FI-10/00

Networkers 2000

Yves.Despond@epfl.ch & Mireille.Goud@epfl.ch, SIC

&

Nous avons assisté au rassemblement des utilisateurs européens de Cisco (Networkers) du 25 au 27 septembre 2000 qui s'est tenu à Paris. Le réseau de l'EPFL étant constitué principalement de matériel Cisco, il nous est nécessaire de participer à cet événement pour suivre l'évolution des produits que nous utilisons. Cette année, il y avait environ 4000 participants au congrès en comptant les clients et les partenaires.Il faut noter que, pour la première fois, aucun équipement réseau n'était visible sur le centre du congrès, par contre 700 PC étaient reliés à Internet par une centaine de switches et 16 km de câbles permettaient de les voir de façon virtuelle !

Parmi les nombreux sujets exposés, voici ceux qui ont particulièrement retenu notre attention.

Fiabilité du réseau

Les équipements de réseau sont devenus de plus en plus fiables (>99%) et pour gagner quelques 10èmes supplémentaires, il faut installer des systèmes de redondance qui peuvent aller jusqu'à doubler le prix de l'ensemble du réseau. Il faut donc d'abord définir quels sont les besoins de fiabilité et les points critiques du réseau pour éventuellement n'en renforcer que quelques parties.

Voici quelques conseils donnés par Cisco pour augmenter la fiabilité d'un réseau:

Comment se situe le réseau de l'EPFL par rapport à ces consignes? Tous les départements de l'EPFL sont connectés aux 2 commutateurs centraux de l'EPFL par des liens Giga Ethernet qui forment l'épine dorsale du réseau EPNET. Les commutateurs principaux de départements ne sont pas doublés. L'accès au réseau SWITCH est possible depuis les 2commutateurs de l'épine dorsale. Le changement d'un équipement du réseau en panne peut se faire en environ 2 heures car nous avons des équipements de rechange sur site. L'utilisation de Vlans étendus ne nous permet pas une séparation physique entre le routage de niveau 2 et le routage de niveau3 sur le réseau fédérateur. Mais c'est une option qui nous permet de mettre dans le même Vlan toutes les machines d'un institut même si elles sont dans des bâtiments différents ou de déplacer une machine momentanément dans une salle de conférence sans lui changer son adresse IP. Le réseau EPNET n'a actuellement pas de problème de congestion et le système de QOS n'est pas mis en service sur les équipements.

Evolution des technologies

Les interfaces 1000BaseT qui permettent d'obtenir des débits de 1 Gigabit par seconde sur cuivre arrivent en force sur le marché. Actuellement, nous n'utilisons que des interfaces Gigabit Ethernet sur fibres optiques. Le câblage des bâtiments ne permet pas d'utiliser les interfaces 1000BaseT. Les nouveaux bâtiments qui seront mis en service en 2001 seront équipés de câbles permettant de faire du 1000BaseT.

Des interfaces 10 Gigabits Ethernet seront disponibles dès la fin de l'année pour les switches (Catalyst 6000) que nous utilisons sur le réseau de l'EPFL. Les interfaces 1000BaseT serviront à connecter les machines à haut débit et les liaisons 10 Gigabits seront réservées aux réseaux fédérateurs.

Le réseau fédérateur de l'EPFL utilise des liaisons de 1Gigabit par seconde et quelques gros serveurs de département ont des connexions supportant le Gigabit par seconde. Le trafic passant sur le réseau fédérateur ne nécessite pas actuellement un passage au débit de 10 Gigabits/sec.

Sécurité

La sécurité, c'est l'affaire de tous. Il faut protéger le réseau suivant les besoins de l'ensemble des utilisateurs mais ce n'est pas suffisant et il faut que toutes les machines connectées sur le réseau respectent des règles de sécurité. La mise en place d'un firewall n'offre en aucun cas une garantie absolue. Le conférencier a même indiqué que de bons system managers étaient plus efficaces qu'un firewall. Cisco recommande de mettre des systèmes de sécurité (firewall, détecteur d'intrusion) non seulement à l'entrée du réseau mais aussi à l'intérieur. Ceci permet de bloquer les pirates qui ne peuvent plus pirater l'ensemble du réseau quand ils ont réussi à entrer sur une machine mal configurée.

La tâche du responsable de la sécurité est difficile car il doit boucher TOUS les trous, par contre le pirate n'a besoin que d'UN SEUL trou de sécurité!

Le réseau de l'EPFL n'utilise pas de firewall, mais le système DIODE (http://ditwww.epfl.ch/SIC/SA/diode/index.html ) a été mis en service pour éviter les intrusions venant d'Internet. Les machines de l'EPFL ne sont pas protégées entre elles et il est donc très important de limiter le nombre de machines ouvertes sur Internet. Cisco annonce un nouveau produit pour la fin de l'année qui pourra s'installer sur les commutateurs que nous utilisons et qui permettra de faire la détection des intrusions connues dans le monde Internet. Ces détections d'intrusions peuvent simplement être signalées au responsable de la sécurité ou peuvent générer automatiquement des filtres pour bloquer les accès suspects.

Accès à distance sécurisé

Nos utilisateurs ont de plus en plus besoin d'accéder aux ressources de l'EPFL depuis les endroits les plus divers. Pour des raisons pratiques et de coût, Internet est de plus en plus utilisé à la place de notre système d'accès CARPE pour accéder au réseau de l'EPFL. Un utilisateur qui se connecte sur une machine de l'EPFL par Internet ne peut pas être reconnu comme un membre de l'EPFL et de ce fait l'accès à certaines ressources internes lui est interdit. Ceci est devenu plus important depuis la mise en service du projet Diode.

Il existe maintenant une technologie permettant de résoudre ce problème, elle se nomme Virtual Private Network, alias VPN. Elle permet de créer un tunnel privé entre la machine de l'utilisateur située n'importe où dans le monde et l'intérieur de l'EPFL. L'utilisateur est authentifié et ses données qui transitent sur Internet sont cryptées.

Cisco fournit un équipement avec un logiciel associé permettant d'assurer la réception des tunnels du côté du site central et, surtout, d'automatiser la configuration des machines distantes tout en assurant une gestion centralisée des utilisateurs. Nous prévoyons de tester un tel équipement et de le mettre en service si les résultats sont concluants.

Réseaux sans fil (wireless)

Il est beaucoup question de réseaux sans fils, fonctionnant au moyen d'ondes radio. Le standard existant dans le domaine du réseau local se nomme 802.11. Il utilise une bande de fréquence comprise entre 2.4 Ghz et 2.4835 Ghz. D'autres systèmes utilisent la même bande de fréquence, dont par exemple certains fours à micro-ondes; la probabilité de perturbation est donc relativement importante.

Contrairement aux liaisons câblées, les liaisons sans-fil sont en mode partagé. Toutes les machines qui se trouvent dans le rayon d'un point d'accès se partagent la bande passante disponible. Celle-ci peut être soit de 2 Mbit/s, soit de 11 Mbit/s ce qui est très largement inférieur à la bande passante disponible sur un réseau câblé qui est d'au moins 10Mbit/s par machine. La distance couverte par un point d'accès varie de 30 à 150 mètres selon les conditions.

Deux méthodes de transmission sont possibles: Direct Sequence et Frequency Hopping. Le Frequency Hopping envoie les données en changeant de fréquence chaque demi-seconde. Ceci offre une sensibilité plus faible aux perturbations mais diminue la perfomance. Le Direct Sequence remplace chaque bit à transmettre par une suite de bit, 11 bits en général, transmise à une fréquence plus élevée. Cette méthode offre une redondance qui permet une certaine immunité vis-à-vis des perturbations et surtout rend possible un débit supérieur.

La sécurité est un autre point important, car n'importe quelle machine qui se trouve dans la zone couverte par un point d'accès est susceptible d'utiliser le réseau. Il n'est pas exclu que, dans certains cas, il soit possible de communiquer depuis l'extérieur de bâtiments équipés de systèmes sans fil. Un système de contrôle doit donc être prévu pour que seuls les utilisateurs autorisés puissent utiliser le système. Selon les cas, il peut aussi être nécessaire de crypter les communications pour éviter toute interception.


retour au sommaire du Flash informatique du mois de décembre 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI-10-00 du 19 décembre 2000