050…0xFFFFFFF
2 F B 4 A C1 B
Problème: assurer une configuration efficaceProblème: assurer une configuration efficace
• En terme de délai (nombre de sauts)En terme de délai (nombre de sauts)
• En terme de taille de politique (nombre de cases mémoire En terme de taille de politique (nombre de cases mémoire utilisées)utilisées)
AgendaAgenda
Action juin-99 sept-99 nov-99 févr-00 mars-00 avr-00 sept-00 oct-00Définition du projetRéalisation du filtre de signalisationInstallation logicielleRéalisation du gestionnaireFabrication des cartes IFTTests de Fonct./Perf.Fin du projet/ Rapport Final
ConclusionConclusion Bonnes performances (débit,délai)Bonnes performances (débit,délai)
– Méthode d ’analyse brevetée.Méthode d ’analyse brevetée.– Adaptation dynamique de la configuration.Adaptation dynamique de la configuration.
Contrôle au niveaux ATM, TCP/IP.Contrôle au niveaux ATM, TCP/IP.– Contrôle des applications natives.Contrôle des applications natives.
Outil séparé des éléments du réseau.Outil séparé des éléments du réseau.– Insertion facile dans les environnements existants.Insertion facile dans les environnements existants.– Adaptation facile de nouvelles fonctionnalités.Adaptation facile de nouvelles fonctionnalités.
Gestion facileGestion facile
FuturFutur
Evolution possibles de la maquetteEvolution possibles de la maquette– Support pour d ’autres protocoles (LANE, MPOA, MPLS).Support pour d ’autres protocoles (LANE, MPOA, MPLS).– Intégration de firewalls classiques + gestion de niveaux Intégration de firewalls classiques + gestion de niveaux
de QoS.de QoS.– Intégration de mécanismes d ’authentification dans la Intégration de mécanismes d ’authentification dans la
signalisation ATM (ATM Forum).signalisation ATM (ATM Forum). Evolution possible des cartes IFTEvolution possible des cartes IFT
– Version IP (Sans ATM).Version IP (Sans ATM).– Débit plus élevé (1Gb/s).Débit plus élevé (1Gb/s).– Analyse plus en profondeur des trames (255 octets) -> Analyse plus en profondeur des trames (255 octets) ->
Analyse des informations de niveau application.Analyse des informations de niveau application.