Pour illustrer les apports du Logiciel Libre sur les configurations réseau, on peut distinguer 3 catégories d'utilisation par ordre d'importance :
Qu'il s'agisse d'un particulier ou d'un «employé nomade», les caractéristiques de la connexion au réseau sont identiques.
A l'heure actuelle, une société a souvent besoin soit de relier ses différents sites ou agences, soit de se connecter à son commanditaire si elle fait de la sous-traitance.
Il s'agit ici d'intégrer un réseau dans une interconnexion qui fédère de nombreux réseaux au sein d'un campus.
Ce type d'utilisation réseau correspond au public le plus «éloigné» du domaine de compétence. Voilà plusieurs années que les instituts spécialisés, à l'exemple du Gartner Group[6], prédisent un avenir «limité» au Logiciel Libre sur les ordinateurs de bureau. Ils constatent dans le même temps que ce marché possède une réelle marge de progression face aux politiques de licences des logiciels propriétaires.
Avec le développement du commerce électronique entre sociétés, de nouveaux marchés s'ouvrent et les possibilités d'échanges sont fortement accrues. Dans le même temps, ces marchés sont très concurrentiels et les besoins de qualité et de confidentialité dans les transactions sont très importants. Le système GNU/Linux offre des fonctionnalités réseau qui répondent parfaitement à ces besoins :
Le déploiement de la technologie ADSL ou Asymetric Digital Subscriber Line[7] est assez lent en France. Les premiers modems ADSL proposés (à l'exemple des Speedtouch USB ex-Alcatel) ne supportaient que l'encapsulation PPPOA[8] par défaut. Pour utiliser l'encapsulation PPPOE[9], il est nécessaire d'ajouter un logiciel supplémentaire jouant le rôle de pont[10] entre le réseau de transport ATM et les trames Ethernet. Les modems ADSL les plus récents offrent le choix entre les différentes encapsulations ; ce qui est beaucoup plus simple.
Une offre ADSL intermédiaire avec un débit symétrique à 182Kbps est apparue. Elle correspond en fait à une connexion de type RNIS.
La technologie RNIS ou Réseaux Numériques à Intégration de Services est disponible sur la totalité du territoire français. Elle est commercialisée en France sous le nom Numéris par France Télécom depuis de nombreuses années. Le noyau Linux possède un sous-système RNIS[11] depuis 1996.
Relativement aux connexions par modems analogiques, les qualités des connexions RNIS proviennent de la numérisation des informations transmises et de la séparation entre les données et les signaux de contrôle. Ainsi, le taux d'erreurs lors des transmissions est très faible et la totalité de la bande passante est disponible pour les données utiles.
La technologie ayant largement fait ses preuves, les connexions RNIS sont toujours beaucoup utilisées en solution de secours sur les infrastructures d'interconnexion. L'emploi de machines GNU/Linux dans ce contexte est très efficace.
Les développements Linux en cours sur RNIS doivent converger vers une interface standard fondée le modèle CAPI. Cette convergence se retrouve dans le projet GNU de Serveur applicatif de télécommunications. La présentation ISDN4Linux, CAPI4Linux, CAPI4Hisax and other cute acronyms propose un panorama des ces axes de développement.
Le développement de la téléphonie IP est limité à de grandes infrastructures suivant un «cloisonnement strict» fixé par les solutions propriétaires. Un projet tel que Serveur applicatif de télécommunications va faciliter l'accès au monde de la téléphonie IP pour un plus grand nombre d'utilisateurs. L'évolution devrait logiquement suivre le même processus que pour les VPNs : dès qu'il faudra interconnecter plusieurs solutions hétérogènes, seul le logiciel libre permettra de répondre.
Le développement du commerce électronique passe par une bonne sécurisation des transactions commerciales :
Dans la plupart des cas aujourd'hui, seul un engagement sur la base d'une charte d'entreprise prévient l'utilisateur contre les dangers de connexion simultanée sur l'Internet et sur le réseau de l'entreprise. Il existe des exemples de faux pas involontaires qui ont eu des conséquences catastrophiques pour les sociétés piratées par ce biais. GNU/Linux, à l'aide des fonctions de contrôle d'accès, permet de configurer le cloisonnement définitif entre les connexions à différents réseaux.
Avec GNU/Linux, les échanges entre la station et le ou les serveurs d'entreprise peuvent être chiffrés à différents niveaux. Pour accéder à l'intranet d'une société, l'utilisateur dispose de plusieurs choix de communication. Il peut choisir de ne chiffrer qu'une partie de ses messages avec les outils utilisant les protocoles SSL ou SSH. Il peut aussi chiffrer la totalité de ses transmissions à l'aide de tunnels utilisant les protocoles SSH ou IPSEC par exemple. On parle alors de réseau privé virtuel ou VPN.
Les utilisateurs individuels les plus «sensibles» au Logiciel Libre sont ceux dont l'activité se rapproche le plus des réseaux et de l'Internet.
Même lorsque la totalité de l'environnement est basée sur des logiciels et matériels commerciaux, l'utilisation de GNU/Linux procure une grande variété d'outils inaccessibles avec les solutions propriétaires : analyseurs de réseaux avec Wireshark, analyseurs de services avec ntop, métrologie avec MRTG, maintenance/configuration des équipements avec netkit ou minicom, etc. Un ordinateur portable léger configuré avec GNU/Linux peut intégrer beaucoup plus de fonctions qu'un analyseur de réseau portable.
L'Internet s'est construit avec le Logiciel Libre. Même si aujourd'hui la plupart des logiciels de développement Internet ont été portés sur les systèmes propriétaires, ils sont toujours beaucoup plus pratiques à utiliser sur GNU/Linux en situation de production au quotidien.
Le marché des configurations de type routeurs d'agence ou serveurs d'appels est en pleine expansion. La plupart des offres commerciales mettent l'accent sur la facilité de mise en oeuvre. Cette facilité est le plus souvent assurée au détriment de la sécurité. Dès qu'il y a «relation commerciale», le contrôle des accès s'impose. Il n'est donc plus question de configurer son accès partagé sur l'Internet en quelques minutes.
Voici 2 exemples de configurations types suivis de la synthèse sur les avantages du Logiciel Libre dans la conception des Réseaux Privés Virtuels.
En plus de la connexion, ce serveur réalise un contrôle d'accès et de services en aiguillant les flux réseau suivant les deux domaines définis : réseau sécurisé et réseau local d'agence.
Ce réseau comprend l'ensemble des services accessibles depuis l'Internet. Les serveurs de ce domaine sont configurés avec un nombre de ports/services ouverts restreints. L'administration distante est assurée par connexion SSH.
Ce réseau comprend l'ensemble des stations de travail de l'agence. On ne peut pas y accéder depuis l'Internet. Les stations ont accès à l'Internet en fonction des règles implantées sur le Serveur/Routeur GNU/Linux.
En plus de la connexion, ce serveur assure l'identification et l'authentification des appelants. Il peut aussi aiguiller les flux réseau en fonction du type d'appel.
Ce site héberge les serveurs de bases de données exploitées par les agences.
Les stations de travail des agences accèdent aux serveurs du site principal par le serveur d'appel. Les transactions entre le serveur d'appels et le routeur d'agence passent par des tunnels chiffrés.
Dans un contexte où les besoins d'échanges d'informations entre sociétés sont en constante augmentation, la transmission sécurisée sur l'Internet est une solution particulièrement avantageuse relativement aux coûts de location et de maintenance des lignes spécialisées.
Ce type de transmission sécurisée est appelé Réseau Privé Virtuel. Avec cette solution, le réseau de l'entreprise peut comprendre une ou plusieurs parties sur l'Internet. Le document VPN HOWTO est une référence de base sur ce type de communication.
Là encore, les configurations de Réseaux Privés Virtuels basées sur le Logiciel Libres offrent d'excellentes fonctionnalités :
C'est une des grandes caractéristiques du système GNU/Linux. Le même logiciel est utilisé pour toutes les tailles de configuration. Que l'on doive connecter 2 agences par un accès de base RNIS ou 2 sites plus importants avec une liaison T2 ce sont les mêmes fonctions logicielles qui sont utilisées. On peut ainsi commencer par qualifier une solution technique sur une connexion de test et ensuite la déployer progressivement en production. Le Logiciel Libre est mieux adapté pour suivre les évolutions des besoins de connexion que les offres commerciales avec lesquelles il faut presque tout «réapprendre» à chaque étape.
Le code utilisé par le Logiciel Libre hérite directement des services originaux de l'Internet. Non seulement on évite les défauts dus aux erreurs de portage des versions commerciales, mais on bénéficie directement des années de mise au point du code original. On peut reprendre les mêmes arguments côté sécurité en y ajoutant que, comme le code source est disponible, les délais de correction de défauts sont très réduits. Il est donc tout à fait logique que les configurations à base de Logiciel Libre aient des temps de fonctionnement en production supérieurs aux configurations propriétaires.
L'utilisation d'une connexion RNIS en liaison de secours redondante avec une ligne spécialisée est aujourd'hui une configuration classique. Lorsque le matériel d'interconnexion existant ne possède pas d'interface RNIS et/ou ne répond pas aux exigences de sécurité actuelles, l'utilisation de serveurs/routeurs GNU/Linux complète parfaitement l'infrastructure.
De manière simplifiée, un inter-réseau de campus peut être vu comme un très gros réseau local. Avec ce type de réseau, outre les problèmes de confidentialité, toutes les difficultés proviennent de la séparation des domaines de collision et de diffusion.
Avec l'adoption quasi-universelle de la commutation, la délimitation des domaines de diffusion est devenue primordiale. Le principal intérêt de l'électronique de commutation est de fournir de la bande passante. Cette bande passante améliore l'interactivité dans l'utilisation des applications réseau.
La seule fourniture de bande passante a ses limites. Dans un réseau sans délimitation des domaines de diffusion, ce sont souvent les applications et services qui ont le plus besoin de cette bande passante qui utilisent beaucoup (trop !) les mécanismes de diffusion. Un tel réseau est voué à la congestion. Lorsque la diffusion utilise un fort pourcentage de la bande passante, l'interactivité se dégrade, il y a de plus en plus de retransmission de synchronisation, de plus en plus de diffusion, etc. etc.
Dans ces situations que l'on rencontre de plus en plus fréquemment, tout l'art de la conception d'une architecture consiste à segmenter correctement les réseaux du campus[12]. A l'heure actuelle, les choix de conception autour de la commutation uniquement basés sur les VLANs sont heureusement moins fréquents. Il vaut mieux privilégier l'association entre commutation et routage : le routage inter-vlan. GNU/Linux est une solution de prédilection dans le rôle du «routeurs de VLANs».
Les réseaux virtuels, VLANs IEEE 802.1P/Q, sont apparus consécutivement au développement des commutateurs. Le principe du réseau virtuel consiste à organiser la base de données des adresses MAC en domaines d'appartenance. Les adresses MAC (couche liaison du modèle OSI - 2) sont les adresses physiques uniques des cartes Ethernet des hôtes du réseau. C'est le seul moyen que possède le commutateur pour repérer les hôtes. En supposant qu'un individu utilise toujours la même interface Ethernet (même adresse MAC), l'organisation du réseau virtuel doit pouvoir se rapprocher au mieux de celle de l'entreprise.
Les avantages du « tout réseau virtuel » :
L'administration par groupes de travail.
Le contrôle de la bande passante par catégorie d'utilisateur.
La mobilité des utilisateurs.
Bien que les infrastructures actuelles utilisent à grande échelle les commutateurs, les réseaux virtuels n'ont pas suivi. Le déploiement des VLANs présente donc des inconvénients :
Les coûts de migration d'une architecture avec routage vers une architecture exclusivement commutée au niveau 2 sont élevés.
Les solutions d'administration des VLANs sont propriétaires. L'interopérabilité d'administration entre équipements hétérogènes est impossible.
Les coûts d'administration des VLANs (déplacements, évolutions, etc.), comparativement aux architectures routées, ne sont pas aussi faibles que les vendeurs d'équipements réseau le voudraient.
L'utilisation du Logiciel Libre dans une architecture entièrement conçue autour de la commutation et des réseaux virtuels présente beaucoup d'intérêt du point de vue de l'interopérabilité et de l'analyse. Le projet 802.1Q VLAN implementation for Linux a pour but l'intégration de la signalisation de la norme IEEE 802.1Q dans le noyau GNU/Linux. L'outil d'analyse ntop orienté vers la caractérisation du trafic par service et par connexion est très précieux dans l'identification des domaines d'utilisation des ressources du réseau.
La démarche de conception de ce type d'architecture est beaucoup plus pragmatique que la précédente. Elle consiste à conserver le découpage des domaines de diffusion par routage et à fournir de la bande passante aux utilisateurs par des commutateurs avec ou sans réseaux virtuels. Les fournisseurs d'équipements réseau exercent une pression forte pour introduire «la commutation de niveau 3». Le coût des équipements de commutation capables de se substituer aux routeurs classiques est encore très élevé. Avant de condamner définitivement un équipement de routage classique en lui attribuant tous les problèmes de congestion du réseau, il faut bien étudier toutes les solutions de contrôle de trafic.
C'est sur ce point que le système GNU/Linux est en position de force. Il est possible de réaliser des architectures avec des routeurs utilisant les techniques les plus sophistiquées de contrôle de trafic et d'accès au niveau des dorsales et des commutateurs pour fournir de la bande passante directement aux utilisateurs. Les fonctionnalités de contrôle de trafic et de qualités de services du noyau du système GNU/Linux sont décrites dans la documentation : Linux Advanced Routing & Traffic Control dont la version française est disponible sur le site du projet inetdoc.LINUX.
L'association du routage avec les services fournis par GNU Zebra et de la commutation avec les fonctions 802.1Q VLAN implementation for Linux permet l'accès à la la commutation de niveau 3 à moindre coût. On bénéficie ainsi de la souplesse d'administration du nombre de ports à l'intérieur d'un domaine de diffusion et de l'optimisation du nombre d'interfaces de routage. En effet, en définissant plusieurs sous-interfaces, chacune associée à un VLAN, on assure la délimitation de plusieurs domaines de diffusion à partir d'une seule interface physique.
[6] Le Gartner Group publie régulièrement des études sur l'impact du Logiciel Libre dans l'industrie informatique. Ces études partent toujours du principe que le Logiciel Libre n'est pas adapté au monde de l'entreprise et poursuivent l'argumentation en constatant qu'il occupe une place de plus en plus importante ...
[7] Le DSL HOWTO for Linux constitue la documentation de référence sur l'ADSL.
[9] La configuration des postes client GNU/Linux utilise le plus souvent protocole PPPoE défini dans le document RFC2516. La majorité des distributions GNU/Linux propose ces outils en paquets.
[10] Le document RFC2684 spécifie l'emploi de trames Ethernet sur un réseau ATM. Le logiciel correspondant est intégré dans le noyau Linux depuis la version 2.4.18. La documentation et l'utilitaire de configuration commande sont disponibles à l'adresse Bridged encapsulation for Linux.
[11] ISDN4Linux est le site de coordination du sous-système RNIS du noyau Linux. La documentation en Français sur la configuration des connexions Numéris est disponible sur Linux-France RNIS/ISDN Howto. Les pilotes des cartes BeWAN, très répandues en France, sont inclus dans les noyaux Linux depuis la version 2.2.11. Les modèles récents s'appuient sur des composants Cologne Chip Designs GmbH reconnus pour leur fiabilité.
[12] Lire l'article La segmentation des réseaux locaux qui présente une synthèse sur le choix entre le routage et la commutation.
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 
