CARATCARATContrôle d ’Accès et qualité de Contrôle d ’Accès et qualité de service dans les Réseaux ATMservice dans les Réseaux ATM

Sylvain GombaultSylvain Gombault Gwenn GueguenGwenn Gueguen

Maryline LaurentMaryline Laurent Olivier PaulOlivier Paul

ENST de BretagneENST de Bretagne

PartenairesPartenaires

R&DCELAR

Projet ARMOR

PlanPlan

IntroductionIntroduction CARATCARAT

– Le gestionnaireLe gestionnaire– Le filtre de signalisationLe filtre de signalisation– Le filtre au niveau cellule: Cartes IFTLe filtre au niveau cellule: Cartes IFT

Conclusion et travaux à venirConclusion et travaux à venir

IntroductionIntroduction

ATM (Asynchronous Transfer Mode) :ATM (Asynchronous Transfer Mode) :– Spécifié pour le transport de flux de natures Spécifié pour le transport de flux de natures

variées.variées.– Permet aux applications de demander au réseau Permet aux applications de demander au réseau

des garanties de qualité de servicedes garanties de qualité de service– Orienté connexion.Orienté connexion.– Information transportée sous forme de cellules.Information transportée sous forme de cellules.– Usage:Usage:

Direct: Quelques applications ATM natives (ANS, VoD).Direct: Quelques applications ATM natives (ANS, VoD). Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage Indirect: IP over ATM (IPOA, LANE, MPOA, MPLS): usage

le plus courant. le plus courant.

IntroductionIntroduction Le contrôle d ’accès:Le contrôle d ’accès:

– Service qui assure une protection contre une Service qui assure une protection contre une utilisation non autorisée de ressources par une utilisation non autorisée de ressources par une entité ou un groupe d ’entité (ISO).entité ou un groupe d ’entité (ISO).

Réseau

Client Serveur

Firewall

Comment ca marche ?Comment ca marche ? Le Firewall se Le Firewall se

situe entre le situe entre le réseau interne réseau interne et le réseau et le réseau externeexterne

ATM

TCP/UDP

IP

PacketFilter

ApplicationProxy

InsideOutside

Comment ca marche ?Comment ca marche ? Les paquets IP Les paquets IP

sont filtrés au sont filtrés au niveau niveau réseau/transporréseau/transport et au niveau t et au niveau application si application si une passerelle a une passerelle a été configurée.été configurée.

ATM

TCP/UDP

IP

PacketFilter

ApplicationProxy

InsideOutside

src and dst addressesProtocol ID

src and dst ports

Direction and flags

Protocol Info.

Application Data

Comment ca marche ?Comment ca marche ? Si le paquet est Si le paquet est

autorisé, une autorisé, une connexion ATM connexion ATM est établie avec est établie avec le nœud suivant le nœud suivant dans le réseau dans le réseau IP. IP.

Le paquet est Le paquet est envoyé sur le envoyé sur le réseau externe.réseau externe.

ATM

TCP/UDP

IP

PacketFilter

ApplicationProxy

InsideOutside

ATM cell

Quels problèmes ?Quels problèmes ? Le niveau ATM Le niveau ATM

est considérée est considérée comme une comme une couche de couche de niveau 2.niveau 2.– Pas de Pas de

contrôle contrôle d’accès au d’accès au niveau ATM.niveau ATM.

– Applications Applications natives ATM natives ATM ne sont pas ne sont pas filtrées.filtrées.

ATM

TCP/UDP

IP

PacketFilter

ApplicationProxy

InsideOutside

Quels problèmes ?Quels problèmes ? Les couches Les couches

réseau, réseau, transport et transport et application ne application ne connaissent pas connaissent pas la QoS négociée la QoS négociée au niveau ATM.au niveau ATM.– Fournir une Fournir une

qualité de qualité de service de service de bout en bout bout en bout n’est pas n’est pas possible.possible.

ATM

TCP/UDP

IP

PacketFilter

ApplicationProxy

InsideOutside

Quels problèmes ?Quels problèmes ? Le processus de Le processus de

filtrage est filtrage est souvent souvent gourmand en gourmand en ressources.ressources.– Performances Performances

faibles faibles (200Mb/s).(200Mb/s).

– Modification Modification importante des importante des paramètres de paramètres de qualité de qualité de service.service.

ATM

TCP/UDP

IP

PacketFilter

ApplicationProxy

InsideOutside

CARAT - objectifsCARAT - objectifs

Filtrage aux niveaux ATM, TCP/IP.Filtrage aux niveaux ATM, TCP/IP. Haut débit.Haut débit.

– Filtrage à 622 Mb/s au niveau cellule.Filtrage à 622 Mb/s au niveau cellule. Maintient de la QoS.Maintient de la QoS.

– Délai au niveau cellule.Délai au niveau cellule. Facilité de gestion.Facilité de gestion.

Vue généraleVue générale Se place entre le réseau Se place entre le réseau

public et le réseau privé.public et le réseau privé. Composé de trois modules:Composé de trois modules:

ATM ATM IFT IFT

Analyseur deSignalisation

Gestionnaire

Station SUN

Driver IFT

Démon

SwitchATM

PC Solaris

RéseauInterne

RéseauExterne

Contrôleur

S ’intègre aux S ’intègre aux équipements existants.équipements existants.

Les modules sont Les modules sont configurés au moyen configurés au moyen d ’un langage unique. d ’un langage unique.

– Gestionnaire.Gestionnaire.– Filtre de signalisation.Filtre de signalisation.

– Filtre de niveau cellule.Filtre de niveau cellule.

Un langage générique de Un langage générique de définition du contrôle définition du contrôle

d ’accèsd ’accès

Basé sur des travaux du Policy WG à Basé sur des travaux du Policy WG à l ’IETF.l ’IETF.

Une politique de contrôle d ’accès est Une politique de contrôle d ’accès est un ensemble de règles.un ensemble de règles.

Une règle est formée d ’un ensemble de Une règle est formée d ’un ensemble de conditions et d ’une action.conditions et d ’une action.

Conditions et actions aux niveaux ATM, Conditions et actions aux niveaux ATM, IP et Transport.IP et Transport.

exempleexemple

autoriser la machine d ’adresse 192.165.203.5 à utiliser autoriser la machine d ’adresse 192.165.203.5 à utiliser des serveurs WWW externes:des serveurs WWW externes:IF (IP_SRC_ADDRESS = 192.165.203.5 255.255.255.255) AND (IP_DST_ADDRESS = 0.0.0.0 0.0.0.0) AND (SRC_PORT > 1023) AND (DST_PORT = 80) THEN PERMIT.

IF (IP_SRC_ADDRESS = 0.0.0.0 0.0.0.0) AND (IP_DST_ADDRESS = 192.165.203.5 255.255.255.255) AND (SRC_PORT = 80) AND (DST_PORT > 1023) AND (TCP_FLAG <> SYN) THEN PERMIT.

Le gestionnaireLe gestionnaire Effectue la traduction Effectue la traduction

entre politique de entre politique de contrôle d ’accès contrôle d ’accès générique et générique et commandes de contrôle commandes de contrôle d ’accès au niveaud ’accès au niveau– Du contrôleur de Du contrôleur de

signalisation.signalisation.– Du contrôleur de Du contrôleur de

niveau cellule.niveau cellule.

Politique decontrôle d’accès

sur la signalisation

Information designalisation

Politique de contrôled’accès dynamique de

niveau cellule

Politique de contrôled’accès statique de

niveau cellule

Politique decontrôled’accès

Politique de contrôled’accès de niveau cellule

Politique decontrôle d’accès

générique TCP/IP

Informationsdynamiques de

niveaux cellule et IP

Etablissement de Etablissement de connexionconnexion

Gestionnaire

Filtre de signalisation Filtre cellule

connexion(encaps,vpi,vci,@ATMs,@ATMd)

Politique C.A. Sig. Politique C.A. TCP/IP statique

Table de conversion adresses IP/ATM

@ATM

@IP

Politique C.A. TCP/IP(encaps,vpi,vci,@Ips,@Ipd)

Fin de connexionFin de connexion

Gestionnaire

Filtre de signalisation Filtre cellule

Fin de connexion(vpi,vci) Destruction politique C.A. TCP/IP (vpi,vci)

Le Filtre de signalisationLe Filtre de signalisation

Capacités de filtrage.Capacités de filtrage.– UNI 3.1.UNI 3.1.– Informations d ’adressage.Informations d ’adressage.

Adresses, Sous adresses.Adresses, Sous adresses.

– Informations de QoS.Informations de QoS. PCR, SCR, MCR.PCR, SCR, MCR.

– Informations caractérisant le service utilisé.Informations caractérisant le service utilisé. Applications natives : BHLI.Applications natives : BHLI. Utilisation : BLLI.Utilisation : BLLI.

Le Filtre de signalisationLe Filtre de signalisation Basé sur la pile de Basé sur la pile de

signalisation ATM SUNsignalisation ATM SUN Module Q93B modifié.Module Q93B modifié. Module de Module de

décomposition des décomposition des messages.messages.

FiltreFiltre– Gestion d ’une Gestion d ’une

structure pour chaque structure pour chaque connexion.connexion.

Module de construction Module de construction des messages.des messages.– Masquage d ’adresse.Masquage d ’adresse.

Communication avec le Communication avec le gestionnaire.gestionnaire.

Module Q93B

Module SSCOP

Filtre

Noyau

EspaceUtilisateur

décomposition desmessages de sig.decomposition

Construction desmessages de sig.

Interface ATM 0 Interface ATM 1

Station SUN

Module SSCOP

Le Filtre niveau celluleLe Filtre niveau cellule Cartes IFT/CNETCartes IFT/CNET

– 622 Mb/s unidirectionnel.622 Mb/s unidirectionnel.– Analyse de la première cellule Analyse de la première cellule

d ’une trame AAL5.d ’une trame AAL5.– Action possible : commutationAction possible : commutation

Rejeter : VC inexistant.Rejeter : VC inexistant. Accepter : VC inchangé.Accepter : VC inchangé.

– Temps d ’analyse variable.Temps d ’analyse variable.– Changement de configuration Changement de configuration

en cours de fonctionnement.en cours de fonctionnement.

Mémoire de filtrage

Découplage Cellule ATM

Mémoire de filtrage

Découplage Cellule ATM

PC Solaris

Driver IFTDriver IFT– Configurable à distance.Configurable à distance.– Autorise plusieurs Autorise plusieurs

gestionnaires.gestionnaires.

Driver IFT

Démon RPC

Bibliothèque de configuration.Bibliothèque de configuration.

Capacités de filtrageCapacités de filtrage

Configuration de la Configuration de la mémoire de filtragemémoire de filtrage

Adresse/Valeur 0 1 2 3 4 5 6 7 8 9 A B C D E F0x000000000x000000100x000000200x000000300x000000400x00000050…0xFFFFFFF

2 F B 4 A C1 B

Problème: assurer une configuration efficaceProblème: assurer une configuration efficace

• En terme de délai (nombre de sauts)En terme de délai (nombre de sauts)

• En terme de taille de politique (nombre de cases mémoire En terme de taille de politique (nombre de cases mémoire utilisées)utilisées)

AgendaAgenda

Action juin-99 sept-99 nov-99 févr-00 mars-00 avr-00 sept-00 oct-00Définition du projetRéalisation du filtre de signalisationInstallation logicielleRéalisation du gestionnaireFabrication des cartes IFTTests de Fonct./Perf.Fin du projet/ Rapport Final

ConclusionConclusion Bonnes performances (débit,délai)Bonnes performances (débit,délai)

– Méthode d  ’analyse brevetée.Méthode d  ’analyse brevetée.– Adaptation dynamique de la configuration.Adaptation dynamique de la configuration.

Contrôle au niveaux ATM, TCP/IP.Contrôle au niveaux ATM, TCP/IP.– Contrôle des applications natives.Contrôle des applications natives.

Outil séparé des éléments du réseau.Outil séparé des éléments du réseau.– Insertion facile dans les environnements existants.Insertion facile dans les environnements existants.– Adaptation facile de nouvelles fonctionnalités.Adaptation facile de nouvelles fonctionnalités.

Gestion facileGestion facile

FuturFutur

Evolution possibles de la maquetteEvolution possibles de la maquette– Support pour d ’autres protocoles (LANE, MPOA, MPLS).Support pour d ’autres protocoles (LANE, MPOA, MPLS).– Intégration de firewalls classiques + gestion de niveaux Intégration de firewalls classiques + gestion de niveaux

de QoS.de QoS.– Intégration de mécanismes d ’authentification dans la Intégration de mécanismes d ’authentification dans la

signalisation ATM (ATM Forum).signalisation ATM (ATM Forum). Evolution possible des cartes IFTEvolution possible des cartes IFT

– Version IP (Sans ATM).Version IP (Sans ATM).– Débit plus élevé (1Gb/s).Débit plus élevé (1Gb/s).– Analyse plus en profondeur des trames (255 octets) -> Analyse plus en profondeur des trames (255 octets) ->

Analyse des informations de niveau application.Analyse des informations de niveau application.