ITU-T Y 1314 FRENCH-2005 Virtual private network functional decomposition《虚拟专用网络(VPN)功能分解 13号研究组》.pdf

1、 Union internationale des tlcommunicationsUIT-T Y.1314SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (10/2005) SRIE Y: INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION Aspects relatifs au protocole Internet Transport Dcomposition fonctionnelle des

2、 rseaux privs virtuels Recommandation UIT-T Y.1314 RECOMMANDATIONS UIT-T DE LA SRIE Y INFRASTRUCTURE MONDIALE DE LINFORMATION, PROTOCOLE INTERNET ET RSEAUX DE PROCHAINE GNRATION INFRASTRUCTURE MONDIALE DE LINFORMATION Gnralits Y.100Y.199 Services, applications et intergiciels Y.200Y.299 Aspects rsea

3、u Y.300Y.399 Interfaces et protocoles Y.400Y.499 Numrotage, adressage et dnomination Y.500Y.599 Gestion, exploitation et maintenance Y.600Y.699 Scurit Y.700Y.799 Performances Y.800Y.899 ASPECTS RELATIFS AU PROTOCOLE INTERNET Gnralits Y.1000Y.1099 Services et applications Y.1100Y.1199 Architecture, a

4、ccs, capacits de rseau et gestion des ressources Y.1200Y.1299 Transport Y.1300Y.1399 Interfonctionnement Y.1400Y.1499Qualit de service et performances de rseau Y.1500Y.1599 Signalisation Y.1600Y.1699 Gestion, exploitation et maintenance Y.1700Y.1799 Taxation Y.1800Y.1899 RSEAUX DE PROCHAINE GNRATION

5、 Cadre gnral et modles architecturaux fonctionnels Y.2000Y.2099 Qualit de service et performances Y.2100Y.2199 Aspects relatifs aux services: capacits et architecture des services Y.2200Y.2249 Aspects relatifs aux services: interoprabilit des services et rseaux dans les rseaux de prochaine gnration

6、Y.2250Y.2299 Numrotage, nommage et adressage Y.2300Y.2399 Gestion de rseau Y.2400Y.2499 Architectures et protocoles de commande de rseau Y.2500Y.2599 Scurit Y.2700Y.2799 Mobilit gnralise Y.2800Y.2899 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T Y.1314 (10/2005) i Reco

7、mmandation UIT-T Y.1314 Dcomposition fonctionnelle des rseaux privs virtuels Rsum La prsente Recommandation dcrit lensemble des fonctions requises pour tablir, faire fonctionner et assurer la maintenance des rseaux privs virtuels (VPN, virtual private network) client/serveur et de niveau homologue.

8、La fonctionnalit de rseau est dcrite du point de vue du niveau rseau, en prenant en compte la structure en rseau de couche VPN, les informations caractristiques de client, les associations client/serveur, la topologie de rseautage et la fonctionnalit de rseau de couche. Les modles fonctionnels sont

9、dcrits en utilisant la mthodologie de modlisation dcrite dans les Recommandations UIT-T G.805 et G.809. La mthodologie de modlisation employe est indpendante de la technologie du rseau et donc les modles fonctionnels et les fonctions associes dcrites sappliquent toutes les technologies de rseau de c

10、ouche VPN. Source La Recommandation UIT-T Y.1314 a t approuve le 14 octobre 2005 par la Commission dtudes 13 (2005-2008) de lUIT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. ii Rec. UIT-T Y.1314 (10/2005) AVANT-PROPOS LUIT (Union internationale des tlcommunications) est une instituti

11、on spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisa

12、tion des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Reco

13、mmandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsen

14、te Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositi

15、ons obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives se

16、rvent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation d

17、un droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dappro

18、bation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs

19、de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2007 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T Y.1314 (10/2005) iii TABLE DES MATIRES Page 1 Dom

20、aine dapplication 1 2 Rfrences normatives 1 3 Dfinitions 1 4 Abrviations et acronymes . 3 5 Les VPN client/serveur. 6 5.1 Combinaisons client/serveur 7 5.2 Transparence de couche client de VPN 9 6 Couche homologue de VPN . 9 6.1 Filtrage de paquet/route 10 6.2 Chiffrement. 11 6.3 VLAN Ethernet 11 7

21、Architecture fonctionnelle des VPN. 12 7.1 Rseau de couches VPN orientes connexion 13 7.2 Rseau de couches VPN sans connexion . 14 7.3 Relations client/serveur de VPN 15 7.4 Couches client de VPN multiples. 20 7.5 Couches serveur de VPN multiples 22 7.6 Modlisation VPN utilisant la partition 24 7.7

22、Couche homologue de VPN . 26 8 Prise en charge de la topologie VPN 28 8.1 Topologies VPN maillage complet 28 8.2 Topologies VPN maillage partiel 29 8.3 Topologies VPN rseau en toile 30 9 Considrations de qualit de service sur VPN 31 9.1 Rseaux de couche commutation de circuit. 31 9.2 Rseaux de couch

23、e commutation de paquets. 31 10 Fonctions requises pour ltablissement de VPN client/serveur. 33 10.1 Etablissement de couche serveur de VPN 33 10.2 Authentification/configuration de couche client de VPN 40 10.3 Acheminement et signalisation de couche client de VPN 42 11 Fonctions ncessaires ltabliss

24、ement de VPN de niveau homologue. 45 11.1 Dcouverte des membres du VPN 46 11.2 Authentification, autorisation, et comptabilit (AAA) de CE/utilisateur. 46 11.3 Acheminement de couche VPN homologue. 46 11.4 Configuration dlment de rseau de couche de VPN homologue . 46 12 Fonctions OAM de VPN 47 12.1 G

25、estion des fautes. 48 iv Rec. UIT-T Y.1314 (10/2005) Page 12.2 Gestion des performances. 49 12.3 Activation/dsactivation dOAM 50 12.4 Dfauts pertinents pour chaque mode de rseau 50 13 Convergence fonctionnelle et scnarios de service 52 13.1 Scnarios de services VPN client/serveur 52 13.2 Scnarios de

26、 VPN de niveau homologue . 53 14 Considrations sur la scurit chez les VPN 53 Appendice I Localisation des TCP/TFP de couche client de VPN. 54 Appendice II VPN client/serveur avec plusieurs couches serveurs de VPN 57 Appendice III Exemples de scnarios de service de VPN client/serveur et de niveau hom

27、ologue 60 BIBLIOGRAPHIE. 63 Rec. UIT-T Y.1314 (10/2005) 1 Recommandation UIT-T Y.1314 Dcomposition fonctionnelle des rseaux privs virtuels 1 Domaine dapplication La prsente Recommandation dcrit lensemble des fonctions requises pour tablir, faire fonctionner et assurer la maintenance des rseaux privs

28、 virtuels (VPN, virtual private network) client/serveur et de niveau homologue. La fonctionnalit rseau est dcrite du point de vue du niveau rseau, prenant en compte la structure de rseau de couche VPN, les informations caractristiques de client, les associations client/serveur, la topologie de rseau

29、tage et la fonctionnalit de rseau de couche. Les modles fonctionnels sont dcrits en utilisant la mthodologie de modlisation indpendante de la technologie du rseau dcrite dans les Recommandations UIT-T G.805 et G.809. 2 Rfrences normatives La prsente Recommandation se rfre certaines dispositions des

30、Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en vigueur au moment de la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se re

31、porter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document, en tant que tel, le statut dune Recommandation. Rec

32、ommandation UIT-T G.805 (2000), Architecture fonctionnelle gnrique des rseaux de transport. Recommandation UIT-T G.809 (2003), Architecture fonctionnelle des rseaux de couche sans connexion. Recommandation UIT-T G.8010/Y.1306 (2004), Architecture des rseaux de couche Ethernet. Recommandation UIT-T Y

33、.1311 (2002), Rseaux virtuels privs fournis par le rseau Architecture gnrique et prescriptions de service. 3 Dfinitions La prsente Recommandation utilise les termes suivants dfinis dans la Rec. UIT-T G.805: 3.1 groupe daccs 3.2 point daccs 3.3 information adapte (adapted information) 3.4 information

34、 caractristique (characteristic information) 3.5 relation client/serveur (client/server relationship) 3.6 connexion (connection) 3.7 point de connexion (connection point) 3.8 couche de rseau (layer network) 3.9 liaison (link) 3.10 connexion de liaison (link connection) 2 Rec. UIT-T Y.1314 (10/2005)

35、3.11 matrice (matrix) 3.12 rseau (network) 3.13 connexion de rseau (network connection) 3.14 accs (port) 3.15 point de rfrence (reference point) 3.16 sous-rseau (subnetwork) 3.17 connexion de sous-rseau (subnetwork connection) 3.18 point de connexion de terminaison (termination connection point) 3.1

36、9 chemin (trail) 3.20 terminaison de chemin (trail termination) 3.21 transport (transport) 3.22 entit de transport (transport entity) 3.23 fonction de traitement de transport (transport processing function) 3.24 connexion unidirectionnelle (unidirectional connection) 3.25 chemin unidirectionnel (uni

37、directional trail) La prsente Recommandation utilise les termes suivants dfinis dans la Rec. UIT-T G.809: 3.26 point daccs (access point) 3.27 groupe daccs (access group) 3.28 information adapte (adapted information) 3.29 information caractristique (characteristic information) 3.30 relation client/s

38、erveur (client/server relationship) 3.31 chemin sans connexion (connectionless trail) 3.32 flux (flow) 3.33 domaine de flux (flow domain) 3.34 flux de domaine de flux (flow domain flow) 3.35 point de flux (flow point) 3.36 groupe de points de flux (flow point pool) 3.37 terminaison de flux (flow ter

39、mination) 3.38 puits de terminaison de flux (flow termination sink) 3.39 source de terminaison de flux (flow termination source) 3.40 rseau de couche (layer network) 3.41 flux de liaison (link flow) 3.42 rseau (network) 3.43 flux de rseau (network flow) 3.44 accs (port) 3.45 point de rfrence (refere

40、nce point) 3.46 unit de trafic (traffic unit) Rec. UIT-T Y.1314 (10/2005) 3 3.47 transport (transport) 3.48 entit de transport (transport entity) 3.49 fonction de traitement de transport (transport processing function) 3.50 point de flux de terminaison (termination flow point) La prsente Recommandat

41、ion utilise le terme suivant dfini dans la Rec. UIT-T G.8010/Y.1306: 3.51 fragment de domaine de flux (flow domain fragment) La prsente Recommandation utilise les termes suivants dfinis dans la Rec. UIT-T Y.1311: 3.52 VPN de couche 1 (Layer 1 VPN) 3.53 VPN de couche 2 (Layer 2 VPN) 3.54 VPN de couch

42、e 3 (Layer 3 VPN) La prsente Recommandation dfinit les termes suivants: 3.55 rseau de couche client VPN: composant topologique dans un VPN client/serveur qui reprsente lensemble des points daccs du mme type associs pour les besoins du transfert des informations caractristiques de couche client de VP

43、N. 3.56 rseau de couche serveur VPN: composant topologique dans un VPN client/serveur qui reprsente lensemble des points daccs du mme type associs pour les besoins du transfert des informations adaptes de couche client de VPN. 3.57 rseau de couche homologue VPN: composant topologique qui reprsente l

44、ensemble des points daccs du mme type associs pour les besoins du transfert des informations caractristiques de couche homologue de VPN. 4 Abrviations et acronymes La prsente Recommandation utilise les abrviations et acronymes suivants: AAA authentification, autorisation et comptabilit (authenticati

45、on, authorization and accounting) AAL couche dadaptation ATM (ATM adaptation layer) AG groupe daccs (access group) AI information adapte (adapted information) AIS signal dindication dalarme (alarm indication signal) AP point daccs (access point) ASON rseau optique commutation automatique (automatica

46、lly switched optical network) ATM mode de transfert asynchrone (asynchronous transfer mode) BFD dtection dmission bidirectionnelle (bidirectional forwarding detection) BGP protocole de passerelle frontire (border gateway protocol) CAC contrle dadmission de connexion (connection admission control) CB

47、R dbit binaire constant (constant bit rate) CC vrification de connectivit (connectivity check) CE extrmit client (customer edge) CI information caractristique (characteristic information) 4 Rec. UIT-T Y.1314 (10/2005) CL-PS commutation de paquet sans connexion (connectionless packet-switched) CO-CS

48、commutation de circuit oriente connexion (connection-orientated circuit-switched) CO-PS commutation de paquet oriente connexion (connection-orientated packet-switched) CP point de connexion (connection point) CV vrification de connexion (connectivity verification) DHCP protocole de configuration de serveur dynamique (dynamic host configuration protocol) DLCI identificateur de conne