An outright open source approach for simple and pragmatic internet eXchange / Une approche SDN simple et pragmatique pour les points d'échange Internet

Bruyère, Marc

06 July 2016

L'Internet, le réseaux des réseaux, est indispensable à notre vie moderne et mondialisée et en tant que ressource publique il repose sur l'inter opérabilité et la confiance. Les logiciels libres et open source jouent un rôle majeur pour son développement. Les points d'échange Internet (IXP) où tous les opérateurs de type et de taille différents peuvent s'échanger du trafic sont essentiels en tant que lieux d'échange neutres et indépendants. Le service fondamental offert par un IXP est une fabrique de commutation de niveau 2 partagée. Aujourd'hui les IXP sont obligés d'utiliser des technologies propriétaires pour leur fabrique de commutations. Bien qu'une fabrique de commutations de niveau 2 se doit d'être une fonctionnalité de base, les solutions actuelles ne répondent pas correctement aux exigences des IXPs. Cette situation est principalement dûe au fait que les plans de contrôle et de données sont intriqués sans possibilités de programmer finement le plan de commutation. Avant toute mise en œuvre, il est primordial de tester chaque équipement afin de vérifier qu'il répond aux attentes mais les solutions de tests permettant de valider les équipements réseaux sont toutes non open source, commerciales et ne répondent pas aux besoins techniques d'indépendance et de neutralité. Le "Software Defined Networking" (SDN), nouveau paradigme découplant les plans de contrôle et de données utilise le protocole OpenFlow qui permet de programmer le plan de commutation Ethernet haute performance. Contrairement à tous les projets de recherches qui centralisent la totalité du plan de contrôle au dessus d'OpenFlow, altérant la stabilité des échanges, nous proposons d'utiliser OpenFlow pour gérer le plan de contrôle spécifique à la fabrique de commutation. L'objectif principal de cette thèse est de proposer "Umbrella", fabrique de commutation simple et pragmatique répondant à toutes les exigences des IXPs et en premier lieu à la garantie d'indépendance et de neutralité des échanges. Dans la première partie, nous présentons l'architecture "Umbrella" en détail avec l'ensemble des tests et validations démontrant la claire séparation du plan de contrôle et du plan de données pour augmenter la robustesse, la flexibilité et la fiabilité des IXPs. Pour une exigence d'autonomie des tests nécessaires pour les IXPs permettant l'examen de la mise en œuvre d'Umbrella et sa validation, nous avons développé l'"Open Source Network Tester" (OSNT), un système entièrement open source "hardware" de génération et de capture de trafic. OSNT est le socle pour l"OpenFLow Operations Per Second Turbo" (OFLOPS Turbo), la plate-forme d'évaluation de commutation OpenFlow. Le dernier chapitre présente le déploiement de l'architecture "Umbrella" en production sur un point d'échange régional. Les outils de test que nous avons développés ont été utilisés pour vérifier les équipements déployés en production. Ce point d'échange, stable depuis maintenant un an, est entièrement géré et contrôlé par une seule application Web remplaçant tous les systèmes complexes et propriétaires de gestion utilisés précédemment. / In almost everything we do, we use the Internet. The Internet is indispensable for our today's lifestyle and to our globalized financial economy. The global Internet traffic is growing exponentially. IXPs are the heart of Internet. They are highly valuable for the Internet as neutral exchange places where all type and size of autonomous systems can "peer" together. The IXPs traffic explode. The 2013 global Internet traffic is equivalent with the largest european IXP today. The fundamental service offer by IXP is a shared layer2 switching fabric. Although it seems a basic functionality, today solutions never address their basic requirements properly. Today networks solutions are inflexible as proprietary closed implementation of a distributed control plane tight together with the data plane. Actual network functions are unmanageable and have no flexibility. We can understand how IXPs operators are desperate reading the EURO-IX "whishlist" of the requirements who need to be implemented in core Ethernet switching equipments. The network vendor solutions for IXPs based on MPLS are imperfect readjustment. SDN is an emerging paradigm decoupling the control and data planes, on opening high performance forwarding plane with OpenFlow. The aims of this thesis is to propose an IXP pragmatic Openflow switching fabric, addressing the critical requirements and bringing more flexibility. Transparency is better for neutrality. IXPs needs a straightforward more transparent layer2 fabric where IXP participants can exchange independently their traffic. Few SDN solutions have been presented already but all of them are proposing fuzzy layer2 and 3 separation. For a better stability not all control planes functions can be decoupled from the data plane. As other goal statement, networking testing tools are essential for qualifying networking equipment. Most of them are software based and enable to perform at high speed with accuracy. Moreover network hardware monitoring and testing being critical for computer networks, current solutions are both extremely expensive and inflexible. The experience in deploying Openflow in production networks has highlight so far significant limitations in the support of the protocol by hardware switches. We presents Umbrella, a new SDN-enabled IXP fabric architecture, that aims at strengthening the separation of control and data plane to increase both robustness, flexibility and reliability of the exchange. Umbrella abolish broadcasting with a pseudo wire and segment routing approach. We demonstrated for an IXP fabric not all the control plane can be decoupled from the date plane. We demonstrate Umbrella can scale and recycle legacy non OpenFlow core switch to reduce migration cost. Into the testing tools lacuna we launch the Open Source Network Tester (OSNT), a fully open-source traffic generator and capture system. Additionally, our approach has demonstrated lower-cost than comparable commercial systems while achieving comparable levels of precision and accuracy; all within an open-source framework extensible with new features to support new applications, while permitting validation and review of the implementation. And we presents the integration of OpenFLow Operations Per Second (OFLOPS), an OpenFlow switch evaluation platform, with the OSNT platform, a hardware-accelerated traffic generation and capturing platform. What is better justification than a real deployment ? We demonstrated the real flexibility and benefit of the Umbrella architecture persuading ten Internet Operators to migrate the entire Toulouse IXP. The hardware testing tools we have developed have been used to qualify the hardware who have been deployed in production. The TouIX is running stable from a year. It is fully managed and monitored through a single web application removing all the legacy complex management systems.

Echange Internet

Architecture des réseaux d'ordinateurs

Essai

Protocoles de réseaux d'ordinateurs

Internet exchange

Software defined networking

Testing

Openflow

Routage dans les réseaux mobiles ad hoc

Molo, Badji

12 April 2018

Un réseau mobile ad hoc constitue un ensemble de noeuds mobiles interconnectés par une technologie sans fil, formant un réseau décentralisé, sans infrastructure fixe. Ce type de réseau est caractérisé par une topologie dynamique qui varie aléatoirement en fonction du temps. Ce comportement aléatoire rend difficile la détermination d’un chemin entre deux noeuds mobiles, d’où la difficulté de mettre en place des algorithmes de routage efficaces pour ces réseaux. Dans ce contexte, les travaux du groupe de normalisation MANET (Mobile Ad hoc NETwork) ont donné lieu à deux catégories d’algorithmes de routage : les algorithmes proactifs et les algorithmes réactifs. Les algorithmes proactifs disposent en permanence d’une route pour chaque paire de sources/destinations dans le réseau, ce qui génère un trafic de signalisation important. Au contraire, pour les algorithmes réactifs, les routes sont construites à la demande et sont détruites après leur utilisation. Cela génère à priori un faible trafic de signalisation, mais également un délai supplémentaire lors de la construction (ou de la reconstruction) des routes. Dans ce mémoire, nous proposons une formulation du problème de routage en tenant compte des paramètres tels que le délai moyen de bout-en-bout, le taux de paquets reçus et le taux d’information de contrôle. Les résultats de simulation montrent que les performances du réseau dépendent à la fois de l’intensité du trafic et du degré de mobilité des noeuds. / A mobile ad hoc network is a set of mobile nodes interconnected by a wireless technology, forming a decentralised network, without any fixed infrastructure. This type of network is characterised by a dynamic topology which randomly varies with the time. Such behaviour makes difficult the determination of routes between two mobile nodes, from where the difficulty in setting up effective routing algorithms for these networks. In this context, the MANET (Mobile Ad hoc NETwork) group proposes two categories of routing algorithms : proactive and reactive. The proactive algorithms permanently have a route for each pair of source/destination nodes, which generates an important signaling traffic. On the contrary, for the reactive algorithms, the routes are built on demand and are destroyed after their use, generating a priori a weak traffic of signalisation but also an additional delay to the construction delay (or rebuilding) of routes. Within this memory, we propose a formulation of the routing problem by taking account of the parameters such as the average end-to-end delay, the packet delivery fraction and the routing overhead. The results of simulation show that the performances of the network depend on both the traffic intensity and the nodes mobility degree.

QA 76.05 UL 2007

Réseaux ad hoc (Réseaux d'ordinateurs)

Gestion de la relève verticale dans les réseaux mobiles hétérogènes

Tantani, Youness

16 April 2018

Le développement et la prolifération des réseaux sans fil a contribué à l’évolution de notre quotidien. Toute cette multitude de technologies sans fil existantes permet, malgré sa complexité, d’offrir aux utilisateurs des services diversifiés, voix et données, de la manière la plus convenable, tout en permettant l’ubiquité des services dans une optique ABC (Always Best Connected). Ces réseaux utilisent des technologies différentes, mais en même temps, offrent des caractéristiques complémentaires. Ainsi, ce point s’avère attrayant dans la mesure où nous pourrons bénéficier des avantages de chacune des technologies en les interconnectant toutes afin de former un large réseau hétérogène. La mobilité, ou plus particulièrement la relève, que nous nous proposons d’étudier dans ce mémoire s’impose comme axe de recherche intéressant, et encore plus complexe dans un environnement hétérogène. Dans ce mémoire, deux architectures interconnectant un réseau UMTS et un autre Wimax ont été présentées. Plus précisément, nous avons mis l’emphase sur la procédure de relève verticale lors du passage de l’utilisateur d’un réseau Wimax à un réseau UMTS. Chacune des deux architectures utilise un protocole pour la gestion de la mobilité, en l’occurrence le MIP (Mobile Internet Protocol) et le SIP (Session Initiation Protocol). Afin d’évaluer les deux procédures, nous nous sommes donnés deux indicateurs, notamment le coût de signalisation et la durée de la procédure de relève verticale. Pour ce faire, nous avons spécifié un diagramme d’échanges des messages de signalisation propre à chacun des scénarios, un basé sur le MIP et l’autre basé sur le SIP. Ensuite, nous avons établi des expressions pour chacun des deux indicateurs précédemment cités qui ont été implémentées sous MATLAB. Les résultats démontrent que, généralement, le scénario de relève verticale basé sur le MIP présente une durée et un coût de signalisation moins élevé que celui basé sur le protocole SIP. / The development and proliferation of wireless networks has contributed to the evolution of our daily lives. Mobile users can move between heterogeneous networks, using terminals with multiple access interfaces. Thus, the most important issue in such environment is the Always Best Connected (ABC) concept allowing the best connectivity to applications anywhere at anytime. To answer ABC requirement, various vertical handover decision strategies have been proposed using advanced tools and proven concepts. In this paper, two architectures interconnecting a UMTS network and another Wimax have been presented. Each architecture uses a protocol for mobility management, namely MIP and SIP. To evaluate the two procedures, we are given two indicators, the signaling cost and the vertical handover delay. To evaluate our scenarios, we have established a specified signaling messages flow diagram specific to each scenario, one based on the MIP and the other based on the SIP. Then, we have given expressions for each of the two indicators mentioned above that we have implemented in MATLAB. The results show that, generally, the scenario based on MIP has lower signaling cost and delay than the scenario based on SIP.

QA 76.05 UL 2010

UMTS (Norme)

IEEE 802.16 (Norme)

Réseaux d'ordinateurs -- Architectures

Automatic composition of prototocol-based Web services

Ragab Hassen, Ramy

07 July 2009

Les services web permettent l'intégration flexible et l'interopérabilité d'applications autonomes, hétérogènes et distribuées. Le développement de techniques et d'outils permettant la composition automatique de ces services en prenant en compte leurs comportements est une question cruciale. Cette thèse s'intéresse au problème de la composition automatique de services web. Nous décrivons les services web par leurs protocoles métiers, formalisés sous la forme de machines d'état finis. Les principaux travaux autour de cette problématique se focalisent sur le cas particulier où le nombre d'instances de chaque service est fixé à priori. Nous abordons le cas général du problème de synthèse de protocoles où le nombre d'instances de chaque service disponible et pouvant intervenir lors de la composition n'est pas borné à priori. Nous abordons le cas général du problème de synthèse de protocoles où le nombre d'instances de chaque service disponible et pouvant intervenir lors de la composition n'est pas borné à priori. Plus précisement, nous considérons le problème suivant : étant donné un ensemble de n protocoles disponibles P1,..., Pn et un nouveau protocole cible PT, le comportement de PT peut-il être synthétisé en combinant les comportements décrits par les protocoles disponibles ? Pour ce faire, nous proposons dans un premier temps un cadre formel de travail basé à la fois sur le test de simulation et la fermeture shuffle des machines d'états finis. Nous prouvons la décidabilité du problème en fournissant un algorithme de composition correct et complet. Ensuite, nous analysons la complexité du problème de la composition. Plus précisement, nous fournissons une borne supérieure et inférieure de complexité. Nous nous intéressons également aux cas particuliers de ce service général. Enfin, nous implémentons un prototype de composition dans le cadre de la plateforme ServiceMosaic.

[INFO:INFO_WB] Computer Science/Web

services web

web

protocoles de réseaux d'ordinateurs

Survivale Network Design Problems with High Connectivity Requirement

Diarrassouba, Ibrahima

07 December 2009

Cette thèse s'inscrit dans le cadre d'une étude polyhédrale des problèmes de conception de réseaux fiables avec forte connexité. En particulier, nous considérons les problèmes dits du sous-graphe k-arête-connexe et de conception de réseau k-arête-connexe avec contrainte de borne lorsque k _>3. Dans un 1er temps, nous étudions le problème du sous-graphe k-arête-connexe. Etant donné un graphe non orienté et valué G = (V, E) et un entier positif k, le problème du sous-graphe k-arête-connexe consiste à déterminer un sous-graphe de G de poids minimum telle qu'il existe k chaînes arête-disjointes entre chaque paire de sommets de V. Nous discutons du polytope associé à ce problème lorsque k _>3. Nous introduisons une nouvelle famille d'inégalités valides pour le polytope et présentons plusieurs familles d'inégalités valides. Pour chaque famille d'inégalités, nous étudions les conditions sous lesquelles ces inégalités définissent des facettes. Nous discutons aussi du problème de séparation associé à chaque famille d'inégalités ainsi que d'opérations de réduction de graphes. En utilisant ces résultats, nous développons un algorithme de coupes et branchements pour le problème et donnons des résultats expérimentaux. Ensuite, nous étudions le problème de conception de réseaux k-arête-connexe avec contrainte de borne. Soient G = (V, E) un graphe valué non orienté, un ensemble de demandes D _C V x V et deux entiers positifs k et L. Le problème de conception de réseaux k-arête-connexe avec contrainte de borne consiste à déterminer un sous-graphe de G de poids minimum telle qu'entre chaque paire de sommets {s, t} E D, il existe k chaînes arête-disjointes de longueur au plus L. Nous étudions ce problème dans le cas où k _>2 et L E {2, 3}. Nous examinons la structure du polytope associé et montrons que, lorsque I D I = 1, ce polytope est complètement décrit par les inégalités dites de st-coupe et de L-chemin-coupe avec les inégalités triviales. Ce résultat généralise ceux de Huygens et al. [75] pour k = 2, L E {2, 3} et Dahl et al. [35] pour k _>2, L = 2. Enfin, nous nous intéressons au problème de conception de réseau k-arête-connexe avec contrainte de borne lorsque k _>2, L E {2, 3} et I D I _> 2. Le problème est NP-difficile dans ce cas. Nous introduisons quatre nouvelles formulations du problème sous la forme de programmes linéaires en nombres entiers. Celles-ci sont basées sur la transformation du graphe G en graphes orientés appropriés. Nous discutons du polytope associé à chaque formulation et introduisons plusieurs familles d'inégalités valides. Pour chacune d'elles, nous décrivons des conditions pour que ces inégalités définissent des facettes. En utilisant ces résultats, nous développons des algorithmes de coupes et branchements et de coupes, génération de colonnes et branchements pour le problème. Nous donnons des résultats expérimentaux et menons une étude comparative entre les différentes formulations.

Réseaux d'ordinateurs

interconnexion de réseaux

Conception de réseaux haut débit sous contrainte de sécurisation

Truffot, Jérôme

27 November 2007

L'augmentation constante des débits de transmission de données a fait évoluer les réseaux IP vers de nouveaux services. Dans ce contexte, ces travaux de thèse étudient l'influence des nouveaux protocoles dans la conception de réseaux haut débit tolérants aux pannes. Dans un premier temps, nous nous sommes intéressés aux spécificités du routage dans les réseaux MPLS (MultiProtocol Label Switching). Pour limiter la taille des tables de commutation, il est nécessaire de limiter le nombre de routes. Cette contrainte forte sur le support des flux change considérablement la complexité des problèmes de routage. Notre contribution porte principalement sur la modélisation des problèmes de flots k-séparables par des programmes linéaires en nombres entiers adaptés à une résolution exacte. D'autre part nous nous sommes intéressés à la contrainte de délai de bout-en-bout. Nos modèles de flots k-séparables offrent des possibilités intéressantes pour gérer cette contrainte

réseaux d'ordinateurs

systèmes de télécommunication

Model-checking du délai dans les éléments réseaux

Ben Nasr, Sami

04 1900

La responsabilité des routeurs s'engage lorsque les machines hôtes envoient leurs paquets dans le réseau. Les routeurs auront donc la fonction de transmettre ces paquets sur les liens pour les acheminer vers la destination déterminée. Cependant, comme le routeur traite les paquets séparément, la performance du routeur dépend donc du temps de traitement pour chaque paquet. Avec une charge de trafic, il est possible d'optimiser efficacement le traitement des paquets dans le routeur. Notre attention sera portée sur l'évaluation du délai de bout-en-bout dans le réseau End-to-End. Ce mémoire propose donc un modèle qui consiste à évaluer et vérifier les délais des paquets dans les routeurs par la méthode de vérification de modèles (Model-Checking). ______________________________________________________________________________ MOTS-CLÉS DE L’AUTEUR : vérification de modèles, Model-Checking, réseaux, routeur, délai.

Délai d'exécution

Model-checking (Informatique)

Réseau d'ordinateurs

Routeur (Réseaux d'ordinateurs)

Modélisaton et sécurité des réseaux

Cormier, Alexandre

13 April 2018

L'avènement d'Internet révolutionne l'accès à l'information, mais contribue également à l'essor de nouveaux services, notamment le commerce électronique, à l'allègement de la bureaucratie et à l'arrivée d'une multitude de e-services. Or, le développement de cette technologie de l'information s'est accompagné d'une panoplie de problématiques. Parmi celles-ci, les plus inquiétantes ont trait à la sécurité puisqu'elles mettent en péril le bon fonctionnement de ces services. Le présent mémoire approfondit ces problématiques de sécurité selon une approche formelle : les algèbres de processus. Dans un premier temps, le fruit de la recherche sur les failles de sécurité réseau de niveau deux et trois de la couche TCP/IP et d'une étude comparative de l'expressivité des principales algèbres de processus est présenté. Dans un second temps, les caractéristiques souhaitées d'une algèbre de modélisation de réseau sont mises en exergue et sont intégrées dans la syntaxe et la sémantique d'une nouvelle algèbre. Finalement, une nouvelle algèbre de processus pour la modélisation de réseau, Netcal, ainsi que les principes d'un système de détection de failles d'architecture et de configuration de réseau sont explicités.

QA 76.05 UL 2007

Parallélisme (Informatique)

Détection des variations d'attaques à l'aide d'une logique temporelle

Lespérance, Pierre-Luc

12 April 2018

La principale contribution de ce travail est de proposer une nouvelle logique, inspirée de la logique temporelle linéaire, qui permet d'améliorer les techniques standard de détection d'intrusions utilisant l'approche par scénarios, avec la possibilité de détecter des variantes d'attaques connues. La logique suggées pourrait trouver une trace de paquets qui correspondent, même partiellement avec une distance calculée, avec la formule qui décrit l'attaque. La deuxième partie consistera à décrire son implémentation et de montrer la contribution pour augmenter la performance et l'expressivité des règles des systèmes de détection d'intrusions et plus précisément, du système Snort.

QA 76.05 UL 2006

Logiciels malveillants

Ethernet pour les tests avec matériel dans la boucle dans l'industrie automobile

Bellemare-Rousseau, Simon

26 March 2024

Thèse ou mémoire avec insertion d'articles / Dans un contexte de présence de plus en plus proéminente d'unités électroniques ou Electronic Control Units (ECU) dans les véhicules [3, 127], la cybersécurité dans le domaine automobile joue un rôle de plus en plus critique [3, 20, 94, 127]. Les systèmes de tests avec matériel dans la boucle (ou Hardware-in-the-Loop (HIL)) sont un bon moyen d'évaluer la résilience des composants d'un véhicule à une attaque de type cyber [28, 29, 74]. Les systèmes de tests HIL sont généralement composés d'un châssis, dans lequel viennent se loger des cartes d'interface et de calcul. Cette architecture a l'avantage d'être très modulaire, une caractéristique nécessaire lorsque la configuration et la complexité des montages varient énormément d'un test à un autre. Ce travail présente un système de test HIL pour les applications automobiles, utilisant Ethernet comme technologie de communication de base. Bien entendu, son coût d'équipement inférieur en fait une alternative intéressante à des systèmes basés sur le PCI eXtention for Intrumentation (PXI) et VME eXtention for Instrumentation (VXI), qui sont les protocoles plus traditionnellement utilisés dans ces applications. Ainsi, on évaluera la viabilité de l'Ethernet dans une telle application, avant de définir le Small Payload Ethernet for HIL (SPEHIL), un protocole spécialement optimisé pour les tests HIL enchâssis. En effet, l'adoption d'Ethernet n'est pas sans défis. Ces derniers sont causés principalement par son taux d'encapsulation très élevé. C'est pourquoi le SPEHIL vient se placer au niveau des couches réseau, transport et application afin de mitiger cette tendance du protocole. Le SPEHIL définit également une couche applicative offrant ainsi la standardisation du contrôle des modules à travers une série de séquences de messages prédéfinis. On définit ensuite le premier prototype de système SPEHIL intégré, dans le but d'en évaluer les performances. Ce dernier se base sur une carte de développement Field Programmable Gate Array (FPGA) Zynq et offre l'interface nécessaire à l'usager pour interagir avec ce dernier. On termine par l'analyse des performances du protocole en place comparé à l'Ethernet tout comme à ses principaux rivaux dans le domaine du HIL. / In a context of an increasingly prominent presence of electronic units or ECU in vehicles [3, 127], cybersecurity in the automotive field plays an increasingly important role [3, 20, 94, 127]. Hardware-in-the-Loop (or HIL) test systems are a good way to assess the resilience of vehicle components to a cyberattack [28, 29, 74]. HIL test systems generally consist of a chassis, in which interface and calculation cards are housed. This architecture has the advantage of being very modular, a necessary characteristic when the configuration and the complexity of the test's setup vary enormously from one ECU to another. This work presents a HIL test system for automotive applications, using Ethernet as the core communication technology. Of course, its lower equipment cost makes it an interesting alternative to systems based on PXI and VXI, which are the protocols more traditionally used in these applications. Thus, we will evaluate the viability of Ethernet in such an application, before defining the SPEHIL, a protocol specially optimized for HIL tests in a chassis. Indeed, Ethernet adoption is not without its challenges. These are mainly caused by its very high encapsulation ratio. This is why the SPEHIL's implementation targets the network and transport layers in order to mitigate this tendency of the protocol. SPEHIL also defines an application layer, thus providing standardization of module's control messages through a series of predefined sequences. We then define the first prototype of an integrated SPEHIL system, in order to evaluate its performance. The latter is based on a Zynq FPGA development board and provides the necessary interface for the user to interact with it. We conclude with the analysis of the performance of the protocol in place compared to Ethernet, and its main rivals in the field of HIL.

Ethernet (Système de réseau local)

Protocoles de réseaux d'ordinateurs.

Automobiles -- Industrie et commerce.