Projet Réseau Evolution de la PlateForme spécialité RESeau (PFRES) Le 8 juin 2012

Transcription

1 Projet Réseau Evolution de la PlateForme spécialité RESeau (PFRES) Benjamin Bachelart Benjamin Gonzalez Benjamin Baron Alexandre Ragaleux Le 8 juin / 39

2 Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 2 / 39

3 Contexte Plateforme expérimentale destinée aux étudiants Projets de recherche, maquettes Située au LIP6, salle Intel 25/ / 39

4 MODE NM E1 NM E0 NM E1 NM E0 SYST RPS MASTR STAT DUPLX SPEED 1X 2X S L O T 3 S L O T 1 S L O T 3 S L O T 1 9X 10X 11X 12X X 20X 21 S L O T 2 S L O T 0 S L O T 2 S L O T 0 Catalyst 2960 SERIES CONSOLE AUX CONSOLE AUX SPD SPD SPD SPD GE 0/1 GE 0/0 GE 0/1 GE 0/0 LINK LINK LINK LINK PEP PEP SFP SFP SYS OK SYS PWR INLINE PWR PVDM 1 PVDM 0 AIM 1 AIM 0 FDX 100 LINK FDX 100 LINK FE 0/1 FE 0/0 CONSOLE AUX CF COMPACT FLASH DO NOT REMOVE DURING NETWORK OPERATION SLOT 3 SLOT 2 THIS SLOT ACCEPTS ONLY VICs AND WICs SLOT 1 SLOT 0 THIS SLOT ACCEPTS ONLY VICs AND WICs POWER STATUS ACTIVE VPN FLASH Cisco 2800 Series CISCO ASA 5510 series Adaptive Security Appliance PlateForme de la spécialité RESseau AS 4 AS 3 AS 2 AS 1 Située dans la salle Intel 25/ / 39

5 Cahier des charges Intégration et installation de nouveaux équipements Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 Services : base, sécurité et VoIP QoS et MPLS Documentation : manuel et TRAC 5 / 39

6 Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 6 / 39

7 Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 serveur2.ent1 serveur3.ent1 AS 1 Catalyst 2800 VLAN 210 ASA5510 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 AS 4 serveur3.ent2 Load Balancer J Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ MIR VLAN 221 VLAN 320 J2 ISS J1 VLAN 222 AS 2 VLAN 332 VLAN 331 VLAN 333 AS 3 serveur2.core1 serveur1.core1 PSEUDOL MEDIAL J Firewall1.ent2 VLAN 430 J4 7 / 39

8 Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 VLAN 210 serveur2.ent1 serveur3.ent1 Catalyst 2800 ASA5510 MIR VLAN 222 serveur2.core1 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 serveur3.ent2 Load Balancer J Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ VLAN 221 VLAN 320 J2 ISS VLAN 332 VLAN 331 J1 VLAN 333 serveur1.core1 PSEUDOL MEDIAL J Firewall1.ent2 VLAN 430 J4 8 / 39

9 Accès à la plateforme Plusieurs passerelles à traverser : Passerelles : sphinx.lip6.fr et gate-net.rsr.lip6.fr Contrôleurs de console (ACS) accessibles depuis le VLAN Internet Gestion des équipements out-of-band MGMT4 Serveurs AS 4 MGMT3 Serveurs AS 3 MGMT2 Serveurs AS 2 MGMT1 Serveurs AS 1 gate-net 9 / 39

10 Accès à la plateforme Plusieurs passerelles à traverser : Passerelles : sphinx.lip6.fr et gate-net.rsr.lip6.fr Contrôleurs de console (ACS) accessibles depuis le VLAN Internet Gestion des équipements out-of-band MGMT4 Serveurs AS 4 MGMT3 Serveurs AS 3 MGMT2 Serveurs AS 2 MGMT1 Serveurs AS 1 gate-net 10 / 39

11 Plan d adressage Numéro de de l AS Adresse IPv4 Adresse IPv6 VLAN Internet (999) /8 N/A AS /24 2a00:b82:8502::/48 AS /16 2e70:13::/32 AS /16 2d05:37::/32 AS /24 2a00:285:42::/48 Adressage privé pour le VLAN Internet (999) Adressage publique pour les ASs 11 / 39

12 Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 12 / 39

13 Open Shortest Path First Implémenté dans AS 2, AS 3 et AS 4 Protocole à états de liens idéal pour une petite architecture Bien documenté et très utilisé Routeurs backbones AS 3 MIR ISS AS 1 AS 4 Area OSPF dans l AS 2 13 / 39

14 Open Shortest Path First Implémenté dans AS 2, AS 3 et AS 4 Protocole à états de liens idéal pour une petite architecture Bien documenté et très utilisé Routeurs backbones Juniper 2 Juniper 4 AS 2 AS 4 Juniper 1 Area OSPF dans l AS 3 14 / 39

15 Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) local-pref 100 F P AS 2 F Cl AS 1 Cl AS 4 Cl F AS 3 P local-pref / 39

16 Services implémentés Déploiement de services multiples sur la plateforme Services de base : DHCP, DNS, FTP, HTTP, NTP Sécurité : IPSec, VPN VoIP Management : SNMP (Nagios/Cacti) Focus sur VPN et VoIP 16 / 39

17 Virtual Private Network Internet serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN 17 / 39

18 Virtual Private Network server.crt server.key client.crt client.key serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN ca.crt dh1024.pem 18 / 39

19 Virtual Private Network server.crt server.key client.crt client.key client.crt client.key SSH serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN ca.crt dh1024.pem ca.crt dh1024.pem 19 / 39

20 Virtual Private Network Clients Clients Internet serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN 20 / 39

21 Voice over IP Intégration des téléphones IP dans les AS d entreprise Nouveaux VLANs : téléphone IP, serveur Asterisk, routeur Asterisk : protocoles SIP (signalisation) et RTP (voix), IAX 21 / 39

22 Voice over IP Trafic SIP (Session Initiation Protocol) local-pref 100 Juniper1 ISS MIR AS 4 AS 2 AS 1 J2 Routeur AS 1 Serveur1.Ent2 Asterisk Juniper2 J4 J1 AS 3 Serveur1.Ent1 Asterisk local-pref / 39

23 Voice over IP Trafic RTP (Real-Time Protocol) Juniper1 ISS MIR AS 4 AS 2 AS 1 Routeur AS 1 J2 Serveur1.Ent2 Asterisk Juniper2 J4 AS 3 J1 Serveur1.Ent1 Asterisk 23 / 39

24 MPLS (MultiProtocol Label Switching) Protocole de couche 2,5 Implémenté au niveau des routeurs J1, J2 et J4 de l AS 3 S appuie sur RSVP pour définir les LSP (paths) : MPLS-TE Champ TC (Traffic Class ou EXP) définit les classes de service Label TC S TTL L2 IP Label stack Shim-label de MPLS 24 / 39

25 MPLS (MultiProtocol Label Switching) PSEUDOL MEDIAL AS 2 L2 IP Ingress Router LER LSP Egress Router LER J2 J1 J4 Transit Router LSR L2 IP AS 4 25 / 39

26 MPLS (MultiProtocol Label Switching) PSEUDOL MEDIAL AS 2 Egress Router LER J2 J1 J4 Transit Router LSR L2 IP LSP L2 IP Ingress Router LER AS 4 26 / 39

27 Intégration de J3 pour la VoIP J2 SIP RTP RTP SIP LSP 1 J1 Reste LSP 2 Reste J3 J4 27 / 39

28 Quality of Service Classe DSCP EXP PLP Best Effort BE / Low Expedited Forwarding EF / Low Assured Forwarding AF41 / Low IPv4 Pseudo-header Version IHL TOS Total Length Identification Flags Fragment offset TTL Protocol Header checksum IPv6 Pseudo-header Version Traffic Class (DS) Payload Length Flow Label Next Header Hop Limit MPLS Shim header Label EXP S TTL 28 / 39

29 Quality of Service Classe DSCP EXP PLP Best Effort BE / Low Expedited Forwarding EF / Low Assured Forwarding AF41 / Low Trafic RTP Expedited Forwarding Best Effort Toutes les classes Trafic SIP Assured Forwarding 29 / 39

30 Quality of Service Three priority classes Three priority/drop classes Packet source Classifier Marker Policer Shaper/ Dropper Packets with DiffServ mark EF AF41 BE Traffic Conditioning Agreement Per-hop behavior Ingress Node Interior Node Egress Node TCA PHB PHB TCA PHB 30 / 39

31 Quality of Service Juniper1 ISS MIR AS 4 AS 2 AS 1 Routeur AS 1 J2 serveur1.ent2 Asterisk Juniper2 J4 AS 3 J1 serveur1.ent1 Asterisk Ingress Node Interior Node Egress Node TCA PHB PHB TCA PHB 31 / 39

32 Quality of Service 1e iperf Octets RTP 100 SIP Temps Trafic entre J2 (AS 3) et MIR (AS 2) 32 / 39

33 Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 33 / 39

34 Revenons sur le cahier des charges Equipements : dysfonctionnements, installation et configuration Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 VoIP : QoS et MPLS Sécurité : VPN et IPSec Documentation : manuel et TRAC 34 / 39

35 Revenons sur le cahier des charges Equipements : dysfonctionnements, installation et configuration Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 VoIP : QoS et MPLS Sécurité : VPN et IPSec Documentation : manuel et TRAC 35 / 39

36 Revenons sur le cahier des charges Equipements : dysfonctionnements, installation et configuration Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 VoIP : QoS et MPLS Sécurité : VPN et IPSec Documentation : manuel et TRAC PFRES : PlateForme de la spécialité RESeaux Manuel de l utilisateur Benjamin Bachelart (mail) Benjamin Baron (mail) Benjamin Gonzalez (mail) Alexandre Ragaleux (mail) / 39

37 Difficultés rencontrées Branchements et configuration des contrôleurs de console Juniper 3 non fonctionnel dès le début du projet Non fonctionnement, puis réparation de Juniper 4 Firewalls Juniper et le trafic IPv6 en mode transparent Configuration de MPLS (LDP, puis RSVP) 37 / 39

38 Evolutions Mise en place d un serveur de mails (IMAP/POP3/SMTP) Développement des outils de supervision Utilisation de machines virtuelles pour ajouter du trafic Systèmes d exploitation hétérogènes sur les serveurs Ajout d équipements pour étendre/ajouter des ASs Mise à jour de tous les firmwares des équipements 38 / 39

39 PlateForme de la spécialité RESseau Des questions? 39 / 39

40 Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 serveur2.ent1 serveur3.ent1 AS 1 Catalyst 2800 VLAN 210 ASA5510 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 AS 4 serveur3.ent2 Load Balancer J Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ MIR VLAN 221 VLAN 320 J2 ISS J1 VLAN 222 AS 2 VLAN 332 VLAN 331 VLAN 333 AS 3 serveur2.core1 serveur1.core1 PSEUDOL MEDIAL J Firewall1.ent2 VLAN 430 J4 40 / 39

41 Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 VLAN 210 serveur2.ent1 serveur3.ent1 Catalyst 2800 ASA5510 MIR VLAN 222 serveur2.core1 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 serveur3.ent2 Load Balancer J Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ VLAN 221 VLAN 320 J2 ISS VLAN 332 VLAN 331 J1 VLAN 333 serveur1.core1 PSEUDOL MEDIAL J Firewall1.ent2 VLAN 430 J4 41 / 39

42 Vue d ensemble (AS 1) VLAN 111 VLAN 112 serveur1.ent1 VLAN 210 serveur2.ent1 serveur3.ent1 Catalyst 2800 ASA / 39

43 Vue d ensemble (AS 2) MIR VLAN 222 serveur2.core1 VLAN 221 serveur1.core1 VLAN 320 ISS 43 / 39

44 VLAN 221 Vue d ensemble (AS 3) serveur1.core1 VLAN 320 ISS J2 VLAN 332 J1 VLAN 333 VLAN 331 PSEUDOL MEDIAL VLAN 430 J4 44 / 39

45 Vue d ensemble (AS 4) serveur3.ent1 Catalyst 2800 ASA5510 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 serveur3.ent2 Load Balancer J Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ J Firewall1.ent2 V 45 / 39

46 Topologie physique Au moins un commutateur par AS Topologie physique en étoile Tous les équipements sont connectés au commutateur Permet le port mirorring sur chaque commutateur AS 2 serveur1.ent2 eth2 eth1 eth0 serveur3.ent2 eth2 eth1 eth0 0/0 0/1 0/2 Firewall2.ent2 J Port0 Port AS eth2 eth1 eth0 0/0 0/1 0/2 Port0 Port1 AS 3 serveur2.ent2 Firewall1.ent2 MGMT4 J Topologie physique du commutateur de l AS 4 46 / 39

47 Routeur Juniper 3 Carte compact flash corrompue (lecture impossible) Formatée en UFS (BSD) Fichier junos-jseries-8.2r2.4-export-cf256 (commande dd) Détails dans le manuel et le rapport 47 / 39

48 Routeur Juniper 3 AS 2 VLAN /27 2d05:37:0:331::/64 ProCurve 2900 HP1 VLAN /30 2d05:37:0:334::/64 J2 VLAN /30 2e70:13:254:320::/64 VLAN /30 2d05:37:0:335::/64 J1 J3 ProCurve 2900 HP2 VLAN /27 2d05:37:0:336::/64 PSEUDOL VLAN /30 2d05:37:0:333::/64 VLAN /30 2d05:37:254:430::/64 J4 VLAN /30 2d05:37:0:332::/64 MEDIAL AS 4 48 / 39

49 Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) local-pref 100 F P AS 2 F Cl AS 1 Cl AS 4 Cl F AS 3 P local-pref / 39

50 Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) AS2 AS4 F P AS 2 F AS2 Cl AS 1 AS 4 AS-PATH Cl AS4 Cl AS3 F AS 3 AS-PATH AS3 P AS2 AS-PATH AS1 AS3 AS4 AS1 AS-PATH AS2 AS2 AS2 AS3 AS4 50 / 39

51 Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) F P AS 2 F Cl AS 1 AS 4 Cl Cl F AS 3 AS4 P AS1 AS4 AS-PATH AS1 AS3 AS4 AS-PATH AS2 AS-PATH AS-PATH AS3, AS4 AS2 AS2 AS3 AS4 AS2, AS4 AS2, AS1 51 / 39

52 Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) AS1 AS3 F P AS 2 AS3 AS4 AS3, AS4 F Cl AS 1 AS 4 AS-PATH AS2 Cl Cl F AS2 AS2, AS4 AS2, AS1 AS 3 AS-PATH AS2 P AS-PATH AS1 AS3 AS4 AS3, AS4 AS-PATH AS2 AS2, AS3 AS2, AS4 AS2, AS3, AS4 AS3 AS4 AS3, AS2 AS2, AS4 AS3, AS2, AS1 AS2, AS1 AS2, AS1 52 / 39

53 NTP (Network Time Protocol) serveur1.core1 MEDIAL Serveurs AS 1 Serveurs AS 4 requête NTP serveur3.ent1 serveur2.core1 PSEUDOL serveur3.ent2 53 / 39

54 SNMP (Simple Network Management Protocol) Nagios 54 / 39

55 SNMP (Simple Network Management Protocol) Cacti 55 / 39

56 QoS Cisco IOS Classification de trafic : class-map ou rate-limit Selon ACL, DSCP, input-interface,... Politique de trafic : policy-map File d attente, bande passante, mise en forme Attacher les politiques aux interfaces : input ou output 56 / 39

57 QoS Juniper JunOS forwarding-classes : files d attente classifiers : identifier la classe d un paquet Behavior Aggregate (BA) : code-points DSCP, EXP Multifield Classifier (MF) : attributs IP, transport (firewall filters) policer : politique de trafic pour un flot input/output schedulers : ordonnancement/mise en forme des flots associés aux files d attente drop-profiles : gestion de file d attente rewrite-rules : re-marquer les paquets (BA Classifier) 57 / 39

58 Références I K. Dooley et I. Brown (2006). Cisco IOS Cookbook. (2 e ed.). O Reilly. W. Goralski, C. Gadecki M. Bushong (2011). Jun OS for DUMMIES. (2 e ed.). Wiley. G. Pujolle (2011). Les réseaux. (7 e ed.). Eyrolles. A. Tanenbaum et D. Wetherall (2011). Comupter Networks. (5 e ed.). Pearson. 58 / 39

59 Références II Site web Cisco. Accès : Site web Juniper. Accès : Site web HP. Accès : Site web Extreme Networks. Accès : 59 / 39