IP ACCESS. Spécifications Techniques d Accès au Service

Transcription

1 IP ACCESS Spécifications Techniques d Accès au Service Version Septembre 2014

2 Table des matières 1. Objectif du document Présentation du service Le lien d accès DSL Accès au service sur site d extrémité Interface de service Ethernet Interface de service Cuivre Equipement sur le Site d Extrémité Modems compatibles SFR ORANGE Protocoles de connexion Accès avec technologie ATM sur la boucle locale Accès avec technologie EFM sur la boucle locale Protocole Maximum Transmission Unit Porte de livraison Définition d une porte de livraison Interface Physique d'accès au service Interfaces Ethernet supportées Type de Port Ethernet Mutualisation des Services Débit IP disponible Adressage IP Protocole IP supporté Adressage IP des interconnexions de réseaux Nombre total d adresses annoncé Adressage IP des LNS Adressage IP RADIUS Routage au niveau de la Porte de Livraison Schéma General Routes Echangées Caractéristiques de la session ebgp Cheminement des flux Annonces BGP SFR et Dimensionnement des Equipements Client Mutualisation d'une porte de livraison SFR pour les accès garantis et non garantis Routage du Trafic sur le bon VLAN Paramétrage Réseau des RADIUS Clients Interface entre Proxy Radius SFR et serveurs RADIUS client IP ACCESS Page 1 / 59

3 7.6.2 Paramétrage des Utilisateurs Finaux Classes de Service, Profils et Marquage Classe de service Réseau pour les accès DSL ATM Non Garantis Classes de service Réseau pour les accès DSL ATM Garantis Classes de service Réseau pour les accès DSL EFM Profils CoS pour les accès CEE (Orange) Marquage sur le site d extrémité et sur le site central Trafic montant pour les accès CEE Trafic montant pour les accès EFM de SFR Trafic descendant pour les accès CEE Trafic descendant pour les accès EFM de SFR Sécurisation de la livraison par deux Portes Sécurisation des LNS par les attributs Radius Pour les accès garantis Pour les accès non garantis et garantis Choix de l'équipement LNS Format des identifiants PPP des Utilisateurs Adresses IP des Utilisateurs Finaux Architecture du service de Collecte Utilisation du protocole L2TP Description du fonctionnement du protocole L2TP Les fonctions LAC et LNS Architecture Radius Schéma Général Les échanges Proxy Radius serveur RADIUS client Attributs des tickets d authentification émis par le Proxy Radius vers les serveurs RADIUS du Client (Access_Request) Attributs du ticket de réponse d authentification émis par les serveurs RADIUS du Client vers le Proxy Radius (Access-accept) Attributs Communs aux Service Garanti et non Garanti Attribut supporté uniquement par le service garanti Attributs émis du Proxy Radius SFR vers le Radius Client Paramétrage des mécanismes d acquittement Mécanisme d acquittement en authentification Mécanisme d acquittement en compte rendu Objectifs de performance du service Annexe 1: Lien d Accès DSL SFR garantis (ancien nom: Reflex) Description générale des technologies et caractéristiques des Liens d'accès DSL Débits ADSL Débits SDSL Annexe 2: Lien d Accès DSL SFR non garantis (ancien nom: Surfer) IP ACCESS Page 2 / 59

4 19. Annexe 3: Lien d Accès DSLE Classe de service à débit constant garanti Classe de service à débit crête Spécification des liaisons ATM Caractéristiques communes à tous types de liaisons Caractéristiques des liaisons xdsl de type «c» (débit crête / débit minimum garanti) Caractéristiques des liaisons xdsl de type «g» (débit garanti) Annexe 4: Liens d accès CEE Annexe 5: Lien d Accès DCA Access et DCA Access Only Installation du filtre «maître» Installation de filtres «distribués» Transport ATM France Telecom et portes de livraison entre France Telecom et SFR Principe Raccordement haut débit Les conduits de collecte Les VC clients finaux Transport ATM SFR ANNEXE 6: Prérequis d installation des équipements dans les locaux fournis par le client en Site Central Local technique Accessibilité Dimensions Faux Plancher Chemin de câbles Eclairage de la salle Aspect environnement climatique Hygrométrie Climatisation Qualité de l air Sécurité Électrique Incendie Inondation Accès Optique Accès réseau Alimentation électrique Alimentation 48V DC des équipements Alimentation 230V~ ou 230V~ ondulé Alimentation 230V~ de Service Prise de terre IP ACCESS Page 3 / 59

5 22.7 Compatibilité Electromagnétique et Electrostatique Répartiteur et desserte Interne IP ACCESS Page 4 / 59

6 Table des Illustrations FIGURE 1 SERVICE VIA LE RESEAU D'ACCES SFR 8 FIGURE 2 SERVICE VIA LE RESEAU D'ACCES ORANGE 9 FIGURE 3 INTERFACE DE SERVICE 11 FIGURE 4 INTERFACE RJ11 12 FIGURE 5 CARACTERISTIQUES DE L'INTERFACE DE SERVICE CUIVRE 12 FIGURE 6 PROTOCOLES SUR ACCES EFM 14 FIGURE 7 TYPES ET CARACTERISTIQUES DES INTERFACES D'INTERCONNEXION 16 FIGURE 8 SCHEMA DE PRINCIPE DE LA PORTE DE LIVRAISON ET DE LA COLLECTE IP 19 FIGURE 9 ECHANGES RADIUS 34 FIGURE 10 OBJECTIFS DE PERFORMANCE DU SERVICE 40 FIGURE 11 DEBITS DES OFFRES SFR ADSL DEBIT GARANTI 42 FIGURE 12 DEBITS DES OFFRES SFR SHDSL DEBIT GARANTI 43 FIGURE 13 DEBITS DES OFFRES SFR SDSL BIS DEBIT GARANTI 43 FIGURE 14 DEBITS DES OFFRES SFR SHDSL BIS EFM DEBIT GARANTI 43 FIGURE 15 DEBIT DES OFFRES SFR ADSL DEBIT NON GARANTI 45 FIGURE 16 DEBIT DES OFFRES ORANGE DSLE DEBIT GARANTI 46 FIGURE 17 DEBIT CRETE DES OFFRES ORANGE DSLE DEBIT GARANTI 47 FIGURE 18 VALEUR DES CHAMPS DES CELLULES ATM AUX INTERFACES DE SERVICE 47 FIGURE 19 DEBIT ET CDVT DES OFFRES ORANGE ADSL DE TYPE "C" DEBIT CRETE 48 FIGURE 20 DEBIT ET CDVT DES OFFRES ORANGE SDSL DE TYPE «C» DEBIT CRETE 48 FIGURE 21 DEBIT ET CDVT DES OFFRES ORANGE SDSL DE TYPE «G» DEBIT GARANTI 49 FIGURE 22 OBJECTIFS DE PERFORMANCE 49 FIGURE 23 DEBITS ORANGE DES OFFRES CEE (EFM) DEBIT GARANTI 51 FIGURE 24 DEBIT DES OFFRES ORANGE DCA DEBIT NON GARANTI 55 IP ACCESS Page 5 / 59

7 ADSL ATM ATU-C ATU-R CBR CDV CDVT CLP CLR CTD DS DSLAM EFM IMA MCR MCTD Proxy Radius PCR POP PVC QoS UBR UNI UPC US VC VCI VP VPC VPI Asymmetric Digital Subscriber Line Asynchronous Transfer Mode ADSL Termination Unit-Central ADSL Termination Unit-Remote Constant Bit Rate Cell Delay Variation Cell Delay Variation Tolerance Cell Loss Priority Cell Loss Ratio Cell Transfer Delay Downstream : sens descendant Digital Subscriber Line Access Multiplexer Ethernet First Mile Inverse Multiplexing ATM Minimum Cell Rate Maximum Cell Transfer Delay Proxy Radius Peak Cell Rate Point Of Presence Permanent Virtual Channel Quality of Service Unspecified Bit Rate User-Network Interface Usage Parameter Control Upstream : sens montant Virtual Channel Virtual Channel Identifier Virtual Path Virtual Path Connection Virtual Path Identifier Glossaire IP ACCESS Page 6 / 59

8 1. OBJECTIF DU DOCUMENT Ce document décrit les Spécifications Techniques d Accès au Service (STAS) de l offre IP Access de SFR. Cette offre se décline en accès Garanti (accès SFR SDSL et Orange DSLE/CEE) et en accès non Garanti (accès SFR ADSL et Orange DCA). Voir leurs descriptions en annexe. Ces spécifications présentent d une manière générale : Le transport des données dans le réseau SFR L accès site central (porte de livraison) L accès site extrémité (accès collecté) IP ACCESS Page 7 / 59

9 2. PRESENTATION DU SERVICE Le service est constitué des éléments suivants : 1. Un accès DSL sur chaque Site d'extrémité (site Utilisateur Final) permettant le raccordement au réseau de SFR. Ce raccordement DSL est réalisé au travers de l offre l offre DSL de SFR ou d Orange.Par défaut le Service ne comprend pas la fourniture ni la gestion d un équipement de type modem sur le Site Extrémité. En Option, dans le cas des offres Garanties, un modem Ethernet est disponible. 2. la collecte des flux qui se fait en utilisant le protocole L2TP. Cette collecte IP intègre notamment les échanges RADIUS et le transport national en mode garanti ou non des flux IP au sein du réseau SFR. Les tunnels L2TP permettent l établissement de sessions PPP entre les LNS Opérateur et les sites d extrémité. 3. la concentration et la livraison au Client des flux sur le site central (la ou les Portes de Livraison) via un lien de raccordement physique entre le site central et le réseau de SFR. L interface de service est située au niveau du port user de l équipement d accès au service (EAS) et constitue la limite du service fourni par SFR sur le Site Central Figure 1 Service via le Réseau d'accès SFR IP ACCESS Page 8 / 59

10 Figure 2 Service via le Réseau d'accès Orange IP ACCESS Page 9 / 59

11 3. LE LIEN D ACCES DSL Voir les annexes sur les liens d accès. IP ACCESS Page 10 / 59

12 4. ACCES AU SERVICE SUR SITE D EXTREMITE L'accès du Site Extrémité est caractérisé par: -son support de transmission -et son Interface de Service, de type Ethernet avec installation d'un modem en Option ou de type cuivre sans livraison de modem. Figure 3 Interface de service 4.1 Interface de service Ethernet Cette interface n'est disponible en Option que pour les débits garantis. Les caractéristiques physiques de l Interface de Service de type Ethernet sont : Type d interface de service : Fast Ethernet (100BASE-TX) full duplex Portée : 100mètres Type de connecteur Impédance ISO 8877 (RJ45) Impédance: 100 ohms Type de câbles à utiliser : UTP5 La fonctionnalité «auto négociation» n est pas mise en œuvre sur l interface Ethernet de l EAS d Orange. Il ne faut pas la mettre en œuvre sur l équipement Opérateur raccordée à l EAS. 4.2 Interface de service Cuivre Le raccordement des Sites Extrémités est matérialisé par une, deux ou quatre paires de cuivre livrées sur la tête de câble Orange sur le Site Extrémité. L EAS (Equipement d Accès au Service) se réduit à une interface physique RJ11 femelle. Dans le cas d un raccordement du site extrémité sur une paire (mono paire), le service est délivré sur Paire 1 : broches 3 et 4. Dans le cas d un raccordement du site extrémité sur deux paires (bi paire), le service est délivré sur : Paire 1 : broches 3 et 4 Paire 2 : broches 2 et 5 Dans le cas d un raccordement du site extrémité sur quatre paires (quadri paire), le service est délivré sur deux connecteurs RJ11: Paire 1: broches 3 et 4 du premier connecteur Paire 2 : broches 2 et 5 du premier connecteur Paire 3: broches 3 et 4 du second connecteur IP ACCESS Page 11 / 59

13 Paire 4 : broches 2 et 5 du second connecteur Les broches 1, 2, 5 et 6 (cas du raccordement mono pair) ou 1 et 6 (cas des raccordements bi paire et quadri paires) des prises RJ11 ne sont pas utilisées. Le câblage des broches 3 et 4 (1 ère paire de la prise) est indifférencié ainsi que le câblage des broches 2 et 5 (2 ème paire de la prise). L Opérateur relie cette interface Cuivre à son équipement à l'aide d'un cordon non fourni. La longueur de ce cordon doit être inférieure ou égale à 3 mètres. ATTENTION : certains équipements modems-routeurs ne respectent pas ce brochage et ont une interface RJ45. Il est à la charge de l Opérateur de fournir le cordon pour adapter l interface. Figure 4 Interface RJ11 Type d interface et débit binaire de l interface Type de support Connecteur de la jonction à l Interface de Service Distance maximale entre l équipement du client et l interface de Service Normes de référence Cuivre UTP-3, UTP-5 RJ11 3 mètres ITU-T G Figure 5 Caractéristiques de l'interface de service Cuivre IP ACCESS Page 12 / 59

14 5. EQUIPEMENT SUR LE SITE D EXTREMITE Pour permettre le fonctionnement du Service, un modem ou un routeur ADSL ou SDSL suivant le type de ligne livrée devra être installé chez l Utilisateur Final. Il assure la transmission (émission/ réception) des données haut débit sur la Ligne. 5.1 Modems compatibles SFR SFR a testé avec succès un certain nombre d équipements dont il tient la liste à la disposition du Client. Cette liste n engage en rien SFR quant au bon fonctionnement des services mis en œuvre par le client. Le choix d un modem en dehors de cette liste reste possible, mais des essais d interopérabilité devront être réalisés ORANGE La liste des modems Opérateur dont l interopérabilité avec le réseau d'orange a été vérifiée est disponible auprès d'orange sur son site WEB, voir le document «annexe modem DSL». Le choix d un modem en dehors de cette liste reste possible, mais des essais d interopérabilité devront être réalisés suivant les recommandations d Orange. Les conditions sont décrites dans les documents «test d interopérabilité DSL». 5.2 Protocoles de connexion Accès avec technologie ATM sur la boucle locale Le protocole de connexion est PPPoA sur le VPI/VCI 8/35 pour les accès cuivre. Dans le cas de l'option Modem Ethernet il faut utiliser PPPoE. Tout autre protocole de connexion sera soumis à SFR pour validation technique. Pour PPPoA l'encapsulation conseillée est VC Multiplexed (syntaxe Cisco:encapsulation aal5mux ppp dialer) Accès avec technologie EFM sur la boucle locale Protocole Le seul protocole utilisable à l'accès du Site Extrémité est PPPoE (session PPP). IP ACCESS Page 13 / 59

15 IP PPP VLAN Ethernet EFM SDSL Figure 6 Protocoles sur accès EFM VLAN Les flux issus des Sites Extrémités sont transportés dans le VLAN d'accès jusqu'au DSLAM. La valeur du VLAN ID est fixée à Le service ne permet qu un niveau de VLAN correspondant au VLAN d Accès. Le VLAN d Accès doit être positionné par l équipement du client final ou éventuellement par l équipement du client opérateur. La valeur dot1p du vlan 2900 permet de classifier le trafic. Voir chapitre Classes de Service, Profils et Marquage. IP ACCESS Page 14 / 59

16 6. MAXIMUM TRANSMISSION UNIT La MTU est la taille du paquet IP. Elle correspond à la taille d un paquet Ethernet, sur lequel on enlève les tailles des adresses MAC source et destination, le FCS, L Ethertype et les VLAN clients ou opérateur s ils existent. Entre le CPE sur le site du client final et le LNS du client Opérateur, sur accès DSL(ATM), la MTU est de : o 1492 octets pour le PPPoE o 1500 octets pour le PPPoA. o Ces MTU sont symétriques dans les 2 sens de trafic. Sur accès DSL(EFM), On utilise PPPoE et par défaut la MTU est Si on veut une taille du paquet IP de 1500 octets, il faut utiliser sur le CPE d extrémité le tag PPPOE max-payload en le mettant à la valeur La taille maximum d un paquet IP (en utilisant le tag max-payload) est alors de 1500 octets. Sur les Portes de Livraison: La MTU entre les équipements Opérateur et le NTU de SFR devra être de 2000 octets en émission et en réception, Les équipements Opérateur ne devront pas envoyer des paquets L2TP fragmenter vers SFR. IP ACCESS Page 15 / 59

17 7. PORTE DE LIVRAISON 7.1 Définition d une porte de livraison La Porte de Livraison permet de livrer en IP les flux des Sites d'extrémité au Client. Elle est en standard constituée physiquement : - d une paire de fibres optiques reliant un POP SFR au site Client et permettant l établissement d un ou plusieurs canaux Fast Ethernet ou Gigabit Ethernet ; - d un NTU (Network Termination Unit) SFR chargé d adapter au support de transmission le débit souhaité par le Client, avec accord préalable de SFR. Le NTU est un équipement de niveau 2. Il est situé dans une baie du Site Client. Le NTU SFR est mono raccordé à un équipement Client qui aura le rôle de peer ebgp. Chaque Porte de Livraison est dédiée au Client. 7.2 Interface Physique d'accès au service Interfaces Ethernet supportées Type d Interface Ethernet 100 Base-TX full duplex Ethernet 1000 Base SX full duplex ou LX full duplex Appellation Usuelle Débits d interface Connecteur de la jonction Fast Ethernet 100 Mbit/s RJ 45 ISO 8877 Giga Ethernet 1000 Mbit/s Connectique optique au standard LC Duplex Normes de référence IEEE 802.3u 21 du standard ISO/IEC IEEE 802.3z 38 du standard ISO/IEC Ethernet 1000 Base T Giga Ethernet 1000 Mbits/s RJ45 IEEE 802.3ab 40 du standard ISO/IEC Figure 7 Types et caractéristiques des interfaces d'interconnexion Notas : I. Le mode half duplex n est pas disponible. Seul le mode full duplex (standard IEEE 802.3x) sur les différentes interface est disponible et devra être mis en place sur les équipements clients. II. Le mode auto-négociation n est pas disponible. III. Le port Fast Ethernet présent sur le NTU est un port MDI "simple", c'est-à-dire qu'il n'intègre pas de fonction "crossover" ou croisement interne d'affectation des broches Type de Port Ethernet Les ports sont par défaut des port trunks. Le vlan d'accès au service est donné par SFR. Si nécessaire les ports peuvent être configurés en Access (pas de Vlan) Mutualisation des Services Dans le cas où le client achète un service garanti et un service non garanti ces services seront accessibles sur un seul port, avec 2 Vlans. Il faut s'assurer au niveau routage que les flux de chaque service passent bien par le bon Vlan. Voir Chapitre 7.5.1Routage du Trafic sur le bon VLAN. IP ACCESS Page 16 / 59

18 Chaque vlan pourra utiliser toute la bande passante du port. Si c'est nécessaire les 2 services peuvent être accessibles sur 2 ports. Et éventuellement sur des ports de type accès Débit IP disponible A titre d'information, les interfaces de la Porte de Livraison laissent passer au maximum les débits IP suivants : - Fast Ethernet: 85,90 Mb/s - Gigabit Ethernet: 859 Mbit/s. Ces débits IP sont théoriques et ont été calculés en partant d'une hypothèse de paquets IP de 256 octets. IP ACCESS Page 17 / 59

19 7.3 Adressage IP Protocole IP supporté La porte IP ne supporte que le protocole IPV Adressage IP des interconnexions de réseaux SFR fournira au Client les adresses IP publiques IPV4 pour l interconnexion BGP à son réseau sous forme d un préfixe IP de taille / Nombre total d adresses annoncé Par Raccordement, le nombre total d adresses de LNS et de serveurs RADIUS annoncé par le Client ne peut pas excéder Adressage IP des LNS Cas Accès Garanti Les adresses IP des LNS qui seront annoncées par le Client lors des échanges RADIUS et utilisées pour établir les tunnels L2TP seront fournies par SFR au Client suivant les besoins de ce dernier. Ces adresses seront des adresses publiques attribuées à SFR par le RIPE. Elles ne devront être utilisées par le client que pour établir les tunnels L2TP et ne devront pas être annoncées à un réseau tiers autre que SFR. Les adresses fournies par SFR au Client seront des /32 et pourront ne pas être consécutives. Elles sont globales à l ensemble des LNS, quel que soit le nombre de portes IP. Le Client attribuera les adresses à ses différentes LNS comme il le souhaite et annoncera ces adresses dans les échanges BGP entre ses LNS et les équipements du réseau SFR. Remarque : Ces adresses même si elles ne sont pas routées, sont visibles d Internet. Le client doit mettre en place les configurations qui lui sembleraient nécessaires pour assurer sa sécurité Cas Accès non Garanti Dans ce cas le Client doit fournir à SFR les adresses IP des LNS : - le Client peut fournir une seule ou plusieurs adresses de LNS, - les adresses de LNS doivent être publiques Adressage IP RADIUS Le Client doit fournir à SFR : - l'adresse IP du serveur RADIUS d'authentification et éventuellement une deuxième pour un secours, - l'adresse IP du serveur RADIUS de compte rendu (accounting), si ce n'est pas le même que celui d'authentification, et éventuellement une deuxième pour un secours, - ces adresses IP doivent être publiques, - ces adresses doivent être différentes des adresses de LNS. IP ACCESS Page 18 / 59

20 7.4 Routage au niveau de la Porte de Livraison Schéma General Un exemple de porte de Livraison Sécurisée (2 accès): Figure 8 Schéma de principe de la Porte de Livraison et de la Collecte IP Routes Echangées Quatre types de routes sont échangés entre SFR et le Client : Routes annoncées par SFR: - les adresses des BAS (ce sont les BAS qui implémentent la fonction LAC) ; - les adresses normal et secours des Proxy Radius. Routes annoncées par le Client: - les adresses des LNS (cf. paragraphe «Adressage IP des LNS» pour les contraintes liées à ces adresses ; - les adresses des serveurs RADIUS (cf. paragraphe «Adresses IP du (des) serveur(s) RADIUS» pour les contraintes liées à ces adresses). Les adresses des LNS et des serveurs RADIUS sont diffusées au sein du réseau IP de SFR avec des masques en /32. Elles ne sont en aucun cas annoncées à l extérieur du réseau SFR. IP ACCESS Page 19 / 59

21 Les échanges d adresses entre l Opérateur et SFR sont faits avec le protocole ebgp (RFC 1771). A cet effet, une session ebgp est montée entre le routeur de SFR interconnecté au NTU et un routeur de l Opérateur qui termine l'interconnexion entre le réseau de SFR et son réseau Caractéristiques de la session ebgp Peering - le client doit posséder un numéro d'as public, - le numéro d'as de SFR est le 15557, - la session doit être montée sur chaque VLAN d interconnexion entre les routeurs de SFR et les routeurs de l Opérateur. Si l Opérateur ne dispose pas d AS, SFR peut fournir un AS privé Filtres sur les routes Clientes SFR protège son réseau en mettant en œuvre les filtrages suivants sur les annonces du Client : Limitation du nombre total de routes (LNS et RADIUS) annoncées par le Client sur un raccordement à 100 routes. Vérification que ces annonces sont des annonces en /32, ceci afin de s'assurer que ces routes seront toujours prioritaires dans le réseau IP de SFR. Le Client doit annoncer les adresses de ses LNS et de son (ses) serveur(s) RADIUS en /32. Seules les adresses faisant partie des blocs d'adresses déclarés préalablement par le Client à SFR ou attribuées par SFR au Client sont redistribuées dans le réseau IP de SFR. Les communautés utilisées par le Client sont ignorées par le réseau de SFR Caractéristiques des annonces SFR Les routes de SFR (BAS et Proxy Radius) sont annoncées au Client avec l'attribut communauté NO_EXPORT (RFC1997). L'attribut MULTI_EXIT_DISC de ces routes est positionné à Cheminement des flux Deux flux IP sont transportés sur un raccordement : - le flux RADIUS : trafic d authentification et de compte rendu (accounting) selon le protocole RADIUS entre le Client et SFR. Une partie de ces flux sert à l'identification du tunnel L2TP dans lequel sont acheminées les sessions PPP. - le flux L2TP : trafic venant de et à destination des BAS qui contient les flux PPP des utilisateurs. Les établissements de tunnels L2TP entre les BAS SFR et les LNS du Client sont pilotés par le Client au moyen d informations contenues dans les flux Radius échangées entre les Radius Client et les proxy Radius SFR. Un tunnel L2TP est établi par couple (BAS SFR / LNS Client) Annonces BGP SFR et Dimensionnement des Equipements Client Le nombre total d adresses de BAS annoncé par SFR par Raccordement sera de plusieurs milliers. Ces annonces seront de type /32. Le Client doit donc dimensionner en conséquence ses équipements. IP ACCESS Page 20 / 59

22 7.5 Mutualisation d'une porte de livraison SFR pour les accès garantis et non garantis Dans le cas où le client possède déjà une porte de livraison SFR pour un type d accès et qu il souhaite mutualiser cette porte pour les deux types d accès (garantis et non garantis), une étude de faisabilité devra être réalisée au préalable par les équipes SFR. En effet, le lien Ethernet de raccordement entre le NTU et le premier équipement Client devra être de type 802.1Q et les livraisons devront se faire via deux VLAN différents suivant le type d accès. Si le lien utilisé pour l accès non garantis n est pas de type 802.1Q, une opération de modification de l encapsulation, impactant au niveau service, devra être menée en coordination avec les équipes SFR. Pour rappel, le client devra également mettre en place les fonctionnalités nécessaires pour respecter les STAS respectives de chaque service, notamment au niveau des MTU Routage du Trafic sur le bon VLAN Le trafic de chaque Offre doit passer sur son Vlan Trafic Descendant SFR annonce en EBGP sur chaque Vlan (Offre Accès Garanti/Non Garanti) les adresses des Bas correspondant à l'offre. Le trafic de la LNS vers les Cpe distants peut donc être envoyé vers le bon vlan grâce à ces annonces Trafic Montant Si le client a des LNS dédiées à chaque Offre il doit annoncer les LNS de chaque Offre sur le bon Vlan. Dans le cas où le Client à des LNS mutualisés pour les 2 Offres il faut utiliser sur ces LNS des vpdn-group différents (syntaxe Cisco) Offre Accès Garanti Il faut positionner pour ces accès dans le Radius l'attribut Tunnel-Client-Auth-ID à la valeur "SFR_GARANTI_SDSL". Sur le LNS, il faut utiliser un vpdn-group avec: terminate-from hostname SFR_GARANTI_SDSL source-ip : adresse de la loopback de terminaison des tunnels L2TP SDSL GARANTI. C'est cette loopback qu'il faut annoncer à SFR en EBGP sur le vlan Offre Garanti. Offre Accès Non Garanti Ne rien positionner dans le Radius et utiliser le vpdn-group par défaut (il n'a pas de commande terminate-from hostname). L'adresse de sa loopback doit être annoncée sur le Vlan Offre Accès Non Garanti. 7.6 Paramétrage Réseau des RADIUS Clients Les Radius Client doivent dialoguer avec les Proxy-Radius SFR. Le Proxy Radius SFR a pour objet de relayer les données d identification, d authentification et de compte rendu (accounting) vers les serveurs RADIUS du Client Interface entre Proxy Radius SFR et serveurs RADIUS client IP ACCESS Page 21 / 59

23 Le serveur RADIUS du Client doit supporter le protocole UDP ; il doit détecter le port d émission du Proxy Radius et renvoyer sa réponse sur ce port. SFR doit disposer de la part du Client des données nécessaires à l identification du serveur RADIUS : l adresse IP du serveur RADIUS primaire, l adresse IP du serveur RADIUS secondaire (optionnel), le secret RADIUS (mot de passe partagé entre les serveurs RADIUS du Client et le Proxy Radius), Les ports UDP (port de réception du serveur RADIUS). Ports préconisé: 1812 pour l Authentification et 1813 pour l Accounting préciser s il active l attribut «Proxy-State». Ces informations seront données pour les serveurs RADIUS d'authentification et les serveurs RADIUS de compte rendu (accounting). SFR fournira au Client les adresses IP (normal et secours) de chaque Proxy Radius Paramétrage des Utilisateurs Finaux Voir Architecture Radius IP ACCESS Page 22 / 59

24 8. CLASSES DE SERVICE, PROFILS ET MARQUAGE 8.1 Classe de service Réseau pour les accès DSL ATM Non Garantis Le trafic collecté via le protocol L2TP est transporté dans la classe de service par défaut du Backbone SFR. Le réseau SFR n intervient pas dans la gestion de la qualité de Service des différents flux transitant dans une même session PPPoA. Il ne modifie pas le champ DSCP des paquets IP utilisateurs transportés dans les sessions PPP. 8.2 Classes de service Réseau pour les accès DSL ATM Garantis Le réseau SFR met en œuvre les mécanismes nécessaires afin d assurer le transport en mode garanti de l ensemble du trafic Client correspondant aux débits spécifiés contractuellement. Le réseau SFR n intervient pas dans la gestion de la qualité de Service des différents flux transitant dans une même session PPPoA. Notamment, il ne modifie pas le champ DSCP des paquets IP utilisateurs transportés dans les sessions PPP. Le client doit donc mettre en œuvre les mécanismes nécessaires afin, s il le souhaite, de gérer les différents flux transitant dans les sessions PPP. Cela signifie également qu aucune distinction ne sera faite entre les différents paquets utilisateurs, notamment en cas de destruction de paquets pour cause de dépassement du débit contractuellement spécifié. 8.3 Classes de service Réseau pour les accès DSL EFM Pour les accès EFM de SFR ou ceux d'orange (accès CEE) revendus par SFR, les Classes de Service s appliquent en cas de congestion de trafic entre un Site Extrémité et le PoP Opérateur. Le Service permet de gérer la priorité des flux dans différentes Classes : la classe voix pour les flux de type voix. Le débit est garanti. Elle est prioritaire par rapport aux deux autres classes. Elle est limitée à 50% du débit d Accès dans le cas des lignes avec profile business, la classe data garantie pour les flux de type data prioritaire et vidéo. Le débit est garanti. Nécessite un profile premium. la classe data entreprise pour les flux de type data entreprise non prioritaire. Le débit peut atteindre le débit d accès. Cette classe data entreprise est prioritaire sur la classe attribuée au flux internet Grand Public. 8.4 Profils CoS pour les accès CEE (Orange) Lors de la commande d un Accès, l Opérateur précise l'un des deux profils: Le profil business permet d utiliser la CoS voix à hauteur de 50% du débit d Accès, la CoS data entreprise jusqu au débit d Accès. Il ne supporte pas la Cos data garantie. Dans le cas du profil business, le réseau Orange supprimera le trafic voix au-delà du seuil de 50% du débit d Accès. Le profil premium permet d utiliser les CoS voix, data garantie et data entreprise jusqu au débit d Accès. IP ACCESS Page 23 / 59

25 8.5 Marquage sur le site d extrémité et sur le site central Trafic montant pour les accès CEE Afin de pouvoir différencier les Classes de Service, les trames Ethernet échangées depuis les Sites Extrémités vers le PoP Opérateur (sens montant) doivent être obligatoirement marqué 802.1p par l équipement de l Opérateur sur le site d extrémité. Le champ dot1p du vlan d accès 2900 peut prendre les valeurs suivantes : Cos voix : Valeur de champs dot1p 5 CoS data garantie : Valeur de champs dot1p 4 Cos data entreprise : Valeur de champs dot1p 2 Traitement des trames non-conformes dans le sens montant : Valeur champ dot1p CoS affectée au trafic / rate-limit trafic sur le site d extrémité 0, 1 data entreprise / 64 kbit/s par accès et par valeur dot1p 3, 6, 7 data garantie / 64 kbit/s par accès et par valeur dot1p Si profil business et Si dot1p=4 data garantie / 64 kbit/s par accès Trafic montant pour les accès EFM de SFR Le réseau SFR accepte tout le trafic du site Client final quel que soit le marquage 802.1p Trafic descendant pour les accès CEE Afin de pouvoir différencier les Classes de Service, le champ précédence des paquets L2TP envoyés depuis le PoP Opérateur vers les Sites Extrémités (sens descendant) doit être obligatoirement marqué par l équipement LNS de l opérateur sur le site central selon ces valeurs : CoS voix : Valeur de champs 5 CoS data garantie : Valeur de champs 4 CoS data entreprise : Valeur de champs 2 Remarque : ce marquage sera recopié dans le champ 802.1p du vlan d accès SFR au service Orange. Marquage reçu sur le Cpe : Sens descendant trafic marqué par l opérateur sur le site central Valeur de la précédence du paquet L2TP Sens descendant Trafic sur le site extrémité Valeur dot1p du vlan 2900 Traitement des trames non-conformes dans le sens descendant : Valeur du champ précédence du paquet L2TP sur le site central 0, 1, 3, 6, 7 CoS affectée au trafic / rate-limit data entreprise / pas de rate limite Valeur champ dot1p sur le site d extrémité 2 IP ACCESS Page 24 / 59

26 Si profil business et si champ = 4 data garantie / 64 kbit/s par accès 4 Pour disposer de toute la bande passante en trafic voix et trafic data garantie, l opérateur devra effectuer le bon marquage (5 et 4) sur le CPE et le LNS et choisir le bon profil (premium). IP ACCESS Page 25 / 59

27 8.5.4 Trafic descendant pour les accès EFM de SFR Afin de pouvoir différencier les Classes de Service, le champ précédence des paquets L2TP envoyés depuis le PoP Opérateur vers les Sites Extrémités (sens descendant) doit être marqué par l équipement LNS de l opérateur selon ces valeurs : CoS voix : Valeur de champs 5 CoS data garantie : Valeur de champs 4 CoS data entreprise : Valeur de champs 2 Remarque : ce marquage sera recopié dans le champ 802.1p du vlan d accès SFR Marquage reçu sur le Cpe : Sens descendant trafic marqué par l opérateur sur le site central Valeur de la précédence du paquet L2TP 2 et 0,1,3,6, Sens descendant Trafic sur le site extrémité Valeur dot1p du vlan 2900 IP ACCESS Page 26 / 59

28 9. SECURISATION DE LA LIVRAISON PAR DEUX PORTES On peut utiliser deux Portes pour sécuriser la collecte Ip Access. Cette sécurisation est basée sur les annonces BGP. Comme le réseau SFR ne fait pas de partage de charges vers les 2 portes, on utilise une topologie Actif/Backup. Les adresses des LNS et Radius doivent annoncées sur les deux portes. Le Client doit annoncer les LNS et les Radius avec un meilleur cout ebgp d'un côté et un moins bon de l'autre. Pour ce faire le Client devra utiliser l'as_path prepend (duplication de l'as client du coté moins prioritaire). En cas de panne de la Porte de Livraison Nominale : le flux du réseau de SFR vers le réseau client sera rerouté automatiquement vers la Porte de Livraison de Backup, le flux du réseau Client devra être rerouté automatiquement vers la Porte de Livraison de Backup. Il faut avoir un routage symétrique : un LNS qui émet sur le Site Nominal doit aussi être annoncée en priorité sur le site Nominal et recevoir son trafic directement sur sa porte Nominale. Idem pour le flux Radius IP ACCESS Page 27 / 59

29 10. SECURISATION DES LNS PAR LES ATTRIBUTS RADIUS On peut sécuriser une LNS par une LNS de backup qui recevra les connexions PPP si la LNS nominale est HS ou si on perd son accès. Cette sécurisation est possible sur une livraison avec une Porte ou avec deux Portes Pour les accès garantis Afin de sécuriser la livraison, Le Client a la possibilité d annoncer dans ses réponses RADIUS deux LNS au Proxy Radius SFR en mode nominal/backup. Pour cela, les LNS annoncées doivent être différenciées en termes de préférence à l aide de l attribut RADIUS tunnel-preference. Le fonctionnement est le suivant : si le BAS reçoit une réponse RADIUS avec deux LNS annoncées et s il n arrive pas à joindre la LNS annoncée comme primaire, il va alors tenter de joindre la LNS secondaire. Dans les annonces effectuées par le Client, l attribut tunnel-preference sera paramétré à 1:1 pour la LNS primaire et à 1:2 pour la LNS secondaire. Le Client ne devra pas annoncer plus de deux LNS Pour les accès non garantis et garantis Dans le cas des accès non garantis le fonctionnement du mode d'annonce de deux LNS au Proxy Radius SFR en mode nominal/backup n'est pas supporté.. Il faut utiliser le Radius en mode Round Robin: on annonce qu'une seule LNS mais celle-ci est prise dans un ensemble de plusieurs LNS. A chaque demande d'authentification une des LNS est annoncée par le Radius. Si à un moment une LNS est HS, la demande d'authentification échouera mais à la prochaine demande d'authentification le Radius annoncera une LNS qui est ok. Cette solution fonctionne aussi pour les accès Garantis. IP ACCESS Page 28 / 59

30 11. CHOIX DE L'EQUIPEMENT LNS SFR a validé avec succès les équipements Ericsson SE400 et Cisco ASR 1k en tant que LNS client. Cela n engage en rien SFR quant au bon fonctionnement des services mis en œuvre par le Client si ce dernier décidait d utiliser ces équipements. IP ACCESS Page 29 / 59

31 12. FORMAT DES IDENTIFIANTS PPP DES UTILISATEURS Le routage des flux d un Utilisateur Final vers le réseau du Client s'effectue grace aux Proxy Radius SFR sur la base de son nom de domaine. Le processus d identification repose sur le couple <nom-utilisateur>, <mot-de-passe> attribué par le Client à chacun de ses Utilisateurs Finaux. Le Nom d'utilisateur se compose de deux champs séparés par le et terminé par.dop pour les offres à accès garantis ou par.ipadsl pour les offres à accès non garantis. Nom d'utilisateur Accès Garantis : Nom d'utilisateur Accès Non Garantis: <Identifiant-utilisateur> Ce premier champ est l'identifiant de l'utilisateur (PC ou modem/routeur) et est composé de 31 caractères alphanumériques maximum. Ce champ est uniquement paramétrable par le client. <Champ libre> Le Champ libre est un champ réservé au client. Il est choisi librement par le Client pour son usage. Ce champ est uniquement paramétrable par le client. <identifiant-opérateur> L identifiant-opérateur sera configuré sur le réseau SFR lors du déploiement de la porte de livraison. Il est choisi librement par le Client sous réserve qu il ne soit pas déjà utilisé par un autre client. Ce champ n est pas modifiable par le client. Longueurs des champs La sommes des longueurs des champs <Champ libre>.<identifiant-opérateur> (y compris le caractère. ) ne devra pas dépasser 25 caractères au maximum pour le nom utilisateur terminant par.dop et 22 caractères au maximum pour le nom utilisateur terminant par.ipadsl. IP ACCESS Page 30 / 59

32 13. ADRESSES IP DES UTILISATEURS FINAUX Les adresses IP des Utilisateurs Finaux sont de la responsabilité du Client. Ces adresses ne sont pas vues par SFR. Le Client est responsable de l adresse qu il attribue au Client Final. SFR ne peut être tenu pour responsable si le Client attribue deux fois la même adresse à des Utilisateurs Finaux. Les adresses IP V4 et V6 des utilisateurs clients finaux sont supportées. IP ACCESS Page 31 / 59

33 14. ARCHITECTURE DU SERVICE DE COLLECTE 14.1 Utilisation du protocole L2TP SFR a choisi de travailler en modèle fermé avec le protocole "L2TP" (Layer Two Tunneling Protocol) en conformité avec le RFC Ce choix va permettre au Client de gérer lui-même les terminaisons PPP de ses Utilisateurs, un tunnel L2TP permettant de prolonger une session PPP jusque chez le Client. Ce dernier peut terminer les sessions L2TP ou les prolonger à son tour vers ses clients fournisseurs de services IP lorsqu'il joue le rôle de transporteur. Un tunnel L2TP sera établi pour chaque couple BAS/LNS Client Description du fonctionnement du protocole L2TP L établissement des tunnels L2TP dynamiques s effectuera sur le mode suivant : les informations relatives aux tunnels L2TP sont stockées dans le serveur RADIUS du Client. Les coordonnées du tunnel (adresse IP du LNS, etc. ) sont envoyées par le serveur RADIUS du Client au proxy RADIUS SFR qui les relaye vers le BAS. Proxy radius SFR Secondaire Radius Client Secondaire Échanges radius CPE client Proxy radius SFR Primaire Radius Client Primaire Réseau d accès DSL Tunnels L2TP BAS SFR LNS Client CPE client L2TP PPP Figure 3 : Fonctionnement du protocole L2TP L établissement de la connexion d un Utilisateur s effectue en deux étapes : 1-Etablissement du tunnel L2TP Cette première phase d échanges d attributs RADIUS permet l établissement du tunnel L2TP entre le BAS) situé sur un Site SFR et le LNS (L2TP Networks Server) situé sur un Site du Client. Ces échanges seront définis d un commun accord entre les Parties. Les étapes sont donc les suivantes : I. Demande de connexion du Client final : envoi du couple identifiant/mot de passe, II. envoi d un message RADIUS access_request par le réseau SFR vers le serveur RADIUS du Client, IP ACCESS Page 32 / 59

34 III. envoi du message access_accept en cas d'acceptation de la demande de connexion par le serveur RADIUS du Client vers le réseau SFR. Cet access_accept identifie le tunnel L2TP dans lequel prolonger la session PPP du Client final, IV. le BAS négocie l établissement du tunnel L2TP avec le LNS identifié dans les flux d authentification 2-Etablissement de la session PPP Cette deuxième phase permet d établir la session PPP du Client final dans le tunnel établi lors de la phase précédente Les fonctions LAC et LNS Le protocole L2TP fonctionne en mode connecté, une session L2TP s'établit par la création d'un tunnel entre un LAC (L2TP Access Concentrator) et un LNS (L2TP Network Server) : la fonction de LAC est assurée par un équipement du réseau de SFR : le BAS, La fonction de LNS est assurée par le Client, soit par un Utilisateur de ce dernier. Le Client fera ses meilleurs efforts pour suivre les recommandations du DSL Forum. IP ACCESS Page 33 / 59

35 15. ARCHITECTURE RADIUS 15.1 Schéma Général Proxy radius SFR Secondaire Access-Request NAS-IP-Adress Radius Client Secondaire Access-Request NAS-IP-Adress CPE client Réseau d accès DSL Proxy radius SFR Primaire Access-Accept Ajout de RBN Context Name Tunnels L2TP Radius Client Primaire Access-Accept Tunnel Server Endpoint Tunnel Assignment Id Tunnel Type Tunnel Medium Type Service Type Framed Protocol CPE client DSLAM BAS SFR Reseau SFR LNS Client Porte de Livraison Figure 9 Echanges radius 15.2 Les échanges Proxy Radius serveur RADIUS client Les attributs RADIUS sont décrits dans les RFC 2865 et 2868 pour la partie authentification et dans les RFC 2866 et 2867 pour la partie compte rendu. Le Client s engage à respecter ces RFC. Il devra notamment, dans ses réponses (Access_Accept, Access_Reject, Access_Challenge) aux requêtes des équipements SFR (Access_Request), toujours retourner non modifiés les attributs Proxy-State émis par SFR. Le Client mettra en œuvre les moyens nécessaires afin que, dans la mesure du possible, les RADIUS Client répondent systématiquement aux requêtes des équipements SFR, que cela soit par un accept ou un reject Attributs des tickets d authentification émis par le Proxy Radius vers les serveurs RADIUS du Client (Access_Request) Si l Utilisateur utilise PAP comme méthode d authentification, les attributs échangés sont décrits dans le tableau suivant : Nom Numéro Description IP ACCESS Page 34 / 59

36 User-Name 1 Nom de l utilisateur User-Password 2 Mot de Passe PAP de l utilisateur NAS-IP-Address 4 Adresse IP du BAS NAS-Port 5 Identifiant du port Service-Type 6 Type de Service (Framed-User) Framed-Protocol 7 Protocole de connexion (PPP) NAS-Identifier 32 Nom du BAS Acct-Session-Id 44 Identifiant de la session Si l Utilisateur utilise CHAP comme méthode d'authentification, les attributs échangés sont décrits dans le tableau suivant : Nom Numéro Description User-Name 1 Nom de l'utilisateur CHAP-Password 3 Mot de Passe CHAP de l'utilisateur NAS-IP-Address 4 Adresse IP du BAS NAS-Port 5 Identifiant du port Service-Type 6 Type de Service (Framed-User) Framed-Protocol 7 Protocole de connexion (PPP) NAS-Identifier 32 Nom du BAS Acct-Session-Id 44 Identifiant de la session 15.4 Attributs du ticket de réponse d authentification émis par les serveurs RADIUS du Client vers le Proxy Radius (Access-accept) Les tickets de réponse d authentification émis par les serveurs RADIUS du Client vers le Proxy Radius doivent comporter les attributs suivants (la syntaxe dépend du fournisseur du serveur Radius client) : IP ACCESS Page 35 / 59

37 Attributs Communs aux Service Garanti et non Garanti Nom No Valeur Description Service-Type 6 Framed-User Type de Service (Framed_User) Framed-Protocol 7 PPP Protocole de connexion (PPP) Tunnel-Type 64 1:L2TP Type de Tunnel (L2TP) Tunnel-Medium-Type 65 1:IP Type de Media du Tunnel (IP) Tunnel-Server-Endpoint 67 1:aaa.bbb.ccc.ddd Adresse IP du LNS Tunnel-Assignement-ID 82 1:aaa.bbb.ccc.ddd Class 25 Libre Identification du tunnel à établir. Cette identifiant doit être unique (par exemple adresse IP du LNS) Optionel Peut être utilisé par le Client pour faire la correspondance entre authentification et accounting Attribut supporté uniquement par le service garanti Nom No Valeur Description Tunnel-Password 69 1:ppppppppp Tunnel-Client-Auth-ID 90 "SFR_GARANTI_SDSL" Tunnel-Preference 83 1:1 ou 1:2 Max 15 caractères Mot de passe utilisé pour authentifier le Tunnel L2TP Indique le nom de l extrémité client du tunnel L2TP Utilisé dans le cas d'une porte mutualisée avec un LNS multi service Préférence du Tunnel Utilisé pour la sécurisation des LNS par les attributs Radius Pour le service non garanti le Tunnel-Password est une option à demander et s'il est demandé il est configuré en dur dans le Proxy Radius SFR. On aussi l attribut Proxy-State, positionné automatiquement par le RADIUS Client. Tout autre attribut est à proscrire (en particulier Framed-IP-Address ou Framed-Route) car ces réponses Radius servent à monter les tunnels L2TP, non à configurer le Cpe via la LNS. IP ACCESS Page 36 / 59

38 15.5 Attributs émis du Proxy Radius SFR vers le Radius Client Les attributs du ticket de compte rendu (accounting Start et Stop) émis par le Proxy Radius vers les serveurs RADIUS du Client sont décrits dans le tableau ci-après (N.B : les attributs spécifiques aux constructeurs des BAS sont transmis sans aucun engagement de SFR). Attributs Radius utilisés dans les tickets de compte rendu (Start et stop): Nom Numéro Description User-Name 1 Nom de l'utilisateur NAS-IP-Address 4 Adresse IP du BAS NAS-Port 5 Identifiant du port Service-Type 6 Type de Service (Framed-User) Framed-Protocol 7 Protocole de connexion (PPP) Class 25 Correspondance entre authentification et accounting Calling-Station-Id 31 Info sur la ligne d'acces NAS-Identifier 32 Nom du BAS Acct-Status-Type 40 Type de paquet d'accounting (1=Start,2=Stop,3=Keepalive) Acct-Delay-Time 41 Durée d émission du ticket Acct-Input-Octets 42 Nb Octets reçus du port Acct-Output-Octets 43 Nb Octets envoyés au port Acct-Session-Id 44 Identifiant de session Acct-Authentic 45 Type d'authentification (1=Radius,2=local) Acct-Session-Time 46 Durée de la session (en secondes) Acct-Input-Packets 47 Nb Paquets reçus du port Acct-Output-Packets 48 Nb Paquets envoyés au port Acct-Terminate-Cause 49 Cause de fin de session Tunnel-Assignment-ID 82 Identification du tunnel à établir Tunnel-Client-Auth-ID 90 Identification de l extrémité client du tunnel L2TP 15.6 Paramétrage des mécanismes d acquittement Les deux proxys Radius SFR sont configurés en mode Primaire Secondaire pour le Client. IP ACCESS Page 37 / 59

39 15.7 Mécanisme d acquittement en authentification Le mécanisme mis en œuvre vis à vis des serveurs Radius du Client est le round-robin pour les tickets d authentification suivant le système suivant : T0 : le BAS envoie une requête au Proxy Radius Primaire qui relaye la requête au serveur radius Client Primaire. T0 + 4s : si le radius Client Primaire n a pas répondu, le Proxy Radius Primaire réémet la requête au serveur radius Client Secondaire. T0 + 8s: si le radius Client Secondaire n a pas répondu, le Proxy Radius Primaire réémet la requête au serveur Client Primaire. T0 + 12s : si le radius Client Primaire n a pas répondu, le Proxy Radius Primaire réémet la requête au serveur Client Secondaire. En cas de non-réponse du Proxy Radius Primaire lors de la requête initiale du BAS, le mécanisme de basculement vers le Proxy Radius Secondaire est le suivant : T0 : le BAS envoie une requête au Proxy Radius Primaire et le Proxy Radius Primaire ne répond pas. T0 + 13s : le BAS envoie une requête au Proxy Radius Secondaire. T0 + Xs (60s actuellement) : le BAS effectue un retry sur le Proxy Radius Primaire Mécanisme d acquittement en compte rendu Le mécanisme mis en œuvre pour les tickets de compte rendu est le suivant : T0 : le BAS envoie une requête au Proxy Radius Primaire qui relaye la requête au serveur Radius Client Primaire. T0 + 4s : si le radius Client Primaire n a pas répondu, le Proxy Radius Primaire réémet la requête au serveur radius Client Secondaire. T0 + 8s: si le radius Client Secondaire n a pas répondu, le Proxy Radius Primaire réémet la requête au serveur radius Client Primaire. T0 + 12s : si le radius Client Primaire n a pas répondu Proxy Radius Primaire réémet la requête au serveur radius Client Secondaire. T0 + 16s: si le radius Client Secondaire n a pas répondu, le Proxy Radius Primaire réémet la requête au serveur radius Client Primaire. T0 + 20s : si le radius Client Primaire n a pas répondu Proxy Radius Primaire réémet la requête au serveur radius Client Secondaire. En cas de non-réponse du Proxy Radius Primaire lors de la requête initiale du BAS, le mécanisme de basculement vers le Proxy Radius Secondaire est le suivant : T0 : le BAS envoie une requête au Proxy Radius Primaire et le Proxy Radius Primaire ne répond pas. T0 + 13s : le BAS envoie une requête au Proxy Radius Secondaire. T0 + Xs (60s actuellement) : le BAS effectue un retry sur le Proxy Radius Primaire. IP ACCESS Page 38 / 59

40 IP ACCESS Page 39 / 59

41 16. OBJECTIFS DE PERFORMANCE DU SERVICE Les objectifs de SFR sont les mêmes quels que soit les débits souscrits et sont donnés dans le tableau suivant: Objectif Valeur Garantie de temps de rétablissement 4 heures 24H/24 et 7J/7 Interruption Maximale de Service Temps de transit en collecte nationale autre que sur accès CEE Temps de transit en collecte nationale sur accès CEE Taux de perte de paquets pour le trafic voix et data garanti sur accès CEE 10-5 Taux de perte de paquets pour le trafic data entreprise sur accès CEE Gigue en collecte nationale Figure 10 Objectifs de performance du service 13 heures par an soit 0,148% d indisponibilité sur 1 année de 365 jours Inférieur à 20 ms Inférieur à 30ms 10-3 Inférieure à 10 ms Les objectifs de performances sur lesquels s engage SFR sont donnés pour des paquets de 40 octets. Définitions des Termes Temps de transit Le délai de transit correspond au délai maximum nécessaire pour réaliser un aller-retour entre le Site Extrémité et le Site Central de l Opérateur (Porte de livraison). L objectif de délai est atteint si 98% des mesures sont conformes sur le mois. gigue C est la variation maximale du temps de transit défini ci-dessus. La gigue est exprimée en millisecondes. L objectif de gigue est rempli si 98% des mesures sont conformes sur le mois. Débit IP Garanti signifie que tous les paquets émis jusqu aux débits garantis spécifiés contractuellement sont transportés par le réseau avec les objectifs de performances du service précisés dans le tableau suivant. taux de perte paquets Le taux de perte est défini par la formule suivante : nombre de paquets IP reçus àl' extrémité dela connexion taux de perte = 1 nombre de paquets IP émis à l' origine dela connexion Seul le trafic correspondant au débit IP garanti pourra être pris en compte pour le calcul du taux de perte. L objectif est atteint si 98% des mesures sont conformes sur le mois. IP ACCESS Page 40 / 59