Contrôle d’accès et qualité de service
dans les réseaux basés sur ATM
Niveau ATM/AAL/SNAP non considéré. Quels paramètres
prendre en compte ?
Niveau Réseau/Transport.
Traitement simple mais concernant un grand nombre de paquets. Pas de notion de QoS.
Niveau Application. Traitements assez complexes. Pas de notion de QoS.
Pas de contrôle d’accès ATM. Performances: Limité
actuellement à 100 Mb/s. Pas de QoS
Le Firewall, outil actuel de contrôle d’accès
Il se place entre un réseau à protéger et un réseau non contrôlé et examine les données échangées par les équipements situés de part et d’autre. Pour cela il reconstruit les PDU échangés et les bloque jusqu’à ce qu’il soit sûr ce ceux-ci sont inoffensifs.
Comment résoudre ces problèmes ?
Proxy Proxy Niveau application Niveau Transport Niveau Réseau Module de Filtrage des Paquets Niveau ATM/AAL/SNAP Outil simple.
Outil facile à gérer. Outil sûr.
Performant jusqu’à 100 Mb/s.
Outil riche en fonctionnalités.
Nombreux fabricants, prix faible.
Amélioration des performances
Utilisation de Circuits spécialisés Distribution Implémentation des mécanismes de contrôle
d’accès de manière physique sous forme de circuits spécialisés et intégration de ceux-ci dans un équipement du réseau.
Performances (100 Mb/s ... qques Gb/s). Facilité de gestion.
Solution unique au niveau cellule. Fonctionnalités pauvres au niveau IP (limitation aux adresses IP et ports
TCP/UDP).
Fonctionnalités très pauvres au niveau ATM (adresses ATM).
Distinction des mécanismes de contrôle
d’accès et distribution dans les équipements du réseau.
Performances. Meilleure sécurité. Difficultés de gestion.
Modifications importantes.
Impact sur les performances des systèmes modifiés.
Limitation des perturbations
Asynchronisme
Utilisation de mécanismes de contrôle d’accès asynchrones. Contrôle sur une copie des flux ou à partir de variables d’état puis coupure de la connexion (soit TCP soit ATM) dans le cas où les flux sont dangereux.
Pas d’impact sur la QoS puisque le flux n’est pas stoppé.
Sécurité non assurée puisqu’il peut y avoir un intervalle de temps entre le passage du flux et son contrôle.
Les flux non connectés (i.e. cellules) ne peuvent être filtrés.
Classification des flux
On sépare les flux en différentes classes en fonction de leurs requètes en terme de QoS. Au moyen de cette classification on peut appliquer des traitements différenciés aux flux.
Limitation des impacts sur la QoS.
La multiplication des formes de traitement provoque la complexification du système.
Etude des paramètres de contrôle d’accès
On étudie les paramètres pouvant être pris en compte afin de réaliser un contrôle d’accès au niveau ATM (ATM/AAL/Signalisation). Pour cela on s’intéresse:
• Aux paramètres pouvant décrire les communications. Comparaison avec les paramètres utilisés dans outils de contrôle d’accès pour les réseaux existants.
• Aux paramètres utilisés par les applications/utilisations existantes. Comment est il possible de caractériser ces utilisations ?
A partir de ces informations on peut classifier les paramètres en fonction de leur importance et de la difficulté à implémenter un outil permettant de les contrôler.
Amélioration du contrôle
d’accès au niveau ATM
Analyse des problèmes
Type de trafic/
Couche protocolaire
ATM Cellule ATM Sig. Transport Application
Avec requète de QoS
Classe 1
Classe 2
Classe 3
Classe 4
Sans requète de QoS
Classe 5
Classe 2
Classe 6
Classe 7
• Niveau de sécurité.
• Amélioration en terme de performances. • Amélioration en terme de respect de la QoS. • Difficulté de gestion/utilisation.
• Difficulté d’implémentation/coût.
Quels facteurs utiliser pour choisir ?
Solutions en cours de réalisation
Classe Réalisations
Classe 1,2,5 Contrôleur d’accès ATM (Cellule/Signalisation) basé sur une carte d’analyse
de trafic à haut débit (CNET)
Classe 3 Utilisation de modules distribués de contrôle d’accés de niveau transport.
Classe 4 Agents distribués de contrôle d’accés asynchrone au niveau application pour
des applications ayant des requètes de QoS. Modification des applications afin qu’elles fournissent des informations aux agents.
Classe 6 Utilisation de modules distribués de contrôle d’accés de niveau transport.
Classe 7 Utilisation de contrôleurs de niveau application (proxies)
Hors Classe Développement de mécanismes de gestion efficace des éléments distribués
Classe/Technique Spécialisation Distribution Asynchronisme
Classe 2 Outil Outil
Classe 1,5 Outil Outil
Classe 3 Performances et QoS (C.A. sur une partie des paramètres de C.A.)
Performances et QoS QoS
Classe 4 Performances QoS
Classe 6 Performances (C.A. sur une partie des paramètres de C.A.)
Performances
Contrôleur d’accès ATM
Réseau
externe
Réseau
interne
Switch ATM
Carte d’analyse
pc
Contrôleur de sig.
Sig.
Niveau Cellule: carte d’analyse/filtrage: • Multi-bit trie.
• 622Mb/s-2,5Gb/s.
• Perturbation : 100aine ns.
Niveau Signalisation: logiciel de filtrage: • Dérivation au niveau du switch.
• Analyse logicielle.
Agents de contrôle d’accès asynchrones
Informations décrivant les applications
Application
Application
ApplicationSystème d’exploitation Agent de contrôle Principe:
• Utiliser les informations fournies à l’OS par les applications. • Etendre ces informations.
Développer un agent:
• Contrôlant les informations fournies.
Gestion du contrôle d’accès
Assurer la gestion des éléments de contrôle d’accès distribués :
• De manière automatique (la distribution des fonctions doit être transparente). • De manière performante. (les outils doivent être configurés de manière optimale). • De manière sûre (confidentialité, authentification et intégrité des données).
Politique de C.A.
Agents placés sur les équipements.
Protocole de configuration: SNMPv2-v3.
Utilisation de modèles des capacités des agents et de la topologie. Langage de configuration.