Visioconférence : les technologies d’aujourd’hui

Sous IP, des contraintes liées aux réseaux locaux et à leurs équipements spécifiques

Parallèlement aux difficultés inhérentes à Internet et déjà évoquées dans les chapitres précédents, la visioconférence sous IP souffre également des maux liés à certains dispositifs informatiques spécifiques mis en place dans les réseaux locaux d’entreprise. Situés à la frontière entre le réseau local et le réseau extérieur, ces dispositifs sont principalement de deux ordres : ceux destinés à assurer la gestion des adresses IP de l’ensemble des micro-ordinateurs connectés au réseau local et ceux destinés à assurer la sécurité et la protection des connexions (FireWall). Dans le cadre d’une visioconférence, ces équipements induisent des difficultés d’exploitation particulières qu’il est nécessaire de bien connaître.

La gestion des adresses

Sur Internet tout comme sur les réseau locaux de type Ethernet, chaque poste informatique se voit affecter un identifiant unique appelé adresse IP. Deux postes sur un même réseau (Internet étant considéré comme l’un d’entre eux) ne peuvent pas avoir la même adresse IP. Ces adresses sont codées sur 4 octets de 8 bits, soit 32 bits dans la version actuelle du protocole IP et leur nombre est par conséquent limité [4]. Cette limitation devrait disparaître avec la future version IPv6.

La technique de translation d’adresse (NAT en anglais pour Network Address Translation) a été mise au point pour gérer la pénurie d’adresses possibles face aux besoins croissants d’Internet. Il a ainsi été décidé de répartir le volume des adresses possibles en deux sous ensembles : les adresses publiques (utilisables sur Internet) et les adresses privées (employables uniquement à l’intérieur des réseaux privés). Sur les réseaux locaux, ces dernières peuvent être utilisées sans d’autre restriction que ne pas attribuer deux fois la même adresse dans un même réseau local. Compte tenu de ce confinement, il n’y a aucun risque de conflit lorsqu’une même adresse privée est utilisée sur des réseaux locaux différents.

Sachant qu’une adresse privée ne peut pas être utilisée sur Internet, lorsqu’un poste souhaite se connecter, le mécanisme de translation d’adresse va remplacer l’adresse privée présente dans l’entête de chacun des paquets par une adresse publique avant de router ensuite le paquet vers l’extérieur. Il réalisera l’opération inverse au retour de la réponse. Cette translation pourra être statique (à chaque adresse privée correspondra toujours la même adresse publique) ou dynamique (il n’y a pas d’associations prédéfinies). Dans ce cas, l’établissement disposera en général de moins d’adresses publiques au regard du nombre de postes réellement présent dans le réseau local. Elles seront attribuées par le système au fur et à mesure des demandes de connexion. Plusieurs utilisateurs pourront se voir attribuer la même adresse, la différenciation au retour entre les données destinées aux uns et des autres et la détermination du poste émetteur original s’effectuant alors sur d’autres critères.

Outre le fait que la technologie de la translation dynamique d’adresses permet de limiter le nombre d’adresses publiques utilisées par un réseau s’ouvrant sur l’extérieur, elle permet aussi d’assurer la protection des machines internes contre des « actions malveillantes en provenance d’Internet » puisque leur adresse IP réelle n’est en fait pas directement « visible de l ‘extérieur ». Cette fonction de sécurité est la deuxième raison de l’existence des NAT.

Ce dispositif n’est malheureusement pas pris en compte par certaines des normes (H225 ou H245) utilisées dans le cadre des visioconférences. Ces deux normes n’exploitent pas les adresses contenues dans les entêtes, mais elles inscrivent (et utilisent ensuite) des informations d’adresse qu’elles placent dans le corps même du paquet (dans le schéma ci-dessous, c’est l’adresse privée du terminal A qui va être ainsi transmise au terminal B lors de l’appel initial de A). Compte tenu de sa localisation dans la charge utile, cette adresse n’est pas transformée par le NAT. En tentant d’exploiter cette information pour répondre, l’équipement de visioconférence distant ne peut trouver qu’une adresse privée totalement inexploitable sur Internet. L’établissement de la session de visioconférence est impossible. Certains équipements de visioconférence intègrent des fonctionnalités spécifiques (fonction « NAT IP Adress mask » pour Vcon, « Aethra NAT » pour Aethra...) qui permettent de pallier à cet état de fait (via un menu de configuration, l’utilisateur peut indiquer manuellement l’adresse IP publique qui sera systématiquement attribuée). L’utilisation de firewall ou de proxy compatibles H323 (voir chapitre suivant) sont aussi des méthodes pour résoudre ces cas de figure.

1 2 3 4 5 6 7 8 9 10 11 12 13