ip vpn cnam final bdecaron.nicolas.free.fr/cnam/client serveur/vpn.pdf · 2005. 7. 23. · benjamin...
TRANSCRIPT
1Page 1
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
LES LES VPNsVPNs
Benjamin DESCAMPS
François-Xavier SALENGRO
Nicolas FRANCOIS
Sébastien BRUNIN
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PlanPlan
Ø Introductionq Quelques définitions q Qu’est-ce qu’un VPN ? Pourquoi un VPN ? Qui utilise un VPN ?q Les besoins et le marché
ØI. Les différents types de VPNq CPE – CLE – Web – Network : Based
ØII. Zoom sur le fonctionnementq Le VPN via Internet – Le VPN MPLS
ØIII. Comparaison réseau LS – FR – MPLS
ØIV. La qualité de service
ØV. La voix sur IP
ØQuestions
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
IntroductionIntroduction
Définitions
Qu’est-ce qu’un VPN ?
Pourquoi un VPN ?
Qui utilise un VPN ?
Les besoins et le marché
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Quelques dQuelques dééfinitionsfinitionsintraintra--extraextra--etherether Net ?Net ?
Ø Intranet : C’est un ensemble de services interne à un réseau local étendu, c’est-à-dire accessible uniquement àpartir des postes d’un réseau local étendu et invisible de l’extérieur.(les flux dans un intranet ne passent pas par Internet.)
Ø Extranet : C’est un Intranet ouvert à une partie de la population extérieure ; les accès étant réglementés (login, mots de passe, droits d’accès…) pour assurer une confidentialité des informations mises à disposition.
Ø Ethernet : protocole de transport utilisé dans un réseau local (par opposition au Token Ring).
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Quelques dQuelques dééfinitionsfinitionsV.P.N. ??V.P.N. ??
ØØNetworkNetwork : Réseaux permettant d’interconnecter des entités distantes.
ØØPrivatePrivate : Tout élément externe aux échanges établis doit ignorer les rapports entretenus entre les différentes entités impliquées dans ces échanges.
ØØVirtualVirtual ::Ils s’appuient sur des architectures de réseaux partagées mais pas sur des connexions physiques dédiées.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Quelques dQuelques dééfinitionsfinitionsConnexions Connexions
Ø Dial-in : c’est lorsque quelqu’un appelle le réseau en RTC ou RNIS sur un numéro gratuit ou pas, ce qui lui permet d’accéder aux infos de sa société. ex : Nomade
Ø Dial-out : fonction qui permet à un site central d’appeler une de ses agences. ex : pour recueillir des infos, mettre àjour…
Ø Accès distant : service permettant aux utilisateurs nomades et télé-travailleurs isolés d ’accéder aux ressources de l ’entreprise et de communiquer avec le reste de l ’entreprise.
PDF created with pdfFactory trial version www.pdffactory.com
2Page 2
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Quelques dQuelques dééfinitionsfinitionsAbrAbrééviationsviations
Ø ATM : Asynchronous Transfer Mode, technique de transfert de petits paquets de taille fixe (53 octets), appelés cellules. L’ATM est donc une technologie de transfert.
ØMPLS : Multi Protocol Label Switching, il sert à acheminer les paquets à travers le backbone opérateur, avec un double libellé, permettant de distinguer la partie routage des données.
Ø Qos : Quality of Service, possibilité pour un utilisateur de demander au réseau le transport de ses paquets avec une garantie de qualité déterminée par rapport au type de flux transporté.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Ø LAN : Local Area Network
Ø WAN : Wide Area Network
Ø CPE : Customer Premise Equipment
Ø CIR : Constant Input Rate - Débit garanti
Ø BURST : Débit crète
Ø LS : Liaison spécialisée (idem liaison louées)
Ø FR : Frame Relay
Quelques dQuelques dééfinitionsfinitionsAbrAbrééviationsviations
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
QuQu’’estest--ce quce qu’’un VPN ?un VPN ?
Ø Un VPN (Virtual Private Network) est un réseau privéréalisé à partir d’un réseau partagé
Ø Il emprunte donc une infrastructure publique (càd de un ou plusieurs opérateurs publiques) dédiée ou partagée, avec des mécanismes de privatisation logique.
Ø Il permet de relier entre-eux plusieurs sites de façon sécurisée, c’est une extension du réseau privé de l’entreprise.
Ø Un VPN s’appuie sur différents types de technologies ou protocoles: Frame Relay (FR), Internet Protocol (IP), Liaisons Spécialisées (LS), Web, etc, …
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Pourquoi un VPN ?Pourquoi un VPN ?
Ø Pour améliorer la communication, augmenter la productivité des entreprises.
ØPour cela, la majorité des entreprises souhaitent que leurs sites distants et nomades bénéficient d’un accès complet au réseau principal, et donc aux applicatifs qui y résident et que leurs « satellites » puissent accéder àcertaines informations.
Ø A noter que ces applicatifs sont de plus en plus « Métier », c’est-à-dire qu’elles en ont besoin pour travailler et exigent donc du VPN : fiabilité, disponibilité et sécurité.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Pourquoi un VPN ?Pourquoi un VPN ?
La solution VPN doit garantir la confidentialité et l'intégritédes données lorsque celles-ci transitent sur Internet (ou sur le réseau d'entreprise) à l’aide de :
Ø Authentification d'utilisateur (via Internet)Ø Gestion d'adressesØ Cryptage des données (via Internet)Ø Gestion de clés (via Internet)Ø Intégrité de l’information Ø Prise en charge multiprotocoleØ Gestion de la qualité de service et des délais Ø Gestion des pannes (Backup)
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Pourquoi un VPN ?Pourquoi un VPN ?ExemplesExemples
Ø Accéder au système d’information de la société
Ø Échanger de la messagerie
Ø Échanger des fichiersØ Mettre à disposition un serveur Web
pour l’Intranet ou l’Internet
Ø Partager des bases de connaissances au sein de l’entreprise (forum, bases clients/prospects, bases projets, etc, …)
Ø Et surtout mettre à disposition les applicatifs métier et de production
PDF created with pdfFactory trial version www.pdffactory.com
3Page 3
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Ø Host to LANHost to LAN :Salariés itinérants et télé-travailleurs.
ØØ LAN to LANLAN to LAN : Utilisation de lignes spécialisées.
ØØ Host to HostHost to Host :: Connexion entre 2 ordinateurs en Intranetn Intranet
Pourquoi un VPN ?Pourquoi un VPN ?ExemplesExemples
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Qui utilise le VPN ?Qui utilise le VPN ?
Ø Utilisateurs des sites
Ø Sites éloignés
Ø Les Nomades (commerciaux, direction générale, astreintes, …)
Ø Experts et techniciens en mission chez les clients
Ø Travailleurs à domicile
Ø Clients
Ø Fournisseurs
Ø Distributeurs
Ø Partenaires
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les attentes des entreprises aujourdLes attentes des entreprises aujourd ’’huihui
Classes de servicesü Priorisation des flux applicatifs
Réseau d’entreprise
ü Interconnexion de sites ü Accès à Internet
Nomades et télétravailleurs
ü Accès aux applications de l’entrepriseü Accès à Internet
ü Protection vis à vis d’Internet
ü Suivi des performancesü Gestion déléguée des services
Une solutionprofessionnelle et sécurisée :
un avantage concurrentielpour l’entreprise
Outils en ligne
Sécurité
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
LL’é’évolution dans le temps du besoin client: cotvolution dans le temps du besoin client: cotéé LANLAN
1970 1980 1990 2000
1 kbps
1 Mbps
10 Mpbs
Écran passif Poste intelligent
Station de travail
Station multimédia100 Mpbs
1 Gbps
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
LL’é’évolution dans le temps du besoin client : cotvolution dans le temps du besoin client : cotéé WANWAN
1970 1980 1990 2000
1 kbps
1 Mbps
10 Mpbs
Écran passif Poste intelligent
Station de travail
Station multimédia100 Mpbs
1 Gbps
Réseau Commuté
(ou liaison a
nalogique bas débit)
Liaisons s
pécial isé
s
Réseau Frame Relay
Réseau basé su
r Interne
t
Réseau M
PLS
Attention: il ne s’agit que d’une tendance.On trouve encore beaucoup de réseau
en RNIS par exemple
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Forte croissance de la dataForte croissance de la data
Évolution du marché des Télécoms
PDF created with pdfFactory trial version www.pdffactory.com
4Page 4
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Forte croissance du marchForte croissance du marchéé datadata
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Forte croissance du marchForte croissance du marchéé IP/VPNIP/VPN
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Mutation technologiquesMutation technologiques
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
I. Les diffI. Les difféérents types de VPNrents types de VPN
CPE Based
CLE Based
Web Based
Network : Based
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Topologie des VPNTopologie des VPN
Il existe 4 grandes familles de VPN:
Ø CPE Based : basé sur un réseau de LS
Ø CLE Based : basé sur un réseau opérateur (notamment Frame Relay)
Ø Web Based : basé sur l’architecture Internet
Ø Network Based : basé sur un réseau IP d’opérateur
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les rLes rééseaux Liaisons Spseaux Liaisons Spéécialiscialisééeses
CPE CPE BasedBased
I. Les diffI. Les difféérents types de VPNrents types de VPN
PDF created with pdfFactory trial version www.pdffactory.com
5Page 5
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
CPECPE--basedbased VPNVPN
Siège
Client / Partenaire
Filiale
•Une liaison est établie avec chaque site•L’équipement responsable de l’établissement, du maintien et de l’administration du VPN se trouve dans les locaux de l’entreprise.•L ’opérateur fournit la connectivité de base. Les dépenses de capital et les frais d’exploitation du VPN sont à la charge de l’entreprise cliente, et non de l ’opérateur
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
CPECPE--basedbased VPN: rajout d'un siteVPN: rajout d'un site
Il faut établir 3nouvelles liaisons
Nouveau site
Siège
Client / Partenaire
Filiale
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Zoom sur les rZoom sur les rééseaux LSseaux LS
Ø Modes de raccordement possibles
Ø Liaison spécialisée
Ø Acteurs du marché
Ø France Telecom pour la partie réseau
Ø Cisco, 3Com, Lucent, HP, … pour la partie CPE
Ø Problématiques rencontrées
Ø coût élevé
Ø peu de souplesse
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les rLes rééseaux seaux FrameFrame RelayRelay
CLE CLE BasedBased
I. Les diffI. Les difféérents types de VPNrents types de VPN
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
CLECLE--basedbased VPNVPN
Siège
Client / Partenaire
Filiale
•Une LS est établie avec chaque site•L’équipement réseau demeure dans les locaux de l’entreprise.•L’opérateur est propriétaire de l’équipement, de sa gestion et de son entretien.•Dépenses de capital et frais d’exploitation à la charge de l’opérateur.•Le client verse un montant forfaitaire mensuel en contrepartie du service Intranet.
Frame Relay
Représentation logiqueCNAM - UV Client-Serveur - Les VPNs - Janvier 2004
ReprRepréésentation physiquesentation physique
= PoP
= liens d’accès =port d’accès = PVC
Tarif d’accès site central
Charge de CIR
Tarif d’accès site distant
• Mise en place des liens d’accès
• Provisionning des PVC
PDF created with pdfFactory trial version www.pdffactory.com
6Page 6
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
CLECLE--basedbased VPN: rajout d'un siteVPN: rajout d'un site
Il faut établir plusieursnouvelles liaisons(Une physique, 3 PVC)
Nouveau site
Siège
Client / Partenaire
Filiale
Frame Relay
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Zoom sur les rZoom sur les rééseaux FRseaux FR
Ø Modes de raccordement possibles
Ø Liaison spécialisée
Ø RNIS
Ø Acteurs du marché
Ø France Telecom, Cegetel, 9Telecom, … pour la partie réseau
Ø Cisco, 3Com, Lucent, HP, … pour la partie CPE
Ø Problématiques rencontrées
Ø coût élevé en cas de besoin type any to any
Ø les accès permanent doivent toujours passer par de la LS dont le coût est élevé
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les rLes rééseaux basseaux baséés sur Internets sur Internet
Web Web BasedBased
I. Les diffI. Les difféérents types de VPNrents types de VPN
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
WebWeb--basedbased VPNVPN
Siège
Client / Partenaire
Filiale
@Internet
FAI FAI
FAI•Chaque site souscrit un accès Internet auprès d'un FAI.•L’équipement réseau demeure dans les locaux de l’entreprise. Il appartient à l'opérateur ou au client.•Solution économique et rapide àmettre en œuvre (pour un petit nombre de sites)•Pas de garantie sur la sécurité (sauf si chiffrement), l'intégrité des données ni sur les délais d'acheminement
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
WebWeb--basedbased VPN : rajout d'un siteVPN : rajout d'un site
Siège
Client / Partenaire
Filiale
@Internet
FAI FAI
FAI
Nouveau site
Le nouveau site doit souscrire à un accès àInternetEn cas de chiffrement, il faut ajouter tous les tunnels IPSec nécessaires
FAI
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Zoom sur les rZoom sur les rééseaux Web seaux Web basedbased
Ø Modes de raccordement possibles
Ø Liaison spécialisée
Ø Technologie DSL
Ø RNIS
Ø Acteurs du marché
Ø Mahia, MyStream, Axians, Oléane, Arche, … pour la partie intégrateur
Ø Cisco, 3Com, Lucent, HP, … pour la partie CPE
ØProblématiques rencontrées
Ø plus il y a de sites, plus la gestion est complexe et gourmande en ressource CPE
PDF created with pdfFactory trial version www.pdffactory.com
7Page 7
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
IP VPNIP VPN
Les rLes rééseaux Network seaux Network BasedBased
I. Les diffI. Les difféérents types de VPNrents types de VPN
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
NetworkNetwork--basedbased VPN: IP VPNVPN: IP VPN
Siège
Client / Partenaire
Filiale
Opérateur
•Equipement réseau chez l ’opérateur•Simple routeur d ’accès chez le client.•L’opérateur est propriétaire de l’équipement, de sa gestion et de son entretien.•Dépenses de capital et frais d’exploitation à la charge de l’opérateur.•Le client verse un montant forfaitaire mensuel en contrepartie du service Intranet.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
NetworkNetwork--basedbased VPN : rajout d'un siteVPN : rajout d'un site
Une seule nouvelle liaisonavec un PoP de l'opérateur
Nouveau site
Siège
Client / Partenaire
Filiale
Opérateur
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Zoom sur les rZoom sur les rééseaux Network seaux Network BasedBased
Ø Modes de raccordement possibles
Ø Liaison spécialisée
Ø Technologie DSL
Ø RNIS
Ø Acteurs du marché
Ø France Telecom, Cegetel, 9Telecom, … pour la partie réseau
Ø Cisco, 3Com, Lucent, HP, … pour la partie CPE
ØProblématiques rencontrées
Ø Technologie relativement nouvelle en 2001
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Comparatif des solutionsComparatif des solutions
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
II. ZOOM SUR LE FONCTIONNEMENTII. ZOOM SUR LE FONCTIONNEMENT
Les VPN transitant via InternetLes VPN transitant via Internet
PDF created with pdfFactory trial version www.pdffactory.com
8Page 8
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
ØØ LE TUNNELINGLE TUNNELINGMéthode d'utilisation d'une infrastructure de réseau permettant de transférer des données (charge utile) d'un réseau via un autre. Intégralité du processus: encapsulation → transmission →désencapsulation de paquets.
ØØ TUNNELTUNNELChemin logique que les paquets encapsulés empruntent par l'intermédiaire
du réseau-- Tunnel volontaire: Tunnel volontaire: Tunnels directs entre les clients et le serveur-- Tunnel dTunnel d’’office:office: Tunnel entre l’ISP et le serveur
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
Le client et le serveur de tunnel doivent utiliser le même protocole de tunneling, qui peut être de couche 2 (PPTP, L2TP et L2F) ou de couche 3 (IPsec) selon le modèle OSI).
FonctionnalitFonctionnalitéés de base: s de base:
Ø Authentification d'utilisateurØ Prise en charge des cartes à « jeton » (Token)Ø Affectation d'adresse dynamiqueØ Compression de donnéesØ Prise en charge multi protocole
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
IPSEC:Ø Ensemble des services de sécurité intégrés au protocole IP. Toutes les implémentations d'une pile de protocoles TCP/IP conformes à IPv6 doivent intégrer Ipsec, mais pour IPv4, c’est optionnel. Norme développée à l'IETF(Internet Engineering Task Force )depuis 1992.
Ø Où intervient IPsec ? Dans la pile de protocoles TCP/IP, au niveau d'IP, présente l'avantage
de le rendre exploitable par les niveaux supérieurs (TCP, UDP, ICMP, etc.), et d'offrir un moyen de protection unique pour toutes les applications. Cependant, on retrouve des problèmes de performances et la difficulté de pouvoir distinguer les différents flux avec précision.Ø Services de sécurité fournis
- Confidentialité des données et protection partielle contre l'analyse du trafic
- Authenticité des données et contrôle d'accès continu - Protection contre le rejeu
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
Architecture IPSEC
Site A
SiègeSite B
Routeur A Routeur B
Réseau Internet
Serveur IPSEC
IP publique fixe sans NAT
Client IPSEC
Authentification
Affection d’une deuxième adresse
IP
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
Ø 2 extensions du protocole IP appelées AH (Authentication Header) et ESP (Encapsulating Security Payload) :
ØAuthentication HeaderAH est conçu pour assurer l'authenticité des datagrammes IP sans chiffrement des données.Le principe d'AH est d'adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l'authenticité des données incluses dans le datagramme. Un numéro de séquence permet de détecter les tentatives de rejeu.
ØEncapsulating Security PayloadESP a pour rôle premier d'assurer la confidentialité mais peut aussi assurer l'authenticité des données. Le principe d'ESP est de générer, à partir d'un datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l'en-tête original, sont chiffrés. ESP peut également assurer l'authenticité des données par ajout d'un bloc d'authentification et la protection contre le rejeu par le biais d'un numéro de séquence.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
ØAH et ESP sont basés sur l'utilisation d'algorithmes cryptographiques et ne sont pas restreints à un algorithme particulier. Chaque produit comportant IPsecest donc livré avec un ensemble d'algorithmes, parmi lesquels l'utilisateur pourra choisir.
Ø Cette façon de procéder permet notamment, pour se conformer à des contraintes législatives par exemple, de limiter les algorithmes de chiffrement fournis à une longueur de clef donnée voire de fournir uniquement des algorithmes d'authentification, sans possibilité de chiffrement.
PDF created with pdfFactory trial version www.pdffactory.com
9Page 9
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
Ø IPsec comporte une liste d'algorithmes dont l'utilisation est négociable en ligne par le biais d'un protocole appeléIKE.
ØOn distingue les algorithmes de chiffrement NULL (pas de chiffrement), CAST-128 (clef de 40 à 128 bits), Blowfish (40-448 bits), RC5 (40-2040 bits), DES (56 bits) et DES triple (clef de 168 bits) .
ØPour garantir l'interopérabilité entre les équipements, la norme IPsec rend certains de ces algorithmes obligatoires. Actuellement, DES-CBC et 3DES-CBC sont obligatoires pour le chiffrement ; pour l'authentification, HMAC-MD5 et HMAC-SHA-1 doivent être présents dans toute implémentation conforme d'IPsec.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
ØLe mode transport protège uniquement le contenu du paquet IP sans toucher à l'en-tête ; ce mode n'est utilisable que sur les équipements terminaux (postes clients, serveurs).
AH en mode transport
ESP en mode transport
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
ØLe mode tunnel permet la création de tunnels par "encapsulation" de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs des paquets IP arrivant à l'entrée d'un tunnel, y compris sur les champs des en-têtes (adresses source et destination par exemple). Ce mode est celui utilisé par les équipements réseau (routeurs,vpnconcentrator...).
AH en mode tunnel
ESP en mode tunnel
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs transitant via Internettransitant via Internet
CONCLUSION ØLes protocoles de tunneling de la couche liaison tels que PPTP, L2F ou L2TP ne fonctionnent qu'en mode point à point.
ØIls se contentent d'encapsuler des protocoles de niveau 3 et plus sur différents types de réseaux de liaison et permettent d’acheminer des protocoles tels que IPX,Netbeui et Appeltalk
Ø Ils sont souvent utilisés( du fait de leur faible niveau de sécurité) dans le cadre de réseaux IP privés et non en environnement ouvert de type Internet.
ØIPsec est à l'heure actuelle la meilleure technologie de tunnelingInternet, du fait de ses mécanismes de sécurisation, de sa standardisation et de son intégration par tous les principaux acteurs du marché (IPsec est disponible sous Windows 2000 ou Linux).
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
II. ZOOM SUR LE FONCTIONNEMENTII. ZOOM SUR LE FONCTIONNEMENT
Les VPN MPLSLes VPN MPLS
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
L'objectif initial de MPLS était d'apporter la vitesse de commutation de la couche 2 à la couche 3.L'utilisation de " label " (appelé aussi tag dans la littérature) permet de prendre des décisions de routage seulement basées sur la valeur du " label " et de ne pas effectuer des calculs complexes de routage portant sur l'adresse IP au niveau de la couche 3 du réseau.
PDF created with pdfFactory trial version www.pdffactory.com
10Page 10
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
Layer 2 Header MPLS Header Layer 3 Header+ +
S = Bottom of stack
TTL = Time to live
EXP=Experimental Bits (CoS)
LABEL EXP S TTL
20 bits 3 1 8
Direct COS support in MPLS
Layer 2 Header MPLS Header Layer 3 Header+ +
S = Bottom of stack
TTL = Time to live
EXP=Experimental Bits (CoS)
LABEL EXP S TTL
20 bits 3 1 8
Direct COS support in MPLS
Le label MPLSLe label MPLS
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
MPLS est un nouveau protocole réseau reposant sur 3 types de routeurs:
• Routeurs C: chez le client• Routeurs PE: à l ’entrée sur le réseau opérateur• Routeurs P: à l ’intérieur du Backbone opérateur
Cette solution permet une architecture véritablement répartie et parfaitement étanche!
Architecture: la terminologieArchitecture: la terminologie
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
P
DSL Turbo 1000
LS 6
4
LS 5
12
DSL Turbo 1000
LS 64
LS 2Mb
L S 6
4
DSL Turbo 2000
DSL Turb o 10 00
D SL T urb o 60 00
Réseau IP Privé
MPLS/ATMDiffserv
PE
Itinérants
It inérants
RNIS/RTCopérateur public
swi tch voix 9 Telecom
0860 90 MCDU
Site RNIS
PE
PE
PE
PE
PEPE
PE
PE
PE
P
P
PP
PP
P
P
P
P
P
P
C
C
C
C
C
C
C C
C
C
Exemple
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
MPLS (Multiprotocol Label Switching)
Principe de commutation de label
Fonctionnement MPLS
Création du label réseau en fonction du préfixe adresse Distribution du label réseau par LDP (Label Distribution Protocol)Création de la table de forwarding de labels dans les routeurs
Le VPN/MPLSLe VPN/MPLS
Principes dPrincipes d’’un run rééseau MPLS seau MPLS
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Routeurs P, PE et CE
CE (Customer Edge) : Routeur client qui n’a aucune connaissance des VPN ou même de la notion du label réseau et du label VPN
PE (Provider Edge) :Routeur à la frontière du backbone MPLS relié à des routeurs clientsLe PE affecte un label VPN chaque route de sa table de routage
P (Provider) :Routeur de cœur du backbone MPLS, ils se contentent d’acheminer les données grâce à la commutation de label réseau
Le VPN/MPLSLe VPN/MPLSPrincipes dPrincipes d’’un run rééseau MPLS seau MPLS
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Routeurs Virtuels (VRF)Table de routage spécifique par VPN défini dans les PEAffectation d’une VRF à chaque interface CE-PE
Route Distinguisher (RD)RD est un nombre (64bits) pour garantir l’unicité de l’adresse IP client dans le réseau MPLSUne VRF est définie avec un RD
Multiprotocol BGP (MP-BGP)Extension du protocole BGP 4Echanger les routes VPNv4 (route client + RD)Echanger les labels VPN
Le VPN/MPLSLe VPN/MPLS
Principes dPrincipes d’’un run rééseau MPLSseau MPLS
PDF created with pdfFactory trial version www.pdffactory.com
11Page 11
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
Lorsqu'un paquet arrive non étiqueté• on détermine sa FEC (Forwarding Equivalent Class) (en
fonction du préfixe de routage qui lui correspond)• on lui associe un label
Lorsqu'un paquet arrive étiqueté• Une entrée dans la table de commutation indique
– vers quelle destination– avec quel labelle paquet doit être transmis
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
Objectifs : autoriser l’utilisation de plages d’adresses IP identiques (RFC 1918 par exemple) par plusieurs VPN sur une même infrastructure
Solution mise en œuvre: l’unicité des adresses IP dans le backbone est obtenue en associant à l’IPv4 un RD (Route Distinguisher). Le RD est unique par VPN et est configuré au niveau de chaque PE
Route Distinguisher IPv4 Address
VPN IPv4 Address
64 bits 32 bits
Plans dPlans d’’adressage adressage …… la solutionla solution
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN /MPLSLe VPN /MPLS
Routage IP
Sécurité (VPN)
Label Données
VPN CChaque PE maintient une VRF dissociée
pour chaque VPN connecté.
Le routage entre deux VPNs est indépendant
VPN B
VPN ARéseau IP MPLS
Routeurs Virtuels (VRF)
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les règles d’import / export sont opérées sur chaque PE afin de gérer la distribution des routes dans chaque VPN
§ Le routage entre deux VPNs est indépendant§ Séparation du routage Backbone et VPNs
VPN A
VPN B
VPN C
MP-iBGP
Réseau MPLSopérateur
VPN A
VPN B
VPN C
SSééparation des tables de routage paration des tables de routage …… la solutionla solution
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Réseau IP VPN-MPLS
P
PE 2 PE 3
PE 1
PP
192.168.2.0192.168.1.0
192.168.3.0
VRF
VRF: VPN A
RD n° :123456
IP routes:
192.168.1.0/24 via PE 2
192.168.2.0/24 via PE 3
192.168.3.0/24 via PE 1
VRF
Le VPN/MPLSLe VPN/MPLS
192.168.1.0
192.168.4.0
VRF: VPN B
RD n° :123123
IP routes:
192.168.4.0/24 via PE 3
192.168.1.0/24 via PE 1
Aux niveau des routes
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Réseau IP VPN-MPLS
P
PE 1
PE 2
P
P
CE1
CE2
VRF
VRF
1. CE1 envoie unpaquet IP sans labelvers CE2
2. PE1 rajoute le label réseau et le label VPN au paquet
3. Le paquet est commuté entre les P avec le label réseau
192.0.0.0
172.0.0.0
5. PE2 trouve l’interface de sortie à l ’aide du label VPN et transfert le paquet IP vers le CE2 sans le label VPN
4. Le dernier P enlève le label réseau du paquet et l ’envoie au PE2
Le VPN/MPLSLe VPN/MPLS
Au niveau des labels (dans le meme VRF)
PDF created with pdfFactory trial version www.pdffactory.com
12Page 12
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PrefAdd
110.0
IntfOUT
PrefAdd
110.0
IntfOUT
PrefAdd
110.0
IntfOUT
Table de routageTable de routage Table de routage
PrefAdd
110.0
IntfOUT
IntfIN
0
LabelOUT
Label IN
Table de forwarding de labels
PrefAdd
110.0
IntfOUT
IntfIN
0
LabelOUT
Label IN
Table de forwarding de labels
PrefAdd
110.0
IntfOUT
IntfIN
LabelOUT
Label IN
Table de forwarding de labels
10.0Intf 1Intf 1Intf 1 Intf 0Intf 0
52 52
Label 5 pour 10.0Label 2 pour 10.0
Le VPN/MPLSLe VPN/MPLS
Au niveau des labels (dans le meme VRF)
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le VPN/MPLSLe VPN/MPLS
Tout VPN doit pouvoir utiliser les mêmes plages d’adresses que tout autre VPN
Les plans d’adressage d’un VPN et du backbone doivent être indépendants
Le routage entre 2 VPNs doit être indépendant
Le routage entre des VPNs et le Backbone doit être indépendant.
Conclusion
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
III. RIII. Rééseau LS vs FR seau LS vs FR vsvs MPLSMPLS
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
IllustrationIllustration
Une entreprise doit relier ses propres sitesMais également intégrer ceux de certains de ses distributeurs pour leur donner accès à ses applicatifs.
Ces derniers ne doivent pas pouvoir communiquer entre eux.
De plus, les applications principales sont situées sur le siège, mais un des sites distants a déployé une application qui doit être généralisée partout…..
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Illustration avec liaisons spIllustration avec liaisons spéécialiscialisééesesIt inérants
It inérants
It inérants
Le site central supporte toutes les communications, même celles qui ne lui sont pas destinées. Les goulots d ’étranglement sont multiples.Les nomades sont obligés d ’accéder à un site équipé de modems.Il n ’y a pas de flux prioritaires.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Illustration avec Illustration avec FrameFrame RelayRelay
P
DS L T u rb o 1 0 0 0
L S 64
L S 5 1 2
D S L T ur bo 1 00 0
LS 6
4
LS 2Mb
LS 64
DSL Turbo 2000
D S L T u r b o 1 0 0 0
DSL Turbo 6000
Site RNIS
C
C
C
C
C
C
C C
C
C
Réseau FrameRelay
Itinérants
Itinérants
RNIS/RTCopérateur public
swi tch voi x 9 Telecom
0860 90 MCDU
Le site central supporte toujours l ’essentiel des flux. Les liaisons transversales sont parfaitement possibles mais ont un coût.Les itinérants sont automatiquement routés sur le site central.Il n ’y a pas de flux prioritaires.
PDF created with pdfFactory trial version www.pdffactory.com
13Page 13
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
P
DSL Turbo 1000
LS 6
4
LS 5
12
DSL Turbo 1000
LS 64
LS 2Mb
L S 6
4
DSL Turbo 2000
DSL Turb o 10 00
D SL T urb o 60 00
Réseau IP Privé
MPLS/ATMDiffserv
PE
Itinérants
It inérants
RNIS/RTCopérateur public
swi tch voix 9 Telecom
0860 90 MCDU
Site RNIS
PE
PE
PE
PE
PEPE
PE
PE
PE
P
P
PP
PP
P
P
P
P
P
P
C
C
C
C
C
C
C C
C
C
Avec MPLSAvec MPLS
Siège
Filiale
Filiale
Filiale
Filiale Filiale
Franchisé
Franchisé
Franchisé
Franchisé
Tous les sites internes communiquent directement entre eux
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Avec MPLSAvec MPLS
P
DSL Turbo 1000
LS 6
4
LS 5
12
DSL Turbo 1000
LS 64
LS 2Mb
L S 6
4
DSL Turbo 2000
DSL Turb o 10 00
D SL T urb o 60 00
Réseau IP Privé
MPLS/ATMDiffserv
PE
Itinérants
It inérants
RNIS/RTCopérateur public
swi tch voix 9 Telecom
0860 90 MCDU
Site RNIS
PE
PE
PE
PE
PEPE
PE
PE
PE
P
P
PP
PP
P
P
P
P
P
P
C
C
C
C
C
C
C C
C
C
Certains sites (franchises, distributeurs) voient uniquement le site central
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Avec MPLSAvec MPLS
P
DSL Turbo 1000
LS 6
4
LS 5
12
DSL Turbo 1000
LS 64
LS 2Mb
L S 6
4
DSL Turbo 2000
DSL Turb o 10 00
D SL T urb o 60 00
Réseau IP Privé
MPLS/ATMDiffserv
PE
Itinérants
It inérants
RNIS/RTCopérateur public
swi tch voix 9 Telecom
0860 90 MCDU
Site RNIS
PE
PE
PE
PE
PEPE
PE
PE
PE
P
P
PP
PP
P
P
P
P
P
P
C
C
C
C
C
C
C C
C
C
Siège
Filiale
Filiale
Filiale
Filiale Filiale
Franchisé
Franchisé
Franchisé
Franchisé
Les Nomades accèdent directement aux sites autorisés!
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
IV. La QualitIV. La Qualitéé de Servicede Service
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PrioritisationPrioritisation: : àà quoi estquoi est--ce que ce que çça sert ?a sert ?
Définir par exemple un ratio entre la bande passante Intranet et Internet
InternetInternet
IntranetIntranet
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PrioritisationPrioritisation: : àà quoi estquoi est--ce que ce que çça sert ?a sert ?
InternetInternet
IntranetIntranet
PDF created with pdfFactory trial version www.pdffactory.com
14Page 14
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PrioritisationPrioritisation: : àà quoi estquoi est--ce que ce que çça sert ?a sert ?
InternetInternet
IntranetIntranet
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
OOùù estest--elle mise en place ?elle mise en place ?
• Malgré le fait que la QoS puisse être marquée au niveau MPLS, ce n’est pas ce champ qui est utilisé
• La QoS est utilisée (chez les opérateurs), sur les liens d’accès
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Class-Based Weighted Fair Queuing (CBWFQ)
Chaque file d'attente est associée à un ou plusieurs types de flux.Un pourcentage de la bande passante est attribuée à chaque file d'attente.
Les paquets arrivant sont dirigés vers la file d’attente correspondant àla classe qui leur a été attribuée par Diffserv.
Chacune des files d’attente a un poids différent pour répartir la décision de prise en compte des paquets IP dans la FIFO hardware. Le poids est défini à partir du paramétrage « bandwith » de la classe associé et de la bande passante totale de l’interface WAN. Plus le poids est fort et moins vite le paquet sera traité.
MMéécanisme utiliscanisme utiliséé: CBWFQ: CBWFQ
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Low Latency Queiung (LLQ)
L'utilisation de LLQ (ou PQCBWFQ) consiste à ajouter une politique de Priority Queuing (PQ) à CBWFQ. LLQ va permettre d’assurer uneprioritisation de flux.
En attribuant aux flux temps réel la classe PQ, l’association PQCBWFQ va permettre une hiérarchisation en deux niveaux. La première (LLQ) assurera une qualité de service dans laquelle une bande passante et un délai de transmission constant seront garanties. La seconde (CBWFQ) garantira une bande passante à chacune des classes de service non temps réel.
MMéécanisme utiliscanisme utiliséé: LLQ: LLQ
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
MMéécanisme utiliscanisme utiliséé: PQCBWFQ: PQCBWFQ
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
5 Classes de Service à l’accès :
- Paquets classifiés et marqués par le CPE à l’aide du champ PREC en fonction du type de protocole, adresse IP, etc …- Répartition de la bande passante par CBWFQ et prioritisation par LLQ uniquement en cas de congestion sur les liens WAN CE-PE- Gestion de QOS IP est applicable uniquement sur du débit garanti (LS ou SDSL ou TDSL).
Priorité Service Traitement associé
1 Flux très sensible au temps de t ransit (voix, vidéo). LLQ2 Flux Data crit ique (S NA , E RP,… ) CB W F Q3 Flux Data non critique (m ail,…) CB W F Q4 Flux Data non critique (ht tp, news,… ) CB W F Q
Default Flux Internet (adresses publiques) CB W F Q
Gestion des Classes de Service: ExempleGestion des Classes de Service: Exemple
PDF created with pdfFactory trial version www.pdffactory.com
15Page 15
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
IV. La QualitIV. La Qualitéé de Servicede Service
Exemple 1 : en % de la bande passanteExemple 1 : en % de la bande passante
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PE PE CPECPE
Marquage des paquets
Si congestion sur lien CE-PE alors gestion de la bande passante
Réseau
IP VPN-MPLS
QOS IP = PAS DE BURST
1/3 bande passante max du lien
2/3 bande passante max du lien
Exemple de congestion sur un PVCExemple de congestion sur un PVC
ftphttp
http
LS 2M
Site central hébergeant
des serveurs
ftp
Site distant
Gestion des Classes de Service: QOSGestion des Classes de Service: QOS
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
http
ftp
Gestion des Classes de Service: QOSGestion des Classes de Service: QOS
Si le flux http
tombe,ftp prend
toute la bande
passante
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
IV. La QualitIV. La Qualitéé de Servicede Service
Exemple 1 : en valeur fixeExemple 1 : en valeur fixe
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
La prioritLa prioritéé des fluxdes flux
ØUn utilisateur télécharge un gros fichier sur internet…
ØLes autres doivent accéder à l ’application paye…..
ØIls ne peuvent utiliser que la bande passante disponible!!!!
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Congestion dCongestion d ’’une liaison 256kune liaison 256k
Gestion des flux sans prioritisation
0
50
100
150
200
250
300
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
PayeTéléchargement
L ’application paye a besoin de 50 kb/s de bande passante: la liaison est saturée - le utilisateurs voient leurs temps de réponse s ’effondrer!
PDF created with pdfFactory trial version www.pdffactory.com
16Page 16
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
PrioritisationPrioritisation des fluxdes flux
ØDes priorités sont définies par applicatif….
ØSelon leur importance pour l ’entreprise….
ØEn cas de congestion, les applications importantes ont la bande passante nécessaire!
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Congestion dCongestion d ’’une liaison 256kune liaison 256k
Gestion de la congestion avec priorité
0
50
100
150
200
250
300
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
PayeTéléchargement
L ’application paye a besoin de 50 kb/s de bande passante: ce débit est assuré même en cas de congestion. La vitesse de téléchargement ralentit!
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Comparaison avant/aprComparaison avant/aprèèss
Gestion des flux sans prioritisation
0
50
100
150
200
250
300
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
PayeTéléchargement
Gestion de la congestion avec priorité
0
50
100
150
200
250
300
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31
PayeTéléchargement
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Le type de rLe type de rèègles ggles géénnééralement appliquralement appliquééeses
La performance d'un VPN dépend de la gestion des priorités des flux applicatifs: exemple de 3 classes de services
Voix sur IP
Vidéo-conférence
Accès applicatifsBases de données
Mails, Internet, Transfert des fichiersFile type
Intermédiaire type
Real Time
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
V. VPN tV. VPN tééllééphonie IPphonie IP
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
1. Quelques d1. Quelques dééfinitionsfinitions
PDF created with pdfFactory trial version www.pdffactory.com
17Page 17
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
DDééfinition: Intfinition: Intéérêt grêt géénnééralral
Le principal avantage dont il est question est l'économie sur les factures téléphoniques, en particulier pour les communications nationales et internationales.
Autres fonctionnalités : Conférence en mode texte (le "chat") Partage d'applications Tableau blanc Transfert de fichiers Communication à plusieurs participants Extension à la visioconférence
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
DDééfinition: Voix IPfinition: Voix IP
Voix IP: La voix sur IP (Internet Protocol) est un moyen permettant d’utiliser le réseau Internet pour téléphoner. Il faut simplement disposer d’un ordinateur ou d’un boîtier spécial relié au poste téléphonique. Avec la voix sur IP, les communications sont uniquement facturées au tarif local. Pour certains appels, les économies sont donc substantielles. Les solutions proposées gèrent les appels de PC à PC, de PC à téléphone, voire de téléphone àtéléphone.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
DDééfinition: Tfinition: Tééllééphonie IPphonie IP
Téléphoner en empruntant le réseau mondial au lieu des lignes téléphoniques traditionnelles ou la téléphonie sur le Net.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
DDééfinition: Voix IPfinition: Voix IP
Voix IP: La voix sur IP (Internet Protocol) est un moyen permettant d’utiliser le réseau Internet pour téléphoner. Il faut simplement disposer d’un ordinateur ou d’un boîtier spécial relié au poste téléphonique. Avec la voix sur IP, les communications sont uniquement facturées au tarif local. Pour certains appels, les économies sont donc substantielles. Les solutions proposées gèrent les appels de PC à PC, de PC à téléphone, voire de téléphone àtéléphone.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
2. historique et normalisation2. historique et normalisation
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
Les premiers logiciels de téléphonie apparaissent en 1995, avec pour publicité la possibilité de téléphoner à l’autre bout du monde, grâce à Internet, pour le prix d’une conversation locale. Les grands opérateurs du moment sourient, dénoncent la qualité de service qui pourrait être associée à un réseau dont le leitmotiv est le: «best effort» et accusent ce moyen de communication émergeant d’accaparer la bande passante du réseau des réseaux.
PDF created with pdfFactory trial version www.pdffactory.com
18Page 18
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
Best effort:
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
Aujourd’hui le réflexe est à la modération, en effet les opérateurs téléphoniques se penchent fortement sur le sujet car les technologies et protocoles évoluant, les remarques vindicatives précédentes non plus lieu d’être.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
Outre la notion de coût de communication associé à ce moyen de transport, c’est plutôt l’aspect homogénéisation des réseaux qui est à mettre en avant.
En effet les opérateurs, voyant la téléphonie sur Internet se développer, ont mis en place des offres plus que concurrentielles ayant l’avantage non négligeable d’assurer une qualité de service de 99.999% (avec Internet ce n’est pas encore le cas).
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
Avant 1996, les solutions de voix sur IP reposaient sur des architectures propriétaires. Ces solutions présentaient des défauts parmi lesquels : - le manque d'interopérabilité des équipements ; - l'impossibilité de raccordement au réseau public (seuls les ordinateurs pouvaient communiquer entre eux) ; - l'absence d'architecture générale pour la connexion de n'importe quel type de terminal. Chaque architecture était définie pour deux équipements d'extrémité spécifiques et ne pouvait pas interopéreravec d'autres équipements.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
De nombreuses organisations ont alors pris part à l'élaboration d'un standard suffisamment général pour décrire toutes les possibilités de service de voix sur IP. Ils se sont regroupés au sein d'un groupe de travail de l'UIT.
Les organismes de normalisation impliqués dans la définition de standards pour la voix sur IP sont : - UIT-T (Union Internationale des Télécommunications, secteur Télécoms) ; - IETF (Internet Engineering Task Force) ; - IMTC (International Multimedia Teleconferencing Consortium) ; - ECTF (Entreprise Computer Telephony Forum) ; - ETSI (European Telecommunication Standards Institute) ; - International Teleconferencing Association ; - International Multimedia Association.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
Ces organismes ont participé à l'élaboration de la norme H.323 dont le respect permet de garantir l'interopérabilité des équipements et la qualité de service. La norme H.323 traite des systèmes de communication multimédia en mode paquet, et normalise la transmission de la voix, de la vidéo, des conférences audio ou vidéo sur IP.
Les principaux apports de H.323 sont les suivants : - Définition des normes de compression des flux audio et vidéo
que les équipements doivent nécessairement supporter ; - Définition des protocoles de signalisation pour l'interopérabilité des équipements ; - Limitation de la bande passante réservée pour chaque type de communication ; - Indépendance vis-à-vis des applications et systèmes d'exploitation; - Indépendance vis-à-vis du réseau physique supportant la communication.
PDF created with pdfFactory trial version www.pdffactory.com
19Page 19
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Historique et normalisation:Historique et normalisation:
D'autres normes existent, telles que SIP (Session Invitation Protocol) adoptée par l'IETF, ou en cours d'élaboration GLP (Gateway Location Protocol) pour déterminer les passerelles les plus proches d'un correspondant. Mais la large majorité de l’industrie et les solutions actuelles ont misé sur H.323.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
3. Techniques3. Techniques
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Technique: Principe gTechnique: Principe géénnééral (schral (schééma).ma).
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Technique: CaractTechnique: Caractééristique de la voixristique de la voix
Domaine spectralLe système vocal est complexe et basé sur des ondes sonores
de fréquences différentes. Le spectre des fréquences perçues par l’oreille humaine
s’étale de 100 Hz à 20 kHz. Cette fourchette est à réduire si l’on veut distinguer les
fréquences utiles des fréquences audibles.La quasi-totalité d’un message sonore est compréhensible
dans la fourchette 300-3400 Hz. (téléphone standard).
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Technique: DifficultTechnique: Difficultéés lis liéées es àà la voixla voix
Une conversation entre deux personnes respecte deux principes : intelligibilité et interactivité.
En terme de transmission numérique, cela se traduit par le terme duplex.
Une conversation full duplex assure cette interactivité car chaque locuteur peut parler en même temps, ce qui arrive quand deux personnes parlent de leur propre expérience sans s’écouter...
Un mode half duplex induit une conversation unidirectionnelle du style CB (Citizen Band).
Cette interactivité implique des notions de délais dans le transport de la voix (avec le téléphone, par exemple).
Les mesures effectuées montrent qu’un temps de transit inférieur à 150 ms garantit un dialogue actif. Jusqu’à 400 ms (limite supérieure) le dialogue reste tout de même assez réactif. Au-delà de cette limite le contradicteur aura l’impression de parler dans le vide.
PDF created with pdfFactory trial version www.pdffactory.com
20Page 20
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Technique: Technique: ÉÉchantillonnagechantillonnage
Les principaux taux de compression de la voix sont :- G711 Pas de compression ( 64 kbits/s )- G729a Compression à 8 kbits/s- G723.1 Compression de 5,3 à 6,3 kbits/s
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Technique: inconvTechnique: inconvéénientsnients
Malgré les efforts de normalisation, les passerelles destinées àtransformer la voix en paquets IP ne sont pas compatibles entre elles et les utilisateurs de logiciels différents ne peuvent pas communiquer entre eux.
Le réseau Internet, déjà encombré, peut éliminer les paquets ce qui donne un aspect haché à la communication.
Un nouveau protocole permet de garantir la liaison vocale (RSVP : Resource Reservation Protocol), mais tous les routeurs du réseau ne gèrent pas ce protocole.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Technique: RTechnique: Rééglementation des glementation des éétatstats
Interdite ( services téléphoniques )Non interditeSri
Lanka
Non interditeInterdite Philippines
Non interditeInterdite ( les services téléphoniques sont interdits puisqu'ils sont assimilés à des services de téléphonie vocale )Pérou
Interdite ( jusqu'en 2003 pour la téléphonie IP ) Non interditeMoldo
va
Interdite ( jusqu'en 2003 pour la téléphonie IP ) Non interditeKirghi
zistan
Non interditeInterdite ( services téléphoniques, rappel et reroutage compris )Kenya
Non interditeInterdite Ethiopie
Non interditeInterdite Chypre
Non interditeInterdite Argentine
Utilisation des réseaux IPUtilisation de l'internet publicPays
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Concurrence entre tConcurrence entre tééllééopopéérateurs et FAIrateurs et FAI
Les fournisseurs d’accès Internet peuvent proposer des services voix sans disposer de réseaux complexes et àmoindre coût.Les téléopérateurs gardent le contrôles des infrastructures et ont des coûts supplémentaires, licences d’opérateurs, coût d’utilisation des réseaux concurrent à l’international etc.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
4. Architectures4. Architectures
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: Tout informatiqueArchitecture: Tout informatique
PDF created with pdfFactory trial version www.pdffactory.com
21Page 21
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: tout informatique, le serveur Architecture: tout informatique, le serveur
Dispose du Call Manager.Indifférent du système d’exploitation.Simplifie le CTI.Faible qualité de service.Mise en place délicate.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: tout informatique, Le terminal Architecture: tout informatique, Le terminal clientclient
Combiné USB ou micro casque connecté sur le terminal.Possibilité de couplage CTI.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: TArchitecture: Tééllééphonie PABX interface phonie PABX interface Gateway.Gateway.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: TArchitecture: Tééllééphonie PABX, phonie PABX, LL’’autocommutateur.autocommutateur.
Il remplace l’autocommutateur traditionnel.
Il reste compatible avec les ancien système.
Il est l’interface entre le téléphone et le réseau informatique.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: TArchitecture: Tééllééphonie PABX, Les tphonie PABX, Les tééllééphones.phones.
Persistance du parc téléphonique.Économie de câblage discutable vu le prix des téléphone IP.Possibilité d’utilisation de téléphones DECT (normaliséGAP).
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: TArchitecture: Tééllééphonie PABX, Principaux phonie PABX, Principaux intintéérêts rêts
Réutilisations des infrastructures réseaux téléphoniques existantes.Récupération des téléphones normalisés existants.Qualité d’écoute et de service.Évolutivité toujours plus importante que les solutions IP.
PDF created with pdfFactory trial version www.pdffactory.com
22Page 22
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: TArchitecture: Tééllééphone IPphone IP
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: TArchitecture: Tééllééphone IP, le tphone IP, le tééllééphone.phone.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: Les tArchitecture: Les tééllééopopéérateursrateurs
Le téléopérateur héberge les fonctionnalités du service et assure également l’interconnexion avec le réseau téléphonique public.Le Service ne nécessitera pas d’investissement matériel ni
logiciel et fonctionne sur le réseau informatique du client.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: Les tArchitecture: Les tééllééopopéérateurs, Types de rateurs, Types de servicesservices
VoixDonnéesImageLe tout sur réseau de l’opérateur
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: Les tArchitecture: Les tééllééopopéérateurs, Avantages rateurs, Avantages pour les entreprisespour les entreprises
Un investissement limité (un contrat d’abonnement).Rapidité de mise en place et d’évolution.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: Les tArchitecture: Les tééllééopopéérateurs, Avantages rateurs, Avantages pour les oppour les opéérateursrateurs
Facturation des appels externes pour un montant identique aux autres type de services téléphoniques.Augmentation général de l’utilisation des services.
PDF created with pdfFactory trial version www.pdffactory.com
23Page 23
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Architecture: Le Architecture: Le peerpeer to to peerpeer
Avantages:• Technique apparu en
1er.• Connu du grand
publique.• Contournement de
certaines réglementations nationales
• Compatibilité voix IPInconvénients
• Qualité de services
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
5. Usages et int5. Usages et intéérêtsrêts
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: rêts: CallCall centerscenters
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: rêts: CallCall centerscenters, Le t, Le tééllééphone, le phone, le clavier et lclavier et l’é’écrancran
L’ordinateur remplace les fiches papiers.Le maniement du clavier, de l’écran et d’une souris rend les manœuvres longues et délicates. Le système est peu performant.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: rêts: CallCall centerscenters, Le clavier , Le clavier ll’é’écran et le casquecran et le casque
Le téléopérateur est libre de mouvement.Accélération des procédures.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: rêts: CallCall centerscenters, La t, La tééllééphonie IP phonie IP dans les dans les callcall centerscenters
Accélération des procédures de travail.CTI couplage téléphonie informatique.Appel sur des centres offshore.Éventuellement plusieurs accueil téléphonique géré par le même téléopérateur.
PDF created with pdfFactory trial version www.pdffactory.com
24Page 24
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: Clients/fournisseursrêts: Clients/fournisseurs
Regroupement sur une même plate forme géographique permettant l ’amélioration des communications sur certain pôle industriel ou d’excellence.Communication distante pour relation fréquente.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: Rrêts: Rééseaux commerciauxseaux commerciaux
Les réseaux commerciaux type succursale ou franchisé.Déploiement facilité par l’instauration de procédures dans le réseau commercial.Rapprochement entre les équipes succursales/franchisées, rapprochant les équipe et l’esprit d’entreprise.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Usages et intUsages et intéérêts: Multinationalesrêts: Multinationales
L’unique but est le gain sur les factures téléphonique.se heurte à des difficultés d’infrastructures dans les
pays en développement.Se heurte à des contraintes réglementaires dans des
pays en développement.Parfois lié à des opérateurs pour plusieurs années.
CNAM - UV Client-Serveur - Les VPNs - Janvier 2004
Les Les VPNsVPNs
QUESTIONS
?
PDF created with pdfFactory trial version www.pdffactory.com