Mise en Oeuvre des Réseaux Guillaume Schreiner schreiner@unistra.fr
Plan Les raccordements réseaux Liaison Louée IP/Ethernet & IP/SDH xdsl Ethernet (LAN LAN) VPN BGP Sécurité Supervision & Métrologie
Infrastructure réseau physique Qu'est ce qu'une infrastructure physique? Supports utilisés pour transmettre les informations
Infrastructure réseau physique Types d'infrastructures physique Fibre optique Backbones voix et data, nouveaux raccordements de bâtiments Boucle locale cuivre Entre un bâtiment et le premier central téléphonique Transmission Hertzienne Généralement vers des points difficilement inaccessibles, mobilité Satellite Généralement vers des points difficilement inaccessibles, transports maritimes et aériens
Infrastructure réseau physique Comment l'obtenir? La déployer soi-même Faire des travaux de Génie Civil (solution coûteuse) Faisceaux Hertziens (à déclarer à l'arcep) La louer à un tiers (fibres noires) Entreprise possédant un réseau optique, le louant en marge de son activité principale (ES) Délégation de service publique pour déploiement et exploitation d'un réseau physique (Alsace Connexia)
Réseau de transmission Qu'est qu'un réseau de transmission? Tuyau permanent sur lequel se greffe les couches supérieures (ATM, IP, voix...) Permet de transporter les services voix et data de manière transparente.
Réseau de transmission PDH (Plesiochronous Digital Hierarchy) Né dans les années 70 (numérisation téléphonie) Première technique de multiplexage numérique Interfaces normalisées en Europe : E1 E2 = 4 E1 E3 = 4 E2 E4 = 4 E3 2048 kbit/s 8 Mbit/s 34 Mbit/s 140 Mbit/s Interfaces répandues sur le matériel réseau DATA
Réseau de transmission SDH (Synchronous Digital Hierarchy) Déploiement dans les années 90 Norme européenne destinée aux réseaux de télécommunication sur fibre optique Transporter tous types de protocoles sur longues distances (PDH, ATM...) Transmission synchrone sur des trames STM-n (Synchronous Transport Module, niveau n) STM-1 STM-4 = 4 STM-1 STM-16 =16 STM-1 155 Mbit/s 620 Mbit/s 2,5 Gbit/s
Les offres de raccordement DATA Service Haut Débit Liaisons Louées, E1 < 2Mb/s Service Très Haut Débit E3, STM-1, OC-3, 10/100Mb/s Ethernet Service xdsl ADSL, SDSL Service Lan Lan 10/100Mb/s Ethernet Service VPN
Liaison Louée Liaison point à point numérique louée à un opérateur tiers Utilise la boucle locale cuivre Liaison E1 PDH Principe de la liaison 32 IT de 64 kbit/s dont 1 IT pour la signalisation, et 1 IT pour synchronisation multiplexées sur le boitier de transmission PDH
Liaison Louée Client Réseau opérateur tiers Opérateur alternatif Lan Ethernet Interfaces x21 V11 Multiplexeur PDH E1 Réseau SDH E1 Multiplexeur PDH Interfaces x21 V11 Routeur CPE Liaison PPP Routeur PE
Liaison Louée Débits symétriques et garantis 64 Kbits/s -> 1 IT 128 Kbits/s -> 2 IT 256 Kbits/s -> 4 IT 512 Kbits/s -> 8 IT 1024 Kbits/s -> 16 IT 1920 Kbit/s -> 30 IT.
Liaison Louée Connexion de n'importe quel site quel que soit sa situation en utilisant la boucle locale cuivre. Investissements de départ limités pour le raccordement. Débit limité à 2Mbits/s, chère Possibilité d'agrégation de LL (PPP Multilink)
Lan Ethernet Liaison Louée Utilisée aussi bien par des opérateurs que pour raccorder 2 sites d'une même entreprise. Site A Réseau opérateur tiers Site B Lan Ethernet Interfaces x21 V11 Multiplexeur PDH E1 Réseau SDH E1 Multiplexeur PDH Interfaces x21 V11 Routeur A Liaison PPP Routeur B
Raccordement IP/Ethernet Routeur connecté directement en Ethernet via : backbone de commutateurs Ethernet (LAN LAN) Une liaison Ethernet Directe entre le routeur PE et le CPE Boucle locale Ethernet Routeur CPE Client Switch de distribution Routeur PE Vlan X
Raccordement IP/Ethernet Débit important Moins complexe qu'une liaison SDH Moins gourmand en interfaces puisqu'il ne s'agit pas d'une connexion point-à-point, mais point-multipoints. Distance limitée entre 2 équipements actifs sans répéteurs Déploiement d'une fibre optique jusqu'au client
Raccordement IP/SDH Utilise le backbone SDH Liaisons E1,E3, STM-1 E3 SDH STM1 E3 Boucle SDH Routeur CPE Routeur PE Client
Raccordement IP/SDH Débit important Permet de faire passer la voix et la data sur une seule fibre. Mutualisation des infrastructures. Plus complexe qu'une une liaison Ethernet Gourmand en ports sur le PE (liaisons pointà-point) Déploiement d'une fibre optique jusqu'au client
Raccordement xdsl DSL (Digital Subscriber Line) Standard de transfert d informations en haut débit sur ligne téléphonique. Utilise une plage des fréquences supra vocales inutilisée par le téléphone. Utilise le réseau téléphonique existant Coûts moindres que l installation de structures parallèles et concurrentes au réseau téléphonique.
Raccordement xdsl Types de DSL couramment utilisés : ADSL/ADSL2+ pour des débits upload/download asymétriques SHDSL pour des débits upload/download symétriques ReADSL Reach Extended ADSL. Permet d'augmenté la portée des lignes. VDSL2 Very High Speed DSL 2. Booste les débits à courte distance. Distance versus débits
Raccordement xdsl
Raccordement xdsl
Raccordement xdsl SHDSL et G.SHDSL : Symmetric High- Bitrate DSL Transmission symétrique de 192kbits/s 2304 kbits/s
Raccordement xdsl ReADSL : Les débits sont les mêmes que pour l'adsl avec une portée pouvant atteindre les 7 kilomètres.
Raccordement xdsl VDSL2 : 100 Mbits Full/Duplex à moins de 1000m du DSLAM
Raccordement xdsl Raccordements DSL pour un opérateur alternatif Via le réseau de collecte de l'opérateur historique Client Réseau opérateur historique Opérateur Backbone ATM Modem Routeur CPE DSL DSLAM Routeur PE
Raccordement xdsl Raccordements DSL dégroupés L'opérateur déploie son propre DSLAM (DSL Access Multiplexer) Client Opérateur Réseau Ethernet local Modem Routeur CPE DSL DSLAM Routeur PE
Raccordement xdsl Exemple offres opérateur (références FT) Débit constant garanti. Liaison Asymétrique : DSL 2G A : 2048/320 kbit/s garantis Liaison Symétrique : DSL 2G S : 2048 kbit/s garantis DSL 1G S: 1280 kbit/s garantis DSL 0.5G S: 640 kbit/s garantis
Raccordement xdsl Exemple offres opérateur (références FT) Débit crête avec minimum garanti. Liaison Asymétrique DSL 2C A : 2048/320 kbit/s crête, 250/250 kbit/s assurés DSL 1C A : 1216/320 kbit/s crête, 150/150 kbit/s assurés DSL 1C75 A : 1216/320 kbit/s crête, 75/75 kbit/s assurés DSL 0.5C A : 608/160 kbit/s crête, 75/75 kbit/s assurés
Raccordement xdsl Exemple offres opérateur (références FT) Débit crête avec minimum garanti. Liaison symétrique DSL 2C500 S : 2048 kbits/s crête, 500 kbits/s assurés DSL 2C S : 2048 kbits/s crête, 250 kbits/s assurés DSL 1C S : 1280 kbits/s crête, 150 kbits/s assurés DSL 0.5C S : 640 kbits/s crête, 75 kbits/s assurés
Raccordement Ethernet (LAN - LAN) Raccordement de 2 sites distants (plusieurs kilomètres) comme un même réseau Ethernet (LAN). Réseau métropolitain Backbone de commutateurs Ethernet en anneau Redondance Spanning Tree (802.1d) Débits proposés : 10 Mbits/s 100 Mbits/s
Raccordement Ethernet (LAN - LAN) Infrastructure physique Switch de distribution Agrégation de liens 802.3ad DN2 Entreprise 1 Site B Entreprise 1 Site A Switch de distribution DN1 DN3 Fibre optique Fibre optique ou cuivre
Raccordement Ethernet (LAN - LAN) Réseau identifié par numéro de vlan (802.1q) 4096 vlans max. Tagging 802.1q codé sur 12 bits Une Instance de Spanning Tree ou Rapid Spanning Tree (RSTP) par VLAN.
Raccordement Ethernet (LAN - LAN) Infrastructure logique Switch de distribution DN2 Entreprise 2 Site A Entreprise 1 Site A Vlan 1 Vlan 2 Switch de distribution DN1 DN3 Entreprise 1 Site B Entreprise 2 Site B
Service VPN Offrir à un client les caractéristiques d'un réseau IP privé au travers du réseau IP publique. Evite d'avoir recours à des liaisons dédiées. Réseau de l'opérateur opaque pour le client. Emploi du protocole IPSEC assurant la sécurisation des communications privées sur les réseaux IP publiques en créant des tunnels. VPN SSL, IPSec natif dans IPv6
Service VPN Autres solutions : le VPN MPLS la mise en oeuvre de tunnels de collecte L2TP
Service VPN
Service VPN VPN IPSEC -> topologie de type «Hub and Spoke» CPE CPE CPE Connexion à un PE Connectivité dans le VPN CPE problèmes de performance et de saturation de liens avec de nombreux sites
Service VPN VPN MPLS : topologie «Any to Any» CPE CPE CPE Connexion à un PE Connectivité dans le VPN CPE Plus difficile à gérer au niveau de la sécurité
Raccordement BGP Les clients disposant de leur propre AS (Autonomous System) Raccordés en BGPv4 Espace d'adressage IP propre
Raccordement BGP Avantages Plus de sécurité en se raccordant à plusieurs opérateurs de transit. Moins dépendant d'un l'opérateur. Pas de renumérotation IP en cas de changement Peering BGP directement avec ses partenaires économiques disposant de leur propose AS. Moins de trafic vers l'opérateur
Raccordement BGP Inconvénients Gestion Administrative (RIPE) lourde Attribution des Plages d'adresses IP Organismes qui gèrent l'espace d'adressage Répartis en grandes régions Regional Internet Registries
Raccordement BGP 2 types de raccordement BGP Transit BGP Peering BGP
Raccordement BGP Transit BGP Un routeur offrant du transit BGPv4 envoie toutes les routes d'internet. > 400 000. Le client paye pour écouler son trafic
Raccordement BGP Peering BGP Consiste à échanger entre 2 organisations (AS) les routes correspondantes à leurs propres réseaux. Il permet d'écouler le trafic entre les 2 organisations sans passer par Internet. Accord gratuit entre les 2 parties. Permet de réduire le trafic de Transit vers Internet.
Raccordement BGP
Raccordement BGP
Sécurité: Firewalls Premier pas Bloquer le trafic non souhaité Nombreux outils ( iptables, pf,...) Pas une panacée Le NAT n'est pas une protection à lui tout seul!
Sécurité: Les IDSs Système de détéction d'intrusion (IDS), classification par source: NIDS (Network IDS) HIDS (Host based IDS) Hybrid IDS.
Sécurité: Les IDSs L'approche par scénario Signature, comportement attendu L'approche par anomalie Etudie le comportement standard puis repère les divergences Dans tous les cas Faux positifs et attaques non perçues
Sécurité: Les IDSs «Host based» Analyse des logs Centralisation des logs : remote syslog Recoupement et consolidation d'informations Synchronisation obligatoire de tous les serveurs (NTP) Analyse automatique : Logcheck, Splunk Analyse du système : tripwire Vérifie l'intégrité des fichiers sensibles (md5sum) Détection des rootkits
Sécurité: Les IDSs «network based» Une ou plusieurs sondes en mode promiscuous scrutent le trafic Snort, Prelude De grands volumes d'informations Les sondes peuvent centraliser leurs informations
Sécurité: Les IDSs «network based» Question du placement de la sonde Derrière le firewall Seulement les attaques réussies A l'extérieur DMZ, plus d'informations... trop?
Sécurité: Les IDSs «Hybrid IDSs» Combinent les 2 solutions précédentes (Prelude) Centralisent les résultats Problème de la vulnérabilité de l'ids (la sonde, ou le HIDS).
Sécurité de niveau 2 VLAN : isolation de différents LANs Surveillance de l'accès au réseau Ethernet : adresses MACs
Sécurité de niveau 2: VLANs Marquage des paquets Ethernet Segmentation logique du réseau physique, segmenter, limiter broadcast. Re-découpage de l'espace
Sécurité de niveau 2: VLANs VLAN par port Un port = un poste Configuration statique du commutateur
Sécurité de niveau 2: VLANs Affectation de VLAN dynamique (802.1X) Configuration des postes clients Lourd à déployer
Sécurité de niveau 2: surveillance Contrôler qui fait quoi Arpwatch Association adresse MAC adresse IP Détection IP Spoofing
Supervision Définition (Wikipédia) (1/2) La supervision est la «surveillance du bon fonctionnement d un système ou d une activité» Elle permet de surveiller, rapporter et alerter les fonctionnements normaux et anormaux des systèmes informatiques à différents niveaux : Technique : infrastructure réseaux et systèmes Applicative : applications et services métiers Contrat de service : surveillance respect des indicateurs
Supervision Définition (Wikipédia) (2/2) Information visible Sur une console de supervision ou un tableau de bord Envoie d'alertes emails, SMS, Jabber, téléphone (ce qu'on veut éviter) Pour un service donné, on identifie des états qui selon leurs valeurs déclenche des alertes (seuil) Actions «réflexes» selon l'alerte Escalade et automatisation d'une reprise sur panne
Supervision Etat de l'art des outils de supervision «libres» Nagios Shinken Zenoss Zabbix Icinga Centreon OpenNMS FAN
Métrologie Définition La métrologie étudie la variation d'indicateurs au cours du temps Son analyse permet de : Diagnostiquer un problème mais nécessite une expertise du service à analyser Prévoir les évolutions de montée en charge du service pour anticiper la mise à niveau des infrastructures S'applique aux équipements réseaux, serveurs, services métiers, tout ce qui est mesurable dans le temps
Métrologie Par exemple de mesure réseaux Trafic unicast, broadcast, multicast Compteurs d'erreurs Par exemple de mesure systèmes Espace disques, charge, mémoire utilisée Les outils RRDtool, Cacti, etc...
Supervision & Métrologie : les challenges Avoir une vue d'ensemble complète de son réseau et de ses systèmes Maintenir à jour la liste des équipements à superviser Automatiser un maximum les ajouts/suppressions Grâce à un inventaire Supervision 2.0 Agréger et corréler les différents résultats Automatiser un maximum l'analyse et les actions
Et en cas de panne? Petite panne isolé Sauvegarde + historiques des configurations des équipements réseaux Rancid + CVS web Analyse de la topologie des réseaux Netmagis Panne majeure Avoir un Plan de Reprise d'activité (PRA)
Evaluation MOR 2x4h de TD + 2h soutenance Simulation projet d'entreprise Travail en groupe de 4 étudiants Notation Rapport + soutenance
Evaluation MOR 13h de TP Mise en pratique du TD Sur machines et équipements réseaux Notation Rapport
Questions?