1.09k likes | 1.25k Views
Emmanuel BESSON emmanuel.besson@francetelecom.com. Architecture des Réseaux. - Partie II -. Architecture des Réseaux Architectures étendues. Agenda (deuxième journée). Interconnexion de réseaux Architectures étendues Solutions de réseaux d’accès Solutions de réseaux fédérateurs
E N D
Emmanuel BESSON emmanuel.besson@francetelecom.com Architecture des Réseaux
- Partie II - Architecture des RéseauxArchitectures étendues
Agenda (deuxième journée) • Interconnexion de réseaux • Architectures étendues • Solutions de réseaux d’accès • Solutions de réseaux fédérateurs • Notions de réseaux privés virtuels • Réseaux de mobiles
Interconnexion de réseaux • Objectifs • Connaître les différentes technologies des réseaux d'entreprise • Comprendre avantage & inconvénients des solutions du marché • Plan • Solutions de réseaux d’accès • Solutions de réseaux fédérateurs • Notions de réseaux privés virtuels • Réseaux de mobiles Notions de réseaux privés virtuels
Solutions d’interconnexion IP • Les offres de services pour les entreprises veulent se rapprocher des besoins utilisateurs : • Ne plus offrir seulement du « tuyau » (bande passante) mais aussi du service • Remonter dans les couches OSI (passer des couches 1 et 2, à la couche 3, voire aux couches supérieures) • Le « packaging » des offres opérateurs s’orientent vers les Réseaux Privés Virtuels IP (RPV-IP ou VPN-IP) • Proposer des « prises IP » • Agrémenter les accès de garanties en termes de : • Qualité de Service (VPN-IP CoS) • Sécurité (VPN-IP IPSec)
Définition d’un VPN • Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un réseau qui… • … utilise et/ou partage des infrastructures publiques ou privées • … met en œuvre des mécanismes de sécurité et de Qualité de Service • Comparatif VPN / Réseau Privé
Définition d’un VPN Frame Relay • VPN basé sur des infrastructures Frame Relay • VPN Frame Relay (offre traditionnelle opérateur) • Notion de CVP et de point-à-point • Maillage complet • Gestion par l’opérateur complexe • Manque de flexibilité
Définition d’un VPN IP • De nouvelles offres : VPN IP (apparues il y a un an) • IP • Protocole universel au niveau des applications • Extension au niveau du transport pour les offres de service réseau • De nouveaux protocoles de gestion • Qualité de Service • MPLS : toujours en normalisation (essentiellement équipements) • DiffServ : normalisé • Sécurité • IPSec • Réseau constitué de routeurs IP • Transport des flux IP de façon « native » (routage dynamique)
Constitution d’un VPN IP (2) • Comme tout réseau de transmission de données, un VPN est composé d’équipements de communications et de liaisons de transmission. • A la différence des réseaux privés, la plupart des équipements et des liaisons appartiennent à un prestataire qui assure leur maintenance et leur évolution
Constitution d’un VPN IP (3) • Composantes • Réseau de transport : infrastructure « backbone » ou Internet • Moyens d’accès • CPE (Customer Premises Equipment) : routeur, modem • Connexion au réseau de transport via réseau d’accès • Moyens de sécurisation • Technologies propres au réseau de transport (ex. : CVP Frame Relay) • Déploiement d’équipements et logiciels spécifiques • Pare-feux • Serveurs d’authentification/autorisation • Plate-formes de services (hébergement) • Messagerie, accès Web, etc. • Infogérance • Moyens de supervision
Différents types de VPN IP • VPN IP « Internet » • Infrastructure entièrement publique • Utilisation des réseaux ISP • VPN IP « Opérateur » • Infrastructure fournie par un prestataire • MPLS ou non • IPSec ou non • VPN Frame Relay & IP • Avantages & inconvénients • Comparatifs
Définition VPN IP Internet (1) • VPN IP Internet • Utilisation des infrastructures Internet • « Intelligence » gérée au niveau des extrémités (CPE) • Création de tunnels LAN/LAN ou LAN/PC
Définition VPN IP Internet (2) • VPN IP Internet • Utilisation de protocoles de tunneling • PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol) • Utilisés dans le cadre d’accès commutés • Environnement multi-protocoles • L2TP (Layer 2 Tunneling Protocol) • Rassemble les avantages de PPTP et L2F • Nombreuses solutions constructeurs • IPSec (IP Secured) • Norme IETF initialisée en 1992, normalisée en 2000 • Sécurité supérieure • Associé à IP • Intégré dans IPv6
Définition VPN IP Internet (3) • VPN IP Internet • Utilisation d’algorithmes de chiffrement • DES (clé 56 bits), 3DES (triple DES), AES (en cours de normalisation) • Différents types de passerelle VPN IP • Passerelle dédiée : équipement situé entre le routeur du LAN et Internet • Passerelle intégrée au routeur du LAN (avec upgrade hardware/software pour intégrer la notion de VPN IP) • Passerelle intégrée au firewall • Utilisation d’un serveur de sécurité (authentification/autorisation) • Serveur Radius, etc.
Les applications VPN IP Internet • Applications non critiques, non temps-réel • Internet : « best effort » • Pas de qualité de service • Création structure Extranet / Intranet • Accès à distance à un Intranet / Extranet • … depuis des sites de petite taille, ou situés à l’étranger • … de postes nomades (RTC, GSM) ou télé-travailleurs (ADSL)
Définition VPN IP Opérateur (1) • VPN IP Opérateur • Réseau privatif sur infrastructure IP managée • Réseau constitué de routeurs IP • CE : Customer Equipment • PE : Provider Edge • P : Provider
Définition VPN IP Opérateur (2) • VPN IP Opérateur • Offres récentes • Correspond à une logique d’externalisation (outsourcing) • Service & gestion des équipements (y compris les CPE) par l’opérateur • Deux stratégies d’opérateurs : gestion du protocole MPLS ou non • Évolution du marché : MPLS
VPN IP Opérateur MPLS : généralités • Gestion de MPLS associé à DiffServ = QS et sécurité sous IP • Priorisation des flux avec plusieurs classes de service disponibles • Temps réel et multimédia : Voix sur IP, centres d’appels virtuels, streaming, vidéo/visioconférence… • Critique : ERP, SQL, transactionnel… • Standard : Messagerie, consultation Web, … • Entre 3 et 5 classes selon les offres opérateurs • Optimisation de la bande passante • MPLS assure l’étanchéité des flux (sécurité) • Pour la sécurité entre CE et PE, on peut utiliser en plus IPSec • Problème : définir l’importance relative des différentes classes pour obtenir une QS satisfaisante
VPN IP Opérateur MPLS : QS et Applications • Engagements de QS : SLA (Service Level Agreement) associés à des pénalités contractuelles • Disponibilité de services • Délai de transmission • Gigue : variation du délai de transmission • Débit garanti • Taux des paquets perdus • Les SLA sont associés aux classes de service • L’entreprise doit classer (et connaître !) ses applications dans les classes proposées par l’opérateur en fonction de leur criticité
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (1) • MPLS • Développé par l’organisme IETF • Optimise la désignation, le routage, l’envoi et la commutation des flux de données à travers le réseau • Performances et sécurité sous IP • Pas encore tout à fait mature • Solutions différentes pour les équipementiers
VPN IP Opérateur MPLS : Focus MPLS & DiffServ (2) • DiffServ • Développé par l’organisme IETF • Permet de proposer plusieurs classes de services différenciées et garanties (allocation dynamique) • Se combine à MPLS pour délivrer une Qualité de Service de bout en bout • Intégré dans IPv6 • Normalisé
VPN IP Opérateur non MPLS : VPN IP IPSec • Pas de gestion de MPLS • L’opérateur s’appuie sur un backbone IP maîtrisé et largement dimensionné • Mélanges fréquents avec des flux Internet • Pas de classes de service (sauf recours à DiffServ) • SLA • perte de paquet, temps de transit… • moins d’engagements qu’avec des offres MPLS • Sécurité • Les opérateurs proposent tous IPSec associé à un algorithme de chiffrement • Solutions VPN IP IPSec
VPN IP Opérateur : applications • Intranet + Extranet + Accès à distance : adaptés à l’ensemble des besoins de communication • Offres bien adaptées aux structures et aux applications distribuées • Offres adaptées à toutes les applications existantes et à venir • Services à valeur ajoutée associés : accès à Internet, hébergement (Web, ASP, …), sécurité renforcée…
Avantages Maturité Qualité de Service Sécurité (CVP) Multi-protocoles Adaptés aux structures en étoiles Inconvénients Manque de flexibilité (CVP) Peu adapté aux accès à distance, aux Extranets, et aux structures maillées Technologie plutôt en fin de vie VPN Frame Relay : avantages & inconvénients
VPN IP Internet Avantages Simplicité Coût Sécurité Capillarité Flexibilité Inconvénients Best effort Problèmes d’interopérabilité Mise en œuvre délicate VPN IP Opérateur Avantages Idem « VPN IP Internet » Qualité de Service Sécurité Aspect « any-to-any » Classes de service Évolutivité Visibilité sur le réseau Bien adapté aux nouvelles technologies d’accès Bien adapté aux applications temps réel Inconvénients Technologie récente et encore peu mature (MPLS) Offres encore incomplètes VPN IP : avantages & inconvénients
Comparatif VPN IP et réseau privé IP Coût • Réseau Privé IP • + Sécurité, Maîtrise • Coût • Forte implication • de l’entreprise VPN IP Opérateur + Évolutivité + QS + Coût VPN IP Internet + Capillarité + Coût - QS aléatoire Qualité
Solutions VPN • Trois types de VPN IP • VPN IP Internet • VPN IP Opérateur IPSec • VPN IP Opérateur MPLS • Les offres VPN IP Opérateur cumulent… • … les avantages du protocole IP (flexibilité, « any-to-any », coût) • … les avantages des offres VPN Frame Relay (QS et sécurité) • Évolution du marché vers les offres VPN IP MPLS • Les offres VPN Frame Relay restent attractives pour certains besoins
Réseau privé géré par l’entreprise Location de Liaisons Spécialisées à un opérateur Gestion des flux et de la QS par l’entreprise Solution VPN IP L’infrastructure réseau local des sites ne change pas Gestion des flux et de la QS par l’opérateur VPN Externalisation des coûts de gestion Migration vers un VPN IP (1)
Concentration des communications sur une plate-forme centrale Gestion des serveurs d'accès distant par l'entreprise. Communications au tarif local, national voire international Solution VPN IP Connexion des nomades via l'infrastructure d'accès du prestataire. Communications au tarif local Optimisation des coûts de communication Migration vers un VPN IP (2)
Migration vers un VPN (3) • La mise en place d’un VPN requiert de nombreuses connaissances dans de nombreux domaines • Infrastructure physique • Sécurité logique • Services applicatifs
Différentes catégories d’acteurs Fournisseurs d’Accès Internet Carrier to Carrier Opérateurs IP Opérateurs Télécom Nationaux Opérateurs de Boucle Locale Opérateurs historiques
Différents niveaux de VPN IP VPN Internet VPN IP DiffServ IPSec COS MPLS
Différents positionnements (1) • Choix de protocoles (fin 2001)
Différents positionnements (2) • Convergence vers MPLS
Uniformisation des prestations (1) • Prestations techniques (liées à l’implémentation du VPN IP) • Raccordement des sites • Gestion des accès • Gestion des routeurs • Gestion de la sécurité • Transport • Connexion au backbone • Routage VPN client • Traitement différencié des flux • Accès à Internet • Adresses IP • Dépôt de noms de domaines • Gestion de la sécurité • Services d’accompagnement client • Tuning, conseil, optimisation du VPN
Uniformisation des prestations (2) • Services proposés aux gestionnaires • Gestion des modifications • Fonctionnalités de reporting • Services transverses • Services de support • Services de facturation • SLA & contrats • Mais encore beaucoup d’offres sur mesures
Différents positionnements (3) • Enrichissement des offres sur les types d’accès
L’interconnexion des réseaux d’entreprise impose la mise en place d’architectures sécurisées pour assurer un niveau de sécurité efficace permettant de contrer… … l’écoute des communications … la falsification des données échangées … l’usurpation d’identité Pour répondre à ces besoins, les solutions techniques doivent répondre à plusieurs enjeux : Assurer la confidentialitédes données Assurer l’intégrité des données pendant le transport Assurer l’authentification certaine des parties en relations Pour obtenir ces certitudes, il est nécessaire de mettre en œuvre des moyens de cryptographie Sécurité dans les VPN
Crypto-systèmes • Certains algorithmes peuvent avoir une fonction de déchiffrement identique à la fonction de chiffrement Crypto-système Fonction de Chiffrement Fonction de Déchiffrement Ensemble des clés utilisables
Crypto-systèmes symétriques • Pour chiffrer / déchiffrer le message, on utilise une clef unique • Cette clef est appelée clef secrète • Une clef différente donne un résultat différent Fonction de Chiffrement Bonjour 8964K9X Clef secrète Fonction de Déchiffrement
Crypto-systèmes asymétriques (1) • Pour chiffrer / déchiffrer le message, on utilise deux clefs distinctes • La clef de chiffrement est appelée clef publique • La clef de déchiffrement est appelée clef privée Clef publique Fonction de Chiffrement Bonjour Bonjour Fonction de Déchiffrement 8964K9X Clef privée
Crypto-systèmes asymétriques (2) • La clef publique peut être diffusée : elle servira aux correspondants qui vous envoient des messages chiffrés • La clef privée doit être conservée secrètement : elle servira à déchiffrer les messages reçus
Mise en œuvre de la sécurité (1) • La mise en œuvre de mécanismes cryptographiques pour assurer la sécurité des échanges est réalisée par la technologie des Réseaux Privés Virtuels • Son objectif est de créer un tunnel chiffré et authentifié entre deux points • Le chiffrement et l’authentification des parties font appel à la cryptographie
Mise en œuvre de la sécurité (2) • Le protocole IP ne dispose nativement d’aucune fonction cryptographique • Il a fallu lui adjoindre un mécanisme de prise en compte de la cryptographie • Extension du protocole IP nommée IPSec (IP Sécurisé ou IP Secured) • IPSec est aujourd’hui le standard de fait pour la réalisation de tunnels VPN, même si d’autres technologies existent (MPLS)
Protocole IPSec (1) • IPSec utilise la cryptographie symétrique pour le chiffrement des données via une clef volatile (mise à jour à intervalle régulier) • Cette clef est appelée clef de session • L’échange sécurisé de la clef de session est réalisée via la cryptographie asymétrique
Protocole IPSec (2) • IPSec introduit deux nouveaux protocoles IP • AH (IP Authentication Header) fournit les services d’intégrité sans connexion et d’authentification • ESP (Encapsulating Security Payload) fournit les services de confidentialité par chiffrement, intégrité et authentification de l’émetteur • IPSec introduit aussi un protocole UDP pour faciliter l’échange des clefs : IKE (Internet Key Exchange)
Protocole IPSec (3) • IPSec ajoute quelques fonctions intéressantes • Perfect Forward Secrecy • Ce principe garantir que la découverte par un intrus d’un ou plusieurs secrets concernant la communication en cours ne permettent pas de compromettre les clefs de session • La connaissance d’une clef de session ne permet pas de préjuger des autres clefs de session • Back Traffic Protection • Chaque clef de session est générée indépendamment des autres • La découverte de l’une des clefs ne compromet ni les clefs passées, ni celles à venir