VESIS. Plan de cours

Transcription

1 Plan de cours Réseaux : Concepts de base et la terminologie (30min) VLA (4:30H) Définition et caractéristiques Les VLAs simples VLA tagging : 802.1Q Routage entre les VLAs Les VLAs avancés Agrégation de liens (Link aggregation ou Trunking) Spanning Tree (30m) 802.1D Standard Spanning Tree (STP) 802.1w Rapid Spanning Tree (RSTP) 802.1s Multiple Spanning Tree (MSTP) QoS ou Qualité de Service (30m) Concepts généraux Les modèles de la QoS VOIP et QoS Exemple d implémentation de la QoS sur les commutateurs Securité (30m) Concepts de sécurité Les attaques et les mécanismes de défense ote : Dans cette présentation, la plupart des exemples de configuration est basée sur des commutateurs Omniswitch d Alcatel. ous mentionnons ces exemples dans l unique but de vous donner quelques idées sur comment les concepts que nous décrivons peuvent être déployés pratiquement. En fait, nous constatons que l implémentation et même la configuration de ces concepts sont relativement similaires d un équipementier à un autre, ceci à quelques fonctionnalités près. Roshanak Partovi, rpartovi@novesis.com 1

2 Réseaux : Concepts de base et la terminologie Historique Terminologie Modèle OSI Type de trafic : Unicast, multicast et broadcast Equipements de réseau Concepts LA Domaine de diffusion VLA

3 Historique Des technologies 10Base- aux technologies 10Gb/s. Des transceivers passifs aux commutateurs intelligents niveau Roshanak Partovi, 3

4 Evolution des équipements de réseau Des technologies 10Base- aux technologies 10Gb/s. Des transceivers passifs aux commutateurs intelligents niveau 3. Aujourd hui les commutateurs de niveau 3 fournissent des fonctionnalités avancées comme : Des niveaux de performance très élevés grâce à l implémentation des fonctions de routage dans les ASICS. Support pour un éventail de types de VLA : par port, par protocole, authentifié, etc. Fonctions de sécurité intégrées. Hiérarchisation de trafic et mécanismes de la QoS intégrée. Management et fonctions de logging (historique des événements). Roshanak Partovi, rpartovi@novesis.com 4

5 Modèle OSI Switches Switches Hubs Hubs Source Roshanak Partovi, 5

6 Les adresses unicast, broadcast et multicast L adresse de broadcast représente tous les postes connectés sur un LA ou plus précisément sur un domaine de diffusion. L adresse de broadcast IP : L adresse de broadcast MAC : FF:FF:FF:FF:FF:FF. Les adresses multicast représentent un groupe de postes dans un réseau. Le bloc réservé d adresses multicast IP : Les adresses MAC correspondantes : 01:00:5E:00:00:00 01:00:5E:7F:FF:FF. Une adresse unicast représente un seul poste ou interface physique dans un réseau. Exemple d adresse unicast IP : Exemple d adresse MAC correspondante : 1F:1A:2B:BA:CD:EF Roshanak Partovi, rpartovi@novesis.com 6

7 La transmission des trames unicast, broadcast ou multicast dans un réseau Trame type Broadcast Multicast (*) Unicast Commutateur Transmet sur tous les ports. Transmet sur tous les ports. Transmet sur le port où le poste réside (**). Routeur e transmet pas. e transmet pas. Transmet selon la Table de routage (***). (*) Dans l hypothèse que la fonction multicast de commutateur ou de routeur n est pas active. (**) Après la phase d apprentissage de l adresse et que cette adresse est ajoutée à la table des adresses (***) Le routeur examine seulement les trames broadcast ou celles qui qui sont adressées à l adresse MAC de son interface. Le tableau ci-dessus souligne la différence de comportement entre un routeur et un commutateur face à une trame destinée à une adresse broadcast, multicast ou unicast. Roshanak Partovi, rpartovi@novesis.com 7

8 Un segment Ethernet LA RH R&D PROD Les limitations d un segment Ethernet : Le nombre de postes sur chaque segment La longueur du segment Problèmes de congestion Toutes les trames, unicast ou broadcast, envoyées par chaque PC sont vues par les autres. Les besoins en sécurité, fiabilité et performance suggèrent la nécessité de segmenter le trafic. La segmentation peut être effectuée au niveau 2 ou 3 ou aux deux niveaux en même temps. Roshanak Partovi, rpartovi@novesis.com 8

9 Domaine de diffusion LA RH R&D PROD Un domaine de diffusion est un domaine où toutes les trames de broadcast (trames destinées à FF:FF:FF:FF:FF:FF) sont vues par tous les postes qui y sont connectés. Roshanak Partovi, rpartovi@novesis.com 9

10 Equipements de niveau 1 Transceiver Repeater Hub Admin Production Admin Production Un équipement de niveau 1 répète tout le trafic qu il reçoit, que ce soit unicast, multicast or broadcast, sur tous ses ports. Ce mode de fonctionnement affecte la bande passante libre et peut détériorer la performance du réseau. Un commutateur (niveau 2) améliore la performance en transmettant le trafic unicast uniquement sur le port où l adresse MAC de destination réside. Roshanak Partovi, rpartovi@novesis.com 10

11 Commutateurs de niveau 2 Switch Forwarding table Mac-A Port 1 Mac-B Port 2 Switch... p1 p2 p3 A B C Admin Production Seul le trafic de type broadcast ou unicast avec une adresse MAC de destination inconnue est transmis sur tous les ports. Le trafic unicast avec une adresse MAC de destination connue est transmis uniquement sur le port approprié. Il est souhaitable et même nécessaire pour un réseau plus complexe de restreindre le domaine de diffusion en créant des sous réseaux chacun représentant un domaine de diffusion plus petit. La communication entre ces sous-réseaux est accomplie par un routeur. Roshanak Partovi, rpartovi@novesis.com 11

12 Routeur Admin and R&D Switch-building B Routing table router A etwork address ext hop Router Building-B IP-First floor Direct IP-Second floor Direct IP-Building-B IP-B etwork first floor IP1 Switch-first floor IP-B IP-A Router Building-A IP2 Switch-second floor etwork second floor Admin and R&D Admin and R&D Le trafic de type broadcast est contenu dans son sous-réseau. Les sous-réseaux communiquent entre eux par le moyen des routeurs. Si le réseau contient plus qu un routeur, les routeurs utilisent des protocoles de routage pour connaître les réseaux distants. Problème : Les frontières physiques ne correspondent pas toujours aux frontières logiques. Solution : Les VLAs. Roshanak Partovi, rpartovi@novesis.com 12

13 VLA Définition et caractéristiques Les VLAs simples VLA tagging : 802.1Q Routage entre les VLAs Les VLAs avancés Agrégation de liens (Link aggregation ou Trunking)

14 VLA : Définition et caractéristiques VLAs sont utilisés pour segmenter le trafic. Cette segmentation est effectuée par le logiciel du commutateur. Elimine le besoin de changer physiquement la connexion au réseau ou son emplacement d un poste en cas de son ajout ou sa suppression à/de un VLA. Si l association d une trame à son VLA est préservée de bout-enbout, la sécurité d un réseau basé sur les VLAs n est pas moins fiable que celle d un réseau purement physique. VLAs statiques : Le raccordement d un port à un VLA est statique. VLAs dynamiques : Le raccordement d un port à un VLA est basé sur le trafic. VLAs authentifiés. Roshanak Partovi, rpartovi@novesis.com 14

15 VLAs par port Un lien physique par VLA ou un seul lien avec 802.1Q. Switch first-floor P10 P12 Switch second-floor P10 P14 R&D P2, 3, 7 Broadcast domain or VLan R&D VLan Id 200 R&D P1, 2, 3 Admin P1, 5, 6 Broadcast domain Or VLan Admin VLan Id 100 Admin P4, 5, 6 La configuration sur le commutateur «first-floor» peut ressembler à : >vlan 100 name admin port default 1,5,6 >vlan 200 name R&D port default 2,3,7 Roshanak Partovi, rpartovi@novesis.com 15

16 VLA Tagging : 802.1Q Mécanisme permettant à de multiples VLAs de partager d une manière transparente le même lien physique tout en respectant l étanchéité des VLAs. La segmentation 802.1Q est effectuée moyennant l ajout d un tag à la trame. Le tag permet à la trame d être identifiée comme venant d un VLA ou étant destinée à un VLA. Roshanak Partovi, rpartovi@novesis.com 16

17 VLA Tagging : 802.1Q 6 bytes 6 bytes 4 bytes 2 bytes bytes Tagged Ethernet Frame Dest MAC Source MAC 802.1Q Tag Protocol Type Data 802.1Q Tag TPI 802.1p C 8100 Priority bits F VLan Id I 16 bits 3 bits 1 bit 12 bits 802.1Q Tag (32 bits) Tag protocol Identifier (16 bits) : Les 12 premiers bits sont utilisés pour identifier le protocole de la balise insérée. Dans le cas de la balise 802.1Q la valeur de ce champ est fixée à 0x8100. Bits de priorité (3 bits) Canonical format identifier or CFI (1) : TokenRing or Ethernet VLan Id (12bits) : Il est possible de coder 4094 (2^12-2) VLAs avec ce champ. Plus grande que la taille maximale spécifiée pour la trame Ethernet traditionnelle. Roshanak Partovi, rpartovi@novesis.com 17

18 VLAs et 802.1Q Switch first-floor P Q Switch second-floor R&D P2, 3, 7 VLan R&D VLan Id 200 R&D P1, 2, 3 Admin P1, 5, 6 VLan Admin VLan Id 100 Admin P4, 5, 6 La configuration sur le commutateur «first-floor» peut ressembler à : >vlan 100 name admin port default 1,5,6 >vlan 200 name R&D port default 2,3,7 >vlan q port 8 >vlan q port 8 Roshanak Partovi, rpartovi@novesis.com 18

19 Routage entre VLAs moyennant un routeur externe Si le routeur implémente le 802.1q, un seul lien suffit. Dans le cas contraire, un lien physique par VLA est requis. External Router P1 P2 Switch first-floor P Q P1 P4 Switch second-floor R&D P2, 3, 7 VLan R&D R&D P1, 2, 3 Admin P1, 5, 6 VLan Admin Admin P4, 5, 6 Roshanak Partovi, rpartovi@novesis.com 19

20 Routage entre VLAs moyennant les fonctionnalités de niveau 3 du commutateur Switch first-floor R P Q Switch second-floor R&D P2, 3, 7 VLan R&D VLan Id 200 R&D P1, 2, 3 Default GW Admin P1, 5, 6 VLan Admin VLan Id 100 Default GW Admin P4, 5, 6 La configuration sur le commutateur «first-floor» peut ressembler à : >vlan 100 name admin port default 1,5,6 >vlan 200 name R&D port default 2,3,7 >vlan q port 8 >vlan q port 8 >ip interface admin-if address vlan 100 >ip interface R&D-if address vlan 200 Roshanak Partovi, rpartovi@novesis.com 20

21 VLAs avancés Le concept de port mobile. Règles de VLAs dynamiques : le raccordement de port au VLA dépend du trafic. Le type de règle détermine quel type de trafic initie le raccordement dynamique d un port à un VLA. Si une trame du trafic reçu sur un port satisfait une des règles définies, le port devient membre du VLA correspondant. Règles par DHCP : Générique, basée sur MAC ou bloc de MAC Adresse, ou Port. Règle par Mac Règle par adresse réseau Règle par protocole Règle par port Règles conditionnelles : Conditions basées sur MAC-port-Adresse IPport-protocole VLAs authentifiés Un port peut-il être membre de plusieurs VLAs? Roshanak Partovi, rpartovi@novesis.com 21

22 Ports mobile et mobile tagging (I) Rules Mobile ports Vlan 2 IP Vlan 3 IPX Vlan 4 with tagging enabled Vlan 5 ip address P1 P2 Les ports mobiles sont les seuls à être éligibles pour un raccordement dynamique de VLA. Selon le trafic, les règles définies ou le VLA ID tag, un port mobile peut devenir membre de plusieurs VLAs. Example de configuration > vlan port mobile 1 > vlan 4 mobile-tag enable ote : La notion de Ports mobile et mobile tagging fait partie de la terminologie d Alcatel pour les Omniswitchs, cependant il est possible que vous retrouviez le même concept sous un nom différent auprès d autres équipementiers. Roshanak Partovi, rpartovi@novesis.com 22

23 Port mobile et mobile tagging (II) Un port mobile peut devenir membre de plusieurs VLAs sous les conditions suivantes : Le port mobile reçoit des trames sans tag, mais qui satisfont une ou plusieurs des règles dynamiques. Par exemple, si un port mobile reçoit des trames IP et IPX et qu il existe une règle par protocole IP en VLA 10 et une règle par protocole IPX en VLA 20, le port mobile est dynamiquement raccordé aux deux VLAs. Le port mobile reçoit des trames avec des tags 802.1Q qui indiquent des VLAs avec «mobile tagging» activé. Par exemple si le port mobile reçoit des trames avec des tags pour des VLAs 10, 20 et 30 et que ces VLAs ont le «mobile tagging» activé, le port mobile sera raccordé dynamiquement aux VLAs 10, 20 et 30. Roshanak Partovi, rpartovi@novesis.com 23

24 Règle par adresse réseau DHCP server Switch The traffic is assigned to the VLA admin, if the received traffic has a source IP address in the Admin subnet. R&D Admin IP traffic, from/to subnet Il y deux types de règles par adresse réseau : IP et IPX. La règle par adresse IP qui détermine le raccordement du port basé sur l adresse IP du poste. La règle par adresse IPX qui détermine le raccordement du port basé sur le réseau IPX du poste et le type d encapsulation utilisé. Exemple de configuration > vlan 100 name admin ip Roshanak Partovi, rpartovi@novesis.com 24

25 Règle par DHCP (I) DHCP server Admin Switch Start-Up If the DHCP traffic satisfies the DHCP rule the port temporarily is assigned to the VLA Start-Up. DHCP traffic Quel VLA pour un PC qui vient de booter et qui n a pas encore une adresse IP? Les règles par DHCP sont utilisées pour classifier le trafic DHCP dans le but de transmettre et recevoir les trames DHCP entre le client et le serveur. Le port sort du VLA DHCP lorsque le processus de DHCP est terminé. Le poste a maintenant une adresse IP, mais ne fait partie d aucun VLA. Pour qu il puisse communiquer avec le réseau, il est nécessaire que son trafic satisfasse une règle dynamique afin d être raccordé à un autre VLA. Roshanak Partovi, rpartovi@novesis.com 25

26 Règle par DHCP (II) DHCP server Admin Switch IP traffic, from/to subnet Start-Up The port is dropped out of the start-up VLan. It will join VLan Admin as it satisfies another VLan rule. Les règles par DHCP peuvent être génériques ou basées sur l adresse MAC ou bloc de MAC ou port. Exemple de configuration > vlan 200 name Start-Up dhcp mac range 00:DA:95:00:59:10 00:DA:95:00:59:9F > vlan 100 name admin ip Roshanak Partovi, rpartovi@novesis.com 26

27 Règle par MAC DHCP server Switch The port is assigned to the VLA admin, if the received traffic has the source MAC address as specified in the rule. R&D Admin Le port est raccordé au VLA, si l adresse MAC du poste correspond à celle spécifiée dans la règle. Exemple de configuration pour la règle par bloc de MAC : > vlan 100 name admin mac range 00:00:da:00:00:01 00:00:da:00:00:09 Roshanak Partovi, rpartovi@novesis.com 27

28 Règle par protocole DHCP server Switch The port is assigned to the VLA admin, if the received traffic is IP. R&D Admin IP traffic Le port est raccordé au VLA, si le protocole utilisé par le poste correspond à celui spécifié dans la règle. Les protocoles possibles sont : IP, IPX, AppleTalk, DECet ou selon un critère défini par l usager. Exemple de configuration : > vlan 100 name admin protocol ip > vlan 200 name R&D protocol dsapssap f0/f0 Roshanak Partovi, rpartovi@novesis.com 28

29 Règle par port PRITER The port is assigned to the VLAs admin and R&D, only for their outgoing broadcast traffic. P2 Switch R&D Admin Avec la règle par port, le trafic n est pas requis pour initier un raccordement dynamique de port mobile au VLA. Ces règles sont utilisées le plus souvent pour des équipements passifs comme les imprimantes, qui ont besoin de faire partie de VLan afin de recevoir le trafic transmis par le VLan (exemple : les requêtes d impression). Enfin, la règle par port s applique seulement au trafic sortant et ne classifie pas le trafic entrant. Exemple de configuration > vlan 100 name admin port 2 > vlan 200 name R&D port 2 Roshanak Partovi, rpartovi@novesis.com 29

30 Règles conditionnelles DHCP server Switch p5 The port is assigned to the VLA admin, if the traffic is received on port 2 AD has the source IP and MAC address as specified in the rule. R&D Admin Le port est raccordé au VLA, si toutes les conditions spécifiées dans la règle sont satisfaites. Le critère est basé sur une combinaison des conditions concernant l adresse MAC- le port l adresse IP ou le protocole. Exemple de configuration : > vlan 100 name admin binding mac-ip-port 00:00:da:59:0c: Roshanak Partovi, rpartovi@novesis.com 30

31 Authenticated VLAs Source [alcatel-man] Les VLAs authentifiés contrôlent l accès des usagers aux ressources réseau basé sur une procédure de login et le raccordement de l usager à un VLA. Roshanak Partovi, rpartovi@novesis.com 31

32 IEEE 802.1X Source [alcatel-man] 802.1X permet aux postes physiques connectés sur un commutateur d être authentifiés en utilisant le protocole EAP (Extended Authentication Protocol). Si l authentification réussit et que le serveur d authentification a retourné dans sa réponse un VLA Id, le port sera assigné au VLA correspondant. Roshanak Partovi, rpartovi@novesis.com 32

33 Agrégation de liens (I) One logical link of 300Mbps VLA 2 VLA 3 Switch B Switch C VLA 2 VLA Q Applied to the above logical link L agrégation de liens permet la combinaison de plusieurs liens physiques en un lien virtuel offrant la somme des bandes passantes des liens qui le constituent. Ce lien virtuel peut être considéré comme un lien physique à part entière. Il est possible de le configurer de la même manière que pour les ports physiques avec des fonctionnalités de type : VLA, 802.1Q, QoS, etc. Roshanak Partovi, rpartovi@novesis.com 33

34 Agrégation de liens (II) Avantages La répartition de charges et la redondance. Bande passante modulaire. Deux types Agrégation de liens statique : souvent propriétaire avec des restrictions sur les paramètres de port à chaque bout. Agrégation de liens dynamique basée sur IEEE 802.3ad LACP (Link Aggregation Control Protocol). Le protocole négocie les paramètres optimaux pour les deux bouts. Roshanak Partovi, rpartovi@novesis.com 34

35 Protocole Spanning Tree 802.1D Spanning Tree Standard (STP) 802.1w Spanning Tree Rapide (RSTP) 802.1s Spanning Tree Multiple (MSTP)

36 Les commutateurs face à des boucles réseaux Switch 1 Forwarding table Mac-A Port 1 Mac-A Port 2... Port 1 switch1 PC-A Mac-A Port 1 switch2 Port 2 Port 2 LA1 Switch 2 Forwarding table Mac-A Port 2 Mac-A Port 1... LA2 DA: mac-a SA: mac-b... PC-B On parle de boucle dans un réseau, lorsqu il y a plus d un chemin de communication entre deux nœuds. Dans un réseau commuté, les boucles rendent le réseau indisponible à cause de : Les tempêtes de diffusion ou de broadcast. Le trafic Unicast qui boucle. Cependant, un bon réseau doit aussi inclure une redondance des matériels pour fournir un chemin alternatif en cas de panne. La solution à ce problème est le protocole spanning tree. Roshanak Partovi, rpartovi@novesis.com 36

37 Spanning Tree Il est utilisé pour créer une topologie sans boucle dans un réseau commuté. L algorithme a un temps de convergence d approx. 30 sec, temps pendant lequel la communication reste bloquée. Un changement de topologie peut initier l exécution de l algorithme, ce qui peut causer une interruption temporaire du trafic. Le protocole spanning tree est basé sur des normes développées par IEEE et a évolué pour répondre aux nouveaux besoins des réseaux commutés : 802.1D Standard Spanning Tree Algorithm and Protocol (STP) 802.1w Rapid Spanning Tree Algorithm and Protocol (RSTP) 802.1s Multiple Spanning Tree Algorithm and Protocol (MSTP) Roshanak Partovi, rpartovi@novesis.com 37

38 802.1D Spanning Tree (I) Root Bridge Switch A 0: A P1 P2 Designated ports Bridge ID 10Mbps Path cost = MPS Path cost = 1 Root Path cost = 10 P1 Switch B 0: B P2 Root port Designated port 100Mbps Path cost = 1 P2 Root Port P1 Switch C 0: C Designated Bridge for LA BC Roshanak Partovi, rpartovi@novesis.com 38

39 802.1D Spanning Tree (II) Vue générale de l algorithme Les BPDUs (Bridge PDU) transportent des informations du protocole et sont échangés régulièrement entre les commutateurs. Le but principal est de déterminer quels ports doivent se bloquer afin d éliminer les boucles réseau. La topologie sans boucle que l algorithme crée est une topologie en arbre avec à la racine un commutateur élu root bridge. L algorithme en outre garantit que le chemin entre un noeud et la racine est le chemin le plus court (en terme du coût ou de la bande passante). Le calcul de cette topologie passe par : L élection de root bridge pour le domaine de diffusion : Le commutateur avec le plus petit Bridge ID est le root bridge. La sélection de designated bridge pour chaque segment : C est le commutateur qui fournit le chemin le plus court du segment jusqu à la racine. Le port de ce commutateur sur le segment en question s appelle designated port. Le choix de root port pour chaque commutateur : Chaque commutateur non-root va sélectionner un root port qui aura le chemin le plus court vers la racine. Les root ports ou designated ports vont passer en mode Forwarding. Tous les ports autres que root ports ou designated ports vont passer en mode Blocking. Roshanak Partovi, rpartovi@novesis.com 39

40 802.1D Spanning Tree (III) Les modes des ports sur des commutateurs en spanning tree : Disabled, Blocking, Listening, Learning et Forwarding Le temps de convergence de l algorithme après un changement de topologie est de l ordre de 30 seconds. Rapid spanning tree 802.1W a été développé dans le but de raccourcir ce temps de convergence W peut converger en moins d une seconde. Roshanak Partovi, rpartovi@novesis.com 40

41 Et un peu de la poésie Radia Perlman, l inventeur de l algorithme, l a résumé dans un poème intitulé "Algorhyme (une adaptation de "Trees", par Joyce Kilmer) : I think that I shall never see A graph more lovely than a tree. A tree whose crucial property Is loop-free connectivity. A tree which must be sure to span So packets can reach every LA. First the Root must be selected By ID it is elected. Least cost paths from Root are traced In the tree these paths are placed. A mesh is made by folks like me Then bridges find a spanning tree. Roshanak Partovi, rpartovi@novesis.com 41

42 VLAs multiples avec une seule instance de spanning tree pour tous les VLAs VLA 2 Switch A VLA 2 VLA 3 Switch B 802.1Q Switch C VLA 2 VLA 3 Il y a une seule instance de Spanning tree pour tous les VLAs. Problème Un changement de topologie dans un des VLAs affecte tous les autres. Cette instance de spanning tree n a aucune connaissance des VLAs individuels ni de leurs topologies. Dans certaines topologies, le trafic à l intérieur d un VLA peut être interrompu à cause des ports bloqués par spanning tree. Solution possible Une instance de spanning tree par VLA. Roshanak Partovi, rpartovi@novesis.com 42

43 VLAs multiples avec une instance de spanning tree par VLA VLA 2 Switch A BPDU-vlan2 VLA 2 VLA 3 Switch B BPDU-vlan Q Switch C VLA 2 VLA 3 Chaque VLA a sa propre instance de spanning tree. Chaque instance de spanning tree crée une topologie sans boucle sur la base de la topologie du VLA auquel elle est associée. Problème Le protocole spanning tree introduit un overhead dans le réseau dû à l échange régulier des BPDUs et l exécution de son algorithme. Une instance de spanning tree par VLA multiplie ce problème par le nombre de VLAs. Solution : Multiple spanning tree protocol 802.1s. Roshanak Partovi, rpartovi@novesis.com 43

44 802.1s Spanning Tree Multiple STG1: VLA 1-10 STG2: VLA VLA 1-20 Switch A Blocked for VLA Q 802.1Q VLA 1-20 VLA 1-20 Switch B 802.1Q Switch C STG1: Root Bridge STG2: Root Bridge Le protocole Spanning Tree Mutiple (MST) permet à l administrateur de distribuer des VLAs d un réseau commuté entre plusieurs instances de spanning tree. Chacune de ces instances est appelée un Spanning Tree Group (STG). Roshanak Partovi, rpartovi@novesis.com 44

45 Spanning Tree et la distribution de charge STG1: VLA 1-10 STG2: VLA VLA 1-20 Switch A Blocked for VLA Blocked for VLA Q 802.1Q VLA 1-20 VLA 1-20 Switch B 802.1Q Switch C STG1: Root Bridge STG2: Root Bridge Avoir plusieurs instances de spanning tree dans un réseau et une sélection judicieuse (par configuration) de root bridge pour chaque instance, offre la possibilité de la distribution de charge entre les commutateurs et sur les liens qui les interconnectent. Roshanak Partovi, rpartovi@novesis.com 45

46 QoS Concepts généraux Les modèles de la QoS 802.1p IntServ DiffServ VOIP et QoS Exemple d implémentation de la QoS sur des commutateurs

47 Concepts généraux La qualité de service (QoS) se réfère à la qualité de la transmission et la disponibilité de service. Elle est mesurable et dans certains cas garantie dans le cadre d un SLA (service level agreement). Mieux supportée par des réseaux à commutation de circuit comme PST, ISD et ATM que par des réseaux à commutation de paquets. Les paramètres typiques de la QoS : La bande passante La gigue La perte de paquet Le délai La QoS bout-en-bout nécessite une forme de management bout-enbout de ressources réseau et le contrôle de l acceptation des flux entrants (Call Admission Control ou CAC). Roshanak Partovi, rpartovi@novesis.com 47

48 Les normes pour le support de la QoS dans un réseau commuté : 802.1p 6 bytes 6 bytes 4 bytes 2 bytes bytes Tagged Ethernet Frame Dest MAC Source MAC 802.1Q Tag Protocol Type Data 802.1Q Tag TPI 802.1p C 8100 Priority bits F VLA Id I 16 bits 3 bits 1 bit 12 bits La norme au niveau p Identifie la priorité de la trame au niveau 2. Compréhensible par des commutateurs au niveau 2. Un commutateur qui implémente 802.1p, classifie et traite le trafic selon la priorité indiquée. Roshanak Partovi, rpartovi@novesis.com 48

49 Les normes pour le support de la QoS dans un réseau commuté : Intserv Les normes au niveau 3 IETF IntServ (Integrated services) Définit une architecture globale pour la QoS bout-en-bout. Spécifie un certain nombre de classes de service. L application doit signaler au réseau les caractéristiques du trafic qu elle injecte, ainsi que le niveau de la QoS dont elle a besoin. Selon ce modèle, les éléments du réseau doivent être capables d effectuer le CAC, le contrôle et la classification pour les flux entrant, et de gérer les files d attente et l ordonnancement pour le trafic sortant. IETF RSVP (Resource Reservation Protocol) est un protocole de signalisation qui a été défini par un groupe de travail différent. Il permet aux applications de signaler leurs besoins en QoS au réseau et initie la réservation des ressources qui y sont nécessaires. Problème d extensibilité (ou montée en charge) si les réservations sont effectuées au niveau de chaque flux individuel. Roshanak Partovi, rpartovi@novesis.com 49

50 Les normes pour le support de la QoS dans un réseau commuté : DiffServ (I) Les normes au niveau 3 ou niveau IP IETF DiffServ (Differentiated services) Divise le trafic en un petit nombre de classes. Les ressources sont alors allouées par classe. La classe de chaque paquet est indiquée directement dans le paquet, au contraire du modèle IntServ où un protocole de signalisation était nécessaire pour communiquer aux nœuds intermédiaires quels flux de trafic avaient besoin d un traitement de QoS spécial. Un domaine Diffserv est un réseau où le comportement par saut (Per- Hop-Behaviour ou PHB) est régi par les même règles de classification et de correspondance. Les tables de correspondance sont définies pour garantir la cohérence de la QoS entre un domaine DiffServ et le reste du monde. Roshanak Partovi, rpartovi@novesis.com 50

51 Les normes pour le support de la QoS dans un réseau commuté : DiffServ (II) 4 bits 4 bits 8 bits 16 bits IP Frame Header Version Length TOS Type of service Total length The rest of the IP header DSCP Differentiated Services Code Point Currently unused 6 bits 2 bits DSCP identifie un comportement par saut (per-hop-behaviour). Jusqu à 64 code DSCP peuvent être définis. Exemple de comportement par saut : Best effort ou le traitement par défaut Expedited Forwarding Les paquets doivent être transmis avec un délai et perte minimum. Assured Forwarding AFxy, où x sélectionne une file d attente et y détermine la priorité de la classe (drop precedence) à l intérieur de la file d attente. Roshanak Partovi, rpartovi@novesis.com 51

52 VOIP et QoS (I) source [qos-melin] La qualité de la voix dépend de La qualité de l encodage La voix est échantillonnée à 8kHz. Soit un échantillon toutes les 125 microsecondes. Avec chaque échantillon codé sur 8 bits, le débit binaire est de 64kb/s. De nombreux algorithmes de compression permettent de réduire ce besoin en bande passante à 16, 8 et même 4kb/s. Cette compression a un impact sur la qualité perçu de la voix. L acceptabilité par l oreille humaine des différents algorithmes est définie selon le critère MOS (Mean Operational Score). Les algorithmes de compression ou Codec : Les plus utilisés sont G.729, G.711. Roshanak Partovi, rpartovi@novesis.com 52

53 VOIP et QoS (II) source [qos-melin] La qualité de la voix dépend de La qualité de l encodage. Le délai : ms, en excluent l overhead lié aux algorithmes de CODEC, le délai d acheminement ne doit pas dépasser le 200ms. La gigue : C est la variation des délais d acheminement générée par la variation de charge du réseau. Pour compenser la gigue on peut utiliser des buffers du côté du récepteur, cependant ces buffers ont comme effet non souhaité d augmenter le délai. La perte des paquets : La transmission des informations redondantes peut aider à lutter contre ce problème. Echo : Le phénomène d écho devient sensible aux délais supérieur à 50ms. Roshanak Partovi, rpartovi@novesis.com 53

54 VOIP et QoS (III) Est-ce que IP est adapté au transport de la voix? Caractéristiques de IP Protocole niveau 3 sans connexion. Des paquets appartenant au même flux peuvent emprunter des chemins différents. est pas initialement conçu pour le transport des applications temps réel. De nouvelles normes sont définies pour combler ces lacunes. Roshanak Partovi, rpartovi@novesis.com 54

55 VOIP et QoS (IV) IP phone DiffServ Domain Expedited Forwarding: Voice. Best Effort : Data Integrated switch in the IP phone vlan voice vlan data L3 Switch Routed etwork Call server Physical links Virtual links Exemple de mécanisme de la QoS pour le support de la VOIP DiffServ Classe de trafic associé à la voix : Premium. PHB : Expedited forwarding. Roshanak Partovi, rpartovi@novesis.com 55

56 Une implémentation typique de la QoS Source [alcatel-man] Aujourd hui la plupart des commutateurs fournit le support de la QoS par le biais des files d attente et de l ordonnancement pour le trafic sortant. La configuration de la QoS se fait en utilisant des règles de QoS ou QoS policy. Policy = (Condition, Action). La condition spécifie les paramètres que le commutateur examinera dans les flux entrant. L action spécifie ce que doit faire le commutateur si un flux entrant satisfait la condition indiquée dans le QoS policy. Roshanak Partovi, rpartovi@novesis.com 56

57 Exemples de conditions dans un QoS Policy Source [alcatel-man] iveau 1 Port source, group de ports sources, port de destination, group de ports de destination. iveau 2 MAC source, groupe de MAC source, MAC destination, groupe de MAC destination, 802.1p, ethertype, VLA source. iveau 3 Protocole IP, IP source, IP multicast, IP destination, group de réseau multicast, ToS, DSCP, Type de ICMP, Code de ICMP. iveau 4 port source TCP/UDP, port de destination TCP/UDP, service, groupe de service, flag TCP. Roshanak Partovi, rpartovi@novesis.com 57

58 Exemples d actions dans un «QoS policy» Source [alcatel-man] Accept/Drop L action consiste à accepter ou rejeter le flux de trafic. Priority L action consiste à assigner une priorité spécifique entre 0 et 7 aux flux de trafic. Cette priorité indique au commutateur la file d attente de sortie à utiliser pour la transmission de ce flux p ToS/DSCP stamping and mapping. Maximum Bandwidth Spécifie le maximum de la bande passante pour le flux. Cette action est utilisée pour le contrôle du flux entrant. Roshanak Partovi, rpartovi@novesis.com 58

59 La configuration d un QoS policy Source [alcatel-man] Exemple de configuration > policy condition cond3 source ip > policy action action2 priority 7 > policy rule my_rule condition cond3 action action2 Avec my_rule le trafic avec la source adresse IP va être traité avec la priorité 7 et transmis à la file d attente de sortie correspondante à cette priorité (dans le cas de OS6850/9000). Roshanak Partovi, rpartovi@novesis.com 59