Protocole de routage IS-IS

Transcription

1 Protocole de routage IS-IS par Benoît FONDEVIOLE 1. Éléments de base... TE Principes d acheminement Alimentation de la table d acheminement Protocoles de routage de type Link State Modélisation du système Problématique des plus courts chemins Découpage en tâches Construction et maintenance de la base topologique Traitement de la base topologique Découpage en aires Protocole IS-IS Modèle CLNS Modèle IS-IS Identification des nœuds Bases de données mises en jeu et leurs relations Apprentissage de la topologie du réseau Traitement des bases topologiques Quelques spécificités d IS-IS Extensions pour améliorer la disponibilité des réseaux IP Extensions (hors ingénierie de trafic) Quelques règles d ingénierie Conclusion Références bibliographiques A près avoir expliqué les concepts utilisés par les protocoles de routages «Interior Gateway Protocol» à état de lien, nous détaillerons le protocole IS-IS par les éléments suivants : le plan d adressage utilisé par IS-IS ; le découpage multi-aire afin de permettre l utilisation d IS-IS sur de grands réseaux ; les différentes phases utilisées par IS-IS pour permettre à chaque routeur d un réseau de déterminer ses meilleurs chemins au sein de son réseau. De plus, quelques spécificités et extensions du protocole IS-IS sont présentées afin de donner au lecteur un aperçu des évolutions d IS-IS pour les réseaux IP. Enfin, le dernier paragraphe détaille quelques règles d ingénierie IS-IS au sein d un réseau IP. Techniques de l Ingénieur TE

2 PROTOCOLE DE ROUTAGE IS-IS 1. Éléments de base (0) Terminologie Adjacence Relation qui, sous certaines conditions, s établit entre deux routeurs directement voisins. Circuit Désigne une interface, terme particulièrement utilisé dans ISO/IEC Feuille Désigne une terminaison vue du protocole de routage, c est-à-dire un (ou plusieurs) équipements, auxquels il est possible d accéder, mais au travers desquels on ne pourra pas transiter. Flooding Mécanisme permettant de propager de proche en proche une information (de routage dans le cas présent) à toute une zone. Lien Il faut comprendre lien logique, c est-à-dire adjacence. Cette adjacence permet à deux nœuds d'échanger des datagrammes. Nœud Désigne un élément de réseau de type routeur, terme particulièrement utilisé dans ISO/IEC Principes d acheminement Le protocole IP fonctionne en mode non connecté, chaque datagramme IP est porteur d un couple d adresses IP source et destination identifiant la paire de machines en cours de communication. En fonctionnement standard, un routeur s appuie sur l adresse IP de destination pour sélectionner l interface de sortie vers laquelle le datagramme reçu sera acheminé. Pour ce faire, il consulte une table d acheminement dont chaque entrée contient généralement les informations suivantes : le couple (sous-réseau, masque), ce couple constitue le préfixe de la route. Il définit l ensemble des adresses IP de destination pour lesquelles cette entrée sera sélectionnée si aucun sous-ensemble plus spécifique (nota 1) n existe dans cette même table ; la métrique de la route, il s agit d une estimation du coût de la route ; le next-hop indiquant l adresse IP du prochain routeur pour le chemin qui a été retenu ; l interface de sortie. Nota (1) : le caractère spécifique d un préfixe est directement déduit de la longueur de son masque. Comme l illustre la figure 1, une hiérarchie à deux niveaux est introduite par la notion de masque de sous-réseau. La communication de la station 1 vers la station 2 est acheminée par les routeurs R1 à R9. À la réception du datagramme, chaque routeur analyse sa table de routage afin de déterminer la bonne interface de sortie. Les routeurs R1 à R7 possèdent dans leurs tables de routage l adresse avec le masque , ce bloc est un bloc agrégé de l adresse IP destination. Cette agrégation présente bien évidemment l avantage de réduire la taille de la table d acheminement en regroupant, dans une seule entrée de la table, l accessibilité à un ensemble d adresses IP. En revanche, les routeurs R8 et R9 possèdent l adresse exacte avec le masque pour déterminer l interface de sortie à utiliser. 1.2 Alimentation de la table d acheminement Le contenu de cette table d acheminement peut être configuré manuellement (le routage sera alors dit «statique»). Cette méthode présente plusieurs inconvénients puisqu elle est longue et fastidieuse pour les réseaux de grande taille. De plus, lors d une panne d un routeur intermédiaire dans un chemin, le trafic sera toujours acheminé à l aveugle vers le routeur défectueux. Les protocoles de routage ont pour objet de répondre à ces deux écueils : ils automatisent l apprentissage des tables de routage en Table de routage dans les routeurs R1, R2 et R3 : mask vers interface Sx Table de routage dans les routeurs R4, R5, R6, R7 : mask vers interface Sx AS Y Table de routage dans les routeurs R8 et R9 : mask vers interface Sx mask vers interface Sy R5 R4 R6 R7 R1 R2 R3 R8 R9 AS Z Station 1 AS X AS W Station : mask Station : mask Figure 1 Exemple de routage IP TE Techniques de l Ingénieur

3 PROTOCOLE DE ROUTAGE IS-IS AS Y R5 IGP R4 R6 R7 R2 R1 S1 IGP AS X R3 BGP BGP BGP IGP AS W BGP R8 R9 IGP AS Z Station 1 Station : mask Figure 2 Rôle des IGP et BGP fonctionnement nominal et modifient leurs contenus lors de la détection d une panne. De l architecture du réseau Internet, constitué de multiples domaines de routage indépendants, découle deux grandes classes de protocole de routage : les Exterior Gateway Protocol (EGP), qui assurent le routage inter-domaine. Les EGP sortent du cadre de ce document, pour plus d informations le lecteur pourra se référer à RFC1771 [19] ; les Interior Gateway Protocol (IGP), dont le rôle est d assurer le routage au sein d un domaine. Les réseaux IP (et, en particulier, les routeurs qui les composent), qui sont placés sous la responsabilité d exploitation d une entité administrative unique au sein de la communauté Internet, constituent un système autonome AS (Autonomous System ) ou domaine. La figure 2 illustre synthétiquement le rôle de chaque type de protocole pour router la communication entre la station 1 et la station 2. Le protocole BGP permet au routeur R1 de connaître la route agrégée de la station 2 et également de choisir le plus court chemin entre les AS (dans notre exemple, le chemin ASX-ASY-AS Z). Ce calcul BGP permet au routeur R1 de choisir le routeur R3 comme point de sortie de son AS. Le protocole IGP de l AS X permet au routeur R1 de trouver le plus court chemin pour joindre le routeur R3 et ainsi déterminer pour l adresse IP (adresse agrégée de la station 2) l interface à utiliser. Les différents types de protocoles IGP. Les protocoles de routage IGP se divisent en deux grandes catégories : Les protocoles à vecteur de distance (ou Distance Vector ) Chaque routeur déduit, pratiquement (nota 2) sans traitement, sa table d acheminement à partir des informations reçues de ses voisins directs. Il propage alors une copie de cette table à l ensemble de ses voisins en ajoutant une constante à chaque métrique. Cette constante est représentative du coût de la traversée de ce routeur et est généralement valorisée à 1. Ces protocoles particulièrement simples dans leur mode de fonctionnement présentent certaines limites. Ils sont mal adaptés aux réseaux de grande taille et affichent des temps de convergence relativement longs. Ces protocoles ont fait l objet de quelques évolutions : le Split Horizon consiste à ne pas envoyer au routeur voisin les routes de la table qui sont déduites de ses propres annonces ; le Poison Reverse consiste à effectivement annoncer ces routes vers ce voisin, mais avec une métrique infinie ; le Triggered Update consiste à déclencher une annonce dès qu une modification de la table est détectée. Nota (2) : la seule règle consiste à ignorer les annonces relatives à des routes qui seraient déjà présentes dans la table d acheminement avec une métrique plus faible. Les protocoles à état de lien (ou Link State ) Ces protocoles consistent à faire connaître à l ensemble des routeurs la topologie du réseau auquel ils appartiennent. Ils peuvent donc choisir par eux-mêmes le meilleur chemin à emprunter pour atteindre une destination donnée. Ces protocoles sont particulièrement bien adaptés pour le routage dans les cœurs de réseaux (nombre de préfixes limités) et garantissent des temps de convergence efficaces. De plus, comme chaque routeur a une visibilité complète sur l état de chaque lien du réseau, des extensions de routage peuvent être mises en œuvre. 2. Protocoles de routage de type Link State Le principe d un protocole de routage de type Link State consiste à fournir à l ensemble des routeurs d une «zone» considérée, une vision complète de la topologie de la zone. Ainsi, chaque routeur peut construire une table de routage cohérente en choisissant généralement le critère du plus court chemin. La plupart des implémentations actuelles [qu il s agisse d OSPF (Open Shortest Path First ) ou d IS-IS] se contentent de caractériser un lien au travers d une seule métrique «générique», qui sera interprétée par le processus de décision comme le coût d utilisation du lien. Ce paragraphe détaille les caractéristiques générales des protocoles de routage de type Link State. 2.1 Modélisation du système Un réseau IP peut être modélisé par un graphe dont les sommets sont les routeurs et dont les arêtes dépendent de l infrastructure du réseau sous-jacent reliant l ensemble de ces routeurs. Ce réseau Techniques de l Ingénieur TE

4 PROTOCOLE DE ROUTAGE IS-IS sous-jacent, généralement hétérogène, offre toujours deux grands modes d interconnexion : le mode point à point, grâce auquel un lien physique (nota 3) relie exclusivement deux routeurs. Chaque lien de ce type peut constituer intuitivement une arête. Toutefois, cette association ne sera pas toujours systématique comme nous le verrons par la suite. Il conviendra donc de distinguer «lien logique» et «lien physique». Ainsi et sauf mention contraire, le terme «lien» désignera le lien logique, c est-à-dire l arête du graphe vu par le protocole de routage ; le mode partagé ou broadcast, grâce auquel plusieurs routeurs sont reliés sur un même médium. Plusieurs solutions permettent de modéliser ce type d interconnexion à partir d un groupe d arêtes en s affranchissant d un maillage complet (difficile à mettre en œuvre lorsque le nombre de routeurs à interconnecter est important). Nota (3) : par lien physique vu au niveau IP, il faut comprendre un conduit de niveau 2 reliant deux routeurs entre eux. À l inverse, un lien logique désignera généralement la visibilité de ce lien physique au travers du protocole de routage. Un lien vu comme «physique» au niveau 3 peut, bien entendu, s avérer logique au niveau 2. La topologie du réseau IP est ainsi totalement caractérisée par un graphe constitué de sommets (routeurs) et d arêtes orientées. Comme nous le verrons par la suite, les protocoles de type Link State imposent dans leur phase d initialisation que les liens du réseau soient nécessairement bidirectionnels. Il est cependant possible de caractériser chaque sens d utilisation des liens (le graphe est donc orienté). Par ailleurs, ce graphe n est pas obligatoirement complet dans la mesure où le réseau n est pas toujours totalement maillé. En revanche, il doit être connexe (nota 4) pour assurer (en fonctionnement nominal) une connectivité entre tous les routeurs. Nota (4) : dans un contexte multi-aires, la connexité n est pas totale du fait de la segmentation des bases topologiques. 2.2 Problématique des plus courts chemins La problématique des plus courts chemins à résoudre au sein d un réseau IP s énonce de la manière suivante : étant attribuée une certaine métrique (pas nécessairement identique pour chaque sens du lien) à chaque lien logique, il faut déterminer pour chaque paire de routeurs le plus court chemin permettant de les relier deux à deux (en différenciant chaque sens si les métriques sont valorisées de manière asymétrique) ; il faut paramétrer dans les configurations des routeurs les éléments nécessaires pour que l acheminement des flux de trafic soit conforme aux chemins qui ont été retenus dans l étape précédente. Si les routeurs étaient totalement dépourvus d intelligence, il serait possible de délocaliser le calcul des plus courts chemins sur un serveur disposant de la topologie réseau en temps réel. Toutefois, ces routeurs étant eux-mêmes des systèmes capables d exécuter des programmes, chaque routeur calcule donc et modifie en temps réel sa table d acheminement. 2.3 Découpage en tâches Les routeurs impliqués dans le routage IGP effectuent les tâches suivantes : échanger des informations pour la construction et la maintenance de la base topologique représentative de l état du réseau ; exécuter un algorithme sur cette base topologique pour calculer les meilleures routes, et renseigner ainsi les bases de données résultantes en particulier la table d acheminement ; décider de l acheminement du trafic utile à partir du contenu de la table d acheminement. Les parties suivantes tentent de décrire plus finement les deux premières tâches, la troisième tâche relevant plus d un problème d implémentation que d un problème protocolaire. 2.4 Construction et maintenance de la base topologique Découverte des voisins Pour pouvoir participer à un routage IGP de type Link State, un routeur doit commencer à se faire connaître et à apprendre à connaître ses voisins. Cette phase d initialisation a une portée limitée puisqu elle n engage que les voisins directs du routeur considéré. Elle s appuie sur l échange de messages de type Hello (nota 5) qui sont envoyés sur chacune des interfaces du routeur pour lesquelles le protocole de routage est actif. Le routeur est ainsi capable à l issue de cette phase d initialisation de lister, pour chacune de ces interfaces, l intégralité des identifiants des voisins directs participant au routage IGP. Nota (5) : pour que la reconnaissance de deux voisins soit effective, l échange de ces messages Hello doit impérativement s opérer au travers d une même interface, les arêtes du graphe doivent être bidirectionnelles. Pour optimiser cette phase d initialisation, le format des messages Hello sera sensiblement différent selon le type d interface considéré : pour les interfaces de type point à point, ces messages sont en unicast et ne contiennent pas d autre identifiant que celui de l émetteur ; pour les interfaces de type broadcast, les messages sont envoyés en multicast. En incluant dans ces messages la liste des voisins «vus» sur le LAN, chaque routeur peut ainsi contrôler que la communication est bidirectionnelle avec ses voisins Établissement et maintenance des adjacences Lorsque deux routeurs voisins se sont reconnus mutuellement, l adjacence est considérée comme établie. Les adjacences ont en fait deux significations bien distinctes : elles correspondent aux paires de routeurs entre lesquels des informations de routage seront échangées de proche en proche ; elles correspondent aussi et surtout aux liens (logiques) à travers lesquels les datagrammes pourront transiter. Elles constituent les arêtes du graphe sur lequel le calcul des plus courts chemins sera réalisé. Une fois une adjacence établie, celle-ci doit être maintenue par l échange périodique sur l interface correspondante de ces mêmes messages Hello utilisés lors de la phase d initialisation. En cas de non réception consécutive d un certain nombre de ces messages, l adjacence sera considérée comme retombée. Le cas échéant, le routeur détectant cette perte d adjacence aura la charge d avertir les autres routeurs de ne plus utiliser ce lien dans le calcul des plus courts chemins Génération des informations de routage : notion de lien Comme indiqué dans le paragraphe précédent, chaque adjacence correspond à un lien logique dans le réseau entre deux routeurs. Toutefois, si l adjacence est une notion locale à un routeur donné (notamment par le fait qu elle inclut l identifiant local de l interface du routeur), le lien a quant à lui une portée globale à tout le réseau, ou tout au moins à une aire. En ce sens, le lien est caractérisé par les mêmes arguments que l adjacence correspondante à l exception de l identifiant de l interface du routeur. Enfin, pour les interfaces de type broadcast, le caractère totalement maillé des adjacences n est pas reproduit dans la description des liens pour simplifier la topologie perçue. Un routeur a donc pour devoir d informer ses voisins directs de l ensemble des liens dont il dispose. Toute modification relative aux adjacences d un routeur déclenche (éventuellement à retardement) une annonce à tous les voisins. Parallèlement à ces annonces TE Techniques de l Ingénieur

5 PROTOCOLE DE ROUTAGE IS-IS «asynchrones», lorsque les adjacences ne subissent pas de modification, ces mêmes messages sont générés périodiquement pour assurer le rafraîchissement des bases topologiques. Il doit être noté que chaque message dispose d une certaine durée de vie au-delà de laquelle l information est éliminée de la base s il n y a pas eu rafraîchissement. Ce mécanisme évite d encombrer la base topologique avec des informations concernant des routeurs qui ne seraient plus présents dans le réseau ou dont on aurait modifié l identifiant. L ordre de grandeur de cette durée de vie est généralement d environ 15 ou 20 minutes Mécanisme d inondation Sur réception des mises à jour de routage générées par un voisin, un routeur met éventuellement à jour sa base topologique, génère un acquittement et retransmet l information vers tous les autres voisins avec lesquels il a établi une adjacence. La connexité du graphe assure ici que la propagation des mises à jour atteindront tous les sommets. Ces annonces périodiques, combinées avec un mécanisme d acquittement par adjacence, permettent de maintenir et de synchroniser sur tous les routeurs une base topologique représentative de l état des liens et des nœuds du réseau. Elle se nomme la LSDB (Link State Data Base). 2.5 Traitement de la base topologique Une fois la LSDB synchronisée, chaque routeur exécute alors un algorithme sur le contenu de cette LSDB afin de générer sa table de routage (Routing Information Base ). Cette table sera alors utilisée pour alimenter la table d acheminement (FIB) du routeur. Le critère généralement choisi pour le calcul de la table de routage est celui du plus court chemin ou Shortest Path First (SPF) Multiplicité des algorithmes de plus court chemin Plusieurs familles d algorithmes existent pour le calcul des plus courts chemins tels que : l algorithme de Dijkstra, qui permet de trouver les plus courts chemins d un sommet source vers tous les autres sommets dans un graphe orienté dont les arêtes sont pondérées (tous les poids devant être positifs ou nuls) ; l algorithme de Bellman-Ford, qui répond au même problème que celui de Dijkstra, mais en autorisant en outre des poids négatifs ; l algorithme de Floyd-Warshall répond au problème des plus courts chemins pour tous les couples de sommets d un graphe orienté et pondéré. En répétant n fois l algorithme de Dijkstra pour chaque sommet du graphe, on obtient le même résultat qu avec l algorithme de Floyd-Warshall Algorithme retenu, mise en œuvre et optimisations Les réseaux IP étant en pratique rarement très denses, et par nature distribuée, l algorithme retenu pour le calcul des plus courts chemins est l algorithme Dijkstra. Les implémentations de cet algorithme sont multiples, chacune affichant des performances différentes. Outre la méthode d implémentation, un certain nombre d optimisations de l algorithme ont vu le jour ces dernières décennies. Beaucoup de routeurs sont aujourd hui bâtis sur une architecture dite distribuée dans laquelle un processeur central se charge, entre autre, de la gestion et de la distribution des différentes tables de routage, alors que les cartes d interface sont chargées des décisions d acheminement. Sur ce type de machine, le déclenchement d un calcul SPF n a pratiquement pas d impact sur les performances de commutation, ce qui présente un avantage considérable. Toutefois, un effet secondaire apparaît et est lié à la fréquence de distribution de la table d acheminement vers ses cartes d interface. Effectivement, sur certains équipements, la mise à jour de la table d acheminement sur le processeur central n est pas immédiatement répercutée sur les cartes d interfaces, mais retardée pour limiter la fréquence de rafraîchissement. Dans ce cas, il conviendra de s assurer que la fréquence de calcul des SPF soit supérieure à cette fréquence de rafraîchissement. 2.6 Découpage en aires Les paragraphes précédents ont mis en évidence les problèmes que peuvent induire des réseaux de grande taille : le délai de propagation, et donc de synchronisation de la LSDB ; la complexité en temps des algorithmes mis en œuvre dans les calculs des plus courts chemins (même si aujourd hui les processeurs modernes des routeurs permettent des calculs SPF dans des temps courts < 100 ms pour des réseaux de à nœuds). Pour éviter ces deux écueils, il est possible de découper un réseau en plusieurs aires. Pour que ce découpage soit efficace, il faut que le plan d adressage soit en cohérence avec ce découpage afin de pouvoir procéder à des agrégations de routes au niveau des routeurs frontières des aires. Les avantages du découpage d un réseau en plusieurs aires sont multiples, parmi lesquels il convient de citer : la réduction de la taille de la (ou des) LSDBs : une LSDB est alors limitée à la description de la topologie de l aire considérée et présente les avantages suivants : une LSDB moins gourmande en espace mémoire, la réduction de la consommation processeur par le calcul SPF (le temps de calcul SPF est directement fonction de la taille de la LSDB) ; la réduction de l impact du phénomène d oscillation de routes (route flapping ) lorsqu un lien présente une instabilité. Il arrive en effet que l adjacence passe périodiquement d un état up à un état down, ce qui peut provoquer des consommations de ressources non négligeables. Le cloisonnement des topologies réduit le nombre de routeurs impactés par ce déclenchement ; la hiérarchisation du réseau permet d affiner et de mettre en œuvre une politique de routage rigoureuse et mieux maîtrisée. Les inconvénients du découpage d un réseau en plusieurs aires sont les suivants : un découpage peut parfois mener à un routage sous-optimal (nota 6) si le protocole ne supporte que des aires de type stub (c est le cas du protocole IS-IS) : le routage est sous-optimal au sens IGP puisque le routeur de sortie d aire sera choisi indépendamment de la destination visée, il peut également s avérer sous-optimal au sens EGP du fait de l incapacité de calculer une métrique de bout en bout ; les routeurs perdent la connaissance de la caractéristique des liens extérieurs à l aire à laquelle ils appartiennent. Ils ne peuvent plus s engager sur un choix de route inter-aire lié par exemple à la qualité de service ; un découpage accroît sensiblement la complexité de la configuration du réseau. Nota (6) : précisons bien qu une aire de type stub peut aussi être un choix d ingénierie qui convient à de nombreuses situations. Techniques de l Ingénieur TE

6 PROTOCOLE DE ROUTAGE IS-IS 3. Protocole IS-IS Le protocole IS-IS fait l objet d une spécification détaillée dans la norme ISO/IEC [16]. Il définit un protocole de routage de type intra-domaine pour les réseaux de type CLNP dont les principes sont décrits dans les normes ISO/IEC 8473 [9] à [13]. Son adaptation au protocole IP fait de lui un IGP de type Link State comparable au protocole OSPF. 3.1 Modèle CLNS Le modèle CLNS ISO/ IEC 8473 définit deux types d éléments de réseau : les End Systems (ES), qui sont susceptibles d émettre ou de recevoir des datagrammes. Ils ne sont cependant pas capables de les router. Ils sont appelés systèmes terminaux ; les Intermediate Systems (IS), qui peuvent émettre, recevoir et router des datagrammes. Ils sont appelés routeurs. La figure 3 illustre très brièvement le découpage hiérarchique introduit dans la spécification ISO/ IEC Un domaine de routage est administré par une seule et même entité et peut être découpée en plusieurs aires. Le protocole IS-IS assure le routage intra-aire et inter-aires à l intérieur d un domaine CLNS. Pour le routage vers un domaine différent, la norme ISO prévoit l utilisation du protocole Inter-Domain Routing Protocol (IDRP). La transmission de datagrammes CLNP à l intérieur d un domaine CLNS s appuie finalement sur la combinaison des deux protocoles suivants : le protocole ES-IS, défini dans ISO 9542 [14] [15], qui permet aux éléments ES et IS voisins de se découvrir mutuellement ; le protocole IS-IS, défini dans ISO [16], qui permet d échanger des informations de routage entre IS. Son modèle à deux niveaux autorise le découpage d un domaine de routage en plusieurs aires afin de réduire la taille du graphe mémorisé dans chaque IS. 3.2 Modèle IS-IS Initialement conçu pour transporter des informations de routage respectant exclusivement le formalisme CLNS, la simplicité et la robustesse du protocole IS-IS ont motivé son adaptation au modèle IP. Cette adaptation a consisté à considérer les préfixes IP comme des feuilles (au même titre que les ES) d un nouveau type RFC 1195 [18]. Elle propose trois modes d utilisation possibles du protocole IS-IS : le mode OSI-only ; le mode IP-only ; le mode Dual supportant simultanément deux formats d adresses. Quel que soit le mode d utilisation retenu, ce protocole s appuie sur un routage à deux niveaux hiérarchiques (le niveau L1, et le niveau L2) où chaque niveau est associé à une base topologique (LSDB) indépendante Une seule aire, un seul niveau Lorsque le réseau n est pas de trop grande taille, les routeurs supportent la configuration du réseau en une seule aire. Dans ce cas, un seul niveau de routage est activé (le niveau L2) et une seule base topologique est commune à l ensemble des routeurs du domaine. Cette base peut être décrite comme suit : chaque nœud IS représente un sommet du graphe ; chaque lien physique point à point reliant une paire de ces nœuds IS et sur lequel IS-IS est activé à chaque extrémité, correspond alors à une arête du graphe ; les réseaux de type broadcast (on parle de pseudonode ), remplacent le médium partagé par un nœud virtuel. Ce nœud virtuel rattache alors en étoile les nœuds réels connectés à ce médium. La figure 4 met en évidence le traitement des réseaux de type broadcast avec l introduction de deux pseudonodes auxquels sont associés des métriques de sortie toujours nulles. Elle illustre également la suppression des feuilles (donc des préfixes IP) dans le modèle topologique. En terme de métrique de lien, la norme IS-IS autorisait initialement quatre formes de métrique (Default, Delay, Expense, et Error ). Chaque forme de métrique impose a priori un calcul SPF différent. IS ES ES-IS protocol Level 1 IS-IS Level 2 IS-IS Inter domain Délimitation d une aire Délimitation d un domaine Figure 3 Modèle de routage CLNS TE Techniques de l Ingénieur

7 PROTOCOLE DE ROUTAGE IS-IS H 3 F 8 F G Circuit type L1L2 A B C E 10 A B E D D 2 D Circuit type L1-only I J F 8 K L A C 0 8 L1 LSDBs L2 LSDB E A E F H B D 10 B D G Figure 4 Modèle IS-IS en mono-aire Plusieurs aires, deux niveaux Lorsque le réseau atteint une taille importante, il est vivement recommandé de découper le réseau en plusieurs aires distinctes, ce qui impose d utiliser un routage à deux niveaux hiérarchiques : le niveau L1, qui ne renseigne que la topologie de l aire locale. Une adjacence L1 ne peut s établir qu entre deux routeurs d une même aire ; le niveau L2, qui renseigne une topologie généralement partielle du domaine mais indépendante de l aire d appartenance de chaque routeur. C est le niveau L2 qui assure la continuité du routage inter-aires. Une adjacence L2 s établit indifféremment entre deux routeurs d une même aire, ou d aires différentes. Pour construire un modèle IS-IS multi-aire, un nœud IS peut fonctionner selon trois modes différents : L1-only, L2-only ou bien L1L2. Son appartenance à un niveau donné l implique dans les échanges relatifs à ce niveau ainsi que la base topologique associée. En particulier, les routeurs en mode L1L2 maintiendront simultanément deux bases topologiques différentes (la base topologique L1 de l aire à laquelle ils appartiennent et la base topologique L2 qui elle, est globale au domaine de routage), comme illustré à la figure 5. Dans le modèle IS-IS, les aires périphériques (L1) sont par défaut de type stub. Ainsi, pour router les paquets à l extérieur d une aire, les routeurs L1 s appuient sur une route par défaut implicite qui est celle du routeur L1L2 le plus proche (au sens du routage IS-IS) dans l aire. La caractérisation des interfaces d un routeur IS-IS est toujours relative à un certain niveau. Sur la figure 5 par exemple, le lien (C,D) I K Figure 5 Modèle IS-IS en multi-aire C J L a été configuré avec une métrique L1 différente de sa métrique L2. Pour aller d un point à un autre d une même aire, une telle configuration peut induire des choix de routes différents entre le niveau L1 et le niveau L2. Il est également possible d interdire l établissement de certains niveaux d adjacence. Par exemple entre I et J, seuls les adjacences de type L1 sont autorisées, ce qui revient à masquer la présence de ce lien dans la topologie L2. Ces exemples mettent en évidence le caractère purement logique de la notion d adjacence et donc de lien au sens IS-IS. C est aussi pour cette raison qu on qualifiera une adjacence, ou un lien, par son niveau L1 ou L2. La délimitation des aires est implicite de par l adressage qui est attribué à chaque nœud. Cette délimitation se situe au niveau des liens et non au niveau des nœuds. Un sommet appartient à une aire dans sa globalité, c est-à-dire avec l ensemble de ses interfaces. Deux interfaces en vis-à-vis, appartenant à des sommets différents, peuvent appartenir à des aires différentes. E C I D J Techniques de l Ingénieur TE

8 PROTOCOLE DE ROUTAGE IS-IS 8348/Ad AFI IDP IDI Figure 6 Adressage CLNS IDP Initial Domain Part AFI Authority and Format Indicator IDI Initial Domain Identifier DSP Domain Specific Part SEL Selector Figure 7 Format courant d adressage DSP Area System ID SEL xx xx xx xx xx xx xx 00 Area System ID SEL 3.3 Identification des nœuds Pour identifier les nœuds de manière unique, une adresse leur est attribuée conformément à ISO/IEC [16]. En particulier, les champs AFI et IDI de l IDP ne sont pas utilisés par le protocole IS-IS puisque ce protocole est censé router à l intérieur d un domaine comme illustré à la figure 6. La NSAP (Network Service Access Point ) constitue l adresse réseau du protocole CLNP. Dans ISO/IEC [16], cette adresse, dont la longueur totale varie de 8 à 20 octets, est constituée de trois champs : l Area, de taille variable, qui définit l aire dans laquelle se situe le nœud ; le System ID, codé sur 6 octets, qui identifie le nœud physique de manière globale (et non pas par interface) ; le Selector Byte, codé sur 1 octet, qui est uniquement utilisé pour indexer les éventuels pseudonodes. Le sélecteur est toujours positionné à 0. Un NET (Network Entity Title ) correspond à une adresse NSAP dont le sélecteur est à zéro. En pratique, il est d usage, même si les champs AFI et IDI sont totalement opaques en IS-IS, de choisir un plan d adressage local comme l illustre la figure 7. Cela impose la valeur 49 (hexadécimale) à l AFI et un IDI nul. Le troisième octet est utilisé pour coder l aire (255 valeurs possibles). Les six octets suivants, qui constituent le System ID (généralement construit à partir de l adresse IP dite «system» (ou «loopback») du routeur : il s agit d une adresse IP qui n est pas attaché à une interface physique, et qui a donc la caractéristique d être toujours active), sont eux-mêmes suivis du dernier octet toujours valorisé à 0. Ce sélecteur permet au nœud d indexer les éventuels pseudonodes qu il sera amené à représenter. Une adresse NSAP comportant un sélecteur nul correspond à un nœud, la même adresse avec un sélecteur non nul correspond alors à un pseudonode incarné par ce même nœud. 3.4 Bases de données mises en jeu et leurs relations Le protocole IS-IS s appuie sur la maintenance et la combinaison de plusieurs types de bases de données qu on peut classer en deux catégories. Les bases de données représentatives de l état du réseau sont : le Circuit DataBase (CDB), qui décrit l ensemble des interfaces sur lesquelles le protocole est activé. Cette base est commune aux deux niveaux L1 et L2 et reste locale à chaque routeur ; l Adjacency DataBase (ADB), qui décrit les informations de routage locales au routeur en listant en particulier l ensemble de ses voisins directs. Cette base est commune aux deux niveaux L1 et L2 et reste locale à chaque routeur ; les Link State DataBase (LSDB), qui décrit l ensemble des liens du réseau tels qu ils sont annoncés par le protocole IS-IS. Il existe une LSDB par niveau L1 et L2. Contrairement aux deux bases précédentes, chacune de ces bases est globale relativement à son niveau. Les bases de données résultant du calcul des plus courts chemins sont : les SPDB (Shortest Path DataBase ), calculées par l algorithme des plus courts chemins. Il en existe une par niveau L1 et L2. Ces bases sont locales au routeur ; les FDB (Forwarding DataBase ), qui constituent les tables d acheminement relatives à chaque niveau et à chaque type de métrique, soit potentiellement 8 bases. Le terme FDB proposée par ISO/IEC [16] peut prêter à confusion et on lui préfèrera le terme Routing Information Base (RIB). Cette table est utilisée pour alimenter la table Forwarding Information Base (FIB). La table FIB désigne la table d acheminement du routeur et est déduite d une compilation des différentes tables RIBs (une RIB par protocole de routage). Toutes ces bases sont locales au routeur considéré. 3.5 Apprentissage de la topologie du réseau L apprentissage de la topologie du réseau, et donc la mise à jour des bases de données décrites précédemment, se réalise en plusieurs phases et s appuie sur l échange de différents types de messages. Chacun de ces messages est composé d un en-tête suivi d une succession d éléments TLV (Type, Longueur, Valeur) : structure d encodage couramment utilisé dans le domaine des télécommunications (ISO/IEC [16]) Reconnaissance des interfaces La configuration locale du routeur renseigne un certain nombre d informations relatives aux interfaces, parmi lesquelles : le fait que le protocole IS-IS soit activé sur une interface ; les niveaux autorisés sur cette interface (L1, L2, ou L1L2) ; pour chaque niveau : la (ou les) métrique(s) associée(s) à cette interface, le mot de passe à utiliser sur cette interface. Toutes ces informations sont stockées par interface dans la CDB avec un ensemble d informations complémentaires comme les caractéristiques intrinsèques de l interface (point à point ou broadcast), son état, un compteur pour l émission des messages Hello, etc. La mise à jour de cette base de données relève plus d un problème d implémentation que d un problème protocolaire. Retenons simplement que le protocole IS-IS s appuie sur le contenu de cette CDB pour mettre à jour d autres bases de données Découverte des voisins Au travers de chaque interface listée dans la CDB, le routeur annonce sa présence par l émission de messages Hello qui seront fonction du type d interface. Deux cas sont à distinguer, les interfaces de type point à point et les interfaces de type broadcast. TE Techniques de l Ingénieur

9 PROTOCOLE DE ROUTAGE IS-IS Interfaces de type point à point Reconnaissance des voisins ES et des voisins IS Sur ce type d interface et pour une raison de compatibilité avec ISO 9542 [14], le routeur doit dans un premier temps émettre le message ISH (Intermediate System Hello ) indiquant à son voisin qu il est de type IS c est-à-dire routeur. À l inverse, un équipement terminal enverrait un message ESH (End System Hello) et il ne pourrait s établir entre les deux équipements qu une adjacence ES-IS. À l émission de ce premier message ISH, l état de l adjacence passe à «initialisation» et le voisin reste «inconnu». Lorsque en retour le routeur reçoit un message ISH, il est informé que son voisin est également de type IS et l adjacence IS-IS peut effectivement être envisagée Tentative d établissement d adjacence Ne renseignant que sur le type d équipement en vis-à-vis (ES ou IS), le contenu du message ISH est insuffisant pour établir l adjacence. À ce stade, un deuxième type de message Hello doit être envoyé par les deux parties, il s agit du P2P IIH (Point to Point Intermediate System to Intermediate System Hello ). Ce message contient les informations suivantes : conformément à ISO/ IEC [16] : le (ou les) niveau(x) autorisé(s) sur l interface vers laquelle est envoyé le message. Trois valeurs sont possibles : L1-only, L2-only, et L1L2. De cette valeur dépendra directement l établissement d adjacences de niveau L1 et/ou de niveau L2, le System ID de l émetteur du message. Il est déduit de l adresse NET qui a été configurée sur le routeur. Cette valeur permet d identifier totalement le routeur, elle constitue également un des éléments identifiant l adjacence en cours d établissement, le Holding Time à utiliser pour ce routeur. Cette valeur correspond au temps au-delà duquel l adjacence tombera si le routeur voisin ne s est pas manifesté, l identifiant local du circuit (de l interface). Cette valeur permettra de détecter l éventuelle modification de l interface utilisée pour maintenir cette adjacence. Cette valeur constitue également un des éléments identifiant l adjacence en cours d établissement, la (ou les) adresse(s) d aire configurée(s) sur l IS à l origine du message. De cette valeur dépendra la possibilité d établir une adjacence L1, une information d authentification. Il s agit d un mot de passe combiné avec une fonction de hachage de type HMAC-MD5 ; pour le support du routage IP, les informations supplémentaires suivantes ont été définies dans RFC 1195 [18]. Elles doivent donc être incluses dans le message P2P IIH dès l instant que le nœud IS fonctionne en mode IP-only, ou en mode Dual : la liste des protocoles supportés (pour indiquer le support d IPv4, IPv6 et/ou de CLNP), la (ou les) adresse(s) IP de l interface sur laquelle ce message est envoyé. Cette valeur sera utilisée par le routeur voisin pour valoriser le next-hop dans la FIB. Si l interface n est pas numérotée au sens IP, le message contiendra l adresse IP system du routeur Établissement d une adjacence Sur réception de ces informations, le routeur établira ou non l adjacence avec son voisin (en fonction de la compatibilité des niveaux autorisés, des numéros d aires, des résultats de l authentification, etc.). Si l adjacence est effectivement établie avec succès, chacun des deux routeurs réalise alors les opérations suivantes : consigner dans l ADB l ensemble des informations reçues dans le message P2P IIH ; envoyer vers tous les voisins disposant du même niveau d adjacence un LSP (Link State PDU) contenant la description de ce nouveau lien logique ; envoyer à ce nouveau voisin le message CSNP (Complete Sequence Number PDU) listant de manière synthétique le contenu local de la LSDB. S il faut que la première opération soit réalisée avant les deux suivantes, la norme ne préconise pas d ordre pour les deux dernières Interface de type broadcast et élection du DIS Des routeurs connectés par des interfaces «broadcast» comme les interfaces Fast ou Giga Ethernet peuvent communiquer directement entre eux sans passer par un routeur intermédiaire. La topologie IP résultante devrait être une topologie entièrement maillée. Ces topologies posent des problèmes de performance aux protocoles de routage comme IS-IS. C est pourquoi, IS-IS optimise certains points caractéristiques, comme le graphe IS-IS en introduisant la notion de Designated Intermediate System comme illustré à la figure Annonce de la présence de l IS Le DIS (Designated Intermediate System) joue deux rôles : il incarne un pseudonode et est donc responsable de la génération du pseudonode LSP modélisant le LAN de manière étoilée. Le pseudonode matérialise un médium partagé en étoile et constitue donc un nœud virtuel au cœur de l étoile. Il maintient les adjacences entre tous les IS du LAN évitant ainsi de modéliser le LAN d une manière totalement maillée ; il centralise la synchronisation des LSDB, en émettant périodiquement un message CSNP à destination de tous les IS présents sur le LAN. Switch Ethernet DIS Topologie physique Topologie IP résultante Complexité (N^2) Graphe IS-IS avec introduction du DIS Complexité (N) Figure 8 Topologie IP et graphe IS-IS dans le cas de routeur connecté par des interfaces «broadcast» Techniques de l Ingénieur TE

10 PROTOCOLE DE ROUTAGE IS-IS Sur chaque interface de type broadcast, un message LAN IIH est périodiquement émis. Ce message contient une liste d informations similaires à celles du message P2P IIH, auxquelles s ajoutent les données suivantes : la priorité de l émetteur pour l élection du DIS ; le LAN ID qui désigne l identifiant du DIS sur le LAN. À l initialisation d un routeur, le DIS n étant pas encore connu, ce champ prendra la valeur du system ID local, concaténé avec l identifiant du circuit local (comme si le routeur émetteur était lui-même DIS) ; la liste des adresses MAC ou SNPA avec lesquelles des adjacences sont déjà établies (état «up»), ou en cours d établissement (état «initialising») sur ce LAN (voir plus bas). Cette liste est positionnée dans le champ «Intermediate System Neighbors» pour lequel deux formats sont autorisés : le format sur 6 octets, le plus courant, qui doit être utilisé pour toutes les interfaces broadcast dont l adresse MAC est codée sur 6 octets, un format de taille variable utilisé notamment dans les réseaux de type MAN 802.6, pour lesquels l adresse est codée sur 8 octets. Ce message est émis périodiquement par chaque IS du LAN, à destination des adresses multicast (au niveau MAC) AllL1IS s il s agit d un Hello de niveau L1, ou de AllL2IS s il s agit d un Hello de niveau L2. Si l équipement est de niveau L1L2 et que l interface est configurée pour supporter les deux niveaux, il réalise alors l opération pour chaque niveau. Sur réception d un tel message, l IS peut accepter ou refuser, pour différentes raisons (aires incompatibles au niveau L1, mot de passe incorrect, etc.), de tenter d établir l adjacence. Si l IS refuse, il ignore purement le message, s il accepte, il se conforme à l étape suivante Établissement d une adjacence (de niveau n) Lorsque l IS reçoit d un routeur R un message Level n LAN IIH répondant aux critères d établissement d adjacence, et pour lequel il n existe pas encore d adjacence (contrôle sur l adresse MAC source du message), l IS doit créer dans son ADB une nouvelle adjacence. Il y consigne les informations présentes dans le message LAN IIH reçu, ainsi que l adresse MAC source du message permettant d identifier cette nouvelle adjacence. Tant que l IS n est pas certain qu une communication bidirectionnelle existe entre les deux équipements, l état de cette adjacence est à «initialising». Ce n est qu en voyant sa propre adresse MAC dans le champ «Intermediate System Neighbors» de ce même message provenant de R, que l adjacence sera véritablement considérée comme établie et son état passe alors à «up». En conséquence, la montée d une adjacence complète entre deux nouvelles machines sur un LAN peut nécessiter dans le pire des cas l échange de 3 à 4 messages Hello Élection du DIS L élection du DIS sur le LAN est automatique (sur la base de l adresse MAC la plus élevée), ou peut-être forcée administrativement par un système de priorité (l IS annonçant la priorité la plus élevée sera élu). Lorsqu un IS doit quitter son rôle de DIS, il l annonce à l ensemble du réseau en émettant un LSP avec un remaining LifeTime à 0 (purge). Si cela n a pas été fait, lorsqu un IS reprend le rôle de DIS d un autre IS (détection de panne en particulier), il doit purger l ancien DIS de la même manière Maintien d une adjacence Les adjacences préalablement établies doivent être maintenues par l envoi périodique, tous les ISISHelloTimer, de messages Hello. Si sur l une de ses interfaces, un routeur ne reçoit pas ce message pendant plus de Holding Time secondes (valeur qui a été annoncée par le voisin lui-même dans le message Hello ), l adjacence correspondante retombe. Dans le message Hello émis par un routeur, le champ Holding Time contient le résultat de l opération suivante : ISISHelloTimer * ISISHoldingMultiplier. Ces deux dernières valeurs sont configurables sur chaque routeur par type d interface (broadcast ou point à point), et pour les interfaces de type broadcast, on distinguera le ISISHelloTimer du DIS qui sera toujours configuré à une valeur plus faible pour accélérer la détection de panne. Le paramètre HelloTimer correspond à la période d émission des messages Hello, alors que le paramètre ISISHoldingMultiplier est un entier correspondant au nombre de messages Hello qu on s autorise à perdre consécutivement avant de considérer l adjacence comme retombée Génération et propagation des LSP : inondation Les messages Link State PDU (LSP) décrivent les liens et les feuilles présents sur un nœud du réseau. Chaque nœud est responsable de la génération de son propre LSP vers chacun de ses voisins directs, mais également de la propagation des LSP qu il reçoit de ces mêmes voisins. La propagation des LSP de proche en proche assure la diffusion de la base à l ensemble d une «zone» au sens large (c est-à-dire d une aire L1 ou du backbone L2) Différents types de LSP En IS-IS, on distingue deux catégories de LSP Les non-pseudonode LSP Les IS neighbors, qui représentent de véritables routeurs, génèrent des non-pseudonode LSP de deux types selon le niveau (L1 ou L2) considéré et/ou supporté. Chacun de ces messages véhicule les informations suivantes. Un en-tête : la durée de vie du LSP, utilisée pour purger ce message lorsque le timer arrive à son terme ; l identifiant du LSP, qui est une concaténation du System ID de l émetteur, du pseudonode ID de l émetteur (à 0 puisqu il s agit d un véritable IS neighbor ) et du numéro de fragment utilisé en cas de fragmentation du LSP ; le numéro de séquence, qui déterminera la fraîcheur de l information par rapport au contenu de la LSDB ; le niveau du LSP (L1 ou L2) ainsi que certains bits de contrôle : partition repair, attached, overload. Les informations de routage : les protocoles supportés par l IS, permettant d indiquer que l IS supporte le routage IP ; le (ou les) numéro(s) d aire à laquelle l IS appartient ; la liste des liens logiques (du niveau considéré) attachée à cet IS. Dans cette liste, chacun de ces liens est d une part identifié avec le system ID de l IS voisin correspondant, et d autre part qualifié avec une métrique (nota 7) IS-IS. Cette liste comprend : pour chaque interface de type point à point, l IS voisin avec lequel une adjacence a été établie pour le niveau considéré, pour chaque interface de type broadcast, le pseudonode correspondant au niveau considéré ; la liste des feuilles (du niveau considéré) attachée à cet IS avec leurs métriques associées. Cette liste comprend : la liste des voisins de type ES avec lesquels une adjacence (du niveau considéré) est établie au travers d interfaces de type point à point (sur les interfaces broadcast, les ES du LAN sont annoncés par les pseudonode ), TE Techniques de l Ingénieur

11 PROTOCOLE DE ROUTAGE IS-IS la liste des préfixes NSAP accessibles par cet IS (uniquement possible en L2 dans le cadre d une agrégation), la liste des préfixes IP accessibles par cet IS avec leurs métriques associées ces préfixes peuvent être de deux types (interne ou externe) ; les différentes adresses IP d interface configurées sur le routeur ; le Partition Designated IS ; une information d authentification, qui était initialement un simple mot de passe en clair ou d un hachage de type HMAC-MD5. Nota (7) : la norme autorise théoriquement quatre formes de métrique, mais seule la default-metric est supportée par les industriels Les pseudonode LSP Les pseudonode, qui symbolisent des LAN partagés, génèrent des pseudonode LSP de deux types selon le niveau (L1 ou L2) considéré. Ces messages contiennent les informations suivantes. Un en-tête : la durée de vie du LSP, utilisée pour purger ce message lorsque le timer arrive à son terme ; l identifiant du LSP qui est une concaténation du System ID de l émetteur, du pseudonode ID de l émetteur (différent de zéro) et du numéro de fragment utilisé en cas de fragmentation du LSP ; le numéro de séquence, qui déterminera la fraîcheur de l information par rapport au contenu de la LSDB ; le niveau du LSP (L1 ou L2) ainsi que certains bits de contrôle : partition repair, attached, overload. Les informations de routage : les protocoles supportés par l IS, permettant d indiquer que l IS supporte le routage IP ; la liste des liens logiques (du niveau considéré) attachés à ce pseudonode, c est-à-dire l ensemble des IS du niveau considéré vu sur le LAN correspondant. Dans cette liste, chacun de ces liens est d une part identifié avec le system ID de l IS voisin correspondant, et d autre part qualifié avec une métrique qui est toujours nulle ; la liste des feuilles (du niveau considéré) attachées à ce pseudonode avec une métrique nulle. Cette liste comprend la liste des voisins de type ES avec lesquels une adjacence (du niveau considéré) est établie sur le LAN considéré ; une information d authentification, qui était initialement un simple mot de passe en clair et qui est en cours de redéfinition pour le support d un hachage de type HMAC-MD5. Un pseudonode n annonce donc aucun préfixe IP Génération des LSP Deux évènements peuvent être à l origine de la génération d un LSP par un nœud : une modification de l état des liens ou des feuilles liée à une perte d adjacence, ou une modification d une métrique ou l ajout ou la disparition de l accessibilité à un préfixe IP, etc. Lorsque plusieurs modifications s enchaînent, deux générations successives de LSP doivent être espacées dans le temps d au moins minimumlspgenerationinterval ; lorsque aucune modification n est à déplorer sur le nœud considéré pendant une période de maximumlspgeneration- Interval, le nœud renvoie périodiquement une copie de son LSP en prenant soin d incrémenter le numéro de séquence. Cas particulier de la fragmentation Si la Maximum Transmission Unit (MTU) d une interface ne permet pas de coder la totalité des liens et des feuilles de l IS dans un seul LSP, l IS procède alors à une fragmentation. Chaque fragment est identifié comme un LSP bien indépendant par un numéro de séquence. Enfin, il doit être noté que le LSP dont le numéro de fragment est à 0 (c est-à-dire le premier fragment) joue un rôle bien particulier puisqu il véhicule en priorité l ensemble des informations «globales» de l IS. Ces informations ne seront alors pas repétées dans les fragments suivants (comme : les protocoles supportés par l IS, le numéro d aire, les adresses IP d interface, etc.) Propagation des LSP Pour que la LSDB soit bien commune à tous les routeurs d une même aire, un nœud n envoie son propre LSP qu à l ensemble de ses voisins directs et de même niveau (L1 ou L2) que le LSP émis. Sur réception de ce LSP et si celui-ci est plus récent que le contenu de leur propre LSDB (contrôler le numéro de séquence), chaque voisin retransmet alors ce même LSP à l ensemble de ses voisins directs (et de même niveau L1 ou L2 que le LSP transmis) à l exception de celui dont ce LSP provient. Ainsi, de proche en proche, le LSP sera propagé à toute l aire L1, s il s agit d un LSP L1, voire à tout le backbone L2 s il s agit d un LSP L2. De plus, lorsqu un nœud propage un message LSP, le champ de durée de vie (Remaining LifeTime ) du LSP doit être décrémenté au moins de un. Lorsque, après avoir transmis un LSP, l IS ne reçoit pas d acquittement sur une interface de type point à point, il se doit de retransmettre ce même LSP sur l interface en question, après un délai d au moins minimumlsptransmissioninterval, et d au plus 2 * minimumlsptransmissioninterval Rétention des LSP dans la LSDB La période de rafraîchissement d un LSP est fixée à maximum- LSPGenerationInterval. Au-delà d une durée MaxAge, un LSP qui n a pas été rafraîchi est considéré comme expiré. Dans ce cas, un routeur qui constate cette anomalie avertit immédiatement ses voisins de cette expiration. Il génère un LSP avec une durée de vie nulle (LSP de purge) et ne conserve dans sa LSDB que l en-tête du LSP pendant ZeroAgeLifeTime. Il est nécessaire de conserver cet en-tête pour pouvoir ré-émettre un LSP de purge en cas de non-acquittement par les voisins. Sur réception d un LSP comportant une durée de vie nulle, plusieurs comportements sont possibles selon le contenu de la LSDB locale et de la fraîcheur (numéro de séquence) de ce LSP. Soit il est accepté en entraînant la purge locale et la propagation de ce message, soit il est refusé et l IS envoie en retour le LSP le plus récent qu il détient dans sa base Régénération d un LSP et limite du numéro de séquence Sur réception d un LSP dont un nœud est lui-même la source (d après le system ID), mais dont le numéro de séquence est supérieur à la valeur locale, le nœud doit régénérer alors son propre LSP en ayant mis à jour le numéro de séquence. Ce phénomène apparaît généralement lorsqu un routeur vient de redémarrer. Le dernier LSP qu il avait émis avant son extinction est encore consigné dans la LSDB de tous les autres routeurs du réseau. Lorsque celui-ci redémarre, il émet son premier LSP avec un numéro de séquence à 1, ce qui est vu comme un LSP obsolète par les voisins directs qui lui renvoient le dernier LSP à jour. Sur réception de ce LSP, le nœud local enregistre le numéro de séquence à utiliser et régénère le LSP Purge générale d un LSP Pour éviter une corruption grave de la LSDB, un nœud IS peut être amené à éliminer, dans toutes les LSDB du réseau, un certain LSP. Pour ce faire, il envoie le dit LSP avec un contenu vide et un Remaining LifeTime à 0. Ce phénomène se présente dans les cas suivants : lorsqu un IS reçoit un LSP récent dont il devrait être lui-même à l origine (vu le LSP ID), mais dont le contenu est différent du sien dans sa propre LSDB ; Techniques de l Ingénieur TE

12 PROTOCOLE DE ROUTAGE IS-IS lorsqu il reçoit un LSP dont le Remaining Lifetime est à zéro (flooding) ; lorsqu il reçoit un LSP dont le Checksum est erroné. Cette dernière condition peut parfois devenir gênante lorsqu un simple lien du réseau provoque des erreurs de transmission, entraînant alors une tempête de LSP. L actuelle version ISO/ IEC [16] propose de supprimer cette dernière condition. Les points mentionnés ici sont à suivre avec attention, car ils ont de fortes implications en matière de sécurité Messages d acquittement et de demande explicite d information de routage Comme indiqué précédemment, l identifiant d un LSP est une concaténation : du System ID du nœud à l origine du LSP ; d un numéro de séquence incrémenté de 1 à chaque génération d un nouveau LSP ; et du numéro de fragment (si le LSP est fragmenté). Dans chaque LSDB, la correspondance univoque, entre cet identifiant et le contenu du LSP auquel il correspond, permet de synchroniser le contenu des LSDB à partir des messages suivants : le Complete Sequence Number Paquet (CSNP) message, qui contient la liste des identifiants des LSP présents dans la LSDB du nœud à l origine du message ; le Partial Sequence Number Paquet (PSNP) message qui contient, selon le contexte, soit la liste des identifiants des LSP qui viennent d être reçus (acquittement) par le nœud à l origine du message, soit une liste de LSP dont le nœud origine ne dispose pas et qu il demande donc explicitement à son voisin direct. Tout comme les messages IIH, les messages CSNP et PSNP n ont qu une portée locale. C est-à-dire qu ils ne peuvent s adresser qu aux voisins directs et ne sont jamais propagés. Pour faciliter la propagation des LSP et la génération des messages SNP, la norme définit deux flags à maintenir par LSP et par circuit : le flag SRM (Send Routing Message ), qui indique que (sur le circuit correspondant) le LSP doit être envoyé. Ce flag peut être valorisé par exemple dans les cas de figure suivants (non exhaustif) : sur réception d un nouveau LSP (c est-à-dire inconnu à la LSDB locale ou tout au moins plus récent) : le flag SRM est activé pour ce LSP sur tous les circuits de même niveau (L1 ou L2) à l exception de celui sur lequel a été reçu le dit LSP (principe de l inondation), sur réception d un CSNP affichant des lacunes : le flag SRM est activé sur ce circuit pour tous les LSP non listés (ou listés mais moins récents) dans le CSNP, sur réception d un PSNP affichant des informations périmées : le flag SRM est activé sur ce circuit pour tous les LSP plus anciens que ceux présents dans la LSDB ; le flag SSN (Send Sequence Number ), qui indique qu un message PSNP (sur le circuit correspondant) devra être envoyé. Il est important de noter qu un message PSNP ne fait que véhiculer une image (partielle) de la LSDB locale, ce n est qu à la réception d un tel message et qu après comparaison avec la LSDB locale qu on sait s il s agit d un SNP d acquittement ou d une demande explicite de complément de la LSDB du routeur. Le flag SSN peut être valorisé par exemple dans les cas suivants (non exhaustif) : réception sur une interface point à point d un LSP nouveau : l acquittement de ce LSP est assuré par l activation du flag SSN pour ce LSP sur le circuit correspondant, réception sur une interface broadcast d un CSNP listant des LSP nouveaux : un LSP vide est créé pour chacun d eux, avec un numéro de séquence nul et leur flag SSN est activé sur le circuit correspondant Interaction L1/L Positionnement de l attached bit (trafic montant) La version initiale d IS-IS ne prévoit pas de redistribution de route du niveau L2 vers le niveau L1. Par conséquent, les aires périphériques L1 sont nécessairement de type stub, et les routeurs L1 s appuient uniquement sur une route par défaut pour atteindre toute adresse à l extérieur de l aire. L attached bit a pour rôle d annoncer implicitement cette route par défaut. D une manière générale, les routeurs L1L2 disposant de routes dans leur base L2, qui ne seraient pas présentes dans leur base L1, se doivent de valoriser dans leur message Level-1 LSP l attached bit à 1. Ce bit indique à l ensemble des routeurs L1 de l aire considérée que le routeur à l origine de ce LSP peut être utilisé comme routeur par défaut de sortie de l aire. Si dans une même aire L1, plusieurs routeurs L1L2 valorisent ce bit à 1, chaque routeur L1 choisira le routeur L1L2 le plus proche (vu de la base L1 dont ils ont connaissance). Plus spécifiquement, la norme ISO/ IEC [16] identifie au moins deux cas pour lesquels le routeur L1L2 peut valoriser l attached bit à 1 : s il a établi au moins une adjacence L2 vers un routeur d une autre aire ; et/ou s il est raccordé à un domaine différent avec lequel des routes sont échangées. La figure 9 représente les routeurs L1L2 qui doivent positionner l attached bit dans les LSP de Level1 afin de permettre au routeur L1only de leur aire de positionner une route par défaut. La possibilité de redistribuer des routes de la base L2 dans une base L1 est aujourd hui disponible, mais ne devrait s appliquer qu à un nombre restreint de route et ne pas remplacer l annonce de l attached bit Agrégation des routes (trafic descendant) Toutes les routes de type L1 sont par défaut injectées dans L2. Toutefois, on configure manuellement un résumé des adresses de l aire périphérique L1 à annoncer en L2 avec une certaine métrique. Dans ce cas, tant que le routeur frontière reçoit des annonces L1 concernant au moins une adresse appartenant à un sur-ensemble, ce sur-ensemble est annoncé en globalité au niveau L2. En l absence d adresse du sur-ensemble, l annonce L2 n est plus faite. Lorsqu une adresse est apprise en L1 mais n appartient pas au sur-ensemble, celle-ci est annoncée de manière spécifique en L2 avec une métrique égale à la somme des métriques L1 pour atteindre cette adresse depuis le routeur frontière. Si plusieurs chemins, donc plusieurs métriques L1, sont possibles, seule la métrique la plus faible est retenue Routes externes et leurs deux types de métrique La spécification RFC 1195 [18] définit deux types de feuille (les préfixes internes et les préfixes externes) pour annoncer les préfixes IP. Théoriquement, seuls les routeurs L2 (ou L1L2) sont autorisés à annoncer des routes externes au domaine. Il s agit de l ensemble des routes connues localement par une autre méthode qu IS-IS (statique, directement connectée, ou apprentissage par un autre IGP) et qui font l objet d une annonce dans IS-IS. Ces routes externes peuvent au choix être affectées d une métrique interne ou d une métrique externe. L indication du type de métrique est codée sur le bit I/E qui fait partie intégrante du champ métrique. Lors du calcul du plus court chemin pour atteindre les destinations annoncées par ces routes, les métriques de type interne sont additionnées aux métriques internes aux domaines, alors que les métriques externes ont une valeur absolue, non comparable à celles des métriques internes. TE Techniques de l Ingénieur

13 PROTOCOLE DE ROUTAGE IS-IS 3.6 Traitement des bases topologiques A H F N aire : 1 B N aire : 2 I Circuit type L2-only G Circuit type L1L2 E D C Circuit type L1-only J Ce calcul est déclenché lorsque le processus de mise à jour de la LSDB modifie son contenu. Tout changement de la base topologique entraîne a priori un nouveau calcul SPF. Toutefois, sachant que l algorithme de Dijsktra consomme des ressources processeur, un délai minimal et configurable entre deux calculs est imposé par la norme. Ainsi, un routeur qui découvre une toute nouvelle topologie lancera son premier calcul sur réception d un premier LSP (nota 8), et donc avec une base topologique très pauvre. Ce n est qu au deuxième, voire au troisième appel de Dijkstra que la LSDB sur laquelle s appuie le calcul sera totalement synchronisée avec les autres routeurs. Ce phénomène peut déclencher une instabilité temporaire des routes pendant un court instant. Pour contrecarrer ce problème, il est possible d utiliser l overload bit, qui permet d insérer un routeur dans une topologie, sans que les autres routeurs lui envoient de trafic de transit tant que ce bit est annoncé à 1. Nota (8) : une implémentation erronée consisterait à lancer le calcul sur simple montée d une nouvelle adjacence : ce phénomène a été constaté sur plusieurs équipements Cisco. Le tableau 1 illustre le principe de sélection du (ou des) meilleur(s) chemin(s) une fois que l algorithme SPF a été exécuté sur les deux LSDB. (0) I,J,E,D et C Positionnent dans les LSP L1 le bit attached L1 LSDBs A E F B I K Figure 9 Positionnement de l attached bit C K N aire : 3 D J L Ainsi : les routes externes à métrique interne peuvent directement être comparées aux routes internes (mécanisme de la «patate chaude») ; les routes à métrique interne seront toujours préférées aux routes à métrique externe ; en dernier ressort et si une route externe à métrique externe doit être utilisée, on choisit alors la métrique externe la plus petite sans tenir compte de la métrique interne nécessaire pour joindre le point de sortie (mécanisme inverse de la «patate chaude»). D une manière générale, l utilisation de ces routes externes en IS-IS est amenée à disparaître. De plus, les extensions relatives au Traffic Engineering excluent la distinction des routes internes et externes, et donc a fortiori la distinction des métriques de type interne et externe. L E C I Topologie physique L2 LSDB G H D J Tableau 1 Principe de sélection du meilleur chemin 1 Indépendamment du niveau d aire (L1 ou L2), de la valeur de la métrique et du type de la métrique, la première règle consiste à préférer la route la plus spécifique : comparer pour cela les valeurs de 64 bits construites par concaténation des deux valeurs de chaque couple (Prefix && Mask, Mask ). 2 À spécificités égales, les routes issues de la table L1 sont préférées par rapport à celles de la table L2. 3 Les routes à métrique interne sont préférées selon les critères de sélection suivants : retenir les routes disposant d un TOS-metric (correspondant au champ TOS du paquet traité). Si aucune route de ce type n est trouvée, garder celles disposant de la default-metric ; parmi ces routes, sélectionner l unique (ou l ensemble des) route dont le Total Path (c est-à-dire la somme des métriques calculée sur l arbre SPF) est le plus faible ; s il s agit d un ensemble de routes, assurer un partage de charge équitable sur plusieurs chemins (au moins 2). 4 Lorsqu il ne reste que des routes à métrique externe, retenir celles disposant d un TOS-metric (correspondant au champ TOS du paquet traité). Si aucune route de ce type n est trouvée, garder celles disposant de la default-metric ; parmi ces routes, sélectionner l unique (ou l ensemble des) route dont la métrique est la plus faible indépendamment du coût interne pour atteindre le point de sortie correspondant (Total Path) ; s il s agit d un ensemble de routes, assurer un partage de charge équitable sur plusieurs chemins (au moins 2). 5 Si la route est absente sur un routeur L1-only, alors parmi les routes vers les routeurs dits «L2 attachés» : retenir celles disposant d un TOS-metric (correspondant au champ TOS du paquet traité). Si aucune route de ce type n est trouvée, garder celles disposant de la default-metric ; parmi ces routes, sélectionner l unique (ou l ensemble des) route dont le Total Path (c est-à-dire la somme des métriques calculée sur l arbre SPF) est le plus faible. Il peut s agir de plusieurs routes vers un même routeur de sortie ou de plusieurs routes vers des routeurs de sortie différents ; s il s agit d un ensemble de routes, assurer un partage de charge équitable sur plusieurs chemins (au moins 2). Techniques de l Ingénieur TE

14 PROTOCOLE DE ROUTAGE IS-IS 3.7 Quelques spécificités d IS-IS Indication de surcharge Cette indication permet d insérer un routeur dans une topologie IS-IS sans qu aucun trafic de transit (c est-à-dire qui ne lui est pas directement destiné) ne lui soit envoyé. Cette fonction était initialement prévue pour gérer les éventuels problèmes de saturation mémoire, l idée consistant à contrôler l état du routeur une fois inséré dans une topologie avant de le soumettre à de la commutation de trafic utile. Cette information devant être propagée à toute la topologie du réseau, elle ne peut pas être codée dans les messages Hello qui n ont qu une portée égale à celle d une adjacence (c est-à-dire les voisins directs). Elle doit donc nécessairement être positionnée dans le message LSP généré par le routeur. C est l une des raisons pour lesquelles un routeur ne doit pas lancer un calcul des plus courts chemins sur une simple montée d une nouvelle adjacence, mais uniquement après réception d un LSP à jour. Aujourd hui, l utilisation de ce bit (dénommé overload bit ) a beaucoup évolué, il s applique très utilement aux domaines suivants : synchronisation IS-IS : lorsqu un routeur vient de redémarrer, il se peut que ses voisins disposent encore d une ancienne incarnation du LSP de ce routeur, et qu ils procèdent à un re-routage immédiat vers ce nouveau routeur qui ne dispose pas encore de la totalité de la topologie du réseau ; dans le même cas de figure, une fois la synchronisation IS-IS établie, les tables BGP de ce même routeur ne sont pas nécessairement mises à jour immédiatement. Il ne faut donc pas choisir ce next-hop IGP intermédiaire pour viser une route annoncée par un next-hop BGP distant dont il n aurait pas connaissance (récursivité des next-hop ) Mode d encapsulation Les messages IS-IS sont directement positionnés au-dessus d une couche de niveau 2, contrairement aux habituels protocoles de routage IP, qui se situe au-dessus de/dans la couche IP Taille des messages Hello Un bourrage (padding) est systématiquement appliqué aux messages IIH afin que ceux-ci soient de la taille de la MTU CLNS des liens. Le but est de contrôler que la MTU configurée sur le routeur est effectivement utilisable sur un lien. Sur réception d un IIH d une taille inférieure à la dite MTU, un IS modifiera sa MTU et transmettra les prochains messages IIH avec cette nouvelle valeur. 3.8 Extensions pour améliorer la disponibilité des réseaux IP À l heure où les réseaux Internet ont vocation à devenir des réseaux fédérateurs supportant tous types de services tels que les applications temps réels, les applications d entreprises avec des exigences de qualité de services, etc., il est nécessaire de fournir des caractéristiques similaires à celles des technologies concurrentes qu Internet a l ambition de remplacer. En cœur de réseau, ces exigences se traduisent essentiellement par un taux de disponibilité élevé. La disponibilité des réseaux est principalement caractérisée par les taux de panne des différents éléments réseau (MTBF, Mean Time Between Failures ), ainsi que les temps de convergence des tables de routage du réseau en cas de panne (MTTR, Mean Time to Repair ). Les équipementiers et l IETF ont travaillé sur l amélioration des mécanismes de convergence comme le montre les spécifications suivantes : des méthodologies sur la mesure des temps de convergence (BGP-CV1 [1]), (IGP-CV2 [3]), (IGP-CV3 [4]), (IGP-CV4 [5]) ; des recommandations d ingénierie voire de normalisation de nouveaux mécanismes permettant la réduction des temps de convergence et la préservation de la stabilité des réseaux (IGP-CV1 [2]) Amélioration des mécanismes de convergence actuels des routeurs Beaucoup d améliorations ont été menées par les constructeurs, car ces solutions sont très dépendantes du logiciel et du hardware embarqués et donc difficilement normalisable (ce point reste discutable). Dans une première analyse, on peut décomposer le temps de convergence des tables de routage d un routeur pour un protocole donné selon les étapes suivantes : détection de l événement réseau (cette détection est en général locale) ; temps de propagation de l information jusqu au routeur considéré ; temps de re-calcul des routes (alimentation des RIB pour les protocoles de routage) ; temps de mise à jour des informations dans les tables d aiguillage. Exemple : après une panne, les routeurs CISCO réalisent les opérations suivantes : [localement à la panne] le routeur attend 2 s avant de réveiller le «process» IS-IS et de se mettre à propager l information ; à la réception de ce LSP, le routeur attend 5,5 s avant de calculer le SPF ; le temps de calcul SPF dépend de la puissance de la carte Processeur du routeur et de la taille du réseau (ainsi que de sa topologie) ; le temps d alimentation des cartes d interface dépend également du nombre de modification à effectuer et de l architecture des routeurs. Il est important de noter que pour un routeur de cœur (avec une architecture distribuée), ces temps peuvent être compris entre quelques millisecondes jusqu à des dizaines de seconde. Aujourd hui les constructeurs de routeur ont modifié les points suivants : [localement à la panne] le routeur réagit immédiatement, le «process» IS-IS propage directement l information de modification de la topologie ; à la réception de ce LSP, le routeur attend 100 ms (timer configurable de 1 à X ms) avant de calculer le SPF ; le temps de calcul SPF dépend de la puissance de la carte Processeur du routeur et de la taille du réseau (ainsi que de sa topologie) ; le temps d alimentation des cartes d interface ne dépend plus en particulier du nombre de préfixes BGP à réécrire Amélioration des routeurs qui redémarrent Dans le cas d un routeur qui redémarre, soit parce qu il y a eu une panne, soit parce que l administrateur a décidé de redémarrer le routeur, il peut y avoir perte de paquets et la génération d une instabilité de routage. Plusieurs mécanismes existent alors pour éviter ces instabilités. Le mécanisme le plus simple consiste à envoyer le LSP 0 avec l overload bit set évitant ainsi que le routeur soit utilisé directement pour transporter du trafic. Cela permet aussi de resynchroniser les bases de données du routeur. Lorsque le routeur est complètement rétabli, il envoie une LSP standard RFC 3277 [23]. TE Techniques de l Ingénieur

15 PROTOCOLE DE ROUTAGE IS-IS Ce mécanisme est simple, robuste et permet d éviter l effet blackhole transitoire lors de la chute d un routeur. En revanche, il n évite pas la surcharge en trafic protocolaire. Un mécanisme plus élaboré permet de redémarrer le routeur sans interrompre les sessions IS-IS. Ce mécanisme est utile dans les routeurs à architecture distribuée, car il permet par exemple de mettre à jour le logiciel de routage sans perturber le fonctionnement général du routeur. Cette méthode permet de plus de conserver une très grande stabilité de la topologie du réseau. En revanche, elle conduit à la déconnexion temporaire entre le plan de commande du réseau et le plan de transfert. Cette déconnexion est de nature dangereuse et le RFC 3847 [26] propose l utilisation de plusieurs «timer» pour limiter la durée de la déconnexion. Les timers proposés sont les suivants : T1 : ce timer est attaché à l interface et spécifie à quelle intervalle les tentatives de restart sur l interface sont effectuées (Échange de IIH contenant le TLV restart). Après plusieurs timers T1 expirés, l interface est déclarée «Down» ; T2 : ce timer est attaché à chacune des LSDB du routeur adjacent du routeur qui redémarre. Tant que ce timer n est pas écoulé, aucune LSP n est floodé et la LSDB n est pas affectée ; T3 : ce timer est utilisé lors de la resynchronisation des bases avec le routeur qui redémarre. C est le temps maximal autorisé pour ce redémarrage. Il est négocié lors de l échange des IIH contenant le TLV restart. Ce mécanisme introduit un TLV supplémentaire dans les IIH, ce TLV est chargé d initier la mise à jour de la base par CSNP, PSNP. Il contient un bit request, un bit acknowledge et un temps qui fixe T3. Le mécanisme proposé est compatible avec les routeurs n implémentant pas le RFC. Dans ce cas, le fonctionnement normal est mis en œuvre. Il est à noter que le mécanisme n a plus d intérêt lorsque l un des routeurs adjacents n implémente pas le RFC. Enfin, ce mécanisme n assure pas une homogénéité topologique pendant le temps du restart, puisque le plan de commande du routeur en train de redémarrer est inopérant pendant le temps de redémarrage. Un risque de perte de paquets voire de boucle de routage est possible. 3.9 Extensions (hors ingénierie de trafic) Certaines des extensions décrites dans ce paragraphe sont encore à l état de draft et donc sujettes à modification (le lecteur pourra se référer aux spécifications correspondantes pour plus d informations) Résolution du nom Le RFC 2763 [20] définit un nouveau TLV (n o 137) permettant de véhiculer dans un message LSP le nom en clair du routeur à l origine du LSP. Cette extension facilite la visualisation de la LSDB en remplaçant les adresses NET des routeurs par leurs noms Route Leaking L une des faiblesses d IS-IS est cette obligation d aire de type stub interdisant toute optimisation du routage inter-aires par le biais d une redistribution L2 vers L1. Dans l absolu, la redistribution de certaines routes d un niveau L2 dans le niveau L1 ne pose pas de difficulté d implémentation. Le problème consiste plutôt à repérer ces routes au niveau L1 (une fois redistribuée) de manière à ne pas les ré-annoncer vers le niveau L2 (par un autre routeur L1L2) afin d éviter une boucle de routage. Deux solutions ont été proposées pour répondre à ce problème : la spécification RFC 2966 [21] consiste à continuer de s appuyer sur les TLV actuels (128 et 130), mais en en modifiant leur sémantique par l interprétation du bit de poids fort du champ default-metric (qui jusqu alors était réservé et devait être valorisé à 0). Ce nouveau bit, nommé «up/down», serait valorisé à 1 lors d une redistribution L2 vers L1 et à 0 dans tous les autres cas. Il permettrait ainsi au niveau L1 d identifier les préfixes à ne pas annoncer dans L2 ; la spécification IS-IS-TRAFFIC [8] s appuie sur la définition d un nouveau TLV (n o 135) incluant ce même bit up/down et préconisant le même mode d utilisation. La première solution est plus simple à mettre en œuvre pour un réseau déjà opérationnel. En effet, seuls les routeurs L1L2 nécessitent alors d être migrés pour pouvoir interpréter la signification de ce bit up/down dans les TLV traditionnels. La seconde solution impose une migration de la totalité des routeurs du réseau, ce qui est donc beaucoup plus lourd, mais cette solution est plus pérenne car elle offre certaines extensions intéressantes sur les métriques Support de IPv6 Largement inspiré des extensions proposées dans ISIS-TRAFFIC [8], le draft ISIS-IPv6 [7] définit deux nouveaux TLV, permettant de transporter des informations de routage IPv6 par IS-IS : IPv6 Reachibility (similaire au TLV 135), qui définit un nouveau type de feuille pour les préfixes IPv6 ; IPv6 Interface Address (similaire au TLV 132), qui permet d annoncer les adresses IPv6 d interface du routeur. Le mode d utilisation de ces deux nouveaux TLV est très proche du mode proposé en IPv4. Cependant, il doit être noté que le TLV IPv6 Reachibility contient un bit de contrôle nommé «external» indiquant le caractère interne ou externe du préfixe IPv6 annoncé. En positionnant dans le TLV 129 (Protocol Supported ) la valeur du NLPID associée au protocole IPv6, un IS pourra annoncer à ses voisins sa capacité à router des datagrammes IPv6. Il pourra donc utiliser les deux TLV précédents Authentification La RFC 3567 [25] propose de définir un nouveau type d authentification dans le TLV10, le type 54, qui s appuie sur un mode de hachage MD5. Ce nouveau mode n est véritablement utile que si le réseau est constitué de médium partagés (nota 9) au sens large (LAN, point d échanges, etc.) et sur lesquels on ne peut pas faire confiance à toutes les machines. En effet, il n est pas possible d injecter des informations de routage IS-IS sans être en adjacence directe avec au moins un routeur de la topologie réseau. Ce qui restreint, par nature, les possibilités d attaques. Nota (9) : on ne considère pas le cas d un lien point à point qui serait sciemment détourné par un tiers, vers l un de ses routeurs. Le principe de cette méthode d authentification est le suivant. Les routeurs composant une adjacence possèdent un secret partagé. Ensuite, le texte servant de base à l algorithme est le LSP avec les champs variables mis à zéro. L empreinte sur 16 bits est alors calculée et insérée dans le TLV 10. Le LSP est alors rejeté s il n est pas bien authentifié Établissement plus robuste des adjacences point à point Sachant qu une adjacence point à point ne dépend que de la réception d un message Hello (IIH) en provenance du voisin, à la suite de laquelle un message CSNP est envoyé pour synchroniser les LSDB, ce mode d établissement des adjacences présente plusieurs faiblesses : la perte possible du message CSNP (si par exemple le lien n est pas encore monté de manière bidirectionnelle) engendre une désynchronisation des bases de données qui peut durer le temps du rafraîchissement complet de tous les LSP ; Techniques de l Ingénieur TE

16 PROTOCOLE DE ROUTAGE IS-IS si plusieurs liens point à point parallèles existent entre deux nœuds, il est fréquent d annoncer dans le LSP une seule adjacence résumant l ensemble de ces liens. Si l un de ces liens devient monodirectionnel (de A vers B par exemple), cette panne ne sera pas visible dans la LSDB. De ce fait, le lien défectueux sera toujours vu comme bidirectionnel par le routeur B, ce même routeur maintiendra alors aveuglément un partage de charge sur tous les liens en direction de A, entraînant ainsi une perte de toute une partie des paquets. La RFC 3373 [24] propose d améliorer ce mode d établissement des adjacences point à point et d autoriser plus de 255 adjacences sur un routeur. Pour cela, il définit un mécanisme optionnel, dans lequel un routeur ne considère l adjacence établie que s il est certain que le routeur voisin reçoit ses propres messages IIH. Cette information est alors codée dans un champ optionnel supplémentaire du message IIH, et le mécanisme n est activé que si les messages IIH reçus contiennent cette option (ce qui garantit la compatibilité avec les anciennes implémentations). Plus précisément, ce champ optionnel contient les informations suivantes : l état de l adjacence (codé sur un octet), qui peut prendre trois valeurs possibles : 0 (Up ), 1 (Initializing ), 2 (Down ) ; l identifiant (étendu) de circuit utilisé en local, codé sur quatre octets, qui correspond au numéro de l interface sur laquelle est envoyé le message IIH ; l identifiant du voisin qui correspond au SystemID annoncé par le voisin dans son message IIH ; l identifiant (étendu) du circuit utilisé par le voisin, qui correspond au numéro de l interface sur laquelle le voisin a envoyé le message IIH. L identifiant «étendu» des numéros de circuit, codé maintenant sur 4 octets, élimine l ancienne limite des 255 adjacences totales sur un routeur donné. Il permet donc d identifier précisément une adjacence lorsque plusieurs liens parallèles sont utilisés entre deux mêmes routeurs Optimisation du mécanisme d inondation Deux solutions sont déjà proposées pour optimiser le fonctionnement du mécanisme d inondation. Aucune d entre elle n étant véritablement satisfaisante, il vient d ailleurs d être décidé de monter un groupe de travail sur cette question, commun à OSPF et IS-IS. Il est important de noter que l optimisation d un tel mécanisme va devenir de plus en plus cruciale avec l arrivée des futures architectures de routeurs constitués d une multitude de châssis totalement maillés entre eux au travers d une matrice de niveau 2. La question se pose également avec l arrivée des techniques de type GMPLS, qui consistent à introduire les éléments de transmission (en particulier de niveau optique) dans la topologie IS-IS afin d autoriser un maillage totalement dynamique. Dans un environnement fortement maillé, le mécanisme d inondation traditionnel peut consommer une bande passante importante inutilement. La RFC 2973 [22] propose d optimiser ce mécanisme, en introduisant un nouveau concept nommé le mesh group. Un mesh group est défini comme un ensemble de liens point à point assurant la connexité d un ensemble de nœuds. L introduction de ce concept impose d enrichir la structure décrivant en local chaque circuit avec les deux éléments suivants : meshgroupenabled : décrit l état de l interface pour le mécanisme mesh group. Trois états sont possibles : meshinactive : il s agit de l état normal de l interface (c est-à-dire lorsque le mécanisme n est pas utilisé). La propagation ne sera pas modifiée pour les interfaces dans cet état, meshblocked : aucun LSP ne sera émis sur les interfaces positionnées dans cet état, meshset : l interface appartient à un mesh group, les LSP seront donc émis sur cette interface sous certaines conditions ; meshgroup : caractérise le numéro du groupe auquel appartient l interface. Ce numéro n est valide que lorsque l interface est dans l état meshset. Une fois activé, ce mécanisme modifie le comportement du routeur d une part lors de la génération de son propre LSP, et d autre part lors de la propagation des LSP reçus : lorsqu un LSP est généré, celui-ci n est pas émis sur les interfaces à l état meshblocked ; lorsqu un nouveau (nota 10) LSP est reçu sur une interface C, celui-ci n est pas propagé que sur les interfaces à l état mesh- Blocked. Enfin, si C appartient à un groupe (donc est dans l état meshset ), le LSP n est pas propagé vers les autres interfaces du même groupe. Nota (10) : «nouveau» au sens inexistant dans la LSDB, ou plus récent que celui contenu dans la LSDB. Pour l administrateur, ce nouveau mécanisme peut s utiliser sous deux formes : l utilisation courante du mécanisme consiste à configurer certaines interfaces manuellement à l état meshblocked. Il élimine alors statiquement l ensemble des liens vers lesquels les LSP seront propagés ; l utilisation de l état meshset avec la numérotation des groupes permet quant à elle de découper une zone fortement maillée en plusieurs sous-zones. Ces sous-zones peuvent elles-mêmes être fortement maillées permettant ainsi d offrir un mécanisme utilisable pour de grands réseaux. Chaque sous-zone constitue alors un mesh group, ces mesh groups sont interconnectés par certains circuits (qu on pourrait qualifier de «transit») positionnés à l état meshinactive. Les autres circuits sont positionnés à l état meshblocked Cas spécifique des liens point à point sur média «broadcast» Dans le cas ou un lien broadcast est utilisé uniquement en point à point, il est inutile de créer un pseudonode. Le draft ISIS-P2P [6] propose d ailleurs de rendre configurable le type du lien indépendamment du média utilisé. Le fonctionnement est semblable à celui d un lien «point à point» physique, où l ARP ou tout autre mécanisme est utilisé pour résoudre l adresse MAC dans le cas d un lien ethernet Routage Multitopology Le draft M-IS-IS [17] propose des extensions pour la réalisation de plusieurs topologies IS-IS différentes au sein d un même réseau. La technique retenue consiste à introduire dans les IIH et les LSP un identifiant supplémentaire, chaque identifiant caractérisant alors une des topologies utilisées. Chaque topologie dispose ainsi d un process IS-IS avec ses propres chemins et son propre arbre de plus court chemin Quelques règles d ingénierie Taille d une aire Il est aujourd hui difficile de définir la «taille maximale» d une aire (nombre de routeurs et nombre de liens) car beaucoup de facteurs interviennent tels que : tout d abord par taille, il faut comprendre nombre de routeurs et nombre de liens : intuitivement, le fait que le réseau nécessite un maillage important réduira le nombre maximal de routeurs autorisés, de par la taille des LSP, et la complexité de la topologie ; la fiabilité du réseau sous-jacent (voire des routeurs euxmêmes) est un facteur à prendre en compte. Une forte instabilité des liens ou des nœuds produisent des annonces fréquentes de LSP et déclenchent des calculs de plus courts chemins ; TE Techniques de l Ingénieur

17 PROTOCOLE DE ROUTAGE IS-IS la capacité mémoire et processeur des routeurs sont des facteurs à prendre en compte ; en terme de performance, l architecture distribuée de routeurs aura tendance à limiter l impact des grandes topologies, mais ne limitera pas la bande passante consommée par l envoi périodique de messages nécessaire à la synchronisation de la LSDB. Aujourd hui les performances des routeurs peuvent facilement gérer des aires de routeurs. Cependant, il paraît raisonnable de décomposer des réseaux de grande taille en plusieurs aires contenant de 100 à 200 nœuds afin : de stabiliser le réseau par ce confinement d aire. En cas de dysfonctionnement d une aire, l impact sera limité à cette aire ; d améliorer sensiblement les temps de convergence des tables de routage en limitant la complexité en temps du calcul du SPF ainsi que la complexité du nombre de préfixes IS-IS à gérer Fonctionnement en mono-aire En fonctionnement mono-aire, il faut choisir le niveau L2 pour faciliter la migration lors d un éventuel découpage en aires ultérieures. Plusieurs méthodes permettent de migrer de cet état mono-aire vers un découpage multi-aires sans induire de coupure dans le réseau Valorisation des métriques Contraintes de codage pour IS-IS old metric (utilisation du TLV2) Les métriques ont toujours une valeur locale à un lien, elles sont codées sur 6 bits et les valeurs autorisées sont donc comprises entre 0 et 63. La métrique 0 est à proscrire si elle est configurée de manière bidirectionnelle (c est-à-dire aux deux extrémités du lien), car elle pourrait induire des boucles de routage. Cette valeur 0 est en revanche systématiquement utilisée par les pseudonodes, mais de manière unidirectionnelle afin de garantir que le coût de traversé de cet équipement virtuel est nul. Le Total Path, qui constitue quant à lui la somme des métriques pour atteindre une certaine destination calculée sur l arbre des plus courts chemins de chaque source, est codé sur 10 bits. Sa valeur maximale est L administrateur réseau devra donc s assurer que, avec les métriques configurées sur les liens, cette valeur maximale n est jamais atteinte quel que soit le couple (source, destination) considéré, et ce même en cas de panne de certains liens (on se limitera généralement aux cas de simple panne, les cas de double panne pouvant être abordés si la fiabilité des liens est à remettre en cause) Contraintes de codage pour IS-IS new metric (utilisation du TLV22) Les métriques ont toujours une valeur locale à un lien et sont codées sur 24 bits. Elles offrent donc une bien meilleure granularité. Les valeurs autorisées sont donc comprises entre 1 et 2^24-2. La valeur particulière 2^24-1 indiquera à l algorithme de ne pas utiliser ce lien dans le calcul SPF. Ceci permet d annoncer un lien dans le réseau sans qu il soit forcément utilisé, pour ainsi réserver l utilisation de ce lien au routage de type TE Contraintes pour les redistributions L1L2 Dans le cas de l utilisation d IS-IS avec le TLV2, une contrainte équivalente apparaît lorsqu on procède à un découpage en aires. Dans ce cas, puisqu il y a redistribution des routes issues des bases L1 dans la base L2 en valorisant la métrique avec le Total Path L1, ce dernier doit irrémédiablement être inférieur à Contraintes de routage Les contraintes les plus fortes sont bien sûr celles qu impose le routage afin d assurer un bon équilibrage du trafic sur l ensemble des liens du réseau. La déclinaison de ces contraintes entre chaque couple de routeurs dans un fonctionnement nominal, puis dans différents cas de panne (généralement simple panne) peut parfois mener à des systèmes d inéquations relativement complexes mettant en œuvre un nombre important d inconnues selon la taille du réseau, et surtout son niveau de redondance (plus le réseau est sécurisé, plus les contraintes à définir seront riches). Il peut être intéressant d utiliser des outils «offline» pour déterminer ces jeux de métriques. De façon pratique, beaucoup de réseaux opérationnels s engagent auprès de leurs clients sur des temps de transit. Pour cela, il suffit de fixer la métrique sur chaque lien en fonction de la distance et de son débit Routes véhiculées par IS-IS De manière générale, il faut diminuer au maximum le nombre d adresses IP transportées par IS-IS. En conséquence, il faut aussi éviter le transport de routes externes dans IS-IS et préférer les véhiculer par le protocole BGP. À l extrême, les seules routes véhiculées par IS-IS pourraient être les adresses IP system de chaque nœud du réseau (les liens pourraient être non numérotés). Cette approche permet : de diminuer l activité d IS-IS, mais aussi de stabiliser le réseau ; d accélérer les temps de convergence du protocole IS-IS Importance de la MTU CLNS La modification de cette MTU est à proscrire, car elle peut entraîner la non-propagation de certains LSP de grande taille Impact de l utilisation des LANs Chaque LAN dans le réseau induit la construction d un DIS, et donc d un nœud supplémentaire dans la LSDB. Pour les réseaux de grande taille, les interfaces LAN sont plus «volumineuses» dans la LSDB que ne le sont les interfaces «point à point» Valorisation des timers de rafraîchissement Les valeurs par défaut préconisées dans la norme sont généralement adaptées à la majeure partie des réseaux existants. Toutefois, le timer MaximumLSPGenerationInterval, qui correspond à période de rafraîchissement des LSP, doit être modifié. Par défaut, cette période est de 15 minutes. Pour des réseaux de grande taille, il est intéressant d augmenter cette période de manière à réduire le flooding des LSP. Exemple : dans un réseau parfaitement stable constitué de 450 nœuds, un LSP inonde toutes les 2 secondes le réseau alors qu il n y a aucune modification de topologie. En passant ce timer à 12 heures, cette période passe à 30 secondes, économisant ainsi un temps processeur des routeurs. Rappelons que la réception d un LSP engendre un traitement non négligeable sur un routeur, puisqu elle déclenche successivement le contrôle de sa fraîcheur (Sequence Number), le calcul du checksum sur toute sa longueur, le processus d inondation, le suivi du contrôle d acquittement (avec éventuellement ré-émission du LSP sur certaines interfaces). Techniques de l Ingénieur TE

18 PROTOCOLE DE ROUTAGE IS-IS Optimisation des timers pour améliorer les temps de convergence Cette section dépend énormément des types de routeur. Mais il est important de noter les éléments notés dans l encadré Conclusion Encadré 1 Éléments importants pour l optimisation des timers Configurer le SPF de type «incremental» s il est disponible Commande CISCO : i-spf level 2 Modifier les valeurs par défaut pour le déclenchement du calcul SPF De manière générale, le délai d attente du calcul SPF après réception d un LSP peut se limiter à 200 ms (valeur par défaut sur JUNIPER) et à configurer sur les routeurs CISCO : Commande CISCO : spf-interval & prc-interval ; Le déclenchement du calcul du SPF utilise un algorithme exponentiel avec trois variables : [M] : temps maximal entre deux calculs de SPF (en seconde) [I] temps d attente à la réception du premier LSP (en ms) [E] incrément exponentiel, en cas de rafale de message IS-IS Le protocole IS-IS est aujourd hui déployé sur un très grand nombre de réseaux dorsaux d opérateurs. Le transport sur des réseaux IP des services Voix et Vidéo (fortes contraintes temps réel) impose certaines adaptations des technologies utilisées dans ces réseaux. Pour IS-IS, cette évolution se traduit par le développement : des capacités de convergence et de robustesse du protocole IS-IS ; de fonctions de routage différencié afin de renforcer la capacité à assurer de la QoS (Quality of Service) pour les nouveaux services. Le protocole IS-IS est prêt au déploiement d IPv6 et cela en ne modifiant pratiquement pas le protocole. Cette richesse fonctionnelle d IS-IS, ainsi que son évolutivité, justifient son déploiement et lui garantissent une bonne longévité. (0) Sigles ADB AFI AS ASIC BGP BSR CDB CLNP CLNS CSNP DIS DPS EGP ES ESH Sigles et définitions Définitions Adjacency DataBase Authority and Format Indicator Autonomous System. Application Specific Integrated Circuit Border Gateway Protocol Bootstrap Router. Circuit DataBase Connection Less Network Protocol. Connection Less Network System. Complete Sequence Number PDU Designated Intermediate System Domain Specific Part Exterior Gateway Protocol End System. Désigne, dans le monde ISO, un équipement terminal de communication. End System Hello Sigles FDB FIB IANA ICMP IDI IDP IDRP IETF IGP IIH IS ISH LAN LSDB LSP MAC MTBF MTTR MTU NET NLPID NSAP NSEL OSI OSPF PSNP RIB RIP RPF SEL SPDB SPF SRM SRU SSN TLV Sub-TLV Sigles et définitions Définitions Forwarding DataBase Forwarding Information Base Table d acheminement : il s agit d une «compilation» de toutes les tables de routage (voir RIB), cette compilation consistant à retenir les meilleures routes sur la base de différents critères dont la longueur du préfixe. Internet Assigned Numbers Authority Internet Control Message Protocol Initial Domain Identifier Initial Domain Part Inter-Domain Routing Protocol Internet Engineering Task Force Interior Gateway Protocol IS-IS Hello Intermediate System. Désigne, dans le monde ISO, un routeur Intermediate System Hello Défini en ISO 9542 (ES-IS), et utilisé en IS-IS sur les liens point à point. Local Area Network Link State Data Base. Base de données représentative de l état des liens (et des routeurs) du réseau. Le contenu de cette base fournit une visibilité complète ou partielle de la topologie du réseau. Link State PDU. (équivalent des LSA en OSPF). Media Access Control Mean Time Between Failures Mean Time to Repair Maximum Transmission Unit Network Entity Title Network Layer Protocol ID Champ codé sur 1 octet et qui identifie le protocole de niveau réseau. Network Service Access Point (Adresse de niveau réseau). NSAP Selector Il s agit de la terminaison (le dernier octet) de l adresse NSAP. Open Systems Interconnection. Modèle en 7 couches défini par l organisme de standardisation international ISO Open Shortest Path First Partial Sequence Number PDU Routing Information Base. Table de routage. Chaque protocole de routage génère une table de routage, Routing Information Protocol Reverse Path Forwarding Selector Shortest Path DataBase Shortest Path First. Critère généralement utilisé dans l algorithme chargé de sélectionné la meilleure route. Send Routing Message Sera rédigé ultérieurement Send Sequence Number Type Length Value. Format de structure fréquemment utilisé en télécommunication pour coder le type, la longueur et la valeur d une information à échanger. Type Length Value. Format de structure identique à un TLV, mais dont la position dans la trame le rend dépendant d un TLV parent. TE Techniques de l Ingénieur

19 PROTOCOLE DE ROUTAGE IS-IS Références bibliographiques [1] [BGP-CV1]. Terminology for Benchmarking BGP Device Convergence in the Control Plane (RFC 4098) [ [2] [IGP-CV1]. Recommendations for Interoperable IP Networks using IS-IS (RFC 3787) [ [3] [IGP-CV2]. Terminology for Benchmarking IGP Data Plane Route Convergence (23652 bytes) [ [4] [IGP-CV3]. Benchmarking Methodology for IGP Data Plane Route Convergence (34498 bytes) [ [5] [IGP-CV4]. Considerations for Benchmarking IGP Data Plane Route Convergence (13563 bytes) [ [6] [ISIS-P2P]. Point-to-point operation over LAN in link-state routing protocols [ [7] [ISIS-IPV6]. Routing IPv6 with IS-IS [ [8] [IS-IS-TRAFFIC]. IS-IS extensions for Traffic Engineering (RFC 3784) [ [9] ISO/IEC :1998. Technologies de l information Protocole assurant le service réseau en mode sans connexion : Spécification du protocole [ [10] ISO/IEC :1996. Technologies de l information Protocole pour la fourniture du service de réseau en mode sans connexion Partie 2 : Fourniture du service sous-jacent par un sous-réseau ISO/CEI 8802 [ [11] ISO/IEC :1995. Technologies de l information Protocole de fourniture du service de réseau en mode sans connexion : Fourniture du service sous-jacent par un sous-réseau X.25 [ [12] ISO/IEC :1995. Technologies de l information Protocole de fourniture du service de réseau en mode sans connexion : Fourniture du service sous-jacent par un sous-réseau fournissant le service de liaison de données OSI [ [13] ISO/IEC :1997. Technologies de l information Protocole du service réseau en mode sans connexion : Fourniture du service sous-jacent sur des canaux B à commutation de circuits du RNIS [ [14] ISO 9542:1988. Systèmes de traitement de l information Téléinformatique Protocole de routage d un système d extrémité à un système intermédiaire à utiliser conjointement avec le protocole fournissant le service de réseau en mode sans connexion [ [15] ISO 9542/A1:1999. Amendement 1 à la norme ISO 9542 d août 1988 [ [16] ISO/IEC 10589:2002. Technologies de l information Communication de données et échange d informations entre systèmes Protocole intra-domaine de routage d un système intermédiaire à un système intermédiaire à utiliser conjointement avec le protocole fournissant le service de réseau en mode sans connexion (ISO 8473) [ [17] [M-IS-IS]. M-ISIS : Multi Topology (MT) Routing in IS-IS [ [18] [RFC-1195]. Use of OSI IS-IS for Routing in TCP/IP and Dual Environments [ [19] [RFC-1771]. A Border Gateway Protocol 4 (BGP-4). [20] [RFC-2763]. Dynamic Hostname Exchange Mechanism for IS-IS [ [21] [RFC-2966]. Domain-wide Prefix Distribution with Two-Level IS-IS [ [22] [RFC-2973]. IS-IS Mesh Groups [ [23] [RFC-3277]. IS-IS Transient Blackhole Avoidance [ [24] [RFC-3373]. Three-Way Handshake for IS-IS Point-to-Point Adjacencies [ [25] [RFC-3567]. Intermediate System to Intermediate System (IS-IS)Cryptographic Authentication [ [26] [RFC-3847]. Restart Signaling for Intermediate System to Intermediate System (IS-IS) [ Techniques de l Ingénieur TE