CARAT Contrle dAccs et qualit de service dans les Rseaux ATM

1
CARATContrôle d Accès et qualité de service
dans les Réseaux ATM

• Sylvain Gombault Gwenn Gueguen
• Maryline Laurent Olivier Paul
• ENST de Bretagne

2
Partenaires
Projet ARMOR
RD
CELAR
3
Plan

• Introduction
• CARAT
• Le gestionnaire
• Le filtre de signalisation
• Le filtre au niveau cellule Cartes IFT
• Conclusion et travaux à venir

4
Introduction

• ATM (Asynchronous Transfer Mode)
• Spécifié pour le transport de flux de natures
  variées.
• Permet aux applications de demander au réseau des
  garanties de qualité de service
• Orienté connexion.
• Information transportée sous forme de cellules.
• Usage
• Direct Quelques applications ATM natives (ANS,
  VoD).
• Indirect IP over ATM (IPOA, LANE, MPOA, MPLS)
  usage le plus courant.

5
Introduction

• Le contrôle d accès
• Service qui assure une protection contre une
  utilisation non autorisée de ressources par une
  entité ou un groupe d entité (ISO).

Firewall
6
Comment ca marche ?

• Le Firewall se situe entre le réseau interne et
  le réseau externe

7
Comment ca marche ?

• Les paquets IP sont filtrés au niveau
  réseau/transport et au niveau application si une
  passerelle a été configurée.

8
Comment ca marche ?

• Si le paquet est autorisé, une connexion ATM est
  établie avec le nud suivant dans le réseau IP.
• Le paquet est envoyé sur le réseau externe.

9
Quels problèmes ?

• Le niveau ATM est considérée comme une couche de
  niveau 2.
• Pas de contrôle daccès au niveau ATM.
• Applications natives ATM ne sont pas filtrées.

10
Quels problèmes ?

• Les couches réseau, transport et application ne
  connaissent pas la QoS négociée au niveau ATM.
• Fournir une qualité de service de bout en bout
  nest pas possible.

11
Quels problèmes ?

• Le processus de filtrage est souvent gourmand en
  ressources.
• Performances faibles (200Mb/s).
• Modification importante des paramètres de qualité
  de service.

12
CARAT - objectifs

• Filtrage aux niveaux ATM, TCP/IP.
• Haut débit.
• Filtrage à 622 Mb/s au niveau cellule.
• Maintient de la QoS.
• Délai au niveau cellule.
• Facilité de gestion.

13
Vue générale

• Se place entre le réseau public et le réseau
  privé.
• Composé de trois modules

• S intègre aux équipements existants.
• Les modules sont configurés au moyen d un
  langage unique.

14
Un langage générique de définition du contrôle
d accès

• Basé sur des travaux du Policy WG à l IETF.
• Une politique de contrôle d accès est un
  ensemble de règles.
• Une règle est formée d un ensemble de conditions
  et d une action.
• Conditions et actions aux niveaux ATM, IP et
  Transport.

15
exemple

• autoriser la machine d adresse 192.165.203.5 à
  utiliser des serveurs WWW externes
• IF (IP_SRC_ADDRESS 192.165.203.5
  255.255.255.255) AND (IP_DST_ADDRESS 0.0.0.0
  0.0.0.0) AND (SRC_PORT gt 1023) AND (DST_PORT
  80) THEN PERMIT.
• IF (IP_SRC_ADDRESS 0.0.0.0 0.0.0.0) AND
  (IP_DST_ADDRESS 192.165.203.5 255.255.255.255)
  AND (SRC_PORT 80) AND (DST_PORT gt 1023) AND
  (TCP_FLAG ltgt SYN) THEN PERMIT.

16
Le gestionnaire

• Effectue la traduction entre politique de
  contrôle d accès générique et commandes de
  contrôle d accès au niveau
• Du contrôleur de signalisation.
• Du contrôleur de niveau cellule.

17
Etablissement de connexion
Table de conversion adresses IP/ATM
Gestionnaire
Filtre de signalisation
Filtre cellule
18
Fin de connexion
Gestionnaire
Filtre de signalisation
Filtre cellule
19
Le Filtre de signalisation

• Capacités de filtrage.
• UNI 3.1.
• Informations d adressage.
• Adresses, Sous adresses.
• Informations de QoS.
• PCR, SCR, MCR.
• Informations caractérisant le service utilisé.
• Applications natives BHLI.
• Utilisation BLLI.

20
Le Filtre de signalisation

• Basé sur la pile de signalisation ATM SUN
• Module Q93B modifié.
• Module de décomposition des messages.
• Filtre
• Gestion d une structure pour chaque connexion.
• Module de construction des messages.
• Masquage d adresse.
• Communication avec le gestionnaire.

21
Le Filtre niveau cellule

• Cartes IFT/CNET
• 622 Mb/s unidirectionnel.
• Analyse de la première cellule d une trame AAL5.
• Action possible commutation
• Rejeter VC inexistant.
• Accepter VC inchangé.
• Temps d analyse variable.
• Changement de configuration en cours de
  fonctionnement.

PC Solaris
Mémoire de filtrage
Mémoire de filtrage
Découplage Cellule ATM
Découplage Cellule ATM
22
Capacités de filtrage
23
Configuration de la mémoire de filtrage

• Problème assurer une configuration efficace
• En terme de délai (nombre de sauts)
• En terme de taille de politique (nombre de cases
  mémoire utilisées)

24
Agenda
25
Conclusion

• Bonnes performances (débit,délai)
• Méthode d  analyse brevetée.
• Adaptation dynamique de la configuration.
• Contrôle au niveaux ATM, TCP/IP.
• Contrôle des applications natives.
• Outil séparé des éléments du réseau.
• Insertion facile dans les environnements
  existants.
• Adaptation facile de nouvelles fonctionnalités.
• Gestion facile

26
Futur

• Evolution possibles de la maquette
• Support pour d autres protocoles (LANE, MPOA,
  MPLS).
• Intégration de firewalls classiques gestion de
  niveaux de QoS.
• Intégration de mécanismes d authentification
  dans la signalisation ATM (ATM Forum).
• Evolution possible des cartes IFT
• Version IP (Sans ATM).
• Débit plus élevé (1Gb/s).
• Analyse plus en profondeur des trames (255
  octets) -gt Analyse des informations de niveau
  application.