L architecture de l accès distant. L accès à Internet. Fonctions nécessaires. Anthony Busson. De quelles fonctionnalités a-t-on besoin?

Transcription

1 L architecture de l accès distant L accès à Internet Utilisateur distant Entreprise ou FAI RTC Anthony Busson Serveur d accès distant Internet Intranet De quelles fonctionnalités a-t-on besoin? Côté utilisateur : Un protocole de niveau 2 pour la connexion point à point Encapsulation de différents protocoles De sécurité Côté entreprise ou FAI : Sécurité: Authentification Contrôle d accès Problèmes d adresses Nécessité d avoir une gestion centralisée Fonctions nécessaires Le modem doit: Implémenter le protocole de niveau 2 et le multiplexage Répondre aux requêtes d authentification du serveur RAS. Supporter l encryptage des données Supporter la négociations initiales et les fonctions de contrôles (obtenir une adresse IP, utilisation de l encryptage, etc.) RAS (Remote Access Server) ou NAS (Network Access Server) doit : Implémenter le protcole de niveau 2 et le démultiplexage Supporter les protocles d authentification des utilisateurs Supporter l encryptage des données Supporter la négociations initiales et les fonctions de contrôles Être capable d obtenir les informations sur les utilisateurs Doit avoir un ensemble d adresses IP à donner aux utilisateurs

2 Nécéssité d avoir 2 protocoles L architecture d accès distant Modem utilisateur RAS protocole Point to Point Protocol (PPP) Encapsulation type HDLC sur n importe quel medium physique Négociation spécifique et contrôle des sous-protocoles (LCP, NCP, ECP, CCP). LCP est le protocole de négociation de l authentification NCP est le protocole de négociation de l adresse IP dynamique Protocoles d authentifications (PAP, CHAP, EAP, OTP) Protocoles de compressions et d encryptages RAS AAA Server RADIUS: Remote Dial In User Service TACACS: Terminal Access Controller Access Control System Utilisateur distant Accès distant (PSTN or ISDN) RAS Entreprise ou FAI AAA server User profile database Internet Intranet PPP : le protocole de transmission pour l accès distant (1) Point to Point Protocol (PPP) Entreprise ou FAI Utilisateur distant AAA server User profile database RAS Internet Intranet

3 PPP : le protocole de transmission pour l accès distant Composantes de PPP PPP définit un format de trame permettant le multiplexage de différents protocoles sur une liaison point à point Il permet également de configurer une liaison de données avec les options adéquates PPP est utilisé sur un lien full-duplex PPP fournit optionnellement : des mécanismes d authentifications des services d encryptages PPP a 3 composantes principales : Une méthode pour encapsuler les datagrammes multi-protocoles Le protocole Link Control Protocol (LCP) pour établir, configurer, tester, maintenir et terminer la liaison de données. Une famille de Network Control Protocols (NCPs) pour établir, configurer, maintenir et terminer les différentes sessions de niveau 3. PPP Encapsulation (1) : HDLC-like framing Cycle de vie de PPP (1) octets F A C P INFO FCS Max F : HDLC Flag coded A : Address coded (All-Stations address) C : Control coded (Unnumbered Information with P/F=0) P : Protocol coded to indicate the network layer protocol used or eventually, an LCP, authentication or other control packet INFO : Information field (default : 1500 octets long maximum). May include padding. FCS : Frame Check Sequence (16 bits) Link dead DOWN UP FAIL Link establishment Link Termination OPENED Authentication FAIL SUCCESS/ NONE Network Layer Protocol exchange CLOSING

4 Cycle de vie de PPP (2) Cycle de vie de PPP (3) Phase 1 : Link dead La connexion n est pas établit Phase 2 : Link establishment La liaison est établit au travers de messages de configurations LCP Les options de la liaison sont négociées à ce moment là La qualité de la liaison peut être faite (optionnel) Phase 3 : Authentication Phase optionnelle négocier lors de la phase 2 Réaliser grâce à un des protocoles d authentification PPP Si l authentification échoue, la connexion doit se terminer Phase 4 : Network Layer Protocol exchange Cette phase débute par une négociation NCP permettant d établir la session réseau (L3) Elle termine par une fermeture de session NCP Plusieurs sessions réseaux peuvent être établit sur la méme liaison PPP Phase 5 : Link Termination La liaision se termine grâce à un échange de messages LCP Lorsque la liaison PPP est terminée, toutes les sessions réseaux sont terminées également. Messages PPP LCP (4) Etablissements et terminaisons d une liaison PPP Les fonctions de NCP Client distant Configure-Req (Options) Configure-Ack (Options) or Configure-Nak (Options) or Configure-Rej (Options) Terminate-Req (optional message) Terminate-Ack (optional message) RAS NCP est utilisé pour configurer une session réseau pour un protocole de niveau 3 donné. Il y a un protocole NCP pour chaque protocole réseau Pour IP, il s agit de IPCP : IP Control Protocol Dans le cas d IP, IPCP est responsable de l allocation d une adresse IP pour l hôte distant Si l hôte distant se connecte à son entreprise l adresse peut être privée Si il s agit d un FAI (l Internet publique), l adresse doit être publique Beaucoup de session réseau peuvent être établit sur la même liaison PPP Elles sont établient et fermées indépendamment de la session PPP

5 Protocoles d authentifications PPP Authentification PPP Le Remote Access Server (RAS) est une passerelle de l entreprise ou du FAI qui est accessible par n importe qui du moment qu il est equipé d un modem (et du numéro de la passerelle) Il doit donc y avoir un moyen de distinguer les utilisateurs autorisés à se connecter des autres utilisateurs Le protocole d authentification à utiliser est négocié par LCP durant la phase d établissement PPP et l authentification est faite dès que la liaison est établit. PAP : Password Authentication Protocol CHAP : Challenge Handshake Authentication Protocol Client distant RAS Client distant Challenge (Challenge Value) RAS Authenticate-Req (User Name, Password) Authenticate -Ack (optional message) or Authenticate -Nak (optional message) PAP est un 2-way handshake protocole d authentification Il est utilisé uniquement à l établissement initial de la liaison de donnée Mot de passe envoyé en clair Response (User Name, Response Value) Success (optional message) or Failure (optional message) CHAP est 3-handshake protocole d authentification Il est utilisé à l établissemnt de la liaison de donnée mais peut aussi être utilisée durant la liaison. Le mot de passe n est pas envoyé sur le lien

6 CHAP : Challenge Handshake Authentication Protocol Client distant secret Msg Identifier, Challenge Value Hash function User Name, Response Value Success or Failure RAS User Name :secre Id Challenge Result Result=Response Value? Le secret (mot de passe utilsateur) doit être d au moins 1 octet, le challenge est une chaîne de caractère imprévisible. La fonction de hash utilisée est impossible à inverser. Authentication, Authorization, and Accounting (AAA) servers AAA servers (1) AAA servers (2) Utilisateur distant Remote access (PSTN or ISDN) Entreprise ou FAI AAA server RAS/NAS User profile database Les serveurs AAA sont responsables de l authentification des utilsateurs, autorisations, et de la procédure comptable (accounting) pour l ensemble des serveurs RAS de l entreprise ou du FAI. Les serveurs AAA sont connectés à la base de données utilisateur où sont stocké: La procédure d authentification Les mots de passes Les services autorisés Les options des services Les informations comptables

7 AAA servers (3) RADIUS Quand un utilisateur essaye d accéder au réseau via un RAS, the RAS intérroge le serveur AAA afin de Authentifier l utilisateur Savoir à quelles services il a accès Connaître les options de ces services Le serveur AAA est également responsable de la durée des connexions, des services utilisées pour la facturation/suivie. RADIUS (Remote Authentication Dial-In User Service) est un protocole standardiser (RFC 2138, 2139) décrivant les procédures et format des messages entre le serveur RAS (le client ici) Le serveur AAA (le serveur RADIUS) La communication client/serveur est protégé par une authentification préalable et par le cryptage des données qui sont écahngées. Le protocole est fléxible, il admet Plusieurs type d authentification (EAP, CHAP, PAP) La possibilités d utiliser de nouvelles architectures telles que IPsec, le tunneling, etc. Les paquets RADIUS sont transmis via la pile UDP/IP. RADIUS support for PAP Authenticating Peer NAS RADIUS Server RADIUS support for CHAP Authenticating Peer NAS RADIUS Server LCP Configure-Req (PAP Auth) LCP Configure-Ack LCP Configure-Req (CHAP Auth) LCP Configure-Ack PAP Authenticate-Req (UserName, Password) PAP Auth complete NCP phase starts Radius Access-Req (UserName UserPassword (encrypted) NASId NASPort) PAP Authenticate-Ack Radius Access-Accept (Config Info) CHAP Response (UserName,Response Value) CHAP Challenge (Challenge Value) Radius Access-Req (UserName ChapChallenge ChapPassword=Chap Id + Response Value (encrypted) NASId NASPort) Radius Access-Accept (Config Info) CHAP Auth complete NCP phase starts CHAP Success

8 RTC et boucle locale Evolution de l accès au réseau Narrowband Network Exchange Feeder with/without M/Concentration Loop Intégration bande-étroite et large bande Intégration bande-étroite et large bande : L ADSL ISP/POP Broadband Network + Servers Narrowband Network Exchange Feeder with/without M/Concentration Loop MODEM-PC ISP/POP Broadband Network + Servers Narrowband Network Exchange Feeder Feeder with/without M/Concentration Loop MODEM-PC Set Top Box

9 Intégration bande-étroite et large bande -VoDSL ISP/POP Narrowband Network Exchange Feeder with/without M/Concentration Loop Réseau d infrastructure à circuits virtuels Broadband Network + Servers Feeder MODEM-PC Set Top Box Un réseau... des nœuds et des liaisons topologie nœuds d accès et nœuds internes chaque station est reliée à un nœud d accès une communication : ETTD A liaison de données A-N1 N1 liaison de données N1-N2 ETTD A N1 N5 N6 N7 N2 N4 liaison de données N2-B N2 ETTD B ETTD B N3 Technique de commutation Temporelle synchrone ou commutation de circuits Multiplexage TDM en entrée de réseau Réseau Numérique à Intégration de Services (RNIS) Temporelle asynchrone ou commutation de paquets Multiplexage asynchrone ou statistique Réseaux 25, Frame Relay, ATM

10 Commutation de paquets Commutation Store-and-Forward un paquet est une information formant logiquement un tout et pour la source et pour le destinataire pas de réservation de bande passante fonctionnement de type Store-and-Forward Liaison d entrée Liaison de sortie choisie N1 ETTD A buffer de retransmission N2 ETTD B 1. Le nœud reçoit le paquet dans son intégralité 2. Le nœud choisit la liaison de sortie (commute) 3. Le nœud retransmet le paquet sur la liaison de sortie Commutation de paquets Commutation de messages et de paquets découpage des messages en paquets de taille limitée et fixe les paquets sont transmis en parallèle sur les différentes liaisons «pipeline» A-N1 N1-N2 N2-N3 M M M diminution du temps de transfert meilleur entrelacement des paquets sur la liaison meilleur partage de la liaison commutation plus rapide allocation de buffers de taille fixe (plus simple) déséquencements possibles temps de transfert variables risques de congestion N3-C A-N1 N1-N2 N2-N3 N3-C Temps de traversée de A à C P1 P2 P3 P1 P2 P3 P1 P2 P3 P1 P2 P3 Temps de traversée de A à C M

11 Services de réseau assurer : l indépendance par rapport aux supports de transmission sous-jacents le transfert de bout-en-bout (entry-to-exit) des données la transparence des informations transférées le choix d une QoS le service d adressage aux points d accès du service de réseau le transfert doit-il être fiable? circuit virtuel ou datagramme... Service en mode connecté service en mode circuit virtuel transfert fiable (approche «opérateur public») communication en 3 phases établissement de la connexion transfert de données libération de la connexion modélisation du service N-CONNECT : request, indication, response, confirmation N-DATA : request, indication (confirmation éventuellement) N-DiSCONNECT : request, indication Etablissement/libération circuit virtuel Circuit virtuel : table et numérotation Chaque nœud mémorise l existence d un CV par une entrée dans sa table de CV ouverts un CV est identifié par un numéro local à chaque liaison appelé numéro de voie logique Etablissement d un CV grâce à un paquet d appel choix du routage pour tout le CV réservation de buffers enregistrement dans les tables Libération du CV : paquet de libération libère aussi toutes les ressources partie entrée ligne entrée nœud précedent A N2 table de translation du noeud 1 num CV i p partie sortie ligne entrée nœud précedent N3 A num CV j 0 o i HOTE A N1 appelant et appelé j p N3 N2 N4 k q r N5 HOTE C appelant noeud l HOTE B appelé

12 Circuit virtuel : transfert de données Service en mode non connecté : datagramme transfert fiable, en séquence, sans perte ni duplication les paquets de données ne contiennent plus les adresses complètes source et destinataire mais seulement le numéro de circuit virtuel les paquets de données suivent le chemin tracé par le paquet d appel possibilité de contrôle de flux par fenêtre sur le CV détection des pertes de paquet service minimal : accepte des paquets de la couche Transport de façon isolée et les achemine chaque paquet d un message est transmis indépendamment des autres : routage effectué sur chaque paquet les paquets d'un même message arrivent dans le désordre voire pas du tout : aucune garantie sur le transfert des paquets pas possible de mettre en place un mécanisme de contrôle de flux Datagramme versus Circuit Virtuel Fonctions Etablissement Adressage Information d état dans le routeur Routage Panne de routeur Contrôle de congestion Datagramme Inutile Chaque paquet contient les adresses source et destination Aucune Chaque paquet est routé indépendamment des autres Perte des paquets stockés dans le routeur Difficile Circuit Virtuel Protocole d établissement et de libération (lourd) Chaque paquet de données ne contient que le n CV Le routeur mémorise une entrée par CV dans une table des CV actifs Le routage est choisi à l établissement du CV ; tous les paquets de données suivent la même route Tous les CV passant par ce routeur sont fermés Possibilité de contrôle de flux par fenêtre sur chaque CV Exemple de réseau à CV : Transpac Utilise aussi 25 et mode CV en interne accès direct par LS ou RTC accès indirect par numéros spéciaux débit de 64 kb/s à 20 Mb/s facturation : abonnement + communication + Koctets 120 points d accès offre Frame Relay : 4, 8 et 34 Mbit/s support majoritaire de l Internet en France

13 Relais de trames B-ISDN et ATM constat : évolution des technologies liaisons ordinateurs objectif : performances élevées à un coût réduit idée : utiliser des protocoles aussi simples que possible entre commutateurs commuter au niveau trame reporter le contrôle d erreur et le contrôle d erreur sur les systèmes d extrémité introduire une signalisation séparée Broadband Integrated Services Digital Network (RNIS-LB) objectif : créer un réseau universel unique moyens fibre optique ATM (Asynchronous Transfer Mode) principe de base : commutation de cellules - paquets de taille fixe et réduite (53 octets dont 5 d en-tête) flexibilité efficacité rapidité multi-débits diffusion B-ISDN et ATM applications cible téléphone vidéo à la demande TV câblée audio courrier électronique multimédia interconnexion de LAN calcul scientifique etc. ATM : les objectifs satisfaire les contraintes contradictoires des nouvelles applications intégration des services trafic commutation simplicité du circuit circuit paquet de longueur fixe stream ni contrôle de flux ni contrôle d erreur délais de transfert bornés bursty souplesse du paquet paquet allocation dynamique de BP débits variables

14 ATM : une technique de transfert asynchrone ATM : le multiplexage temporel asynchrone technique de transfert = multiplexage + commutation débit : le débit d une voie en entrée est quelconque le multiplex n est pas synchronisé avec les sources mode asynchrone allocation dynamique de la BP mode paquet utilisation d une file d attente introduisant une part plus ou moins grande d indéterminisme ATM : la cellule ATM : les connexions transport des cellules traitement de l en-tête translation VPI/VCI (dé)multiplexage de cellules deux interfaces UNI (User-Network Interface) NNI (Network-Network Interface) format de la cellule (UNI) Generic Flow Control Virtual Path Identifier Virtual Channel Identifier Payload Type Cell Loss Priority Header Error Control mode connecté GFC VPI VCI VPI VCI PT CLP HEC payload (48 octets) VCI VCC (Virtual Channel Connection) de bout-en-bout entre la source et le destinataire concaténation de VC (Virtual Channel) identification sur chaque VC par un VCI VCI = x VCI = y VCI = z A N1 N2 B VC VC VC table de lookup de N1 entrée sortie VCI, A Y, N2 port x VCC de A N1 vers N2 y

15 ATM : VC et VP ATM : vie d'une connexion hiérarchie des connexions à 2 niveaux établissement VC (Virtual Channel) VP (Virtual Path) commutation à 2 niveaux VC VC VP VP couche physique VCI VP VP la source déclare ses paramètres au réseau (@ dest., débit) reste-t-il des étiquettes et du débit entre les 2 extrémités oui : réservation de ressources, mise à jour des tables VPI transmission non : appel rejeté transfert de données libération de la connexion commutateur brasseur commutateur A la base des technologies VPN