Cours reseaux et telecoms

  • Published on
    21-May-2015

  • View
    413

  • Download
    0

Transcript

1. Guy Pujolle Avec la contribution de Olivier Salvatori Cours rseauxet tlcoms Avec exercices corrigs 3e dition Groupe Eyrolles, 2000, 2004, 2008, ISBN : 978-2-212-12414-9 2. 13 C O U R S 259 Les rseaux IP Cest le rseau Internet qui a introduit le protocole IP. Ce protocole a t ensuite repris pour raliser des rseaux privs, tels les rseaux intranets et extranets ou les rseaux mis en place pour la domotique. Ces rseaux IP prsentent de nombreuses proprits com- munes. Ce cours examine ces proprits en dcrivant le fonctionnement des rseaux IP puis en dtaillant les principaux protocoles mettre en uvre pour obtenir un rseau performant. s Les environnements IP s Les protocoles ARP et RARP s DNS (Domain Name Service) s ICMP (Internet Control Message Protocol) s RSVP (Resource reSerVation Protocol) s RTP (Real-time Transport Protocol) s NAT (Network Address Translation) s IP Mobile s Fonctions supplmentaires 3. Cours 13 q Les rseaux IP260 s Les environnements IP DARPA (Defense Advanced Research Pro- jects Agency). Agence du ministre de la Dfense amricain charge des projets de recherche militaire. Arpanet. Premier rseau commutation de paquets dvelopp aux tats-Unis par la DARPA. Le principal intrt du protocole IP est son adoption quasi universelle. Cest au milieu des annes 70 que lagence amricaine DARPA (Defense Advanced Research Projects Agency) dveloppe un concept de rseaux interconnects, Internet. Larchitecture et les protocoles de ce rseau acquirent leur forme actuelle vers 1977-1979. cette poque, la DARPA est connue comme le pre- mier centre de recherche sur les rseaux transfert de paquets, et cest elle qui cre le rseau Arpanet, la n des annes 60. Le rseau Internet dmarre vritablement en 1980, au moment o la DARPA commence convertir les protocoles du rseau de la recherche TCP/IP. La migration vers Internet est complte en 1983, quand le bureau du secrtariat de la Dfense amricain rend obligatoires ces protocoles pour tous les htes connects aux rseaux tendus. NSF (National Science Foundation). Fondation de ltat amricain qui subven- tionne les projets de recherche importants. En 1985, la NSF (National Science Foundation) commence dvelopper un programme destin mettre en place un rseau autour de ses six centres de supercalculateurs. En 1986, elle cre un rseau fdrateur, le NSFNET, pour relier tous ses centres de calcul et se connecter Arpanet. Cest lensemble de ces rseaux interconnects qui forme Internet, auquel viennent sajouter petit petit de nombreux rseaux nouveaux. Ladoption des protocoles slargit alors aux entreprises prives, qui, la n des annes 80, sont pour la plupart relies Internet. De plus, elles utilisent les protocoles TCP/IP pour leurs rseaux dentreprise, mme sils ne sont pas connects Internet. Ces rseaux privs sappellent des intranets. Le prolon- gement permettant aux utilisateurs externes de sinterconnecter sur un intra- net sappelle un extranet. Cest alors que se dveloppent des oprateurs offrant des accs au rseau Internet, les FAI (fournisseurs daccs Internet), encore appels ISP (Internet Service Provider). Aujourdhui, les ISP dveloppent leurs propres rseaux, ou intranets, qui ne sont autres que des rseaux Internet contrls par un seul oprateur. terme, on peut anticiper la disparition du rseau Internet dori- gine au prot dune dizaine de rseaux intranets mondiaux. Cette croissance rapide induit des problmes de dimensionnement et encou- rage les chercheurs proposer des solutions pour le nommage et ladressage de la nouvelle population. De nos jours, des centaines de socits importantes commercialisent des pro- duits TCP/IP. Ce sont elles qui dcident de la mise sur le march de nouvelles technologies, et non plus les chercheurs, comme lorigine. Pour prendre en compte cette nouvelle ralit politique et commerciale, lIAB (Internet Activi- ties Board) sest rorganis en 1989. Depuis, la structure de lIAB comprend 4. Les environnements IP 261 deux organismes : lIRTF (Internet Research Task Force) et lIETF (Internet Engineering Task Force). LIETF se concentre sur les problmes de dveloppement court et moyen terme. Cet organisme existait dj dans lancienne organisation. Son succs a t lun des motifs de sa restructuration. LIETF sest largi pour prendre en compte des centaines de membres actifs travaillant sur plusieurs sujets en mme temps. Il se runit au complet pour couter les rapports des groupes de travail et pour dbattre des modications et des ajouts portant sur TCP/IP. LIRTF coordonne les activits de recherche sur les protocoles TCP/IP et larchitecture Internet en gnral. Sa taille est moins importante que celle de lIETF. Les documents de travail sur Internet, les propositions pour lajout ou la modication de protocoles et les normes TCP/IP sont publis sous la forme dune srie de rapports techniques, appels RFC (Request For Comments). Les RFC sont disparates ; elles peuvent couvrir des sujets prcis ou vastes et faire gure de normes ou seulement de propositions. Rcemment, lIAB a commenc prendre une part active dans la dnition des normes. Tous les trois mois, il publie une RFC, appele IAB Ofcial Proto- col Standards, qui rend compte du processus de normalisation et des nouvel- les normes. LIAB attribue chaque protocole de TCP/IP un tat et un statut. Ltat du protocole spcie lavancement des travaux de normalisation de la faon suivante : Initial (initial) : le protocole est soumis pour tre examin. Norme propose (proposed standard) : le protocole est propos comme norme et subit la procdure initiale. Norme de travail (draft standard) : le protocole a pass lexamen initial et peut tre considr comme tant dans sa forme semi-nale. Au moins deux implmentations indpendantes sont produites, et le document les dcri- vant est tudi par le groupe de travail ad hoc. Des modications avant la norme nale sont souvent introduites aprs ces premires exprimentations. Norme (standard) : le protocole a t examin et est accept comme une norme complte. Il fait ofciellement partie de TCP/IP. Exprimental (experimental) : le protocole nest pas soumis normalisation mais reste utilis dans des exprimentations. Historique (historic) : le protocole est prim et nest plus utilis. Normalement, les protocoles soumis doivent tre passs en revue par le groupe de travail correspondant de lIETF. LIAB vote ensuite pour son avancement dans le processus de normalisation. 5. Cours 13 q Les rseaux IP262 Le statut du protocole indique sous quelles conditions il doit tre utilis. Ces diffrents statuts sont les suivants : Exig (required) : toutes les machines et passerelles doivent implmenter le protocole. Recommand (recommended) : toutes les machines et passerelles sont encourages implmenter le protocole. Facultatif (elective) : on peut choisir dimplmenter ou non le protocole. Utilisation limite (limited use) : le protocole nest pas spci pour une uti- lisation gnrale (par exemple, un protocole exprimental). Non recommand (non recommended) : lutilisation du protocole nest pas recommande (par exemple, un protocole prim). Comme expliqu prcdemment, larchitecture IP implique lutilisation du protocole IP, qui possde comme fonctions de base ladressage et le routage des paquets IP. Le niveau IP correspond au niveau paquet de larchitecture OSI, mais avec une forte diffrence entre IPv4 et IPv6. IPv4 correspond un protocole trs simple, qui ne rsout que les problmes dinterconnexion, tandis quIPv6 a pour vocation de reprsenter compltement le niveau paquet. Au-dessus dIP, deux protocoles ont t choisis : TCP et UDP, qui sont abords au cours 11, Les protocoles de niveau suprieur . Ces protocoles correspon- dent au niveau message (couche 4) de larchitecture OSI. Ils intgrent une ses- sion lmentaire, grce laquelle TCP et UDP prennent en charge les fonctionnalits des couches 4 et 5. La diffrence rside dans leur mode : avec connexion pour TCP et sans connexion pour UDP. Le protocole TCP est trs complet, ce qui garantit une bonne qualit de service, en particulier sur le taux derreur des paquets transports. tant un protocole en mode sans connexion, UDP supporte des applications moins contraignantes en qualit de service. Le niveau application, qui se trouve au-dessus de TCP-UDP dans le modle Internet, regroupe les fonctionnalits des couches 6 et 7 de lOSI. Le cours 12, Exemples dapplications , dtaille quelques applications des rseaux IP. Questions-rponses Question 1.Pourquoi les ISP prfrent-ils dvelopper leur propre rseau plutt quemployer le rseauInternet? Rponse. Le rseau Internet tant une interconnexion de rseaux, il ne permet pas doffrir une qualit de service. En dveloppant leur propre rseau intranet, les ISP contr- lent beaucoup mieux la qualit de service de leur rseau. Question 2.Quelsavantageslessocitspeuvent-ellestirerdelutilisationduprotocoleIP? Rponse. Le Web tant devenu un grand standard,les entreprises ont dvelopp des sys- tmes dinformation compatibles et se sont places dans lenvironnement IP. 6. Les protocoles ARP et RARP 263 s Les protocoles ARP et RARP Internet propose linterconnexion de rseaux physiques par des routeurs. Cest un exemple dinterconnexion de systmes ouverts. Pour obtenir linterfonctionne- ment des diffrents rseaux, la prsence du protocole IP est ncessaire dans les nuds qui effectuent le routage entre les rseaux. Globalement, Internet est un rseau transfert de paquets. Les paquets traversent plusieurs sous-rseaux pour atteindre leur destination, sauf bien sr si lmetteur se trouve dans le mme sous- rseau que le rcepteur. Les paquets sont routs dans les passerelles situes dans les nuds dinterconnexion. Ces passerelles sont des routeurs. De faon plus pr- cise, ces routeurs transfrent des paquets dune entre vers une sortie, en dtermi- nant pour chaque paquet la meilleure route suivre. Le rseau Internet a t dvelopp pour mettre en relation des machines du monde entier, auxquelles on a pris soin dattribuer des adresses IP. Ces adresses IP nont aucune relation directe avec les adresses des cartes coupleurs qui permettent aux PC de se connecter au rseau. Ces dernires sont des adresses physiques. Pour envoyer un datagramme sur Internet, le logiciel rseau convertit ladresse IP en une adresse physique, utilise pour transmettre la trame. La traduction de ladresse IP en une adresse physique est effectue par le rseau sans que lutilisateur sen aperoive. Le protocole ARP (Address Resolution Protocol) effectue cette traduction en sappuyant sur le rseau physique. ARP permet aux machines de rsoudre les adresses sans utiliser de table statique. Une machine utilise ARP pour dter- miner ladresse physique du destinataire. Elle diffuse pour cela sur le sous- rseau une requte ARP qui contient ladresse IP traduire. La machine pos- Question 3.Le rseau Internet propose un service de type best effort.Il est impossible dy garantir untempsderponseprcis,doladifcultdefairepasserdanscerseaudelaparoletlphonique, quidemandeuntempsmaximaldetraversede300ms.Danslecadredelapplicationdeparoletl- phonique,montrerquecetempsmaximaldetraversedurseaupeuttreremplacparuntempsde traversede300mspouraumoins95p.100despaquets. Rponse. Si sufsamment de paquets arrivent temps au rcepteur, la parole tlphoni- que peut encore se drouler. En effet, un paquet IP de tlphonie transporte entre 20 et 50 ms de parole. Aujourdhui, les rcepteurs savent prendre en compte ces trous de quel- ques dizaines de millisecondes, condition quil ny en ait pas trop. Une perte de 5 p.100 de paquets est en gnral acceptable (le pourcentage acceptable dpend du degr de compression). Question4.En supposant des dbits sufsamment importants des accs au rseau Internet (2Mbit/s,parexemple),peut-onralisersimplementdelatlvisiondiffuse? Rponse. Oui, car la tlvision diffuse accepte un retard important. Si le dbit du rseau est sufsant,il est possible de resynchroniser le canal de tlvision. rsolution dadresse.Dtermi- nation de ladresse dun quipement partir de ladresse de ce mme quipement un autre niveau pro- tocolaire.On rsout, par exemple,une adresse IP en une adresse physique ou en une adresse ATM. table statique. Table decorrespondancequi nest pas modie automatiquement par le rseau lorsque inter- viennent des change- ments dans la conguration. 7. Cours 13 q Les rseaux IP264 sdant ladresse IP concerne rpond en renvoyant son adresse physique. Pour rendre ARP plus performant, chaque machine tient jour, en mmoire, une table des adresses rsolues et rduit ainsi le nombre dmissions en mode dif- fusion. Ce processus est illustr la gure 13-1. Figure 13-1. Fonctionnement du protocole ARP. adresse logique. Adresse qui nest pas physique,cest--dire qui nest pas attache une connexion dtermine par son emplacement gogra- phique.Les adresses logiques Internet sont les adresses IP. De faon inverse, une station qui se connecte au rseau peut connatre sa propre adresse physique sans avoir dadresse IP. Au moment de son initialisation (bootstrap), cette machine doit contacter son serveur an de dterminer son adresse IP et ainsi de pouvoir utiliser les services TCP/IP. Dans ce cas, le proto- cole RARP (Reverse ARP) permet la machine dutiliser son adresse physique pour dterminer son adresse logique sur Internet. Par le biais du mcanisme RARP, une station peut se faire identier comme cible en diffusant sur le rseau une requte RARP. Les serveurs recevant le message examinent leur table et rpondent au client. Une fois ladresse IP obtenue, la machine la stocke en mmoire vive et nutilise plus RARP jusqu ce quelle soit rinitialise. Dans la version IPv6, les protocoles ARP et RARP ne sont plus utiliss et sont remplacs par un protocole de dcouverte des voisins, appel ND (Neighbor Discovery), qui est un sous-ensemble du protocole de contrle ICMP, que nous examinerons ultrieurement. 132.52.21.1 Adresses Ethernet Adresses IP 240458288710 032468124013 074750364213 132.52.21.2 132.52.21.3 1 2 3 1 2 3 en diffusion Message ARP Le PC1 recherche ladresse physique de la station qui possde ladresse IP 132. 52. 21.3 Rponse du PC3 pour donner son adresse physique PC 1 PC 2 PC 3 PC 1 PC 2 PC 3 8. DNS (Domain Name Service) 265 s DNS (Domain Name Service) Comme expliqu prcdemment, les structures dadresses sont complexes manipuler, dans la mesure o elles se prsentent sous forme de groupes de chiffres dcimaux spars par un point ou deux-points, de type abc:def:ghi:jkl, avec une valeur maximale de 255 pour chacun des quatre groupes. Les adresses IPv6 tiennent sur 8 groupes de 4 chiffres dcimaux. Du fait que la saisie de telles adresses dans le corps dun message deviendrait vite insupportable, ladressage utilise une structure hirarchique diffrente, beau- coup plus simple manipuler et mmoriser. Le DNS permet la mise en correspondance des adresses physiques et des adresses logiques. La structure logique prend une forme hirarchique et utilise au plus haut niveau des domaines caractrisant principalement les pays, qui sont indiqus par deux lettres, comme fr pour la France, et des domaines fonctionnels comme : com (organisations commerciales) ; edu (institutions acadmiques) ; Questions-rponses Question 5.Montrer que le mcanisme ARP marche bien si le rseau physique sous-jacent permet unediffusionsimple.LesrseauxEthernetetATMpeuvent-ilsrpondrecettecontrainte? Rponse. Le rseau physique doit effectuer une diffusion pour autoriser la correspon- dance dadresse. Le rseau Ethernet est particulirement adapt pour rpondre cette contrainte. En revanche, le rseau ATM nest pas un rseau permettant deffectuer de la diffusion simplement. Il faut donc utiliser dautres mcanismes, comme la simulation dune diffusion,en sadressant un serveur qui connaisse les correspondances dadresses. Question 6.MontrerquelutilisationduprotocoleRARPparunISPpeutluipermettredegreref- cacementunensembledadressesIP. Rponse. Les ISP ayant un grand nombre dabonns, ils nont pas la possibilit davoir sufsamment dadresses IP pour les prendre tous en charge simultanment. Dans ce cas, au fur et mesure des demandes de connexion, les ISP dcernent des adressesvia le pro- tocole RARP. Question 7. LesrseauxInfonetcorrespondentauxrseauxIPpourladomotique.Pourquoilepro- tocoleIPsemble-t-ilintressantpourcetypederseau? Rponse. Plusieurs raisons peuvent tre voques. La premire concerne ladressage. Il existe sufsamment dadresses dans IPv6 pour en affecter une tous les appareils domestiques : ampoules, branchements, capteurs, etc. Le protocole IP devenant un stan- dard de connexion, il est tentant de connecter les rseaux de domotique Internet. Enn, les protocoles du monde IP correspondent assez bien aux types dapplications des rseaux de domotique. DNS (Domain Name Service) Infonet. Nom des rseaux IP intercon- nectant les quipe- ments domotiques (capteurs,quipe- ments domestiques, etc.). domotique. Dsigne le processus dinfor- matisation de la mai- son,depuis les commandes automati- ques et distance jusquaux rseaux domestiques. 9. Cours 13 q Les rseaux IP266 org (organisations, institutionnelles ou non) ; gov (gouvernement amricain) ; mil (organisations militaires amricaines) ; net (oprateurs de rseaux) ; int (entits internationales). Figure 13-2. Fonctionnement du DNS. lintrieur de ces grands domaines, on trouve des sous-domaines, qui corres- pondent de grandes entreprises ou dimportantes institutions. Par exem- ple, lip6 reprsente le nom du laboratoire LIP 6, ce qui donne ladresse lip6.fr pour le personnel de ce laboratoire. Ce domaine peut lui-mme tre dcom- Serveur racine Serveur .fr Serveur lip6.fr Serveur reseau.lip6.fr Serveur systeme.lip6.fr Serveur guy.pujolle@reseau.lip6.fr 2 1 4 1 3 2 6 1 5 2 3 4 10. DNS (Domain Name Service) 267 pos en deux domaines correspondant des dpartements diffrents, par exemple reseau.lip6.fr et systeme.lip6.fr. ces diffrents domaines correspon- dent des serveurs, qui sont capables deffectuer la correspondance dadresse. serveur de noms. Serveur pouvant rpondre des requ- tes de rsolution de nom,cest--dire capa- ble deffectuer la tra- duction dun nom en une adresse.Les ser- veurs de noms dInter- net sont les serveurs DNS. Les serveurs de noms du DNS sont hirarchiques. Lorsquil faut retrouver ladresse physique IP dun utilisateur, les serveurs qui grent le DNS senvoient des requtes de faon remonter sufsamment dans la hirarchie pour trouver ladresse physique du correspondant. Ces requtes sont effec- tues par lintermdiaire de petits messages, qui portent la question et la rponse en retour. La gure 13-2 illustre le fonctionnement du DNS. Dans cette gure le client guy.pujolle@reseau.lip6.fr veut envoyer un message xyz.xyz@sys- teme.lip6.fr. Pour dterminer ladresse IP de xyz.xyz@systeme.lip6.fr, une requte est mise par le PC de Guy Pujolle, qui interroge le serveur de noms du domaine rseau.lip6.fr. Si celui-ci a en mmoire la correspondance, il rpond au PC. Dans le cas contraire, la requte remonte dans la hirarchie et atteint le serveur de noms de lip6.fr, qui, de nouveau, peut rpondre positive- ment sil connat la correspondance. Dans le cas contraire, la requte est ache- mine vers le serveur de noms de systeme.lip6.fr, qui connat la correspondance. Cest donc lui qui rpond au PC de dpart dans ce cas. Le format dune requte DNS est illustr la gure 13-3. Figure 13-3. Format dune requte DNS. Les deux premiers octets contiennent une rfrence. Le client choisit une valeur placer dans ce champ, et le serveur rpond en utilisant la mme valeur de sorte que le client reconnaisse sa demande. Les deux octets suivants contiennent les bits de contrle. Ces derniers indiquent si le message est une requte du client ou une rponse du serveur, si une demande un autre site doit tre effectue, si le mes- sage a t tronqu par manque de place, si le message de rponse provient du ser- ContrleIdentificateur Nombre de rponsesNombre de questions Nombre de champs supplmentairesNombre dautorits Questions Rponses Autorits Champs supplmentaires DNS (Domain Name Service) 11. Cours 13 q Les rseaux IP268 veur de noms responsable ou non de ladresse demande, etc. Pour le rcepteur qui rpond, un code de rponse est galement inclus dans ce champ. Les six possibilits suivantes ont t dnies : 0 : pas derreur. 1 : la question est formate de faon illgale. 2 : le serveur ne sait pas rpondre. 3 : le nom demand nexiste pas. 4 : le serveur naccepte pas la demande. 5 : le serveur refuse de rpondre. La plupart des requtes neffectuent quune demande la fois. La forme de ce type de requte est illustre la gure 13-4. Dans la zone Question, le contenu doit tre interprt de la faon suivante : 6 indique que 6 caractres suivent ; aprs les 6 caractres de rseau, 4 dsigne les 4 caractres de lip6, 2 les deux caractres de fr et enn 0 la n du champ. Le champ Autorit permet aux serveurs qui ont autorit sur le nom demand de se faire connatre. Enn, la zone Champs supplmentaires permet de transporter des informations sur le temps pendant lequel la rponse la question est valide. Figure 13-4. Requte DNS avec une seule demande. Questions-rponses Question 8.Lapplication DNS peut utiliser les protocoles aussi bien TCP quUDP.Lequel des deux protocoles est-il utilis dans les deux cas suivants: pour la requte dun utilisateur vers le serveur et pourlarequtedunserveurversunautreserveurandemettrejoursatablederoutage? Rponse. Dans le premier cas UDP, pour aller vite. Dans le second cas TCP, de faon garantir que les informations sont transportes de faon able. Contrle = 0x0100 Nombre de rponse = 0 Nombre de champ supplmentaire = 0 Indicateur = 0x1234 Nombre de question = 1 Nombre dautorit = 0 6 e l 2 Question r a i f e u p r s 4 6 0 12. ICMP (Internet Control Message Protocol) 269 s ICMP (Internet Control Message Protocol) La gestion et le contrle sont des processus fortement imbriqus dans les nou- velles gnrations de rseaux IP. La diffrence entre les deux processus sestompe de fait par laccroissement de la vitesse de raction des composants, de telle sorte quun contrle, qui demande une raction en temps rel, nest plus trs loin dun processus de gestion. Dans le systme en mode sans connexion, chaque passerelle et chaque machine fonctionnent de faon autonome. De mme, le routage et lenvoi des datagrammes se font sans coordination avec le rcepteur. Ce systme marche bien tant que les machines ne rencontrent pas de problme et que le routage est correct, mais cela nest pas toujours le cas. Outre les pannes matrielles et logicielles du rseau et des machines qui y sont connectes, des problmes surviennent lorsquune station est dconnecte du rseau, que ce soit temporairement ou de faon permanente, ou lorsque la dure de vie du datagramme expire, ou enn lorsque la congestion dune pas- serelle devient trop importante. Pour permettre aux machines de rendre compte de ces anomalies de fonction- nement, on a ajout Internet un protocole denvoi de messages de contrle, appel ICMP (Internet Control Message Protocol). Le destinataire dun message ICMP nest pas un processus application mais le logiciel Internet de la machine. Ce logiciel IP traite le problme port par le message ICMP chaque message reu. Les messages ICMP ne proviennent pas uniquement des passerelles. Nimporte quelle machine du rseau peut envoyer des messages nimporte quelle autre machine. Les messages permettent de rendre compte de lerreur Question 9.QuelleestladifcultposeparlescongurationsdynamiquessurleDNS?(Lastation IP qui se connecte rclame une adresse IP,qui lui est fournie par le routeur de rattachement.) Montrer quelascuritdevientunserviceprpondrantdanscecasdegestiondynamique. Rponse. Le DNS doit pouvoir tre mis jour de faon dynamique. Ds quune station reoit une nouvelle adresse, elle doit en avertir le DNS local. La scurit devient un service important puisquun utilisateur pourrait assez facilement se faire passer pour un autre. Question 10.ProposerplusieurssolutionsdegestionduDNSpourgrerunclientmobile. Rponse. Une premire solution consisterait mettre jour les DNS de faon continuelle, mais cela se rvle particulirement complexe ds que le nombre dutilisateurs mobiles augmente et que les clients changent de domaine. Une seconde possibilit est de leur affecter des adresses provisoires au fur et mesure des changements et de tenir jour la correspondance entre ces adresses provisoires et ladresse de base. ICMP (Internet Control Message Protocol) 13. Cours 13 q Les rseaux IP270 en remontant jusqu lmetteur dorigine. Les messages ICMP prennent place dans la partie donnes des datagrammes IP. Comme nimporte quels autres datagrammes, ces derniers peuvent tre perdus. En cas derreur dun data- gramme contenant un message de contrle, aucun message de rapport de lerreur nest transmis, an dviter les avalanches. Comme pour le protocole IP, deux versions du protocole ICMP sont disponi- bles, la version associe IPv4 et celle associe IPv6. La version ICMPv6 est particulirement importante, car elle regroupe tous les messages de contrle et dinformation de diffrents protocoles de la premire gnration. Figure 13-5. Format des messages ICMP. La gure 13-5 illustre le format des messages ICMP. Len-tte de la partie ICMP comprend un octet type de message, suivi dun octet code , suivi de deux octets de checksum. Le type et le code diffrencient les diffrents messages ICMP. Il en existe 14 types diffrents. Ces messages sont les suivants : 1 : message derreur, impossible datteindre la destination ; 2 : message derreur, paquet trop volumineux ; 3 : message derreur, temps dpass ; 4 : message derreur, problme de paramtre ; 128 : message de requte dcho ; 129 : message de rponse dcho ; 130 : requte dentre dans un groupe ; Adresse metteur En-tte IPv6 Message ICMP Longueur de donnes (Payload Length) Checksum Version Priorit Rfrence de flot (Flow Label) Adresse rcepteur Corps du message ICMP Champ En-tte suivant : 58 (Next) Nombre de nuds traverss (Hop Limit) Type ICMP Code ICMP avalanche. Grande quantit de messages ou de paquets qui sont mis quasiment simul- tanment. 14. ICMP (Internet Control Message Protocol) 271 131 : rapport sur lentre dans un groupe ; 132 : n dappartenance un groupe ; 133 : sollicitation dun routeur ; 134 : mission dun routeur ; 135 : sollicitation dun voisin (Neighbor Solicitation) ; 136 : mission dun voisin (Neighbor Advertisement) ; 137 : message de redirection. Le checksum ne sapplique ni au paquet IP, ni la partie ICMP, mais un ensemble de champs qui contiennent la partie ICMP, tels que les adresses metteur et rcepteur, la zone de longueur du paquet IP et le champ indiquant ce qui est encapsul, cest--dire la valeur 58, dans le cas prsent. ICMP prend encore beaucoup plus dimportance dans la version IPv6. Le pro- tocole ARP (Address Resolution Protocol) disparat et est remplac par une fonction dICMP : ND (Neighbor Discovery). Cette fonction permet une sta- tion de dcouvrir le routeur dont elle dpend ainsi que les htes quelle peut atteindre localement. La station se construit une base de connaissances en examinant les paquets transitant par son intermdiaire. Elle est ainsi mme de prendre ultrieurement des dcisions de routage et de contrle. multicast. Mode de diffusion correspon- dant une application multipoint.Une adresse multicast indi- que une adresse de groupe et non pas dune seule entit. La correspondance entre ladresse IP dune station et les adresses locales repr- sente la fonction de rsolution dadresses. Cest le travail de ND. La station qui utilise ND met une requte Neighbor Solicitation sur sa ligne. Ladresse du desti- nataire est FF02::1:pruv:wxyz, qui reprsente une adresse multicast complte par la valeur pruv:wxyz des 32 derniers bits de ladresse de la station. La valeur du champ Next Header, ou En-tte suivant (voir le cours 10, Les proto- coles de niveau paquet ), dans le format IPv6 est 58. Cela indique un message ICMP, dont le code est 135, indiquant une requte Neighbor Solicitation. Si la sta- tion nobtient pas de rponse, elle effectue ultrieurement une nouvelle demande. Les stations qui se reconnaissent au moment de la diffusion mettent vers la station dmission un Neighbor Advertisement. Pour discuter avec un utilisateur sur un autre rseau, la station a besoin de sadresser un routeur. La requte Router Solici- tation est utilise cet effet. La fonction ND permet au routeur grant la station de se faire connatre. Le message de rponse contient de nombreuses options, comme le temps de vie du routeur : si le routeur ne donne pas de nouvelles dans un temps donn, il est considr comme indisponible. Les messages Router Solicitation et Router Advertisement ne garantissent pas que le routeur qui sest fait connatre soit le meilleur. Un routeur peut sen apercevoir et envoyer les paquets de la station vers un autre routeur grce une redirection (Redirection) et en avertissant le poste de travail metteur. ICMP (Internet Control Message Protocol) 15. Cours 13 q Les rseaux IP272 Une dernire fonction importante de ND provient de la perte de communica- tion avec un voisin. Cette fonction est effectue grce une requte Neighbor Unreachability Detection (message spcique portant le type 136). La gure 13-6 illustre les messages de la fonction ND. Figure 13-6. Messages de la fonction ND (Neighbor Discovery). Message Neighbor Solicitation Routeur A B Message Neighbor Advertisement A B Message Router Solicitation Message Router Advertisement Routeur Routeur Routeur A A A B B B B A Questions-rponses Question 11.MontrerquelesvaleursdesmessagesICMPcomprisesentre1et127correspondent desmessagesderapportderreuretque,partirde128,cesontdesmessagesdinformation. Rponse. 4 valeurs seulement sur 127 sont utilises dans les paquets ICMP, et ce sont bien des messages qui prsentent un rapport derreur. partir de la valeur 128, les paquets ICMP transportent des messages contenant des informations. Question 12.Pourquoilechecksumsapplique-t-ildeszonesparticuliresetnonpasseulement lapartieICMP? Rponse. Parce quil faut protger les messages de contrle efcacement. En particulier, il faut protger les adresses dmission et de rception de faon tre sr de lidentit de lmetteur et du rcepteur. Il faut aussi protger la longueur du paquet et sassurer que le paquet interne est bien un paquet ICMP. La valeur 58 doit donc aussi faire partie de cette zone protge que lon appelle le pseudo-header. pseudo-header. En-tte modi par le retrait ou lajout de certains champs,pris en compte par la zone de dtection derreur dans son calcul.En- tte partiel dun paquet ICMP ne repre- nant que les zones les plus importantes. 16. RSVP (Resource reSerVation Protocol) 273 s RSVP (Resource reSerVation Protocol) RSVP semble le plus intressant des protocoles de nouvelle gnration. Il sagit dun protocole de signalisation, qui a pour fonction davertir les nuds intermdiaires de larrive dun ot correspondant des qualits de service dtermines. Cette signalisation seffectue sur un ot (ow) envoy vers un ou plusieurs rcepteurs. Ce ot est identi par une adresse IP ou un port de destination, ou encore par une rfrence de ot (ow-label dans IPv6). Dans la vision des oprateurs de tlcommunications, le protocole est li une rservation qui doit tre effectue dans les nuds du rseau, sur une route particulire ou sur les routes dtermines par un multipoint. Les difcults rencontres pour mettre en uvre ce mcanisme sont de deux ordres : comment dterminer la quantit de ressources rserver tout instant et comment rserver des ressources sur une route unique, tant donn que le routage des paquets IP fait varier le chemin suivre ? Dans la vision des oprateurs informatiques, le protocole RSVP ne donne pas dobligation quant la rservation de ressources ; cest essentiellement une signalisation de passage dun ot. Le protocole RSVP effectue la signalisation (avec ou sans rservation) partir du rcepteur, ou des rcepteurs dans le cas dun multipoint. Cela peut paratre surprenant premire vue, mais cette solution sadapte beaucoup de cas de gure, en particulier au multipoint. Lorsquun nouveau point sajoute au mul- tipoint, celui-ci peut raliser ladjonction de rservations dune faon plus simple que ne pourrait le faire lmetteur. Les paquets RSVP sont transports dans la zone de donnes des paquets IP. La partie suprieure des gures 13-7 13-9 illustre les en-ttes dIPv6. La valeur 46 dans le champ En-tte suivant dIPv6 indique quun paquet RSVP est transport dans la zone de donnes. Question 13.quoipeuventservirlesmessagesICMPdetypes130,131et132? Rponse. Le protocole ICMPv6 reprend les fonctionnalits du protocole IGMP (Internet Group Multicast Protocol) de premire gnration. Ces fonctionnalits consistent grer les adresses multicast, cest--dire accepter de nouveaux entrants dans un groupe duti- lisateurs,ainsi qu grer ceux qui sortent du groupe et indiquer la n de vie du groupe. RSVP (Resource reSerVation Protocol) 17. Cours 13 q Les rseaux IP274 Figure 13-7. Format du message RSVP. Les champs du protocole RSVP Outre deux champs rservs,le paquet RSVP contient les dix champs suivants : Le premier champ indique le numro de la version en cours de RSVP. Les quatre bits Flags (drapeaux) sont rservs pour une utilisation ultrieure. Le type caractrise le message RSVP.Actuellement, deux types sont les plus utiliss : le message de chemin et le message de rservation. Les valeurs qui ont t retenues pour ce champ sont les suivantes : 1 :path message ; 2 :reservation message ; 3 :error indication in response to path message ; 4 :error indication in response to reservation message ; 5 :path teardown message ; 6 :reservation teardown message. Le champ Checksum permet de dtecter des erreurs sur le paquet RSVP. La longueur du message est ensuite indique sur 2 octets. Un premier champ est rserv aux extensions ultrieures. La zone Identicateur du message contient une valeur commune lensemble des fragments dun mme message. Un champ est rserv pour des extensions ultrieures. Le bit Plus de fragments indique que le fragment nest pas le dernier.Un zro est mis dans ce champ pour le dernier fragment. Version Priorit Rfrence de flot En-tte suivant : 46 Nombre de nuds traverss Longueur des donnes Adresse metteur Adresse rcepteur Version Drapeaux Type RSVP Checksum Longueur de message Rserv Identificateur du message Rserv Position du fragment Message RSVP Plus de fragments En-tte IPv6 Paquet RSVP 18. RSVP (Resource reSerVation Protocol) 275 Figure 13-8. Partie message permettant de dterminer le chemin RSVP. Le champ Position du fragment indique lemplacement du fragment dans le mes- sage. La partie Message RSVP regroupe une srie dobjets. Chaque objet se prsente de la mme faon, avec un champ Longueur de lobjet, sur 2 octets, puis le numro de lobjet, sur 1 octet, qui dtermine lobjet, et enn 1 octet pour indiquer le type de lobjet. Les spcications de RSVP contiennent les descriptions prcises des chemins suivis par les messages, y compris les objets ncessaires et lordre dans lequel ces objets apparaissent dans le message. Adresse rcepteur 0 Position du fragment : 0 Identificateur du message : 0 x 12345678 Longueur du message : 100 0 Checksum2 0 Type 1 0 Drapeau Port de destination Classe : 1 Type : 2Longueur de lobjet Hop : 24 Adresse du dernier nud (Hop) Interface logique du dernier nud (Hop) Classe : 5 Type : 1Longueur de lobjet Temps : 12 Priode de rafrachissement (en milliseconde) Priode maximale de rafrachissement (en milliseconde) Classe : 11 Type : 3Longueur de lobjet metteur : 24 Adresse metteur 0 Rfrence de flot (Flow Label) que le rcepteur doit utiliser RSVP (Resource reSerVation Protocol) 19. Cours 13 q Les rseaux IP276 Les gures 13-8 et 13-9 donnent deux exemples de messages RSVP. La gure 13-10 dcrit en complment le format dindication des erreurs dans RSVP. Figure 13-9. Paquet de rservation de RSVP. Adresse rcepteur Identificateur du message Longueur du message 0 Checksum2 0 Type 2 0 Drapeau Port de rcepteur Classe : 3 Type : 2Longueur de lobjet Nud (Hop) : 24 Adresse du dernier nud Interface logique du dernier nud Classe : 5 Type : 1Longueur de lobjet Temps : 12 Priode de rafrachissement (en milliseconde) Priode maximale de rafrachissement (en milliseconde) Classe : 8 Type : 1Longueur de lobjet Style : 8 Adresse metteur Rfrence de flot (Flow Label) Classe : 1 Type : 2Longueur de lobjet Session : 24 Style ID : 2 Vecteur de loption de style : 0 w 00000A Classe : 9 Type Longueur de lobjet Spcification du flot (Flowspec) Objet Spcification du flot Classe : 10 Type : 3 Longueur de lobjet Spcification du filtre (Filterspec) 0 20. RTP (Real-time Transport Protocol) 277 Figure 13-10. Format dindication des erreurs dans RSVP. s RTP (Real-time Transport Protocol) Lexistence dapplications temps rel, comme la parole numrique ou la visio- confrence, est un problme pour Internet. Ces applications demandent une qualit de service (QoS) que les protocoles classiques dInternet ne peuvent offrir. RTP (Real-time Transport Protocol) a t conu pour rsoudre ce pro- Questions-rponses Question 14.La rservation RSVP seffectue du rcepteur vers lmetteur.Montrer que cette solu- tionestbienadaptelorsquelesrcepteursontdescaractristiquesdiffrentes. Rponse. Lorsque lmetteur effectue la rservation, la demande est uniforme jusquau rcepteur puisque lmetteur ne connat pas les terminaux rcepteurs. Il peut toutefois se produire un gchis de bande passante. Lorsque la rservation remonte depuis le rcep- teur,celui-ci fait sa demande pour son cas particulier.Sil ne peut recevoir que 64 Kbit/s,ce nest pas la peine douvrir un canal 2 Mbit/s, comme pourrait le proposer lmetteur.Aux points de jonction des demandes de rservation RSVP (routeur de concentration de trac), un calcul doit tre effectu pour que tous les rcepteurs concerns soient satisfaits. Question 15. Montrer que RSVP prend assez bien en compte la dynamique du transport,cest-- direlapossibilitdechangerderoute. Rponse. Le protocole RSVP utilise des soft-state (tats mous). Cela signie qu dfaut de rafrachissements rguliers, les rfrences de la route seffacent automatiquement. Le protocole RSVP peut donc ouvrir une nouvelle route nimporte quand sans trop se soucier de lancienne route.Cela offre une bonne dynamique lensemble du processus. Question 16.Commentassocierlespaquetsquiarriventdansunrouteuraveclesrservationsqui ontputreeffectuesparunprotocoleRSVP? Rponse. Lassociation entre les ressources rserves et les paquets dun ot seffectue grce au numro de ow-label (rfrence du ot) du protocole IPv6, lorsque ce protocole est utilis. Dans le cas dIPv4, la solution prconise est dutiliser le protocole UDP pour encapsuler le paquet RSVP de faon rcuprer les numros de ports qui permettent de reconnatre le ot. Classe : 6 Type : 2Longueur de lobjet Erreur (Error) : 24 Adresse rcepteur Drapeau Code de lerreur Valeur de lerreur RTP (Real-time Transport Protocol) ow-label (rfrence de ot). Rfrence associe un ot IP. Tous les paquets du ot porte la mme rfrence. 21. Cours 13 q Les rseaux IP278 blme, qui plus est directement dans un environnement multipoint. RTP a sa charge aussi bien la gestion du temps rel que ladministration de la session multipoint. Les fonctions de RTP sont les suivantes : Le squencement des paquets par une numrotation. Cette numrotation permet de dtecter les paquets perdus, ce qui est important pour la recom- position de la parole. La perte dun paquet nest pas un problme en soi, condition quil ny ait pas trop de paquets perdus. En revanche, il est imp- ratif de reprer quun paquet a t perdu de faon en tenir compte et le remplacer ventuellement par une synthse dtermine en fonction des paquets prcdent et suivant. Lidentication de ce qui est transport dans le message pour permettre, par exemple, une compensation en cas de perte. estampille. Marque indiquant des valeurs de paramtres tempo- relles. tramage. Faon de construire des structu- res (les trames) dans lesquelles sont entre- poses les informa- tions transporter. La synchronisation entre mdias, grce des estampilles. Lindication de tramage : les applications audio et vido sont transportes dans des trames (frames), dont la dimension dpend des codecs effectuant la numrisation. Ces trames sont incluses dans les paquets an dtre trans- portes. Elles doivent tre rcupres facilement au moment de la dpaqu- tisation pour que lapplication soit dcode simplement. Lidentication de la source. Dans les applications en multicast, lidentit de la source doit tre dtermine. RTP utilise le protocole RTCP (Real-time Transport Control Protocol), qui transporte les informations supplmentaires suivantes pour la gestion de la session : gigue. Paramtre indiquant la variance dune distribution.La gigue dun rseau,ou plutt du temps de rponse dun rseau, permet de savoir si les paquets arrivent peu prs rgulirement ou au contraire trs irr- gulirement. Retour de la qualit de service lors de la demande de session. Les rcepteurs utilisent RTCP pour renvoyer vers les metteurs un rapport sur la QoS. Ces rapports comprennent le nombre de paquets perdus, la gigue et le dlai aller-retour. Ces informations permettent la source de sadapter, cest-- dire, par exemple, de modier le degr de compression pour maintenir la QoS. Synchronisation supplmentaire entre mdias. Les applications multim- dias sont souvent transportes par des ots distincts. Par exemple, la voix et limage, ou mme une application numrise sur plusieurs niveaux hirar- chiques, peuvent voir les ots gnrs suivre des chemins distincts. Identication. Les paquets RTCP contiennent des informations dadresse, comme ladresse dun message lectronique, un numro de tlphone ou le nom dun participant une confrence tlphonique. Contrle de la session. RTCP permet aux participants dindiquer leur dpart dune confrence tlphonique (paquet Bye de RTCP) ou simple- ment une indication de leur comportement. 22. RTP (Real-time Transport Protocol) 279 Le protocole RTCP demande aux participants de la session denvoyer priodi- quement les informations ci-dessus. La priodicit est calcule en fonction du nombre de participants lapplication. Deux quipements intermdiaires, les translateurs (translator) et les mixeurs (mixer), permettent de rsoudre des problmes dhomognisation lorsquil y a plusieurs rcepteurs. Un translateur a pour fonction de traduire une appli- cation code dans un certain format en un autre format, mieux adapt au pas- sage par un sous-rseau. Par exemple, une application de visioconfrence code en MPEG-2 peut tre dcode et recode en MPEG-4 si lon souhaite rduire la quantit dinformations transmises. Un mixeur a pour rle de regrouper plusieurs applications correspondant plusieurs ots distincts en un seul ot conservant le mme format. Cette approche est particulirement intressante pour les ux de paroles numriques. Comme nous venons de le voir, pour raliser le transport en temps rel des informations de supervision, le protocole RTCP (Real Time Control Protocol) a t ajout RTP, les paquets RTP ne transportant que les donnes des utili- sateurs. Le protocole RTCP autorise les cinq types de paquets de supervision suivants : 200 : rapport de lmetteur ; 201 : rapport du rcepteur ; 202 : description de la source ; 203 : au revoir ; 204 : application spcique. Ces diffrents paquets de supervision indiquent aux nuds du rseau les ins- tructions ncessaires un meilleur contrle des applications temps rel. Le format des messages RTP Le format des messages RTP est illustr la gure 13-11. Les deux premiers octets contiennent six champ distincts.Les deux premiers bits indi- quent le numro de version (2 dans la version actuelle). Le troisime bit indique si des informations de bourrage (padding) ont t ajoutes. Si la valeur de ce bit est gale 1, le dernier octet du paquet indique le nombre doctets de bourrage. Le bit suivant prcise sil existe une extension au champ den-tte de RTP, mais, en pratique, aucune extension na t dnie jusqu prsent par lIETF. Le champ suivant, Contributor Count, indique le nombre didenticateurs de contributeurs la session RTP qui doi- vent tre spcis dans la suite du message (jusqu 15 contributeurs peuvent tre recenss). Le bit Marker met la disposition de lutilisateur une marque indiquant la n dun ensemble de donnes. Les sept lments binaires suivants compltent les deux premiers octets et indiquent ce qui est transport dans le paquet RTP. Suite p. 280 RTP (Real-time Transport Protocol) 23. Cours 13 q Les rseaux IP280 Suite de la page 279 Les valeurs possibles de ces lments sont les suivantes : 0 :PCMU audio 10 :L16 audio (stro) 26 :JPEG video 1 :1016 audio 11 :L16 audio (mono) 27 :CUSM video 2 :G721 audio 12 :LPS0 audio 28 :nv video 3 :GSM audio 13 :VSC audio 29 :PicW video 4 :audio 14 :MPA audio 30 :CPV video 5 :DV14 audio (8 kHz) 15 :G728 audio 31 :H261 video 6 :DV14 audio (16 kHz) 16-22 :audio 32 :MPV video 7 :LPC audio 23 :RGB8 video 33 :MP2T video 8 :PCMA audio 24 :HDCC video 9 :G722 audio 25 :CelB video Figure 13-11. Format des messages RTP. Viennent ensuite un champ de numro de squence, qui permet de dterminer si un paquet est perdu, puis un champ dhorodatage (Timestamp), suivi des identicateurs de sources de synchronisation (SSRC) et de sources contributrices (CSRC). Adresse metteur Longueur de la charge Port metteur : 5004 Version Priorit Rfrence de flot Adresse rcepteur Longueur du datagramme Horodatage (Timestamp) Identificateur de la source de synchronisation Identificateur de la source de contribution (le premier) Identificateur de la source de contribution (le dernier) Donnes de lapplication En-tte suivant : 17 Nombre de nuds traverss En-tte UDP Message RTP En-tte IP Version Padding Extension Compteur Marqueur Type de charge Port rcepteur : 5004 Checksum Numro de squence 24. NAT (Network Address Translation) 281 s NAT (Network Address Translation) Le protocole IP version 4, que nous utilisons massivement actuellement, offre un champ dadressage limit et insufsant pour permettre tout terminal informatique de disposer dune adresse IP. Une adresse IP est en effet code sur un champ de 32 bits, ce qui offre un maximum de 232 adresses possibles, soit en thorie 4 294 967 296 terminaux raccordables au mme rseau. adresse IP publique. Adresse IP qui est comprise par lensem- ble des routeurs dInternet et qui peut donc tre route sur Internet. adresse IP prive. Adresse IP qui nest pas comprise par les routeurs dInternet. Cest une adresse qui nest comprise que dans un environne- ment priv. Pour faire face cette pnurie dadresses, et en attendant la version 6 du pro- tocole IP, qui offrira un nombre dadresses beaucoup plus important sur 128 bits, il faut recourir un partage de connexion en utilisant la translation dadresse, ou NAT (Network Address Translation). Ce mcanisme se rencontre frquemment la fois en entreprise et chez les particuliers. Il distingue deux catgories dadresses : les adresses IP publiques, cest--dire visibles et accessibles de nimporte o (on dit aussi routables sur Internet), et les adresses IP prives, cest--dire non routables sur Internet et adressables uniquement dans un rseau local, lexclusion du rseau Internet. Le NAT consiste tablir des relations entre ladressage priv dans un rseau et ladressage public pour se connecter Internet. Questions-rponses Question 17.Quel protocole de niveau transport est-il prfrable demployer pour transporter des messagesRTP? Rponse. Le protocole prconis est UDP, qui permet datteindre plus facilement un temps rel. Question 18.RTPpeut-ileffectuerdesrservationsderessourcesdanslesrouteurstraverss?Dece fait,peut-ilvraimentapporterunequalitdeservicesurunotdbitconstant? Rponse. Non, RTP ne travaille quau niveau applicatif. De ce fait, RTP ne peut garantir aucune qualit de service sur un ot dbit constant. RTP travaille justement optimiser le ot par rapport la capacit du rseau. Question 19.Lesrouteursdextrmitpeuventrecevoirdestranslateursetdesmixeurscapablesde modierleotRTP.Quelleapplicationpeut-onenfaire? Rponse. Ces translateurs et ces mixeurs peuvent modier un ot pour ladapter au rcepteur. Si lon suppose que deux rcepteurs distincts acceptent de faire partie dune mme confrence audio, avec chacun un codage diffrent, il faut au moins un translateur pour transformer le ot destin lun des rcepteurs en une syntaxe acceptable. Un mixeur peut, quant lui, rassembler deux images manant de deux stations terminales et les assembler sous un mme document. 25. Cours 13 q Les rseaux IP282 Adresses prives et adresses publiques Dans le cas dun rseau purement priv, et jamais amen se connecter au rseau Internet, nimporte quelle adresse IP peut tre utilise. Ds quun rseau priv peut tre amen se connecter sur le rseau Internet, il faut dis- tinguer les adresses prives des adresses publiques. Pour cela, chaque classe dadresses IP dispose dune plage dadresses rserves, dnies comme des adresses IP prives, et donc non routables sur Internet. La RFC 1918 rcapi- tule ces plages dadresses IP, comme lindique le tableau 13.1. Tableau 13-1. Plages dadresses prives Dans ce cadre, et avant dintroduire la notion de NAT, les utilisateurs qui pos- sdent une adresse IP prive ne peuvent communiquer que sur leur rseau local, et non sur Internet, tandis quavec une adresse IP publique, ils peuvent communiquer avec nimporte quel rseau IP. Ladressage priv peut tre utilis librement par nimporte quel administra- teur ou utilisateur au sein de son rseau local. Au contraire, ladressage public est soumis des restrictions de dclaration et denregistrement de ladresse IP auprs dun organisme spcialis, lIANA (Internet Assigned Numbers Autho- rity), ce que les FAI effectuent globalement en acqurant une plage dadresses IP pour leurs abonns. FAI (fournisseur daccs Internet). En anglais ISP (Internet Service Provider) :op- rateur qui commercia- lise des accs Internet. La gure 13-12 illustre un exemple dadressage mixte, dans lequel on distin- gue les diffrentes communications possibles, selon un adressage de type priv ou public. Partager une adresse IP prive Moyennant la souscription dun accs Internet auprs dun FAI, ce dernier fournit ses utilisateurs une adresse IP prive. Dans un mme foyer ou une mme entreprise, deux utilisateurs ne peuvent communiquer en mme temps sur Internet avec cette seule adresse IP fournie. Les adresses IP prives con- viennent gnralement pour couvrir un rseau priv, de particulier ou dentre- prise, mais pas pour communiquer directement avec les rseaux publics. A B C 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0. 192.168.255.255 255.0.0.0 255.240.0.0 255.255.0.0 Sur 24 bits, soit 16 777 216 terminaux Sur 20 bits, soit 1 048 576 terminaux Sur 16 bits, soit 65 536 terminaux Classe dadresses Masque rseau Espace adressable Plages dadresses prives 26. NAT (Network Address Translation) 283 Figure 13-12 Adressage mixte priv-public Pour rsoudre ce problme et permettre un terminal disposant dune adresse IP prive de communiquer avec le rseau public, le processus de NAT fait intervenir une entit tierce entre un terminal, ayant une adresse IP prive, et tout autre terminal ayant une adresse IP publique. Ce mcanisme consiste insrer un botier entre le rseau Internet et le rseau local an deffectuer la translation de ladresse IP prive en une adresse IP publique. Aujourdhui, la plupart des botiers, ou InternetBox, des FAI proposent leurs abonns cette fonctionnalit. Toutes les machines qui sy connectent reoivent par le biais du service DHCP (Dynamic Host Conguration Protocol) une adresse IP prive, que le botier se charge de translater en une adresse IP publique. La gure 13-13 illustre un exemple dans lequel une passerelle NAT ralise une translation dadresses pour quatre terminaux. Cette passerelle possde deux interfaces rseau. La premire est caractrise par une adresse IP publi- que (132.227.165.221). Connecte au rseau Internet, elle est reconnue et adressable normalement dans le rseau. La seconde interface est caractrise par une adresse IP non publique (10.0.0.254). Connecte au rseau local, elle ne peut communiquer quavec les terminaux qui possdent une adresse IP non publique de la mme classe. Lorsquun terminal ayant une adresse IP prive tente de se connecter au rseau Internet, il envoie ses paquets vers la passerelle NAT. Celle-ci remplace ladresse IP prive dorigine par sa propre adresse IP publique (132.227.165.221). On appelle cette opration une translation dadresse. De Rseau local 1 Rseau Internet Rseau local 2 10.0.0.1 (adresse IP prive) 132.227.165.11 (adresse IP publique) 132.10.11.121 (adresse IP publique) 132.10.11.122 (adresse IP publique) 10.0.0.2 (adresse IP prive) 27. Cours 13 q Les rseaux IP284 cette manire, les terminaux avec une adresse IP prive sont reconnus et adressables dans le rseau Internet par une adresse IP publique. Figure 13-13 Translation dadresses La translation dadresse est bien sr ralise dans les deux sens dune commu- nication, an de permettre lmission de requtes aussi bien que la rception des rponses correspondantes. Pour cela, le botier NAT maintient une table de correspondance des paquets de manire savoir qui distribuer les paquets reus. Figure 13-14 Modication de paquets lors du NAT Rseau Internet Passerelle NAT 10.0.0.254 132.227.165.221 10.0.0.1 (adresse IP prive) 10.0.0.2 (adresse IP prive) 10.0.0.3 (adresse IP prive) 10.0.0.4 (adresse IP prive) (adresse IP prive) (adresse IP prive) Rseau Internet Passerelle NAT 10.0.0.254 132.227.165.221 10.0.0.3 (adresse IP prive) 1 2 Envoi dun paquet Table de NAT de la passerelle Adresse source : 132.227.165.221 Port source : 23456 Adresse source : 10.0.0.3 Port source : 12345 3 Rception dun paquet Adresse source : 132.227.165.221 Port source : 23456 Adresse source : 10.0.0.3 Port source : 12345 Port denvoi (IP source, Port source) 23456 (10.0.0.3, 12345) (adresse IP prive) (adresse IP prive) 28. NAT (Network Address Translation) 285 Par exemple, si un metteur dont ladresse IP est 10.0.0.3 envoie vers la pas- serelle NAT un paquet partir de son port 12345, la passerelle NAT modie le paquet en remplaant ladresse IP source par la sienne et le port source par un port quelconque quelle nutilise pas, disons le port 23456. Elle note cette correspondance dans sa table de NAT. De cette manire, lorsquelle recevra un paquet destination du port 23456, elle cherchera cette affectation de port dans sa table et retrouvera la source initiale. Ce cas est illustr la gure 13-14. Avantages du NAT Le premier atout du NAT est de simplier la gestion du rseau en laissant ladministrateur libre dadopter le plan dadressage interne quil souhaite. tant priv, le plan dadressage interne ne dpend pas de contraintes externes, que les administrateurs ne matrisent pas toujours. Par exemple, si une entre- prise utilise un plan dadressage public et quelle change de FAI, elle doit modier ladresse de tous les terminaux qui composent son rseau. Au con- traire, avec le NAT et un plan dadressage priv, le choix dun nouveau four- nisseur daccs Internet na pas dimpact sur les terminaux. Dans ce cas, ladministrateur na pas besoin de recongurer les adresses IP de tous les ter- minaux de son rseau. Il lui suft de modier, au niveau de la passerelle NAT, le pool dadresses IP publiques, qui est affect dynamiquement aux adresses IP prives des terminaux du rseau local. Le deuxime atout du NAT est dconomiser le nombre dadresses IP publi- ques. Le protocole rseau IP, qui est utilis dans lInternet actuel dans sa version 4, prsente une limitation importante, car le nombre dadresses IP dis- ponible est faible compar au nombre de terminaux susceptibles dtre raccor- ds au rseau Internet. Comme cette ressource est rare, sa mise disposition un cot pour les administrateurs qui souhaitent en bncier. Le NAT comble cette pnurie dadresses propre la version 4 dIP en offrant la possibilit dconomiser les adresses IP deux niveaux distincts. Tous les terminaux dun rseau local nont pas forcment besoin dtre joignables de lextrieur, mais peuvent se limiter une connexion interne au rseau. Par exemple, des serveurs dintranet, des annuaires dentreprise, des serveurs ddis aux ressources humaines avec des informations condentielles de suivi du personnel ou bien encore des serveurs de tests nont pas tre joignables partir du rseau Internet, mais seulement en interne au sein de lentreprise. En consquence, ces serveurs peuvent se sufre dune adresse IP prive, qui ne sera jamais natte par le botier NAT puisque ces serveurs reoivent des requtes mais nen mettent jamais. 29. Cours 13 q Les rseaux IP286 Un deuxime niveau dconomie dadresses IP publique est opr avec le mcanisme que nous avons mentionn la section prcdente, qui permet de masquer plusieurs terminaux disposant chacun dune adresse IP prive avec une seule adresse IP publique, en jouant sur les ports utiliss. Cette mthode est trs couramment employe, car elle nimpose aucune condition quant au nombre de terminaux susceptibles daccder Internet dans le rseau local. Un autre avantage important du NAT concerne la scurit. Les terminaux dis- posent en effet dune protection supplmentaire, puisquils ne sont pas direc- tement adressables de lextrieur. En outre, le botier NAT offre la garantie que tous les ux transitant entre le rseau interne et lextrieur passent tou- jours par lui. Si un terminal est mal protg et ne dispose pas dun pare-feu efcace, le rseau dans lequel il se connecte peut ajouter des mcanismes de protection supplmentaires au sein de la passerelle NAT, puisquelle repr- sente un passage oblig pour tous les ux. Globalement, ladministrateur con- centre les mcanismes de scurisation un point de contrle unique et centralis. Cela explique que, bien souvent, les botiers NAT sont coupls avec des pare-feu ltrant les ux. Les trois catgories de NAT Le mcanisme de NAT que nous avons pris comme exemple prcdemment, consis- tant jouer sur les ports pour masquer plusieurs terminaux avec une adresse IP uni- que, est un cas particulier. Il repose sur une translation de port appele NPT (Network Port Translation). Lorsquelle se combine avec le NAT, on parle de NAPT (Network Address and PortTranslation). Bien que les concepts soient diffrents, le processus de NAT inclut frquemment par abus de langage le processus de NPT. En ralit, il faut distinguer trois formes de NAT, le NAT statique, le NAT dynamique et NATP. Ces formes peuvent se combiner selon les besoins de chaque utilisateur et les politiques dadministration tablies dans un rseau. Dautres formes de classication du NAT sont possibles. La RFC 3489 en recense quatre types, par exemple. Nous nous contenterons de dtailler dans les sec- tions suivantes les formes les plus courantes. Le NAT statique Dans le NAT statique, toute adresse IP prive qui communique avec lextrieur, une adresse IP publique xe lui est affecte. Avec ce type de NAT, les utilisateurs du rseau local sont joignables de lextrieur, car la passerelle ralise la correspondance dune adresse IP locale en une adresse IP publique dans les deux sens. Cest un avantage indniable, en particulier pour la tlphonie, car un utilisateur lextrieur du rseau priv peut appeler un abonn lintrieur du rseau priv puisquil connat son adresse IP xe. Ce cas de gure est illustr la gure 13-15. Le terminal ayant ladresse IP prive 10.0.0.4 na pas de correspondance dadresse IP publique, car cest un serveur interne. Les administrateurs font lconomie dune adresse IP pour ce serveur et sassurent en outre que ce dernier nest pas joignable directement de lextrieur.Un changement de FAI ne remet pas en cause le plan dadressage en local. 30. NAT (Network Address Translation) 287 Figure 13.15 Le NAT statique Le NAT dynamique Avec le NAT dynamique,une plage dadresses IP publiques est disponible et partage par tous les utilisateurs du rseau local. Chaque fois quune demande dun utilisateur local (avec une adresse prive) parvient la passerelle NAT,celle-ci lui concde dynamiquement une adresse IP publique.Elle maintient cette correspondance pour une priode xe, mais renouvelable selon lactivit de lutilisateur,qui assure le suivi des communications. Avec ce type de NAT, les utilisateurs locaux ne sont joignables de lextrieur que sils ont une entre dans la table de la passerelle NAT,autrement dit que sils entretiennent une activit avec le rseau Internet. En effet, les correspondants externes ne peuvent sadresser qu la passerelle NAT pour envoyer leur ux. Or tant que le correspondant interne na pas dactivit rseau, aucune entre ne lui est attribue dans la table de NAT.De plus,ladresse IP qui leur est affecte est temporaire et peut tre diffrente la prochaine connexion,ce qui restreint les possibilits dtre joignable de lextrieur. Il existe mme une forme de NAT particulire,appele NAT symtrique ou fullcone dans la RFC 3489,qui consiste tablir une correspondance entre ladresse IP prive et publique selon la destination dune communication. Autrement dit, un utilisateur du rseau local aura une certaine adresse IP publique lorsquil communique avec un correspondant ext- rieur et une autre adresse IP publique lorsquil communique avec une autre destination. Le modle dynamique offre une plus grande souplesse dutilisation que le modle sta- tique puisque les associations dadresses IP prives et publiques nont pas besoin dtre mentionnes statiquement par ladministrateur, mais sont attribues automati- quement. En outre, il prsente lavantage doptimiser au maximum les ressources. Si un utilisateur nexploite pas sa connexion Internet et se contente de sa connexion locale, la passerelle NAT na pas besoin de lui attribuer une adresse IP. Le NAT dynami- que est cependant plus complexe puisquil impose la passerelle NAT de maintenir les Suite p. 288 Rseau Internet Passerelle NAT 10.0.0.1 (adresse IP prive) 10.0.0.2 (adresse IP prive) 10.0.0.3 (adresse IP prive) 10.0.0.4 (adresse IP prive) Table de NAT de la passerelle Adresse prive Adresse publique 10.0.0.1 132.227.165.221 10.0.0.2 132.227.165.222 10.0.0.3 132.227.165.223 31. Cours 13 q Les rseaux IP288 Suite de la page 287 tats des connexions pour dterminer si les utilisateurs exploitent leur adresse IP publique ou sil est possible,pass un certain dlai,de les rutiliser. Ce modle ressemble celui dploy avec la tlphonie RTC.Le nombre de lignes sortan- tes dun commutateur tlphonique dentreprise et mme dimmeubles de particuliers est gnralement infrieur au nombre de lignes entrantes. Autrement dit, tous les abonns disposent dun tlphone, mais tous ne peuvent appeler en mme temps. Dans la prati- que,il est assez exceptionnel que tous les abonns appellent en mme temps,si bien que ces derniers ne peroivent pas cette restriction, qui permet aux oprateurs de limiter le nombre de lignes.Avec le NAT dynamique,les notions sont diffrentes,mais le principe est le mme :lattribution des adresses IP se fait la demande,avec les limitations du nombre dadresses IP publiques disponibles que cela suppose. Le NAPT Variante du NAT dynamique,le NAPT (Network Address PortTranslation) est en fait celui que nous avons prsent prcdemment sans le nommer. Il consiste attribuer une mme adresse IP plusieurs utilisateurs dun mme rseau local. Comme nous lavons expliqu, pour associer une mme adresse IP publique deux terminaux ayant une adresse prive distincte, la passerelle NAT joue sur les ports des applications : une requte envoye partir du port A dune source est retransmise avec le port B de la passerelle, tandis quune requte mise partir du port C dune autre source est retransmise avec le port D de la passerelle.De cette manire,la passe- relle peut contrler et distinguer chacune des demandes qui lui parviennent. Linconvnient de cette mthode est que seuls les utilisateurs du rseau local peuvent amorcer une communication vers lextrieur.Autrement dit,ils ne peuvent rpondre une communication quils nont pas pralablement initie. Les correspondants exter- nes la passerelle NAT ne possdent en effet des entres que pour une adresse IP et un port source privs. Or si le port source est mentionn, cest quune application a dj t ouverte par le terminal du rseau local. Le correspondant externe na aucun moyen dtablir une telle association en lieu et place du terminal dont il ignore la vri- table adresse IP. Le NAPT est sans conteste la mthode la plus conome puisquelle permet de mas- quer tout un rseau local avec une seule adresse IP. Elle est la plus couramment employe chez les particuliers et les petites et moyennes entreprises. Questions-rponses Question 20. PourquoiIPv6permet-ildesepasserdelatechniqueNAT?Quecelachange-t-il? Rponse. Parce que le nombre dadresses en IPv6 est sufsant pour donner une adresse IP chaque machine. Cela implique que chaque objet connect Internet pourra garder une adresse unique,ce qui supprime les tables de correspondance. Question 21. LesInternetBoxutilise-t-ellesdesNAT? Rponse. Oui. Les oprateurs nayant pas sufsamment dadresses IP publiques, ils utili- sent pour le grand public des NAT. En revanche, pour les InternetBox dentreprise, des adresses publiques sont en gnral utilises pour permettre aux entreprises davoir une adresse IP xe. 32. IP Mobile 289 s IP Mobile Le protocole IP est de plus en plus souvent prsent comme une solution pos- sible pour rsoudre les problmes poss par les utilisateurs mobiles. Le proto- cole IP Mobile peut tre utilis sous la version 4 dIP, mais le manque potentiel dadresses complique la gestion de la communication avec le mobile. La version 6 dIP est utilise pour son grand nombre dadresses disponibles, ce qui permet de donner des adresses temporaires aux stations en cours de dpla- cement. agent. Programme qui effectue la liaison entre deux entits. Une station possde une adresse de base et un agent qui lui est attach. Cet agent a pour rle de suivre la correspondance entre ladresse de base et ladresse temporaire. Lors dun appel vers la station mobile, la demande est achemine vers la base de donnes dtenant ladresse de base. Grce lagent, il est possible deffec- tuer la correspondance entre ladresse de base et ladresse provisoire et dacheminer la demande de connexion vers le mobile. Cette solution est illus- tre la gure 13-16. Figure 13-16. Mise en place dune communication dans IP Mobile. Ce dispositif est semblable celui utilis dans les rseaux de mobiles, quil sagisse de la version europenne GSM ou amricaine IS 95. Question 22.Le NAT est-il utilis pour connecter les quipements du domicile derrire une InternetBox?EndduirequilestpossibledemettredeuxNATlunderrirelautre. Rponse. Oui. LInternetBox gre en gnral un NAT pour interconnecter plusieurs qui- pements dans le domicile. Comme ladresse de lInternetBox peut tre une adresse prive, il est possible de mettre deux NAT en srie. Rseau IP HA : agent Home FA : agent Foreign Client souhaitant envoyer un message A Mobile A HA Tunnel FA 33. Cours 13 q Les rseaux IP290 La terminologie en vigueur dans IP Mobile est la suivante : Nud mobile (Mobile Node) : terminal ou routeur qui change son point dattachement dun sous-rseau un autre sous-rseau. Agent mre, ou encore agent Home (Home Agent) : correspond un routeur du sous-rseau sur lequel est enregistr le nud mobile. Agent visit, ou encore agent Foreign (Foreign Agent) : correspond un routeur du sous-rseau visit par le nud mobile. Lenvironnement IP Mobile est form des trois fonctions relativement disjoin- tes suivantes : Dcouverte de lagent (Agent Discovery) : le mobile, lorsquil arrive dans un sous-rseau, recherche un agent susceptible de le prendre en charge. Enregistrement : lorsquun mobile est hors de son domaine de base, il enre- gistre sa nouvelle adresse (Care-of-Address) auprs de son agent Home. Suivant la technique utilise, lenregistrement peut seffectuer soit directe- ment auprs de lagent Home, soit par lintermdiaire de lagent Foreign. tunnelling. Actionde mettre un tunnel entre deux entits.Un tun- nel correspond un passage construit pour aller dun point un autre sans tenir compte de lenviron- nement.Dans un rseau,un tunnel cor- respond un transport de paquets entre les deux extrmits.Ce transport doit tre transparent,cest-- dire indpendant des quipements ou des couches de protocoles traverss. Tunnelling : lorsquun mobile se trouve en dehors de son sous-rseau, il faut que les paquets lui soient dlivrs par une technique de tunnelling, qui permet de relier lagent Home ladresse Care-of-Address. Les gures 13-17 et 13-18 illustrent les schmas de communication mobiles en vigueur dans IPv4 et IPv6. Figure 13-17. La communication IP Mobile dans IPv4. 4 CA HA : agent Home FA : agent Foreign CA : Care-of-Address HA 1 2 3 Rseau IP FA 34. IP Mobile 291 Figure 13-18. La communication IP Mobile dans IPv6. Questions-rponses Question 23.Le schma de base propos par IP Mobile consiste passer par le rseau mre (Home) lors dune mission dune source vers le mobile et mettre directement vers le rcepteur lorsquilsagitdunecommunicationdumobileversunrcepteur.Peut-onenvisagerdenepluspasser parlerseaumredanslecasdunerceptionparlemobile? Rponse. Lun des choix possibles proposs par lIETF consiste, pour lagent visit (Foreign), envoyer lagent mre (Home) un message BU (Binding Update) lui demandant dindiquer un correspondant qui veut le joindre son adresse temporaire. Question 24.Comment un mobile peut-il acqurir une adresse temporaire puisquil ne connat riena prioridurseaudanslequelilentre? Rponse. Les agents Home et Foreign indiquent leur prsence sur la partie du rseau sur laquelle ils oprent par lmission rgulire dagents Advertisement, qui sont dcrits la section consacre ICMP. Les mobiles sont lcoute et en dduisent sils sont dans leur rseau mre ou dans un rseau visit. Si le mobile se situe sur un rseau visit, il acquiert une adresse temporaire (Care-of-Address). Une autre solution consiste pour le mobile envoyer une demande de sollicitation,toujours en utilisant le protocole ICMP. Question 25.La micromobilit indique un changement de cellule de la part du mobile sans que lagentmre(Home)ensoitaverti.Commentconsidrercettemicromobilit? Rponse. La micromobilit peut sexercer lorsquun mme agent visiteur gre plusieurs sous-rseaux, ou cellules. Dans ce cas, cest lagent visiteur qui gre de faon transparente les changements de sous-rseaux.Cette micromobilit devient particulirement utile lors- que lutilisateur change trs souvent de sous-rseau, ou de cellule pour les portables GSM ou UMTS. (a (a (a HA INTERNET Rseau D Rseau A Rseau C HA : agent Home AP : Point dattachement AP Rseau B AP AP HA message BU (Binding Update). Message de contrle,de lagent visit (Foreign) lagent mre (Home) pour lui demander davertir un metteur de la nouvelle adresse de son correspondant (adresse Care-of- Address). 35. Cours 13 q Les rseaux IP292 IPsec La solution propose par le protocole IPsec (IP scuris) introduit des mca- nismes de scurit au niveau du protocole IP, de telle sorte que le protocole de transport peut tre absolument quelconque. Le rle de ce protocole est de garantir lintgrit, lauthentication, la condentialit et la protection contre les techniques rejouant des squences prcdentes. Lutilisation des proprits dIPsec est optionnelle dans IPv4 et obligatoire dans IPv6. Lauthentication a pour fonction de garantir lidentit de lmetteur. Pour cela, une signature lectronique est ajoute dans le paquet IP. La condentialit doit tre garantie pour les donnes ainsi que, ventuelle- ment, pour leur origine et leur destination. La faon de procder consiste chiffrer par des algorithmes ad hoc tout ou partie du paquet. Nous explicitons ce chiffrement un peu plus loin dans cette section. Des associations de scurit peuvent tre mises en place, de faon permettre deux utilisateurs de partager une information secrte, appele un secret. Cette association doit dnir des paramtres de scurit communs. IPsec autorise deux types de passerelles de scurit, lune mettant en relation deux utilisateurs de bout en bout, lautre servant dintermdiaire entre une passerelle et une autre ou entre une passerelle et un hte. Le format des paquets IPsec est illustr la gure 13-18. La partie la plus haute de la gure correspond au format dun paquet IP dans lequel est encap- sul un paquet TCP. La partie du milieu illustre le paquet IPsec, et lon voit quentre len-tte IP et len-tte TCP vient se mettre len-tte dIPsec. Dans cette solution, le chiffrement commence avec len-tte IPsec, et len-tte du paquet IP nest pas chiffr. Un attaquant peut au moins dterminer le couple de stations terminales en train de communiquer. La partie basse de la gure 13-19 montre le format dun paquet dans un tun- nel IP. On voit que la partie intrieure correspond un paquet IP encapsul dans un paquet IPsec de telle sorte que mme les adresses des metteurs et des rcepteurs sont caches. Le nouvel en-tte IP comporte les adresses des passe- relles o sont chiffrs et dchiffrs les paquets. Dans un tunnel IPsec, tous les paquets IP dun ot sont transports de faon totalement chiffre, mme les en-ttes des paquets IP. Il est de la sorte impos- sible de voir les adresses IP ou mme les valeurs du champ de supervision du paquet IP encapsul. La gure 13-20 illustre un tunnel IPsec. Ici, les adresses IP portes par le nou- vel en-tte sont les adresses des passerelles dentre et de sortie de lentreprise. 36. Fonctions supplmentaires 293 Figure 13-19. Formats des paquets IPsec. Figure 13-20. Un tunnel IPsec. s Fonctions supplmentaires Linstallation et lexploitation des logiciels TCP/IP requirent une certaine expertise. Une premire extension de ces logiciels consiste automatiser lins- Questions-rponses Question 26.Une possibilit dattaque consisterait capturer tous les paquets qui transitent dans un tunnel sans les comprendre, puisquils sont chiffrs, puis rejouer ce ot de paquets. Comment peut-oncontrerunetelleattaque? Rponse. Pour contrer cette attaque, il est possible de placer la valeur dun compteur dans la partie chiffre qui est vrie la rception du paquet. Si lon rejoue une squence,le numro du compteur nest plus valable et le rcepteur rejette les paquets. En-tte IP En-tte TCP Donnes En-tte IP En-tte IPsec En-tte TCP En-tte TCP En-tte IP Donnes En-tte IP En-tte IPsec Donnes 37. Cours 13 q Les rseaux IP294 tallation et la maintenance des logiciels, de faon permettre un utilisateur de relier sa machine au rseau sans avoir valoriser les paramtres manuelle- ment. De ce fait, un utilisateur peut connecter son ordinateur Internet sans faire appel un spcialiste pour installer les logiciels et mettre jour les para- mtres de conguration et de routage. En particulier, il est possible dobtenir une conguration automatique dun calculateur par de nouveaux protocoles permettant une machine dobtenir et denregistrer automatiquement toutes les informations sur les noms et adresses dont elle a besoin. Des groupes de travail examinent les amliorations qui peuvent encore tre apportes ces techniques dautoconguration. Le groupe consacr lapprentissage des routeurs travaille sur des protocoles qui permettent une machine de dcouvrir les routeurs quelle peut utiliser. Actuellement, il est ncessaire de congurer ladresse dun routeur par dfaut. Le protocole per- mettra de dcouvrir les adresses des passerelles locales et de tester en perma- nence ces adresses pour savoir lesquelles peuvent tre utilises tout instant. Le protocole DHCP (Dynamic Host Conguration Protocol) est utilis pour initialiser et congurer dynamiquement une nouvelle machine connecte. Le protocole NDP (Neighbor Discovery Protocol) permet, grce aux protocoles ARP et ICMP, lautoconguration des adresses et la conguration de la MTU (Maximum Transmission Unit). Nous allons dtailler cette dernire. overhead. Partie des informations transpor- tes qui ne provient pas de lutilisateur mais de la gestion et du contrle du rseau. Le calcul de la MTU, ou taille maximale des donnes pouvant tre contenues dans une trame physique, permet une machine de rechercher la plus petite MTU sur un chemin particulier vers une destination donne. La taille opti- male dun segment TCP dpend de la MTU, car les datagrammes plus grands que la MTU sont fragments, tandis que les datagrammes plus petits augmen- tent loverhead. Si la MTU est connue, TCP peut optimiser le dbit en cons- truisant des segments assez larges, de faon tenir dans un datagramme, ce dernier tant transport dans une seule trame physique, la plus grande possi- ble. De la mme faon, UDP peut amliorer le dbit en tenant compte de la MTU pour choisir la taille des datagrammes. TCP/IP rend possible une interoprabilit universelle. Cependant, dans plu- sieurs environnements, les administrateurs ont besoin de limiter cette intero- prabilit pour protger les donnes prives. Ces restrictions correspondent au problme gnral de la scurit. La abilit dInternet est toutefois plus dif- cile mettre en uvre que celle dun simple ordinateur, car Internet offre des services de communication beaucoup plus puissants. Le problme est de savoir comment un utilisateur sappuyant sur TCP/IP peut sassurer de la protection de ses machines et de ses donnes contre les accs non autoriss. Un groupe de travail a explor la question de la scurisation de la messagerie en exprimentant un service de messagerie prive amlior. Lide est de per- mettre lmetteur de chiffrer son message et de lenvoyer sur un Internet ouvert sans permettre une personne autre que le destinataire de le dcrypter. 38. Fonctions supplmentaires 295 Des travaux sur le ltrage des paquets dans les passerelles ont produit une varit de mcanismes, qui permettent aux administrateurs de fournir des lis- tes explicites de contrle daccs. Une liste daccs spcie un ensemble de machines et de rseaux au travers desquels la passerelle peut router les data- grammes. Si ladresse nest pas autorise, le datagramme est dtruit. Dans la plupart des implmentations, la passerelle enregistre la tentative de violation dans un journal. Ainsi est-il possible dutiliser des ltres dadresses pour sur- veiller les communications entre les machines. Questions-rponses Question 27.Comment un routeur indique-t-il au routeur prcdent quil ne peut pendre en compte une fragmentation, parce que, par exemple, le bit de non-fragmentation a t positionn danslepaquetIPv4? Rponse. Le routeur concern envoie vers le routeur prcdent un message ICMP avec le type 4 : Message derreur,problme de paramtre . Question 28.PourquoilechoixdelabonnevaleurdelaMTUest-ilsiimportant? Rponse. Le processus de fragmentation-rassemblage est lourd,ce qui pnalise norm- ment les performances. Cest la raison pour laquelle IPv6 utilise une procdure de dtec- tion de la bonne valeur de la MTU. Question 29. Unpare-feu,ourewall,estunorganequiprotgelaccsdunrseauprivetpluspr- cismentdesportsdesprotocolesTCPouUDP.Commentpeutprocderlepare-feupourempcherles accsuncertainnombredapplications? Rponse. Il suft que le pare-feu refuse tous les paquets qui possdent un numro de port correspondant une application que lon souhaite viter. Par exemple, si lon veut interdire les accs du protocole daccs distance Telnet, on rejette tous les paquets de port 23. fragmentation-ras- semblage. Fonction de base du niveau transport consistant fragmenter le message en paquets puis ras- sembler ces paquets la sortie pour retrouver le message de dpart. Telnet. Application permettant un qui- pement terminal de se connecter un serveur distant.Cest ce que lon nomme une mu- lation de terminal (le logiciel Telnet rend le terminal compatible avec le serveur). 39. Cours 13 q Les rseaux IP296 Exercices Les corrigs de ces exercices se trouvent pp. 478-480. On considre la connexion dun PC, appel PCA, un autre PC, appel PCB, par lintermdiaire dun rseau ATM.Les deux PC travaillent sous un environnement IP. Expliquer comment seffectue le transport dun PC lautre. Si PCA connat PCB par son adresse logique IP, comment peut seffectuer la communication ? Peut-on utiliser le protocole ARP ? Si ladresse de PCA est 127.76.87.4 et celle de PCB 127.76.14.228,ces deux stations tant sur un mme rseau, quelle classe dadresse IP appartient ce rseau ? On suppose maintenant que les deux PC ne soient plus sur le mme rseau mais sur deux rseaux ATM interconnects par un routeur. Si, comme la question 2, PCA con- nat PCB par son adresse logique IP,comment peut seffectuer la communication ? On suppose que le rseau sur lequel PCA est connect possde un serveur dadresses, cest--dire un serveur capable deffectuer la correspondance entre les adresses IP du rseau et les adresses physiques des coupleurs ATM sur lesquels sont connects les PC. Que se passe-t-il si PCA lui envoie une requte de rsolution de ladresse IP de PCB ? Montrer que si chaque sous-rseau qui participe au rseau Internet sous-rseaux appels LIS (Logical IP Subnetwork) possde un tel serveur dadresses, le problme global de la rsolution dadresse peut tre rsolu. Avec les commandes demande dcho (Echo Request) et rponse dcho (Echo Reply) dICMP, il est possible de tester un rseau IP. La commande Ping est un petit programme qui intgre ces deux commandes pour raliser des tests facilement. La commande Ping envoie un data- gramme une adresse IP et demande au destinataire de renvoyer le datagramme. Que mesure la commande Ping ? En retour de la commande Ping, on reoit un message ICMP portant le numro de type 3. Ce message indique que le paquet IP qui transporte le message ICMP de demande dcho a vu la valeur de son champ Temps de vie, ou TTL (Time To Live), dpasser la limite admissible.Que faut-il en dduire ? Si lon est sr de ladresse IP du correspondant mais que le message de retour soit un message ICMP avec Destinataire inaccessible ,que faut-il en dduire ? En rgle gnrale, la commande Ping ne gnre pas une seule commande dcho mais plusieurs (souvent 4).Quelle en est la raison ? 1 a b c d e f 2 a b c d 40. Exercices 297 Soit un rseau IP utilisant le protocole RSVP. Montrer que RSVP est un protocole de signalisation. RSVP effectue une rservation dans le sens retour, cest--dire du rcepteur vers lmet- teur.Pourquoi ? RSVP est un protocole multipoint, cest--dire quil peut ouvrir des chemins allant de lmetteur plusieurs rcepteurs.Montrer que la rservation seffectuant des rcepteurs vers lmetteur est une bonne solution dans ce cas. Le protocole RSVP peut trs bien ne faire aucune rservation explicite. Quel est dans ce cas lintrt de RSVP ? Soit une application tlphonique sur Internet utilisant le protocole RTP/RTCP. Lmetteur et le rcepteur doivent-ils possder plusieurs ou un seul codec, un codec permettant de compresser plus ou moins la voix ? Le protocole RTCP a pour objectif dindiquer au rcepteur les performances du rseau. Est-ce un protocole indispensable RTP ? Cette solution de gestion de la qualit de service au niveau de lmetteur en adaptant les ux aux contraintes internes du rseau vous parat-elle conforme la philosophie dInternet ? Si le rseau est capable doffrir lui-mme une qualit de service, le protocole RTP/RTCP est-il encore utile ? Soit un rseau IP proposant de la qualit de service au travers dune technique DiffServ. Les clients EF (Expedited Forwarding) ont la priorit la plus haute. Expliquer pourquoi les clients EF peuvent obtenir une qualit de service garantie. Montrer que,dans certains cas,cette garantie peut tre remise en cause. Dans la classe AF (Assured Forwarding),il existe trois sous-classes. Montrer quaucune de ces sous-classes ne peut esprer obtenir une garantie sur le temps de transit du rseau. Montrer que les clients de la classe AF doivent tre soumis un contrle de ux. Pourquoi les normalisateurs de lIETF ont-ils propos quatre classes,dites classes depre- cedence,ou priorit,dans chacune des trois classes de base ? Les clients best effort ont-ils le mme service que dans lInternet classique,noffrant que la classe best effort ? 3 a b c d 4 a b c d 5 a b c d e f 41. Cours 13 q Les rseaux IP298 Soit un rseau compos de terminaux mobiles IP qui peuvent se dplacer dans des cellules. Un client est enregistr dans la cellule o il a pris son abonnement. Pourquoi son adresse IP nest-elle pas sufsante pour que le rseau le retrouve lorsquil se dplace ? Si lon donne un utilisateur qui ne se trouve pas dans la cellule o il sest enregistr une nouvelle adresse IP, comment peut-on faire le lien entre son adresse de base et sa nou- velle adresse ? Si lutilisateur met un paquet, doit-il utiliser son adresse de base ou ladresse que le rseau lui a affecte ? Dans quel cas pourrait-il tre intressant de donner un utilisateur qui souhaite joindre notre client son adresse provisoire,dcerne par la cellule dans laquelle il se trouve ? 6 a b c d

Recommended

View more >