CARAT
CARAT
Contrôle d ’Accès et qualité de service
Contrôle d ’Accès et qualité de service
dans les Réseaux ATM
dans les Réseaux ATM
Sylvain Gombault
Sylvain Gombault
Gwenn Gueguen
Gwenn Gueguen
Maryline Laurent
Maryline Laurent
Olivier Paul
Olivier Paul
ENST de Bretagne
Partenaires
Partenaires
R&D
CELAR
Plan
Plan
Introduction
Introduction
CARAT
CARAT
–
Le gestionnaire
Le gestionnaire
–
Le filtre de signalisation
Le filtre de signalisation
–
Le filtre au niveau cellule: Cartes IFT
Le filtre au niveau cellule: Cartes IFT
Introduction
Introduction
ATM (Asynchronous Transfer Mode) :
ATM (Asynchronous Transfer Mode) :
–
Spécifié pour le transport de flux de natures variées.
Spécifié pour le transport de flux de natures variées.
–
Permet aux applications de demander au réseau des
Permet aux applications de demander au réseau des
garanties de qualité de service
garanties de qualité de service
–
Orienté connexion.
Orienté connexion.
–
Information transportée sous forme de cellules.
Information transportée sous forme de cellules.
–
Usage:
Usage:
Direct: Quelques applications ATM natives (ANS, VoD).Direct: Quelques applications ATM natives (ANS, VoD). Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage
le plus courant. le plus courant.
Introduction
Introduction
Le contrôle d ’accès:
Le contrôle d ’accès:
–
Service qui assure une protection contre une utilisation
Service qui assure une protection contre une utilisation
non autorisée de ressources par une entité ou un groupe
non autorisée de ressources par une entité ou un groupe
d ’entité (ISO).
d ’entité (ISO).
Comment ca marche ?
Comment ca marche ?
Le Firewall se Le Firewall se situe entre le situe entre le réseau interne et réseau interne et le réseau externe le réseau externeATM
TCP/UDP
IP
Packet
Filter
Application
Proxy
Inside
Outside
Comment ca marche ?
Comment ca marche ?
Les paquets IP Les paquets IPsont filtrés au sont filtrés au niveau niveau réseau/transport réseau/transport et au niveau et au niveau application si une application si une passerelle a été passerelle a été configurée. configurée.
TCP/UDP
Packet
Filter
Application
Proxy
Inside
Outside
src and dst addresses
Protocol ID
src and dst ports
Direction and flags
Protocol Info.
Application Data
Comment ca marche ?
Comment ca marche ?
Si le paquet est Si le paquet estautorisé, une autorisé, une
connexion ATM connexion ATM
est établie avec le est établie avec le
nœud suivant nœud suivant
dans le réseau IP. dans le réseau IP.
Le paquet est Le paquet est
envoyé sur le envoyé sur le réseau externe. réseau externe.
ATM
TCP/UDP
IP
Packet
Filter
Application
Proxy
Inside
Outside
ATM cell
Quels problèmes ?
Quels problèmes ?
Le niveau ATM est Le niveau ATM estconsidérée comme considérée comme une couche de une couche de niveau 2. niveau 2.
– Pas de contrôle Pas de contrôle d’accès au d’accès au niveau ATM. niveau ATM. – Applications Applications natives ATM ne natives ATM ne
sont pas filtrées.
sont pas filtrées.
TCP/UDP
Packet
Filter
Application
Proxy
Inside
Outside
Quels problèmes ?
Quels problèmes ?
Les couches Les couchesréseau, transport réseau, transport et application ne et application ne connaissent pas la connaissent pas la QoS négociée au QoS négociée au niveau ATM. niveau ATM.
– Fournir une Fournir une qualité de qualité de service de bout service de bout en bout n’est en bout n’est pas possible. pas possible.
ATM
TCP/UDP
IP
Packet
Filter
Application
Proxy
Inside
Outside
Quels problèmes ?
Quels problèmes ?
Le processus de Le processus defiltrage est souvent
filtrage est souvent
gourmand en gourmand en ressources. ressources. – Performances Performances faibles faibles (200Mb/s). (200Mb/s). – Modification Modification importante des importante des paramètres de paramètres de qualité de qualité de service. service.
TCP/UDP
Packet
Filter
Application
Proxy
Inside
Outside
CARAT - objectifs
CARAT - objectifs
Filtrage aux niveaux ATM, TCP/IP.
Filtrage aux niveaux ATM, TCP/IP.
Haut débit.
Haut débit.
–
Filtrage à 622 Mb/s au niveau cellule.
Filtrage à 622 Mb/s au niveau cellule.
Maintient de la QoS.
Maintient de la QoS.
–
Délai au niveau cellule.
Délai au niveau cellule.
Vue générale
Vue générale
Se place entre le réseau Se place entre le réseau
public et le réseau privé. public et le réseau privé.
Composé de trois modules:Composé de trois modules:
ATM ATM IFT IFT
Analyseur de Signalisation Gestionnaire Station SUN Driver IFT Démon Switch ATM PC Solaris Réseau Réseau Contrôleur
S ’intègre aux équipements S ’intègre aux équipements
existants. existants.
Les modules sont Les modules sont
– Gestionnaire.Gestionnaire.
– Filtre de signalisation.Filtre de signalisation. – Filtre de niveau cellule.Filtre de niveau cellule.
Un langage générique de
Un langage générique de
définition du contrôle d ’accès
définition du contrôle d ’accès
Basé sur des travaux du Policy WG à l ’IETF.
Basé sur des travaux du Policy WG à l ’IETF.
Une politique de contrôle d ’accès est un
Une politique de contrôle d ’accès est un
ensemble de règles.
ensemble de règles.
Une règle est formée d ’un ensemble de
Une règle est formée d ’un ensemble de
conditions et d ’une action.
conditions et d ’une action.
Conditions et actions aux niveaux ATM, IP et
Conditions et actions aux niveaux ATM, IP et
Transport.
exemple
exemple
autoriser la machine d ’adresse 192.165.203.5 à utiliser des
autoriser la machine d ’adresse 192.165.203.5 à utiliser des
serveurs WWW externes:
serveurs WWW externes:
IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) AND (DST_PORT = 80) THEN PERMIT.
IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND (SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> SYN) THEN PERMIT.
Le gestionnaire
Le gestionnaire
Effectue la traduction entre Effectue la traduction entre
politique de contrôle politique de contrôle d ’accès générique et d ’accès générique et commandes de contrôle commandes de contrôle d ’accès au niveau d ’accès au niveau – Du contrôleur de Du contrôleur de signalisation. signalisation.
– Du contrôleur de niveau Du contrôleur de niveau cellule. cellule. Politique de contrôle d’accès sur la signalisation Information de signalisation Politique de contrôle d’accès dynamique de niveau cellule Politique de contrôle d’accès statique de niveau cellule Politique de contrôle d’accès Politique de contrôle d’accès de niveau cellule
Politique de contrôle d’accès générique TCP/IP Informations dynamiques de niveaux cellule et IP
Etablissement de connexion
Etablissement de connexion
Gestionnaire
connexion(encaps,vpi,vci,@ATMs,@ATMd)
Politique C.A. Sig. Politique C.A. TCP/IP statique
Table de conversion adresses IP/ATM
@ATM
@IP
Fin de connexion
Fin de connexion
Gestionnaire
Filtre de signalisation Filtre cellule
Le Filtre de signalisation
Le Filtre de signalisation
Capacités de filtrage.
Capacités de filtrage.
–
UNI 3.1.
UNI 3.1.
–
Informations d ’adressage.
Informations d ’adressage.
Adresses, Sous adresses.
Adresses, Sous adresses.
–
Informations de QoS.
Informations de QoS.
PCR, SCR, MCR.
PCR, SCR, MCR.
Le Filtre de signalisation
Le Filtre de signalisation
Basé sur la pile de Basé sur la pile de
signalisation ATM SUN signalisation ATM SUN
Module Q93B modifié.Module Q93B modifié.
Module de décomposition Module de décomposition
des messages. des messages.
FiltreFiltre
– Gestion d ’une structure Gestion d ’une structure pour chaque connexion.
pour chaque connexion.
Module de construction des Module de construction des
messages. messages.
– Masquage d ’adresse.Masquage d ’adresse.
Communication avec le Communication avec le
gestionnaire. gestionnaire. Module Q93B Module SSCOP Filtre Noyau Espace Utilisateur décomposition des messages de sig. decomposition Construction des messages de sig.
Interface ATM 0 Interface ATM 1
Station SUN
Le Filtre niveau cellule
Le Filtre niveau cellule
Cartes IFT/CNETCartes IFT/CNET
– 622 Mb/s unidirectionnel.622 Mb/s unidirectionnel.
– Analyse de la première cellule Analyse de la première cellule d ’une trame AAL5.
d ’une trame AAL5.
– Action possible : commutationAction possible : commutation
Rejeter : VC inexistant.Rejeter : VC inexistant. Accepter : VC inchangé.Accepter : VC inchangé.
– Temps d ’analyse variable.Temps d ’analyse variable.
– Changement de configuration en Changement de configuration en cours de fonctionnement. cours de fonctionnement. Mémoire de filtrage Découplage Cellule ATM Mémoire de filtrage Découplage Cellule ATM PC Solaris
Driver IFTDriver IFT
Driver IFT
Démon RPC
Capacités de filtrage
Configuration de la mémoire
Configuration de la mémoire
de filtrage
de filtrage
Adresse/Valeur 0
1
2
3
4
5
6
7
8
9
A
B
C
D
E
F
0x00000000
0x00000010
0x00000020
0x00000030
0x00000040
0x00000050
…
0xFFFFFFF
Agenda
Agenda
Action
juin-99
sept-99
nov-99
févr-00 mars-00
avr-00
sept-00
oct-00
Définition du projet
Réalisation du filtre de signalisation
Installation logicielle
Réalisation du gestionnaire
Fabrication des cartes IFT
Tests de Fonct./Perf.
Fin du projet/ Rapport Final
Conclusion
Conclusion
Bonnes performances (débit,délai)
Bonnes performances (débit,délai)
– Méthode d ’analyse brevetée.Méthode d ’analyse brevetée.
– Adaptation dynamique de la configuration.Adaptation dynamique de la configuration.
Contrôle au niveaux ATM, TCP/IP.
Contrôle au niveaux ATM, TCP/IP.
– Contrôle des applications natives.Contrôle des applications natives.
Outil séparé des éléments du réseau.
Outil séparé des éléments du réseau.
– Insertion facile dans les environnements existants.Insertion facile dans les environnements existants. – Adaptation facile de nouvelles fonctionnalités.Adaptation facile de nouvelles fonctionnalités.
Futur
Futur
Evolution possibles de la maquette
Evolution possibles de la maquette
– Support pour d ’autres protocoles (LANE, MPOA, MPLS).Support pour d ’autres protocoles (LANE, MPOA, MPLS).
– Intégration de firewalls classiques + gestion de niveaux de QoS.Intégration de firewalls classiques + gestion de niveaux de QoS. – Intégration de mécanismes d ’authentification dans la Intégration de mécanismes d ’authentification dans la
signalisation ATM (ATM Forum). signalisation ATM (ATM Forum).
Evolution possible des cartes IFT
Evolution possible des cartes IFT
– Version IP (Sans ATM).Version IP (Sans ATM). – Débit plus élevé (1Gb/s).Débit plus élevé (1Gb/s).
– Analyse plus en profondeur des trames (255 octets) -> Analyse Analyse plus en profondeur des trames (255 octets) -> Analyse des informations de niveau application.