" CARAT, Controle d'Accés et qualité de service dans les Réseaux ATM"

(1)

CARAT

Contrôle d ’Accès et qualité de service

dans les Réseaux ATM

Sylvain Gombault

Gwenn Gueguen

Maryline Laurent

Olivier Paul

ENST de Bretagne

(2)

Partenaires

_Partenaires

R&D

CELAR

(3)

Plan



Introduction



CARAT

–

Le gestionnaire

–

Le filtre de signalisation

–

Le filtre au niveau cellule: Cartes IFT

_{Le filtre au niveau cellule: Cartes IFT}

(4)

Introduction



ATM (Asynchronous Transfer Mode) :

–

Spécifié pour le transport de flux de natures variées.

–

Permet aux applications de demander au réseau des

garanties de qualité de service

–

Orienté connexion.

–

Information transportée sous forme de cellules.

–

Usage:

 Direct: Quelques applications ATM natives (ANS, VoD).Direct: Quelques applications ATM natives (ANS, VoD).  Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage

le plus courant. le plus courant.

(5)

Introduction



Le contrôle d ’accès:

–

Service qui assure une protection contre une utilisation

non autorisée de ressources par une entité ou un groupe

d ’entité (ISO).

(6)

Comment ca marche ?

 Le Firewall se Le Firewall se situe entre le situe entre le réseau interne et réseau interne et le réseau externe le réseau externe

ATM

TCP/UDP

IP

Packet

Filter

Application

Proxy

Inside

Outside

(7)

Comment ca marche ?

 Les paquets IP Les paquets IP

sont filtrés au sont filtrés au niveau niveau réseau/transport réseau/transport et au niveau et au niveau application si une application si une passerelle a été passerelle a été configurée. configurée.

TCP/UDP

Packet

Filter

Application

Proxy

Inside

Outside

src and dst addresses

Protocol ID

src and dst ports

Direction and flags

Protocol Info.

Application Data

(8)

Comment ca marche ?

 Si le paquet est Si le paquet est

autorisé, une autorisé, une

connexion ATM connexion ATM

est établie avec le est établie avec le

nœud suivant nœud suivant

dans le réseau IP. dans le réseau IP.

 Le paquet est Le paquet est

envoyé sur le envoyé sur le réseau externe. réseau externe.

ATM

TCP/UDP

IP

Packet

Filter

Application

Proxy

Inside

Outside

ATM cell

(9)

Quels problèmes ?

 Le niveau ATM est Le niveau ATM est

considérée comme considérée comme une couche de une couche de niveau 2. niveau 2.

– Pas de contrôle Pas de contrôle d’accès au d’accès au niveau ATM. niveau ATM. – Applications Applications natives ATM ne natives ATM ne

sont pas filtrées.

TCP/UDP

Packet

Filter

Application

Proxy

Inside

Outside

(10)

Quels problèmes ?

 Les couches Les couches

réseau, transport réseau, transport et application ne et application ne connaissent pas la connaissent pas la QoS négociée au QoS négociée au niveau ATM. niveau ATM.

– Fournir une Fournir une qualité de qualité de service de bout service de bout en bout n’est en bout n’est pas possible. pas possible.

ATM

TCP/UDP

IP

Packet

Filter

Application

Proxy

Inside

Outside

(11)

Quels problèmes ?

 Le processus de Le processus de

filtrage est souvent

gourmand en gourmand en ressources. ressources. – Performances Performances faibles faibles (200Mb/s). (200Mb/s). – Modification Modification importante des importante des paramètres de paramètres de qualité de qualité de service. service.

TCP/UDP

Packet

Filter

Application

Proxy

Inside

Outside

(12)

CARAT - objectifs



Filtrage aux niveaux ATM, TCP/IP.



Haut débit.

–

Filtrage à 622 Mb/s au niveau cellule.



Maintient de la QoS.

–

Délai au niveau cellule.

_{Délai au niveau cellule.}

(13)

Vue générale

 Se place entre le réseau Se place entre le réseau

public et le réseau privé. public et le réseau privé.

 Composé de trois modules:Composé de trois modules:

ATM ATM IFT IFT

Analyseur de Signalisation Gestionnaire Station SUN Driver IFT Démon Switch ATM PC Solaris Réseau Réseau Contrôleur

 S ’intègre aux équipements S ’intègre aux équipements

existants. existants.

 Les modules sont Les modules sont

– Gestionnaire.Gestionnaire.

– Filtre de signalisation.Filtre de signalisation. – Filtre de niveau cellule.Filtre de niveau cellule.

(14)

Un langage générique de

définition du contrôle d ’accès



Basé sur des travaux du Policy WG à l ’IETF.



Une politique de contrôle d ’accès est un

ensemble de règles.



Une règle est formée d ’un ensemble de

conditions et d ’une action.



Conditions et actions aux niveaux ATM, IP et

Transport.

(15)

exemple

autoriser la machine d ’adresse 192.165.203.5 à utiliser des

serveurs WWW externes:

IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) AND (DST_PORT = 80) THEN PERMIT.

IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND (SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> SYN) THEN PERMIT.

(16)

Le gestionnaire

 Effectue la traduction entre Effectue la traduction entre

politique de contrôle politique de contrôle d ’accès générique et d ’accès générique et commandes de contrôle commandes de contrôle d ’accès au niveau d ’accès au niveau – Du contrôleur de Du contrôleur de signalisation. signalisation.

– Du contrôleur de niveau Du contrôleur de niveau cellule. cellule. Politique de contrôle d’accès sur la signalisation Information de signalisation Politique de contrôle d’accès dynamique de niveau cellule Politique de contrôle d’accès statique de niveau cellule Politique de contrôle d’accès Politique de contrôle d’accès de niveau cellule

Politique de contrôle d’accès générique TCP/IP Informations dynamiques de niveaux cellule et IP

(17)

Etablissement de connexion

Gestionnaire

connexion(encaps,vpi,vci,@ATMs,@ATMd)

Politique C.A. Sig. Politique C.A. TCP/IP statique

Table de conversion adresses IP/ATM

@ATM

@IP

(18)

Fin de connexion

Gestionnaire

Filtre de signalisation Filtre cellule

(19)

Le Filtre de signalisation



Capacités de filtrage.

–

UNI 3.1.

–

Informations d ’adressage.



Adresses, Sous adresses.

–

Informations de QoS.



PCR, SCR, MCR.

(20)

Le Filtre de signalisation

 Basé sur la pile de Basé sur la pile de

signalisation ATM SUN signalisation ATM SUN

 Module Q93B modifié.Module Q93B modifié.

 Module de décomposition Module de décomposition

des messages. des messages.

 FiltreFiltre

– Gestion d ’une structure Gestion d ’une structure pour chaque connexion.

pour chaque connexion.

 Module de construction des Module de construction des

messages. messages.

– Masquage d ’adresse.Masquage d ’adresse.

 Communication avec le Communication avec le

gestionnaire. gestionnaire. Module Q93B Module SSCOP Filtre Noyau Espace Utilisateur décomposition des messages de sig. decomposition Construction des messages de sig.

Interface ATM 0 Interface ATM 1

Station SUN

(21)

Le Filtre niveau cellule

 Cartes IFT/CNETCartes IFT/CNET

– 622 Mb/s unidirectionnel.622 Mb/s unidirectionnel.

– Analyse de la première cellule Analyse de la première cellule d ’une trame AAL5.

d ’une trame AAL5.

– Action possible : commutationAction possible : commutation

 Rejeter : VC inexistant.Rejeter : VC inexistant.  Accepter : VC inchangé.Accepter : VC inchangé.

– Temps d ’analyse variable.Temps d ’analyse variable.

– Changement de configuration en Changement de configuration en cours de fonctionnement. cours de fonctionnement. Mémoire de filtrage Découplage Cellule ATM Mémoire de filtrage Découplage Cellule ATM PC Solaris

 Driver IFTDriver IFT

Driver IFT

Démon RPC

(22)

Capacités de filtrage

(23)

Configuration de la mémoire

de filtrage

Adresse/Valeur 0

1

2

3

4

5

6

7

8

9 A

B

C

D

E

F

0x00000000

0x00000010

0x00000020

0x00000030

0x00000040

0x00000050

…

0xFFFFFFF

(24)

Agenda

Action

juin-99

sept-99

nov-99

févr-00 mars-00

avr-00

sept-00

oct-00

Définition du projet

Réalisation du filtre de signalisation

Installation logicielle

Réalisation du gestionnaire

Fabrication des cartes IFT

Tests de Fonct./Perf.

Fin du projet/ Rapport Final

(25)

Conclusion



Bonnes performances (débit,délai)

– Méthode d ’analyse brevetée.Méthode d ’analyse brevetée.

– Adaptation dynamique de la configuration.Adaptation dynamique de la configuration.



Contrôle au niveaux ATM, TCP/IP.

– Contrôle des applications natives.Contrôle des applications natives.



Outil séparé des éléments du réseau.

– Insertion facile dans les environnements existants.Insertion facile dans les environnements existants. – Adaptation facile de nouvelles fonctionnalités.Adaptation facile de nouvelles fonctionnalités.

(26)

Futur



Evolution possibles de la maquette

– Support pour d ’autres protocoles (LANE, MPOA, MPLS).Support pour d ’autres protocoles (LANE, MPOA, MPLS).

– Intégration de firewalls classiques + gestion de niveaux de QoS.Intégration de firewalls classiques + gestion de niveaux de QoS. – Intégration de mécanismes d ’authentification dans la Intégration de mécanismes d ’authentification dans la

signalisation ATM (ATM Forum). signalisation ATM (ATM Forum).



Evolution possible des cartes IFT

– Version IP (Sans ATM).Version IP (Sans ATM). – Débit plus élevé (1Gb/s).Débit plus élevé (1Gb/s).

– Analyse plus en profondeur des trames (255 octets) -> Analyse Analyse plus en profondeur des trames (255 octets) -> Analyse des informations de niveau application.