330 likes | 616 Views
Les Réseaux Informatiques. VLAN, QoS, VPN. Laurent JEANPIERRE 2006 - 2008. Contenu du cours. Virtual Local Area Network Quality of Service Virtual Private Network. Virtual Local Area Network. Norme IEEE 801.1Q Objectifs : Virtualiser le réseau Ethernet Créer une structure logique
E N D
Les Réseaux Informatiques VLAN, QoS, VPN Laurent JEANPIERRE 2006 - 2008 Département Informatique
Contenu du cours • Virtual Local Area Network • Quality of Service • Virtual Private Network Département Informatique
Virtual Local Area Network • Norme IEEE 801.1Q • Objectifs : • Virtualiser le réseau Ethernet • Créer une structure logique • Indépendante de la topologie • Sécuriser Ethernet • Réduire les coûts d’administration • Augmenter le débit / la réactivité du réseau Département Informatique
LAN : Problèmes à résoudre • Sécurité : • Réseau diffusant • N’importe qui peut ‘sniffer’ les trames • Switch / Commutateurs début de solution • Efficacité : Le problème du Broadcast • Rappel : trame à destination de tout le monde • Annule le bénéfice du commutateur ci-dessus • Paralyse TOUT le réseau (Ethernet : une seule trame à la fois) Département Informatique
LAN : Problèmes à résoudre (2) • Routeurs entre LANs • Bloquent les broadcasts • Filtrent les paquets • Solution miracle… • Mais • Coût élevé • Latence importante(Délai de propagation des trames) • Virtualiser le réseau avec des switchs Département Informatique
Virtual LAN • Principe : • Limiter l’envoi des trames Ethernet • A une partie du réseau connue par avance(un VLAN) • Plusieurs possibilités : • Couche 1 : Port par Port • Couche 2 : Filtrage par @ MAC • Couche 3 : Filtrage par protocole réseau Département Informatique
VLAN 1 – Port par Port • Isolation des ports par le switch : • Ports associés à 1 (ou Plusieurs) VLAN • Un cache différent par VLAN A1 A2 B1 A3 B2 B3 C1 C2 hub C3 1 2 3 4 5 6 7 8 7 – C1 8 – C2 3 – B1 5 – B2 6 – B3 1 – A1 2 – A2 4 – A3 1 – C3 Département Informatique
VLAN 1 – pour ou contre ? • Avantage • Extrêmement rapide (= switch classique) • Facile à configurer (VLAN1 = Port 1,3,5) • Technologie simple (relativement) • Inconvénient • Chaque switch doit être configuré à la main • Déplacer une machine Change VLAN • Reconfiguration nécessaire Département Informatique
VLAN 2 – Filtrage MAC • VLAN = liste @ MAC • Avantage : • Une interface réseau garde son VLAN • Inconvénients : • Machines avec plusieurs interfaces réseau(ex. portables avec plusieurs stations) • Obligation de reconfigurer tous les switchsà chaque modification d’un client • Plus lent (analyse entête Ethernet nécessaire) Département Informatique
VLAN 2 – Exemple A3 B2 B1 B3 A2 C1 A1 C2 hub 1 2 3 4 5 6 7 8 C3 A1 A2 A3 B1 B2 B3 C1 C2 C3 Département Informatique
VLAN 3 – Filtrage par protocole • Repose sur les protocoles de couche 3 • Avantages : • Indépendant du matériel • Facile à configurer • Inconvénients : • Protocoles routables uniquement • Encore plus lent (analyse entêtes 2+3) Département Informatique
VLAN 3 – Exemple A1 A2 B1 A3 B2 B3 C1 C2 1 2 3 4 5 6 7 8 IPX 192.168.160.0 /19 192.168.64.0 /18 Département Informatique
VLAN Hybrides • VLAN couche 3 • Uniquement protocoles routables • Et les autres protocoles ??? (Netbios, …) • VLAN couche 2 • Charge d’administration importante • Liée au matériel (Ethernet, …) • VLAN hybride • Protocoles N3 quand possible • Adresses MAC sinon Département Informatique
Le cas de la salle POUZIN • 16 machines • 14 PC étudiants (Windows/Linux) • 1 PC prof (Windows/Linux) • 1 Imprimante • 2 baies de brassage • 1 câble RJ45 de baie 1 à baie 2 • 1 prise « IUT » branchée sur Galvani (NAT) • Comment construire nos maquettes ? Département Informatique
Le cas de la salle POUZIN (2) Baie2 Routeurs Baie1 Département Informatique
Le cas de la salle POUZIN (3) • Jusqu’à présent… Baie 1 Baie 2 Switch HP Switch HP Switch Cisco Switch Cisco Switch Cisco Switch Cisco Switch Cisco Switch Cisco Département Informatique
Le cas de la salle POUZIN (4) • Dans les TPs « compliqués » Baie 1 Baie 2 Switch HP Switch HP VLAN par port Switch Cisco Switch Cisco Switch Cisco Switch Cisco Switch Cisco Switch Cisco Département Informatique
Contenu du cours • Virtual Local Area Network • Quality of Service • Virtual Private Network Département Informatique
Qualité de Service (QoS) • Un problème de garanties • Qu’est-ce qu’un service ??? • Débit, Délai, MTU • Variabilité, Coût, … • Arrivée garantie • Non-Fragmentation • Débit GLOBAL du réseau • Critères hybrides (Débit + Coût, …) • Un problème de métriques Département Informatique
QoS – un problème de métriques • Choix d’une métrique ? • Demandes de l’utilisateur • Options proposées par le réseau • Options possibles : • Comment les calculer ? • Comment les distribuer ? • Echange de trames • entre routeurs, switches, etc.… • … Consommation de bande passante Département Informatique
Exemple : OSPF • Open Shortest Path First • Concurrent de RIP • Gère 8 niveaux de priorités (3 métriques) • ToS de IP sur 3 bits… 8 niveaux • Ne garanti aucun service (« best effort ») • Les ressources peuvent être utilisées • Plusieurs extensions proposées • Pas de standard établi • Chaque domaine fait de son mieux… Département Informatique
QoS – Hétérogénéité ? • Domaines différents, QoS différentes • Comment faire ? • Si un paquet traverse plusieurs domaines ? • Problème ouvert • Plusieurs pistes envisagées • Utilisation des métriques communes(ignorer les autres) moins d’options • Définir un jeu de métriques standard • Router « par morceau » Département Informatique
RSVP – Faites moi de la place ! • Protocole de réservation de ressources • Pour le multicast • Descendant de ST-II • Père de YESSIR & Boomerang • Principe : • Réservation dynamique en 2 passes • Messages UDP avec Option IP • « Path » de l’émetteur vers les récepteurs • « Recv » des récepteurs vers l’émetteur • Possibilité de fusionner les flux • Libération par TimeOut (ou sur ordre). Département Informatique
RSVP - Exemple S Rsv – flux h h R1 Rsv – flux a Rsv – flux b a b Rsv – flux e R3 R2 Rsv – flux g Rsv – flux d g d e D1 D2 D3 Département Informatique
Contenu du cours • Virtual Local Area Network • Quality of Service • Virtual Private Network Département Informatique
Virtual Private Network • VPN : Réseau Privé Virtuel • Objectifs : • Etendre un LAN par delà un WAN • En toute sécurité (piratage) • Moyens : • Tunneling / Encapsulation • IP/IP • Generic Routing Encapsulation (GRE) • L2TP • IPSec • MPLS Département Informatique
Tunnel ? Kézako ? • Canal de transfert de données • Transport Opaque :Le paquet transporteur n’a aucun rapport • Avec les données transportées • Avec les adresses source/destination • Avec le protocole transporté • Transport Sécurisé • Encryptage des données (facultatif) • Transport de Qualité • QoS respectée (facultatif) Département Informatique
Protocole de transport • IP / IP • Trame IP portée par une trame IP • Generic Routing Encapsulation • Encapsulation de couche 2 • Level 2 Transport Protocol • Encapsulation de couche 2 • IPSec • Encapsulation cryptée de couche 3 • Multi-Protocol Label Switching • Routage par label. (non étudié car non IP) Département Informatique
Tunnel – Ses extrémités Plusieurs possibilités • Station de travail • Ouverture d’une connexion sécurisée temporairede machine à site distant • Firewall / Routeur • Connexion permanente sécurisée • Ouverture via un « proxy » • Pont transparent • Connexion permanente sécurisée • Totalement transparent Département Informatique
VPN – Propriétés (1) • Multiplexage • Plusieurs tunnels simultanés • Proposé ni par IP/IP, ni par GRE • Signalement (optionnel) • Partage d’informations • Exemple : Internet Key Exchange partage de clés de cryptage pour IPSec • Sécurité (Cryptage) • IPSec : Inclus de base • Autres : Surcouche « à la main » Département Informatique
VPN – Propriétés (2) • Multi-protocole • Plusieurs protocoles transportés • Proposé par L2TP, via PPP • IP/IP, IPSec : IP seulement (PPP possible) • Séquençage • Remise des paquets dans l’ordre • L2TP et GRE : De base • IPSec : Extension • Autres : ‘à la main’ Département Informatique
VPN – Propriétés (3) • Maintenance • Vérifier la survie du tunnel (TimeOut) • Proposé par L2TP, via un « Keep Alive » • MTU • En général assez gros • Géré par le protocole de transport • Congestion • Contrôle et évitement de la saturation du tunnel • Plus utilisé protocole de haut niveau (TCP, par exemple) Département Informatique
VPN – Propriétés (4) • Qualité de Service • Dépend de beaucoup de paramètres • Equipements aux extrémités • Route(s) empruntée(s) par le tunnel • Overhead • Défauts inhérents au tunnel • Bande passante consommée (entêtes, …) • Encryptage / Décryptage des données délais, latences, CPU Département Informatique