< Routage et Réseaux Actifs >

Transcription

1 UNIVERSITE LIBANAISE (Faculté de Génie) UNIVERSITE SAINT-JOSEPH (Faculté d'ingénierie) Sous l'égide de l'agence Universitaire de la Francophonie AUF Diplôme d'etudes Approfondies Réseaux de télécommunications < Routage et Réseaux Actifs > Par <SAAD Rabih> Encadré par : M. Maroun Chamoun M. Ahmed Serhrouchni Soutenance le 22 décembre 2004 devant le jury composé de MM. Samir Tohmé Président Mohamad Zoaeter Membre Wajdi Najem Membre Imad Mougharbel Membre Nicolas Rouhana Membre Mahmoud Doughan Membre Maroun Chamoun Membre 1

2 Remerciements Je tiens à remercier Mr. Maroun CHAMOUN, le responsable de mon projet, pour son aide, son orientation, ses conseils et surtout son temps précieux, indispensables pour la bonne réalisation de ce projet. 2

3 Table des matières : Sujet Page Projet 5 1-Routage IP Les tables de routage Equipement réseau Fonctionnement d un routeur Protocole de routage Protocole de routage interne Protocole de routage externe Limites du routage IP 25 2-Les Réseaux actifs Introduction Modèle de réseau programmable Avantages des réseaux actifs Sécurité dans les réseaux actifs Les différentes architectures Comparaison Conclusion 41 3-ANTS Introduction NodeOS des réseaux actifs Architecture du NodeOS ANTS "Active Network Transfer System JANOS NET 52 3

4 5-SOAP Generalite Avantage Message SOAP Concept de filtre 58 6-WSE Introduction au WSE Routage avec le WSE WS-Security 61 7-Architecture ASWA Introduction Intérêt des services Web dans la conception des réseaux actifs Architecture ASWA Implémentation de ASWA Implémentation de la sécurité dans ASWA Exemple d une application Active : un pare-feu intelligent Conclusions 80 8-Proposition Introduction Plan de notre proposition Méthode sans routage Comment ça marche? Méthode avec routage Conclusion et perspective 92 9-Reference 93 4

5 Sujet No. 9 Routage et Réseaux Actifs Objectifs : Ce sujet sur les réseaux actifs consiste en l'étude et l'analyse du routage dans les réseaux actifs. Les plateformes : ANTS du MIT, BEES de UTAH,... Ce travail doit déboucher sur une contribution qui consiste à proposer un routage orienté application et qui s'adapte à une architecture de réseaux actifs. Ce sujet permettra de maîtriser la problématique des réseaux actifs et implicitement de mieux cerner les limites des réseaux classiques. La distribution du code notamment réseaux sur des équipements quelconques représente un enjeu capitale pour les fournisseurs de services. Réseaux actifs : motivations Le modèle de référence de l'interconnexion des systèmes ouverts de l'iso a été sans aucun doute le point de départ de l'émergence des réseaux informatiques et de télécommunications actuels. Ce modèle en couches se justifiait car il avait pour objectif la définition d'un cadre pour unifier les différentes architectures et protocoles de communication. Il a permis à une large communauté d'avoir un repère unique et ceci même quand il s'agissait de définir des protocoles propriétaires non standard. Les technologies issues de l'électronique et du traitement de l'information ont depuis évolués en puissance, ce qui se sont traduits entre autres par des capacités de transferts de grands volumes de données. Ceci a également permis d'envisager la mise en œuvre de nouvelles applications communicantes, notamment multimédia. Les besoins de ces diverses applications et donc leur sémantique sont maintenant trop nombreuses et hétérogènes pour envisager un traitement unique et générique. L'idéal serait de concevoir une pile de protocoles de communication spécifique à chaque classe d'application. Les technologies et concepts issus des réseaux actifs sont une première réponse. En effet, les nouvelles architectures de transport et de contrôle des services basées sur les paradigmes des réseaux actifs permettront aux nœuds du réseau (i.e. commutateur, routeur, multiplexeurs, ponts,...) d'effectuer des traitements personnalisés sur les messages qui transitent par ces équipements à l'initiative des applications, des utilisateurs ou de toute tiers personne responsable du contrôle du réseau. Cette approche innovante est motivée d'une part par le besoin de contrôle dynamique et personnalisé des applications et services de communications par l'utilisateur, et d'autre part par l'émergence des technologies de code mobile et de machine virtuelle qui rend possible le déploiement automatisé et rapide de nouveaux services et protocoles de communications. Ainsi dans les réseaux actifs l'ensemble des équipements traversés sont mis à contribution pour la réalisation d'un service quelconque. Une nouvelle problématique est ainsi introduite qu'est celle de distribuer le traitement sur les nœuds traversés, cette problématique bouleverse d'une manière capitale la vision actuelle «de bout en bout».les réseaux actifs doivent jouer un rôle important pour l'ouverture des équipements et ainsi la programmation des réseaux. Le routage : motivations Le routage dans les réseaux classiques est une fonctionnalité majeure dans les réseaux, elle est représente sa fonction principale voir unique. Son rôle est alors d'acheminer les données entre deux ou plusieurs équipements. Dans les réseaux actifs, le routage ne se limite pas à l'acheminement des données mais intègre la distribution du traitement à travers le réseau. Plusieurs plateformes actuellement proposent diverses méthodes pour le routage actif, mais il reste imprégné de la vision classique du réseau. 5

6 1. Routage IP 1 : Les tables de routage 1.1 : Définition Le protocole IP et l'attribution des espaces adresses par un organisme unique permettent de construire un réseau ayant une couverture mondiale. Mais les adresses IP n'indiquent pas directement la direction que doit suivre le paquet. Pour qu'un paquet puisse atteindre sa destination, il doit traverser des routeurs qui l'acheminent. Un routeur est un équipement qui possède plusieurs interfaces. Il contient des tables déterminant l'interface de sortie en fonction de l'adresse de destination des paquets. Une table de routage peut se résumer par trois informations : pour aller vers telle destination, il faut sortir par telle voie, avec tel coût associé : La destination La destination peut être soit un réseau ou un sous réseau IP (c'est-à-dire un ensemble de machines ayant une partie d'adresse commune), soit une machine particulière. Dans le cas d'une machine, l'adresse IP complète est donnée. Pour un réseau IP, les bits réservés à la numérotation des machines sont à 0. De même pour un sous réseau, mais le netmask doit alors être spécifié. Il existe une adresse particulière appelée default qui indique toutes les adresses non spécifiées par les autres entrées de la table. L'adresse default est aussi désignée par l'adresse IP Elle a pour utilité de réduire considérablement la taille des tables de routage : Le chemin Le chemin peut être soit une interface locale à la machine, soit un routeur intermédiaire situé sur le même réseau local. C'est pour cette raison qu'un routeur doit posséder une adresse sur chacun des réseaux auquel il est relié pour être accessible de toutes les stations : Le coût Le coût n'est pas une information de routage, mais servira aux équipements pour effectuer un choix quand deux routes conduisent vers une même destination. Le coût associé à un chemin est aussi appelé métrique. Une métrique peut prendre en compte le nombre de routeurs à traverser pour atteindre la destination souhaitée ou des critères plus complexes comme le débit, le délai, la fiabilité des liaisons, la taille des paquets, : Equipement réseau Dans ses documents, l'iso distingue deux équipements en définissant : ES (End Systems). Ce sont les équipements terminaux comme les stations de travail, les serveurs de fichiers, les imprimantes,... Ils ont une configuration minimale. IS (Intermediate Systems). Ce sont les systèmes intermédiaires qui traitent des données qui ne leurs sont pas directement destinées. Ce sont par exemple les routeurs. Ils connaissent une partie ou la totalité de la topologie du réseau. 6

7 1.3 : Fonctionnement d un routeur dans un réseau Quand un host veut envoyer un paquet vers une destination qui se trouve sur un autre réseau, le host transmet ce paquet vers le routeur en utilisant l adresse mac de l une de ces interfaces. Figure 1. Quand une trame arrive sur une interface d un routeur le paquet IP est décapsuler de la trame après avoir enlever l entête de la trame. Ensuite l entête IP est examiner pour trouver l adresse destination et le subnet mask. Le routeur fait un AND logique entre le subnet et l adresse destination pour enlève la partie host et obtenir l adresse réseau, cette dernière est comparée avec la table de routage pour obtenir une interface de sortie. Figure 2 Le paquet est ensuite encapsulé dans une trame dont l adresse MAC destination est celle du prochain routeur (l adresse IP ne change pas).ce processus est répété à chaque fois que le paquet arrive à un routeur jusqu a l arrivé du paquet à sa destination. 7

8 1.4 : Protocoles de routage Les tables de routages peuvent être configurées manuellement ou à l'aide d'outils d'administration du réseau. L'administrateur réseau introduit son plan de routage directement dans le routeur. Ce type de routage est dit statique. La méthode manuelle est relativement simple à mettre en œuvre et convient aux réseaux qui couvrent de petites étendues, en particulier, si le réseau comporte peu de sous réseaux IP. Par contre les routes statiques s'avèrent inadaptées si : le nombre de réseaux à connecter est important, la topologie du réseau change (ajout de nouveau sous réseau, de nouvelles liaisons,...), les routeurs sont éloignés géographiquement, plusieurs routes existent et la reconfiguration doit être automatique en cas de panne. Il faut que les équipements puissent échanger leurs informations de configurations pour qu ils construisent automatiquement leurs tables de routage et quelles restent à jour. Les routeurs peuvent aussi apprendre automatiquement la topologie du réseau en échangeant des tables de routage. Ce type de routage est dit dynamique. Les protocoles de configuration automatique bootp, DHCP ou ICMP router discovery,... ne doivent pas être confondus avec des protocoles de routage. Il ne permettent pas en cas de panne du routeur choisi de reconfigurer rapidement la station. Systèmes Autonomes L'Internet introduit la notion de système autonome ou AS (Autonomous System). L'ISO définit le concept similaire de Routing Systems. Dans un système autonome, les protocoles de routage sont relativement homogènes. Les systèmes autonomes, s'ils sont gérés par une même autorité administrative, peuvent être regroupés dans des domaines administratifs (Administrative Systems). Cette autorité est responsable de l'administration des adresses, de la facturation des coûts, de la sécurité et de l'organisation des domaines de routage. Il existe deux familles de protocoles de routage : 8

9 les protocoles internes (IGP : Interior Gateway Protocol) pour la gestion des routeurs à l'intérieur d'un domaine. Une de leurs principales caractéristiques est de trouver automatiquement les autres routeurs et de découvrir la topologie du réseau pour déterminer le chemin le plus adapté. Les routeurs, pour construire leurs tables de routage, doivent connaître l'état du réseau. Il faut que chaque équipement diffuse les informations le concernant. Mais la diffusion ne doit pas conduire à des boucles ou à des duplications de message. Il existe deux grandes familles de protocole. Les algorithmes basés sur le Distant Vector où chaque routeur n'a qu'une vision partielle du réseau, et les algorithmes basés sur les Etat des liaisons où chaque routeur construit une vision totale du réseau ; les protocoles extérieurs (EGP : Exterior Gateway Protocol) pour l'échange de données avec les autres domaines autonomes. Dans ce cas la topologie du réseau est connue. Les routeurs se connaissent. La principale difficulté provient de la grande quantité d'information (c'est-à-dire d'adresses de réseaux) à échanger entre les routeurs. Les routeurs peuvent mettre en place plusieurs algorithmes de routage. Une partie importante de leur travail consistera à apprendre les adresses des réseaux à partir d'un protocole de routage (IGP ou EGP) et à rediffuser tout ou partie de l'information vers les équipements adéquats. De la manière dont les routeurs vont traiter les informations va dépendre la route prise par les paquets sur le réseau. Les choix de routes ne sont plus uniquement techniques (par exemple, choix de la plus petite métrique, mais dépendent de plus en plus de critères politiques (par exemple, les trafics entre deux sites commerciaux ne doivent pas transiter par des réseaux subventionnés pour la recherche). 1.5 : Protocoles de routage internes (IGP) : L algorithme du Vecteur de Distance : Description L'algorithme du Vecteur de distance est basé sur l'échange d'informations entre routeurs adjacents. Deux routeurs sont adjacents s'il existe une liaison directe entre eux c'est à-dire s'ils ont un attachement sur le même réseau local. Chaque routeur ne connaît initialement que le coût de ses propres liaisons. Les routeurs diffusent vers les nœuds adjacents leur table de routage constituée de ses différents voisins accessibles et du coût de la liaison. Quand un routeur reçoit une nouvelle table, il effectue l'algorithme de Bellman Ford pour chaque entrée de la table reçue : si l'entrée n'est pas dans la table, il la rajoute ; si le coût de la route proposée par la table plus le coût de la route pour venir est plus petit que celui de la route stockée, la table de routage est modifiée pour prendre en compte cette nouvelle route ; sinon, il n'y a pas de changement. 9

10 La modification d'une entrée dans la table d'un routeur engendre l'émission de la nouvelle table vers tous les routeurs adjacents. Les échanges entre les routeurs continuent jusqu'à ce que l'algorithme converge. Cette diffusion, purement locale des informations de routage, permet d'éviter la formation de boucles sur le réseau. Construire une fois pour toutes les tables de routage n'est pas satisfaisant. L'état du réseau peut évoluer. Des routeurs peuvent tomber en panne ou des liaisons peuvent être coupées. Il faut que les tables de routage prennent en compte ces modifications. Des stations peuvent aussi arriver, il faut qu'elles puissent récupérer rapidement les informations concernant le routage. L'algorithme du Vecteur de distance résout ces problèmes en forçant les routeurs à diffuser périodiquement leurs tables de routage, même si aucune modification n'y a été apportée. Une station qui arrive sur le réseau peut ainsi récupérer la configuration. Un équipement détectera un problème quand il ne recevra pas pendant une période de temps fixée les informations d'un routeur adjacent. Il mettra à l'infini les les entrées correspondant à ce routeur dans sa table de routage et poursuivra l'algorithme du Vecteur de distance. Ce qui peut conduire à un changement total du routage des stations : Problème de convergence Pour aller Passer par Coût R1 Loc.1 1 R2 Loc.2 1 R3 B 2 R4 B 3 Pour aller Passer par Coût R1 A 2 R2 Loc.1 1 R3 Loc.2 1 R4 C 2 Pour aller Passer par Coût R1 B 3 R2 B 2 R3 Loc.1 1 R4 Loc.2 1 Figure 4. Dans l'exemple précédant si le routeur C tombe en panne, l'accès au réseau R4 devient impossible, B le détecte et met le coût pour la route vers R4 à l'infini. Mais le routeur A possède une route ayant un coût de 3 pour aller sur le réseau R4. B accepte cette route et met dans sa table qu'il faut passer par A pour atteindre R4 avec un coût de 4. Comme le coût a changé, la station A recalcule sa route, pour aller en C, il faudra passer par B et le coût sera 5,... Au fur et à mesure des itérations, le coût pour aller en R4 augmente, mais la convergence prend un temps infini. Une première solution consiste à "diminuer" la valeur de l'infini pour réduire le temps de convergence. Par exemple, dans l'algorithme de routage RIP, la valeur 16 indique que la station n'est pas accessible. 10

11 : L'horizon coupé Une solution complémentaire pour accélérer la convergence consiste à interdire à A d'envoyer une entrée de la table à un routeur quand la route passe par le réseau du destinataire. Dans l'exemple figure 1.5.2, A n'émettra pas vers B l'information qu'il peut atteindre R3 ou R4, car les routes passent par le réseau où est connecté B. On appelle cette technique "l'horizon coupé" (en anglais : split horizon). Malgré tout, la technique de l'horizon coupé ne résout pas tous les problèmes de convergence. En effet, elle limite les bouclages directs, mais n'empêche pas qu'une succession de routeurs produise les mêmes effets. Figure 5. Pour résoudre ce problème, il faudrait avoir une connaissance complète du réseau. Or les routeurs implémentant le Distant Vector, ne connaissent que leurs voisins immédiats : La retenue du chemin et les routes empoisonnées Le problème de convergence vient de l'existence d'une boucle dans le réseau. La technique de retenue du chemin va interdire à un routeur de prendre en compte les modifications sur une route qu'il a jugée inaccessible. Une fois la période transitoire passée, si l'un des routeurs de la boucle permettait effectivement de joindre cette destination, l'échange de table du Vecteur de distance permet de la réinsérer dans les tables de routage. 11

12 Figure 6. Si les boucles contiennent trop de routeurs la technique précédente peut s'avérer inefficace. L'algorithme des routes empoisonnées dit que le routeur ne doit pas prendre en considération des annonces où le nombre de routeurs pour atteindre une destination a crû de manière trop importante : RIP (rfc 1058) RIP (Routing Information Protocol) est un algorithme de type Vecteur de distance. Il est utilisé dès l'origine du réseau Internet et actuellement la plupart des vendeurs intègrent RIP à leur catalogue. RIP est conçu pour travailler sur des réseaux de petites tailles. RIP différencie les machines actives, c'est-à-dire les routeurs, qui émettent périodiquement les tables de routage et les machines passives, les stations, qui ne font qu'écouter les messages qui circulent sur le réseau. RIP utilise le protocole UDP pour transporter ses données. Le port 520 est réservé au protocole : Fonctionnement RIPv1 Le protocole RIP est formé par des "requêtes" (une requête est normalement émise par un routeur qui vient de redémarrer, afin d'obtenir de ses voisins la valeur initiale de la table de routage), et des "réponses" qui sont soit transmises réguliers chaque 30 secondes, soit pour transmettre des "mises à jour déclenchées. Le processus RIP, après la réception d'un message de "réponse, mettra à jour sa table de routage. Chaque entrée de la table contiendra au moins les informations suivantes: adresse de la destination, métrique associée à cette adresse, adresse du "prochain routeur, un indicateur de "mise à jour récente, plusieurs temporisations. 12

13 Lors du traitement de la réponse, le routeur en examinera une à une les entrées. Il devra faire des tests de validation, par exemple vérifier que l'adresse destination correspond bien à un des formats "A, "B, ou "C, que le numéro de réseau ne vaut ni 127 (boucle locale) ni 0 (sauf dans le cas de l'adresse par défaut ), que le numéro d'hôte n'est pas le code de "diffusion" et que la métrique n'est pas supérieure à l'infini. On ajoute ensuite 1 à la métrique reçue, sauf si elle est "infinie, afin de prendre en compte la liaison locale. On cherche ensuite si la destination était présente dans la table locale et on effectue les traitements normaux de l'algorithme "vecteur de distance. Nous rappelons qu'en régime stable, c'est à dire quand il n'y a pas de modification des tables de routage, chaque routeur émet périodiquement ses tables. La période est généralement de 30 secondes. En cas de changement dans les tables de routage, l'envoi des nouvelles tables n'est pas instantané. Ceci évite un très grand nombre de messages pendant les périodes d'initialisation ou de reconfiguration. Quand un routeur a émis une table, il doit attendre aléatoirement une durée comprise entre 1 et 5 secondes avant de réemettre une nouvelle table. Un envoi périodique est prioritaire et annule l'envoi de messages de reconfiguration bloqués sur cette attente. Le temps de convergence de l'algorithme est de l'ordre de plusieurs minutes. Un routeur décide qu'une route n'est plus valide quand il n'a pas reçu pendant une période de 180 secondes de tables d'un routeur. L'architecture Internet moderne distingue clairement les "hôtes, qui utilisent l Internet, des "routeurs" qui participent au routage. Les hôtes ne participent pas au routage et à l'acheminement des paquets IP : c'est là le travail des routeurs. En conséquence, les protocoles de routage comme RIP sont l'affaire des routeurs, et les hôtes ne devraient même pas en connaître l existence. Utiliser RIP dans un routeur implique toujours une "configuration" du protocole. Dans sa version la plus simple, le processus RIP doit obtenir une liste des interfaces locales, des adresses associées et des masques de sous réseaux. Mais l'opérateur local a beaucoup de raisons de ne pas vouloir laisser RIP diffuser des messages sur toutes les interfaces pour des raisons variées, par exemple : l envoie des messages toutes les 30 secondes serait un pur gaspillage ; ou bien on peut souhaiter interdire certaines destinations avec lesquelles on ne veut pas communiquer, les informations concernant ces destinations devront être ignorées dans les messages de réponse. Le processus RIP devra passer à la couche IP le résultat de ses calculs et devra obtenir des informations sur l'état des interfaces locales. En l'absence d'informations plus précises, l'absence de messages RIP conduira bien sûr à considérer les routes inaccessibles après un délai de 180 secondes. Mais c'est vraiment très lent, et aussi très imprécis. 13

14 : RIPv2 Cette version de RIP est plus récente puisqu'elle date de Janvier Malgré ses limitations, en particulier l'absence de netmask, RIP est resté un protocole très populaire. Il présente toujours des avantages par rapport à des protocoles plus performants mais aussi plus complexes à mettre en oeuvre. RIP-2 offre plus de fonctionnalités tout en restant entièrement compatible avec les anciennes versions de RIP. RIP-2 permet une authentification des messages de routage. En effet, un site mal intentionné peut modifier les tables de routage des routeurs pour : empêcher le réseau de fonctionner, modifier le chemin que prennent les messages pour pouvoir les écouter. Un paquet RIP-2 authentifié contient OxFFFF dans le champ identification de la famille d'adresse et doit être placé en premier dans le paquet. Le champ route tag contient le type d'authentification et les 4 champs suivants permettent d'avoir 16 octets contenant les paramètres d authentification. Pour l instant, le seul type standardisé est 2. Les paramètres contiennent un mot de passe en clair. Ce type d'authentification peut être facilement cassé : Amélioration apportée par RIP Version 2 Gestion de sous réseaux et super réseaux utilisation de Multicast IP ( ) au lieu de Broadcast IP Suppression de pics de transmission de messages : supprimer les synchronisations involontaires des émissions de messages : introduction de gestion aléatoire du déclenchement des émissions (14 à 45 secondes) : Problèmes résiduels importants Boucles, Métriques non appropriées aux réseaux modernes Pas de chemins multiples : Description de l'algorithme Etat des liaisons : L'algorithme du Distant Vector peut conduire à des boucles qui ralentissent sa convergence. La technique de l'horizon coupé permet d'en supprimer certaines en utilisant la connaissance de proximité qu'a chaque station du réseau Mais elle est rapidement mise en défaut en cachant la boucle derrière un autre routeur. Pour éviter les boucles, il faudrait que chaque routeur ait une vision complète de la topologie du réseau. L'algorithme Etat des liaisons permet d'obtenir cette connaissance.le déroulement de l'algorithme Etat des liaisons est le suivant : chaque routeur identifie ses voisins immédiats, un routeur principal et un de secours sont élus sur chaque réseau, le routeur acquiert la base de données du routeur désigné, chaque routeur construit un message contenant la liste de ses voisins immédiats ainsi que le coût associé à la liaison. Ce message sera appelé LSP pour Link State Packet, ce paquet est transmis à tous les autres routeurs du réseau avec un mécanisme de diffusion qui limite la propagation des messages et évite les boucles, 14

15 chaque routeur met à jour sa base de données, ce qui lui donne une vision globale du réseau et il peut en déduire ses tables de routage. L'algorithme de calcul de la route est dérivé de celui proposé par Dijkstra. L'algorithme utilise deux structures contenant la destination, le coût et le noeud de sortie. La première structure appelée PATH contient le chemin pour aller d'un routeur à un autre au meilleur coût. La seconde structure appelée TENT contient les tentatives de chemin qui n'ont pas encore montré l'offre d'un meilleur coût. L'algorithme se déroule de la manière suivante pour chaque routeur R. Dans la phase d initialisation, R est placé dans la structure PATH en tant que racine ; pour chaque routeur N contenu dans la structure PATH, examiner les données de la base décrivant l'état des liaisons (c'est à dire initialement les voisins immédiats) de N: pour chaque voisin M de N ajouter le coût de la liaison de la racine jusqu'à N au coût de la liaison de N à M, * si M n'est ni dans la structure PATH ni dans la structure TENT avec un meilleur coût, insérer M avec le coût calculé et la direction N dans TENT, si TENT est vide, l'algorithme est terminé, sinon prendre dans TENT l'entrée qui a le coût minimum, la mettre dans PATH et redérouler l'algorithme au début : OSPF (Open Shortest Path First) (rfc 1247) OSPF est un protocole de type Etat des liaisons destiné à remplacer les protocoles intérieurs propriétaires et RIP. OSPF utilise la fonctionnalité "type de service" offerte par IP - permet d'installer plusieurs routes pour une même destination, selon des critères différents (ex : délai court, débit important). - Si plusieurs routes vers une même destination sont de coûts équivalents, répartit la charge équitablement parmi ces routes. OSPF supporte l'adressage en sous réseaux (subnets); Découpage d'un système autonome en zones - isolement des informations de routage à l'intérieur de ces zones - limitation des informations de routage dans le système autonome. Des liens virtuels peuvent être établis dans la topologie de l'as afin de cacher les connexions physiques d'une partie du réseau. Les liens extérieurs avec d'autres systèmes autonomes (via EGP par exemple) sont pris en compte. Echanges entre routeurs authentifiés (l intégrité des messages). Le problème : dans les systèmes de routage, si le réseau est trop grand - overhead du trafic dans le réseau, - calculs trop longs, - dimensionnement mémoire trop grand 15

16 La solution : routage hiérarchique - découpage du réseau en parties indépendantes (Zones) - reliées par un BackBone (Area BackBone) Figure 7. La fonctionnalité chaque zone constitue un réseau indépendant, ce qui implique : le protocole d'inondation s'arrête aux frontières de la Zone et les routeurs ne calculent que des routes internes à la Zone certains routeurs (area border routers) appartiennent à plusieurs Zones et transmettent les informations récapitulatives des Zones qu'ils relient. OSPF est un protocole "à état des liaisons" dont la conception obéit à la théorie générale de ces protocoles : on y trouve une base de données distribuée, une procédure d inondation, la définition des voisinages, des enregistrements spécifiques pour les routes externes. Les protocoles à état des liaisons sont fondés sur la "distribution d'une carte" : tous les noeuds ont une copie régulièrement mise à jour de la carte du réseau. OSPF permet de : séparer "hôtes" et "routeurs, traiter les réseaux à diffusion tels que Ethernet ou FDDI, traiter les réseaux sans diffusion tels que X.25 ou ATM, découper les grands réseaux en zones : Séparer hôtes et routeurs : OSPF utilise les "sous réseaux" d'ip : comme tous les hôtes connectés au segment Ethernet appartiennent au même sous réseau, il suffit d'annoncer la liaison entre le routeur et ce sous réseau. Dans la terminologie OSPF, cela est une variante des "liaisons entre routeurs" appelée "liaison à un réseau terminal". La liaison vers un 16

17 routeur voisin est identifiée par l'adresse IP de ce voisin ; celle à un réseau terminal est identifiée par ses numéros de réseau et de sous réseau : Réseaux à diffusion : Les réseaux locaux utilisant des techniques de type Ethernet ou anneau à jeton offrent deux caractéristiques de service : une connectivité complète : toute station peut envoyer un paquet vers n'importe quelle autre, la possibilité de diffusion : une station peut envoyer un paquet qui atteindra toutes les autres stations (diffusion globale) ou toutes les stations appartenant à un groupe (transmission multipoint), : Réseaux sans diffusion: Ces réseaux présentent une différence importante par rapport aux réseaux à diffusion : ils fournissent une connectivité complète entre leurs clients, mais ne permettent ni "diffusion globale" ni "transmission multipoint. On les appelle donc dans la documentation OSPF, des "réseaux sans diffusion". OSPF gère de la même manière les réseaux "à diffusion" et "sans diffusion". Les routeurs élisent un "routeur désigné" et un "back up" ; les informations de routage ne seront échangées qu'avec ces deux routeurs. Avoir un routeur désigné n'a pas d'effet sur les routes elles-mêmes : on devra établir des circuits virtuels entre tous les routeurs pour y transmettre les paquets IP La différence principale entre réseaux "à diffusion" et "sans diffusion" est l'absence de transmissions multipoint : tous les paquets d'annonce devront être émis en "point à point. Les paquets "Hello" utilisés pour l'élection contiendront la liste de routeurs du réseau sans diffusion. Figure 8. Quand le routeur désigné "diffuse" une annonce, il doit envoyer une copie individuelle à chacun des autres routeurs ; quand un routeur ordinaire propage une annonce, il en envoie une copie au routeur désigné et une autre au back up. 17

18 : Découpage en zones: La taille de la base de données, la durée des calculs de route et le volume des messages augmentent avec la taille du réseau. Si le réseau est trop gros, tous ces facteurs deviennent excessifs : il faut trop de mémoire, les calculs durent trop longtemps, l'overhead de transmission devient insupportable. La réponse classique à ce problème est le "routage hiérarchique" que nous verrons dans ce qui suit : Routage hiérarchique : Contrairement à RIP, OSPF opère sur une hiérarchie. L'entité la plus large dans l'hiérarchie est le AS (Autonomous System). Un AS est une collection de réseaux sous une administration commune, partageant une stratégie commune de routage. OSPF est un protocole intra AS (interior gateway), bien que il est capable de recevoir des routes de et envoyer des routes à d'autres ASs. Un AS peut être divisé en un certain nombre de zones (areas). Une zone est un groupe de réseaux contigus et d'hôtes reliés.les routeurs avec des interfaces multiples peuvent participer dans des zones multiples.ces routeurs, nommés "routeurs interzones" (area border routers), maintiennent des bases de données topologiques séparés pour chaque zone. Une base de données topologique est essentiellement un schéma global de réseaux en relation avec des routeurs. La base de données topologique contient la collection de LSAs (Link State Advertisements) reçus de tous les routeurs de la même zone. Comme les routeurs de la même zone partagent la même information, ils ont des bases de données topologiques identiques. Une topologie de zone est invisible pour les entités en dehors de la zone. En laissant les zones topologiques séparées, OSPF laisse passer moins de trafic de routage que si les AS n'étaient pas divisés. Le routage intra zone apparaît quand la source et la destination sont dans la même zone ; le routage interzone apparaît quand elles sont dans des zones différentes. Un réseau fédérateur (backbone) OSPF est responsable de la distribution de l'information de routage entre les zones. RIP est un protocole prévu pour fonctionner sur des réseaux locaux à diffusion, OSPF a été conçu dans un cadre plus général où l'on peut trouver des réseaux à diffusion, des réseaux sans diffusion mais à accès multiples (NBMA: Non Broadcast Multiple Access) et des liaisons point à point.les protocoles d'ospf ne visent qu'à l'échange de tables entre routeurs. L'écoute passive par les stations des tables de routage, comme le permettent les algorithmes de type Vecteur de Distance,n'est pas prévue. 18

19 : Les sous protocoles : Le protocole Hello: vérifie que les liaisons sont opérationnelles permet l'élection du routeur désigné ainsi que le routeur back up établit une connexion bilatérale entre 2 routeurs Le protocole d'échange: consiste en l'échange des tables «Etat des liaisons» entre 2 routeurs activé si la connexion bilatérale a réussit initie les premiers échanges Fonctionne en Maître/Esclave Echanges avec acquittements Le protocole d'inondation: Activé lorsque l'état d'une liaison change et que cet état était préalablement enregistré Peut aussi être activé sur demande d'état après connexion bilatérale protocole avec acquittement Pour chaque annonce - si nouvelle valeur : l annonce est réémise sur tous les interfaces - Acquittement vers l'émetteur initial : Avantage des protocoles à état de liaisons La plupart des experts en réseau préfèrent les protocoles à "état des liaisons" aux protocoles à "vecteur de distance. Il y a plusieurs raisons à ceci : convergence rapide sans boucle, possibilités de chemins multiples, métriques précises et couvrant plusieurs besoins, traitement séparé des routes externes. chaque passerelle calcule ses routes indépendamment des autres. En conclusion, les algorithmes à état de liaisons sont mieux adaptés au facteur d'échelle que les algorithmes Vecteur Distance. 19

20 1.6 : Protocoles de routage externes : Le protocole EGP Le protocole EGP (Exterior Gateway Protocol) est l'un des premiers protocoles de routage externe qui ait été utilisé dans l'internet. Le but d'egp n'est pas de trouver les routes ayant la meilleure métrique puisque EGP est construit pour fonctionner sur une architecture fortement hiérarchique comme l'était l'internet à ses débuts. Le réseau Internet a beaucoup évolué depuis et EGP n'est plus adapté à la nouvelle topologie et aux nouveaux besoins. Par contre, dans certaines parties du réseau le protocole peut encore être utilisé, puisqu'il est relativement simple. EGP permet d'annoncer des routes (c'est-à-dire les réseaux) qui sont accessibles. Le routage dans les systèmes autonomes est relativement simple. Une route par défaut permet d'atteindre le réseau d'interconnexion. Par contre, ce dernier doit construire les routes pour atteindre le bon système autonome. Le protocole d'egp se déroule en trois étapes par échange de messages dont le type sera donné dans les paragraphes suivants : la première consiste à se mettre d'accord avec un routeur voisin pour échanger des informations de routage ; la seconde consiste à vérifier périodiquement que le routeur voisin est toujours accessible. Le routeur émettra des messages Hello qui seront acquittés par des messages I-H-U (I Hear You, je vous entends) ; la troisième consiste à échanger les informations de routage, c'est-à-dire la liste des réseaux que le routeur connaît et qu'il peut joindre : Les messages EGP Les messages EGP sont directement encapsulés dans des paquets IP dont le numéro de protocole est 8. Il existe 3 types de message : : Acquisition d un voisin La procédure d'acquisition est très simple. Un routeur qui souhaite échanger des informations de routage avec un autre routeur envoie un message de demande d'acquisition. Le routeur distant retourne une confirmation ou un refus. Ceci dépend de la configuration du routeur puisque la liste des routeurs avec lesquels il est susceptible de dialoguer doit être explicitement donnée par l'administrateur du réseau. Ce type de message peut aussi servir lorsqu'un routeur est arrêté proprement pour avertir les voisins. Le protocole IP n'étant pas fiable si, au bout de 30 secondes, aucune réponse n'est parvenue la requête est reformulée : Accessibilité des routeurs Ces messages sont émis périodiquement pour détecter tout problème qui pourrait exister entre les deux routeurs voisins comme par exemple la rupture d'un lien ou l'arrêt brusque de la machine. Le protocole IP n'étant pas fiable, il ne faut pas qu'un routeur déduise de l'absence de réponse, la panne de l'autre équipement. Une liaison sera dite basse si pendant une période de temps fixe le nombre de message acquittés passe en dessous d'une borne j et haute si au contraire le nombre de paquets acquittés dépasse une borne k. 20

21 : Accessibilité des routes Périodiquement le routeur demande à son voisin de lui fournir la liste des réseaux qu'il sait atteindre. Ce message de type 2 contient le numéro du réseau commun aux deux routeurs. Ce numéro peut être sur 1,2 ou 3 octets suivant que l'adresse est une classe A, B ou C.Le routeur répond en transmettant la liste des réseaux qu'il connaît dans un message EGP dont le champ type vaut : Limitations d'egp : Notions de classes Le format des adresses de réseau est fortement lié à la notion de classe. Ces champs peuvent faire 1,2 ou 3 octets alors qu'avec l'attribution d'adresses sans classes (CIDR), il faudrait pouvoir indiquer au bit près la longueur de l adresse : Distances non significatives Le champ distance ne peut pas être considéré comme une métrique. Il n'est ni interprété, ni modifié par EGP. La valeur mise dans ce champ est propre au système autonome qui fait l'annonce. Sur la figure 9, les systèmes AS1 et AS2 ont une liaison privée qui leur permet de communiquer sans passer par le réseau fédérateur de l'internet. Ce type de liaison est appelé "en coulisse" (backdoor link). L'annonce des réseaux du système AS1 par le routeur 5 se fera avec une métrique plus importante que celle faite par le routeur 1. Quand le réseau Internet recevra des paquets pour un réseau du système autonome AS1, il les dirigera vers le routeur 2. Par contre si en cas de panne le routeur 2 devient inaccessible au routeur 3, seule la route passant (et annoncée) par le routeur 5 sera prise en compte. Figure 9. 21

22 : Hiérarchie sur deux niveaux : Sur la figure 10, si au lieu d'être seulement un système autonome, l'as2 est aussi un réseau fédérateur appartenant à un opérateur privé et le réseau Internet, (un réseau subventionné pour la recherche ). Le système autonome AS1 ne peut plus privilégier une des deux routes. Il va donc annoncer via les routeurs 1 et 2 les mêmes distances.les deux réseaux fédérateurs ne pourront pas distinguer quel est le meilleur chemin pour atteindre le système autonome AS1 puisque tous les deux offriront la même distance. Si l'as2 a des données à transmettre à l'as1, il risquera de les faire transiter par le réseau subventionné. Le risque est même plus grand. Les tables de routage du réseau subventionné peuvent renvoyer l'information vers l'as2. Le paquet n'arrivera jamais à destination : BORDER GATEWAY PROTOCOL (BGP) Figure : Introduction La croissance de l'internet rendit les limitations d'egp inacceptables : beaucoup d'utilisateurs souhaitaient rompre la topologie "en étoile'" qu'egp imposait. Cela conduisit à standardiser le "protocole de gateway frontière BGP", développé par le groupe de travail correspondant de l'ietf. BGP repose sur TCP et utilise le numéro de port 179, support l'adressage "sans classes" (CIDR). BGP est un exterior gateway protocol (EGP), ce qui signifie qu'il performe le routage entre des systèmes autonomes multiples ou domaines et fait l'échange du routage et d'information avec d'autres systèmes BGP. BGP a été développé pour remplacer son prédécesseur, le protocole EGP. Il résout des sérieux problèmes et contribue de plus en plus au développement de l'internet. 22

23 : Le concept des vecteurs de chemins: BGP est un protocole qui permet de mieux prendre en compte la complexité du routage dans le réseau Internet. Comme pour tout protocole de routage, BGP maintient des tables de routage, transmet des 'mises à jour', et des décisions de routage sur les métriques. Il y a beaucoup de différences entre BGP et EGP, mais l'innovation la plus importante de BGP est probablement le concept de "vecteurs de chemins" qui permet la prévention des boucles dans une topologie complexe. Les concepteurs de BGP devaient développer un successeur à EGP qui permet de gérer des topologies arbitraires. C'était un problème difficile. Les protocoles de type "vecteurs de distance" s'accordaient bien avec la conception classique du routage "relais par relais" mais n'offraient pas assez de protection contre les boucles. L'approche "état des liaisons", cependant paraissait irréaliste car on doit diffuser une base de données d'état des liaisons représentant l'internet global. BGP résolue le problème en inventant une nouvelle technologie, dite "des vecteurs de chemins". Dans un protocole à vecteurs de distances classique, toute l'information décrivant une destination est concentrée dans la "métrique". Cela ne suffit pas si on veut détecter rapidement les boucles. D'où l'approche implémentée par BGP: Chaque mise à jour de routage transporte la liste complète des réseaux de transit, ou plus précisément des systèmes autonomes traversés par le chemin.une boucle ne peut survenir que si un AS est listé deux fois, ce qui serait une erreur. L'algorithme de protection contre les boucles est donc très simple. Chaque fois qu'il reçoit l'annonce d'une route, le routeur externe vérifie que son propre AS n'est pas déjà traversé par le chemin. Si c'est le cas, il refusera d'utiliser ce chemin. Sinon, il ajoutera l'identification du domaine local dans la liste avant de propager ce chemin. Cette approche a le gros avantage de ne pas obliger l'ensemble des relais à utiliser la même métrique, ce qui serait problématique étant donné leurs intérêts différents et leur autonomie de décision.ils peuvent au contraire faire n'importe quel choix : il suffit qu'ils consignent précisément le résultat de ce choix dans le "vecteur de chemins" pour qu'on soit sûr d'éviter les boucles. BGP gère les chemins entre les systèmes autonomes. Ces chemins sont décrits par des listes d'attributs, dont les plus importants sont la "liste des AS traversés" et la "liste des réseaux accessibles". Quand plusieurs chemins sont disponibles, l'addition d'attributs supplémentaires permet aux routeurs externes de choisir "le meilleur chemin". 23

24 : comparaison entre EGP et BGP EGP Utilise IP. Best effort. les commandes d'egp doivent être répétées si la réponse ne revient pas dans un certain intervalle : il faut donc gérer une temporisation dans le programme EGP lui-même =>plus complexe a régler. Fragmentation IP => retransmettre les messages complets en cas de pertes EGP peut garder une trace précise des erreurs de transmission, et donc décider de considérer qu'une liaison est "hors service" si trop de "hellos" restent sans réponses. EGP impose que les routeurs transmettent des messages d'accessibilité complets toutes les deux minutes. BGP Utilise TCP. Transfert fiable. Pas besoin d un temporisateur car on u TCP. Pas besoin de fragmenter. TCP ne pourra signaler une erreur que si on essaye d'envoyer des données sur la connexion et si ces données ne sont pas acquittées après un long délai, après plusieu essais de retransmission. BGP demande seulement qu'ont retransmet la fraction de l'information qui a changé. Après une phase initiale pendant laquelle on échange des tables complètes : Trois types de routage pour BGP BGP performe trois types de routage : interautonomous System routing, intra-autonomous System routing, et passthrough autonomous System routing Interautonomous System routing Interautonomous system routing apparaît entre deux ou plusieurs routeurs BGP dans différents systèmes autonomes. Les routeurs voisins dans ces systèmes utilisent BGP pour maintenir une vue consistante de la topologie de l'internet. Les BGP voisins communiquant entre des systèmes autonomes doivent résider sur le même réseau physique : Intra-autonomous system routing Intra-autonomous system routing apparaît entre deux ou plusieurs routeurs BGP localisés dans le même système autonome. Les routeurs voisins dans le même système autonome utilisent BGP pour maintenir une vue consistante de la topologie du système. BGP est aussi utilisé pour déterminer quel routeur servira comme un point de connexion pour des 'external autonomous Systems' spécifiques. Le protocole BGP peut assurer des services de routage 'inter et intraautonomous system' à la fois : Pass-through autonomous system routing Pass-through autonomous system routing apparaît entre deux ou plusieurs routeurs voisins BGP qui s'échangent du trafic le long d'un système autonome qui n'utilise pas BGP. 24

25 Dans un environnement 'pass-through autonomous system', l'origine du trafic BGP n'est pas dans le système autonome, en plus le trafic BGP n'est pas destiné pour un noeud dans le système autonome.bgp doit interagir avec n'importe quel 'intra-autonomous system routing protocol' utilisé pour transporter comme il faut le trafic BGP à travers ce système autonome :Politique de routage Un routeur ne gardera qu une seule route vers une destination. La décision de garder ou de rejeter une annonce de route se fera sur les attributs et sur les paramètres locaux. Ce choix sera propagé vers les autres routeurs. 1.7 : Limite du routage dans l'internet : 1-Le champ adresse de la source du paquet ( ou de système autonome d'origine) ne peut être pris qu'au moment de la construction des tables de routage. Tous les paquets,quelle que soit leur origine, entrant dans un système autonome seront traités de la même manière. 2- Si la capacité d un réseau en terme de bande passante est inférieure à la demande de transmission, le taux de perte augmente rapidement dans un réseau. Une solution pour limiter ce taux de perte est donc de limiter la demande de transmission en instaurant en entrée du réseau un contrôle d'admission. Cette approche est utilisée dans le réseau téléphonique et ATM. Il est relativement difficile de la mettre en œuvre dans l'internet, car celui-ci est structuré en systèmes autonomes bénéficiant d'une autonomie de gestion. L'échange d'information entre systèmes autonomes ne porte que sur des informations de routages. 3- les flux ayant des contraintes du trafic ne sont pas protéges des trafics Best Effort dans les routeurs pour obtenir des garanties de débit, de délai et de taux de perte. Cette approche nécessite de réserver des ressources dans le réseau pour ces flux. 4-difficulter d ajouter des application ou des nouveau services (exemple : signalisation pour assurer la QoS,ou bien un routage multicast fiable ou bien des application de multimédia ) ou un nouveau protocole a un équipement de réseau ou au réseau lui-même sans changer tous les softwares se trouvant sur tous les équipements du réseau=> Le déploiement et le développement de nouveaux services réseau est très lent par rapport a la demande de nouveau application et service. 5-Le routage IP n a pas de l intelligence,tout ce qu il fait est de router vers une de ces interfaces un paquet IP suivant l adresse destination sans regarder se qu il y a dedans ce dernier. 25

26 2. Les Réseaux actifs 2.1 : Introduction L'acceptation large de l'ip est provenue de sa capacité de fournir l'accès à des bas prix indépendamment des technologies fondamentales de gestion de réseau. Toutefois le développement et le déploiement des nouveaux services de réseau, c.a.d les services qui opèrent sur la couche d'ip, est trop lent, et ne peut égaler les changements rapides des diverses applications qui se développent. Les exemples de tels services sont : la signalisation pour la qualité du service (QoS), du multicast fiable Semblable à l'architecture intelligente de réseau dans le monde de PSTN, l'architecture courante d'internet doit être améliorée afin de tenir compte d'une introduction et d'une programmabilité plus rapides de tels services. La communauté d'internet a réalisé le besoin d un changement, et avait satisfait ces besoins sur une base de problème centrale au lieu de traiter le problème structuralement. Par exemple, diverses approches de différenciation de service ont appliqué l'idée de la gestion de file d'attente active dans les routeurs, ayant pour résultat les algorithmes tels que le RED et les FRED, etc. Les réseaux intelligents ont était introduits comme solution architecturale pour le déploiement rapide et flexible de nouveaux services de réseau. L'idée fondamentale des réseaux actifs est de permettre aux tiers (utilisateurs, opérateurs, et fournisseurs de service) d'injecter des services spécifiques a l'application (sous forme de code) dans les réseaux. Les applications peuvent ainsi utiliser ces services pour obtenir leurs besoins en termes de ressources de réseau et de gestion de réseau. Les réseaux actifs permettent l'injection dynamique du code. Mais cette injection peut seulement être acceptable par des fournisseurs de réseau si elle ne compromet pas l'intégrité, la performance et /ou la sécurité des réseaux. Par conséquent les architectures des réseaux actifs doivent être soigneusement crées pour être a la foi flexible, performant et sécuriser. La programmation, une condition fondamentale des réseaux actifs, signifie qu'un utilisateur peut commander dynamiquement le réseau pour traiter des paquets d'une manière déterminer, plutôt que mode fixe, par exemple, par sélection/implémentation d un algorithme de routage. Les réseaux actifs implémentent des mécanismes de distribution de code et d'exécution de code, de sorte que l'injection du code programmé par des utilisateurs puisse imposer la commande des réseaux. Différentes propositions on étaient présentées pour l architectures des réseaux actifs (Switchware PLANet, ALIEN, ANTS, ) : Composant d un réseau actif Pour réaliser un prototype d architecture de réseaux actifs, la structure des réseaux actuels doit être fondamentalement modifié. La Figure 1 montre les différents composants généralement présents. Trois d entre eux sont remarquables. Premièrement, les paquets différent de leurs cousins des réseaux traditionnels, car ils ne sont plus composes uniquement de données, mais également d un programme qui permet de les traiter. Deuxièmement, il n y a plus de différences entre la périphérie du réseau et son cœur (stations terminales et routeurs), toutes ces infrastructures sont appeles nœuds actifs. Leurs fonctions sont bien plus évolues que celles des routeurs traditionnels, car ils doivent pouvoir interpréter des programmes, être extensibles et bien sur savoir gérer le réseau. Troisièmement, une (ou plusieurs) machine virtuelle doit être présente sur chaque nœuds pour pouvoir exécuter le code contenu dans les paquets. Le langage qu elle interprète doit être pourvu de propriétés particulières, afin d assurer un comportement correct des paquets. Mais, cette contrainte implique l existence d un compromis entre flexibilité et surete dans la sémantique du langage. 26