Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 1

Transcription

1 Sommaire 1) Présentation de l'équipement réseau ) Procédure pour la configuration de base des routeurs ) Configuration d'interfaces (exemples) ) RIP (Routing Information Protocol) ) OSPF (Open Shortest Path First) ) Les AS (Autonomous System) et le protocole BGP (Border Gateway Protocol) ) La configuration des interfaces et le routage en IPv ) Les switch STP (Spanning Tree Protocol) EtherChannel la sécurisation de port ) Les VLAN (Virtual Local Area Network) ) Le DHCP (Dynamic Host Configuration Protocol) sur les routeurs Cisco et avec GNS ) Le multicast ) La Qualité de service (QoS) ) MPLS (Multi-Protocol Label Switching) ) Asterisk ) Annexe Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 1

2 1) Présentation de l'équipement réseau Le modèle en couches OSI : Application Présentation Session Transport Réseau Liaison de données Physique Le modèle en couches TCP/IP : Application Ping http, smtp, pop, ftp, dns, dhcp, nfs, telnet, snmp Transport ICMP Segment TCP - UDP Internet IP Datagramme ou paquet ARP Accès réseau LAN (Plutôt MAC) LAN WAN WAN (hdlc, atm, fr, ppp, slip) Bits Routeur ou Switch RAM Flash NVRAM ROM RAM (Random Access Memory): Processus en exécution de ce que le routeur produit NVRAM (Non-Volatile Random-Access Memory): C'est là où se trouve le fichier de configuration de démarrage startup-config Mémoire Flash: C'est là où se trouve le système d'exploitation - IOS (Internetworking Operating System) de Cisco Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 2

3 ROM (Read Only Memory): Bios, c'est le bootstrap du routeur 2) Procédure pour la configuration de base des routeurs Le nom d hôte du routeur. Router (config)# hostname nom_du_routeur Désactiver la recherche DNS. no ip domain-lookup Le mot de passe pour le mode d exécution. class Une bannière du message du jour. #banner motd & Message d identification & Mot de passe pour les connexions de consoles. cisco Mot de passe pour les connexions de terminaux virtuels (vty). cisco Les invites de la console et des lignes du terminal virtuel. Router(config)#line console 0 Router(config-line)#logging synchronous Router(config-line)#exec-timeout 15 Pour un délai d attente de 15 minutes pour le mode d exécution. Router(config)#line vty 0 4 Router(config-line)#logging synchronous Router(config-line)#exec-timeout 15 Router(config-line)#exit Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console 3) Configuration d'interfaces (exemples) Router> enable Router# configure terminal Router (config)# Router (config) # interface FastEthernet0/0 Router (config-if) # ip address Router (config-if) # no shutdown Router (config) # interface FastEthernet0/1 Router (config-if) # ip address Router (config-if) # no shutdown Router (config) #interface Serial0/0/0 Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 3

4 Router (config-if) # ip address Router (config-if) #clock rate Router (config-if) # no shutdown Router (config-if) #exit Router (config) # interface loopback1 Router (config-if) # ip address Router (config-if) # no shutdown Afficher la configuration existante Router# show running-config Afficher la table de routage Router# show ip route Afficher les interfaces Router# show ip interface brief Afficher les protocoles Router# show ip protocols Sauvegarde de configuration Router #copy running-config startup-config 4) RIP (Routing Information Protocol) C'est un protocole d'information de routage IP de type Vector Distance (à vecteur de distances) s'appuyant sur l'algorithme de détermination des routes décentralisé Bellman- Ford. Il permet à chaque routeur de communiquer aux routeurs voisins la métrique, c est-àdire la distance qui les sépare d'un réseau IP déterminé quant au nombre de sauts (hops). Pour chaque réseau IP connu, chaque routeur conserve l'adresse du routeur voisin dont la métrique est la plus petite. Ces meilleures routes sont diffusées toutes les 30 secondes. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 4

5 Périphérique Interface Adresse IP Masque de sous Passerelle par réseau défaut Fa0/ S/0 Agence1 Fa0/ S/0 S0/0/ S/0 Fa0/ S/0 Siège Fa0/ S/0 S0/0/ S/0 S0/0/ S/0 FAI Fa0/ S/0 S0/0/ S/0 PC1 Carte réseau PC2 Carte réseau PC3 Carte réseau PC4 Carte réseau PC5 Carte réseau Siège (config)#router rip Siège (config-router)#version 2 Siège (config-router)#network Siège (config-router)#network Siège (config-router)#network Siège (config-router)#network Commande qui permet de désactiver les mises à jour RIP sur ces interfaces Siège (config-router)#passive-interface fastethernet0/0 Siège (config-router)#passive-interface fastethernet0/1 Commande utilisée pour que Siège envoie les informations de routage par défaut à Agence1 dans les mises à jour RIP. Siège (config-router)#redistribute static 5) OSPF (Open Shortest Path First) OSPF est un protocole de routage interne IP de type à état de liens. Il a été développé au sein de l'internet Engineering Task Force (IETF) à partir de Dans OSPF, chaque routeur établit des relations d'adjacence avec ses voisins immédiats en envoyant des messages hello à intervalle régulier. Chaque routeur communique ensuite la liste des réseaux auxquels il est connecté par des messages Link-state advertisements (LSA) propagés de proche en proche à tous les routeurs du réseau. L'ensemble des LSA forme une base de données de l'état des liens Link-State Database (LSDB) pour chaque aire, qui est identique pour tous les routeurs participants dans cette aire. Chaque routeur utilise ensuite l'algorithme de Dijkstra, Shortest Path First (SPF) pour déterminer la route la plus courte vers chacun des réseaux connus dans la LSDB. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 5

6 Désignation du DR (Designated Router) Le DR est le routeur qui a la priorité (interface) la plus élevée (1 est la valeur par défaut). Sinon, le DR est le routeur qui a l'id le plus élevé. L'ID est égal à: L'@IP configurée avec router-id. 1) (config-router)# router-id adresse_ip. 2) L'@IP loopback la plus élevée. 3) L'@IP la plus élevée des interfaces. Périphérique Interface Adresse IP Masque de sous Passerelle par réseau défaut Fa0/ S/0 Siège S0/0/ S/0 S0/0/ S/0 Lo S/0 Fa0/ S/0 Agence1 S0/0/ S/0 S0/0/ S/0 Fa0/ S/0 Agence2 S0/0/ S/0 S0/0/ S/0 PC1 Carte réseau PC2 Carte réseau PC3 Carte réseau Agence1(config)#router ospf 1 Agence1 (config-router)#network area 0 Agence1 (config-router)#network area 0 Agence1 (config-router)#network area 0 Agence1(config-router)#end Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 6

7 Commande qui permet de désactiver les mises à jour OSPF sur ces interfaces Agence1 (config-router)#passive-interface fastethernet0/0 Configuration d'une route statique par défaut R1(config)#ip route loopback1 R1(config)# Commande qui permet d'inclure la route statique dans les mises à jour OSPF R1(config)#router ospf 1 R1(config-router)#default-information originate R1(config-router)# Commande qui permet de configurer des intervalles HELLO et d'arrêt OSPF R1(config)#interface serial0/0/0 R1(config-if)#ip ospf hello-interval 5 R1(config-if)#ip ospf dead-interval 20 R1(config-if)# Commandes qui permettent de modifier la bande passante R1(config)#interface serial0/0/0 R1(config-if)#bandwidth 64 ou directement le coût R1(config)#interface serial0/0/0 R1(config-if)#ip ospf cost 1562 Utilisation de la commande OSPF ip ospf priority qui permet de déterminer le routeur désigné (DR) et le routeur désigné de sauvegarde (BDR) R1(config)#interface fastethernet0/0 R1(config-if)#ip ospf priority 255 R1(config-if)#end Afficher les informations des voisins OSPF R1#show ip ospf neighbor Commande router-id pour changer l'id de routeur R1(config)#router ospf 1 R1(config-router)#router-id R1(config-router)#end R1#clear ip ospf process Supprimer l'id de routeur configuré R1(config-router)#no router-id Pour définir la valeur de la bande passante de référence Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 7

8 R1(config-router)#auto-cost reference-bandwidth Afficher la table de routage R1#show ip route <output omitted> Gateway of last resort is to network /8 is variably subnetted, 2 subnets, 2 masks C /32 is directly connected, Loopback0 O /24 [110/65635] via , 00:01:01, Serial0/0/ /16 is variably subnetted, 2 subnets, 2 masks C /28 is directly connected, FastEthernet0/0 O /29 [110/65635] via , 00:00:51, Serial0/0/ /30 is subnetted, 1 subnets C is directly connected, Loopback /30 is subnetted, 3 subnets C is directly connected, Serial0/0/0 C is directly connected, Serial0/0/1 O [110/67097] via , 00:01:01, Serial0/0/0 S* /0 is directly connected, Loopback1 R1# Commande show ip ospf neighbor sur le routeur R1 pour afficher le compteur d arrêt R1#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface FULL/- 00:00: Serial0/0/ FULL/- 00:00: Serial0/0/1 Commande show ip ospf interface sur le routeur R3 pour vérifier que R3 est devenu le routeur désigné de sauvegarde R3#show ip ospf interface FastEthernet0/0 is up, line protocol is up Internet address is /24, Area 0 Process ID 1, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State BDR, Priority 100 Designated Router (ID) , Interface address <output omitted> Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 8

9 6) Les AS (Autonomous System) et le protocole BGP (Border Gateway Protocol) Un Système Autonome (Autonomous System ou AS) est un ensemble de réseaux informatiques IP intégrés à Internet et dont la politique de routage interne (routes à choisir en priorité, filtrage des annonces) est cohérente et est sous le contrôle d'une entité/organisation unique, typiquement un fournisseur d'accès à Internet. Chaque AS est identifié par un numéro de 16 bits ou 32, appelé Autonomous System Number (ASN). Ce numéro est utilisé par le protocole de routage Border Gateway Protocol. Il est affecté par les organisations qui allouent les adresses IP, les Registres Internet régionaux (RIR). Un AS multi-home (multi domicilié) est un AS attaché à plus d'un AS, pour apporter plus de disponibilité mais cela risque de créer des problèmes de routage et de submerger l'as si la politique de routage n'est pas optimale. AS transit: c'est un accord entre AS pour que l'un transmettre le trafic de l'autre, c'est payant. AS Peering: c'est un accord bilatéral entre AS pour s'échanger le trafic d'égal à égal, c'est souvent gratuit. Border Gateway Protocol (BGP) est un protocole d'échange de route utilisé notamment sur le réseau Internet. Son objectif est d'échanger des informations d'accessibilité de réseaux (appelés préfixes) entre Autonomous Systems (AS) car il a été conçu pour prendre en charge de très grands volumes de données et dispose de possibilités étendues de choix de la meilleure route. La métrique Contrairement aux protocoles de routage interne, BGP n'utilise pas de métrique classique mais fonde les décisions de routage sur les chemins parcourus, les attributs des préfixes et un ensemble de règles de sélection définies par l'administrateur de l'as Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 9

10 Choix de la meilleure route Quand plusieurs routes sont possibles vers un même réseau (ce qui implique un masque de réseau identique), BGP préfère une des routes selon les critères suivants. Seule la meilleure route sera utilisée et annoncée aux voisins. Ordre Nom Description Préférence 1 Weight (Cisco) Préférence administrative locale la plus élevée 2 Local Preference 3 Self-Originated 4 AS Path 5 Origin Préférence à l'intérieur d'un AS Métrique destinée aux routeurs internes en vue de préférer certaines routes externes Préférence des réseaux dont l'origine est ce routeur Préférence du chemin avec les moins d'as traversés Préférence du chemin en fonction de la façon dont ils sont connus par le routeur d'origine la plus élevée vrai > faux le plus court IGP > EGP > Incomplete 6 MED (Multiple Exit Discriminator) Préférence en fonction de la métrique annoncée par l'as d'origine Métrique destinée aux routeurs externes en vue de préférer certaines routes internes la plus faible 7 External Préférence des routes ebgp sur les routes ibgp ebgp > ibgp 8 IGP Cost Métrique du next-hop dans l'igp la plus faible 9 ebgp Peering Préfère les routes les plus stables la plus ancienne 10 Router ID Départage en fonction de l'id du routeur la plus faible Un attribut BGP est transitif s'il est passé aux autres pairs BGP sinon il est intransitif. Le protocole BGP est différent de celui utilisé en interne car les contraintes de routage ne sont pas les mêmes notamment les mises à jour, la métrique et surtout le filtrage des annonces. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 10

11 Les connexions ebgp sont établies sur des connexions point-à-point ou sur des réseaux locaux. La valeur de TTL=1 pour ebgp est utilisée pour s'assurer que les paquets ne sont pas routés au-delà d'un segment. Les connexions ibgp sont généralement établies entre des adresses logiques, non associées à une interface physique particulière. Ceci permet, en cas de rupture d'un lien physique, de conserver la session ibgp active si sur un lien alternatif existe et si un protocole de routage interne dynamique (IGP) est employé (par exemple OSPF). Pour changer le nexthop Routeur (config-router)#neighbor next-hop-self Routeur# clear ip bgp * Exemple de configuration BGP Configurer EIGRP entre les routeurs SanJose1 et SanJose2 (config)#router eigrp (config-router)#no auto-summary (config-router)#network Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 11

12 Configurer ibgp entre les routeurs SanJose1 et SanJose2 SanJose1(config)#router bgp SanJose1(config-router)#neighbor remote-as SanJose1(config-router)#neighbor update-source lo0 SanJose2(config)#router bgp SanJose2(config-router)#neighbor remote-as SanJose2(config-router)#neighbor update-source lo0 Configurer ebgp entre les routeurs ISP, SanJose1 et SanJose2 ISP(config)#router bgp 200 ISP(config-router)#neighbor remote-as ISP(config-router)#neighbor remote-as ISP(config-router)#network SanJose1(config)#ip route null0 SanJose1(config)#router bgp SanJose1(config-router)#neighbor remote-as 200 SanJose1(config-router)#network SanJose2(config)#ip route null0 SanJose2(config)#router bgp SanJose2(config-router)#neighbor remote-as 200 SanJose2(config-router)#network SanJose(config)#ip default-network Attribut BGP AS_PATH Configuration pour supprimer des AS privés les routes BGP échangées avec le routeur SanJose ISP(config)#router bgp 300 ISP(config)#neighbor remove-private-as Configuration d'un attribut AS_PATH avec une ACL qui commence et finit par 100 ISP(config)#ip as-path access-list 1 deny ^100$ ISP(config)#ip as-path access-list 1 permit.* ISP#show ip bgp regexp ^100$ Configuration d'une ACL pour appliquer des informations de routage envoyées au voisin (out) ISP(config)#router bgp 300 ISP(config)#neighbor filter-list 1 out Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 12

13 Les routeurs BGP n'incrémentent pas les adresses des nexthops de leurs pairs ibgp. Les routeurs de la liaison ibgp transmettent vers la liaison ebgp. En cas de rupture de lien WAN, il est difficile que le routeur opposé devienne une passerelle valide, c'est pour cela que chaque routeur doit avoir son propre nexthop. SanJose1(config)#router bgp SanJose1(config-router)#neighbor next-hop-self SanJose1#clear ip bgp* SanJose2(config)#router bgp SanJose2(config-router)# neighbor next-hop-self SanJose2#clear ip bgp* Attribut BGP Local Preference Configurer la préférence locale. SanJose1(config)#route-map PRIMARY_T1_IN permit 10 SanJose1(config-route-map)#set local-preference 150 SanJose1(config-route-map)#exit SanJose1(config)#router bgp SanJose1(config-router)#neighbor route-map PRIMARY_T1_IN in SanJose1#clear ip bgp* SanJose2(config)#route-map SECONDARY_T1_IN permit 10 SanJose2(config-route-map)#set local-preference 125 SanJose2(config-route-map)#router bgp SanJose2(config-router)#neighbor route-map SECONDARY_T1_IN in SanJose2#clear ip bgp* SanJose1#show ip bgp BGP table version is 8, local router ID is Status codes: s suppressed, d damped, h history, * valid, > best, i internal Origin codes: i - IGP, e - EGP,? - incomplete Network Next Hop Metric LocPrf Weight Path *>i i *> / i *> / i *> i Attribut BGP MED Création d'une route map utilisant la MED (métrique) qui est partagée entre voisins ebgp. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 13

14 SanJose1(config)#route-map PRIMARY_T1_MED_OUT permit 10 SanJose1(config-route-map)#set Metric 50 SanJose1(config-route-map)#exit SanJose1(config)#router bgp SanJose1(config-router)#neighbor route-map PRIMARY_T1_MED_OUT out SanJose1#clear ip bgp* SanJose2(config)#route-map SECONDARY_T1_MED_OUT permit 10 SanJose2(config-route-map)#set Metric 75 SanJose2(config-route-map)#exit SanJose2(config)#router bgp SanJose2(config-router)#neighbor route-map SECONDARY_T1_MED_OUT out SanJose2#clear ip bgp* SanJose2#show ip bgp 7) La configuration des interfaces et le routage en IPv6 La configuration des interfaces R1>enable R1#configure terminal R1(config)#interface fastethernet 0/0 R1(config-if)#ipv6 enable R1(config-if)#ipv6 address 2001:db8::1 /64 R1(config_if)#interface serial 0/0 R1(config-if)#ipv6 enable R1(config-if)#ipv6 address 2001:db8:1::1 /64 R1(config-if)#end R2>enable R2#configure terminal R2(config)#interface fastethernet 0/0 R2(config-if)#ipv6 enable R2(config-if)#ipv6 address 2001:db8:2::2 /64 R1(config-if)#interface serial 0/0 R1(config-if)#ipv6 enable R1(config-if)#ipv6 address 2001:db8:1::2 /64 R1(config-if)#end Le routage IPv6 Le routage statique R1#configure terminal Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 14

15 R1(config)#ipv6 unicast-routing R1(config)#ipv6 route 2001:db8:2:: / :db8:1::2 R1(config)#end R2#configure terminal R2(config)#ipv6 unicast-routing R2(config)#ipv6 route 2001:db8:: / :db8:1::1 R2(config)#end Le routage dynamique RIPng R1>enable R1#configure terminal R1(config)#ipv6 unicast-routing R1(config)#ipv6 router rip nomrip R1(config-router)#exit R1(config)# interface fastethernet0/0 R1(config-if)#ipv6 rip nomrip enable R1(config-if)# interface Serial0/0 R1(config-if)#ipv6 rip nomrip enable R1(config-if)#end R2>enable R2#configure terminal R2(config)#ipv6 unicast-routing R2(config)#ipv6 router rip nomrip R2(config-router)#exit R2(config)# interface fastethernet0/0 R2(config-if)#ipv6 rip nomrip enable R2(config-if)# interface Serial0/0 R2(config-if)#ipv6 rip nomrip enable R2(config-if)#end OSPFv3 R1>enable R1#configure terminal R1(config)#ipv6 unicast-routing R1(config)#ipv6 router ospf R1(config-router)#router-id R1(config-router)#exit Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 15

16 R1(config)# interface fastethernet0/0 R1(config-if)#ipv6 ospf area 0 R1(config-if)# interface Serial0/0 R1(config-if)#ipv6 ospf area 0 R1(config-if)#end R2>enable R2#configure terminal R2(config)#ipv6 unicast-routing R2(config)#ipv6 router ospf R2(config-router)#router-id R2(config-router)#exit R2(config)# interface fastethernet0/0 R2(config-if)#ipv6 ospf area 0 R2(config-if)# interface Serial0/0 R2(config-if)#ipv6 ospf area 0 R2(config-if)#end EIGRPv6 R1>enable R1#configure terminal R1(config)#ipv6 unicast-routing R1(config)#ipv6 router eigrp R1(config-router)# router-id R1(config-router)#no shutdown R1(config-router)#exit R1(config)# interface fastethernet0/0 R1(config-if)#ipv6 eigrp R1(config-if)# interface Serial0/0 R1(config-if)#ipv6 eigrp R1(config-if)#end R2>enable R2#configure terminal R2(config)#ipv6 unicast-routing R2(config)#ipv6 router eigrp R2(config-router)#router-id R2(config-router)#no shutdown R2(config-router)#exit R2(config)# interface fastethernet0/0 Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 16

17 R2(config-if)#ipv6 eigrp R2(config-if)# interface Serial0/0 R2(config-if)#ipv6 eigrp R2(config-if)#end 8) Les switch STP (Spanning Tree Protocol) EtherChannel la sécurisation de port La configuration de STP Pour justifier l activation du protocole STP, il faut deux liens entre les deux commutateurs. Les ports fastethernet0/7 et fastethernet0/8 de chaque commutateur seront reliés à l aide d un câble croisé. Un seul vlan est utilisé. SW1> enable SW1#configure terminal SW1(config)#spanning-tree vlan 1 SW1(config)#exit SW1# Affichage SW1#show spanning-tree Le protocole STP définit différents états pour les ports: listening, learning, blocking, forwarding et disabled. L optimisation de STP SW1> enable SW1#configure terminal SW1(config)#spanning-tree vlan 1 priority SW1(config)#exit SW1# Il existe un arbre Spanning Tree par VLAN. La valeur par défaut de la priorité est de Pour modifier cette priorité, il faut ajouter ou retrancher 4096 à la valeur par défaut, ce qui donne comme priorité possible: 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, 57344, Pour accélérer l obtention du lien SW1> enable SW1#configure terminal SW1(config)#interface fastethernet 0/10 SW1(config-if)#spanning tree portfast SW1(config-if)#exit SW1# Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 17

18 Changer la racine STP du VLAN SW1> enable SW1#configure terminal SW1(config)#spanning-tree vlan 1 root primary SW1(config)#spanning-tree vlan 1 root secondary SW1(config)#exit SW1# La mise en place d EtherChannel EtherChannel est une technique d'agrégation de liens utilisée principalement sur les commutateurs Cisco. Elle permet d'assembler plusieurs liens physiques Ethernet en un lien logique. Le but est d'augmenter la vitesse et la tolérance aux pannes entre les commutateurs, les routeurs et les serveurs. Pour créer un lien EtherChannel entre deux commutateurs, il faut les relier à l aide de cables croisés. Les ports fastethernet0/7 et fastethernet0/8 de chaque commutateur seront utilisés. Première méthode SW1> enable SW1#configure terminal SW1(config)#interface fastethernet 0/7 SW1(config-if)#port group 1 distribution destination SW1(config-if)# interface fastethernet 0/8 SW1(config-if)# port group 1 distribution destination SW1(config-if)#exit SW1(config)#exit SW1# (Faire la même configuration sur le second commutateur avec les mêmes ports fastethernet0/7 et fastethernet0/8) Seconde méthode (configuration de l EtherChannel à l aide du protocole PAgP) SW1> enable SW1#configure terminal SW1(config)#interface Port-channel 1 SW1(config-if)#switchport mode trunk SW1(config-if)#exit SW1(config)# interface fastethernet 0/7 SW1(config-if)# channel-group 1 mode desirable SW1(config-if)# interface fastethernet 0/8 SW1(config-if)# channel-group 1 mode desirable SW1(config-if)#exit SW1(config)#exit SW1# Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 18

19 (Faire la même configuration sur le second commutateur avec les mêmes ports fastethernet0/7 et fastethernet0/8) SW1# show etherchannel 1 detail La sécurisation de port SW1> enable SW1#configure terminal SW1(config)#interface fastethernet 0/7 SW1(config-if)#port security max-mac-count 1 SW1(config-if)# port security action shutdown SW1(config-if)#exit SW1(config)#exit SW1# Récupérer l adresse MAC de votre machine SW1(config)#mac-address-table secure ABCD.ABCD.ABCD fa0/7 vlan 1 SW1(config)#exit SW1# La sécurisation de port par sticky MAC SW1> enable SW1#configure terminal SW1(config)#interface fastethernet 0/1 SW1(config-if)#switchport mode access SW1(config-if)# switchport port-security SW1(config-if)# switchport port-security violation shutdown SW1(config-if)# switchport port-security mac-address sticky SW1(config-if)#exit SW1(config)#exit SW1# Les commandes d affichage SW1#show port-security SW1#show port-security address SW1# show interface fastethernet 0/1 9) Les VLAN (Virtual Local Area Network) Configuration de 2 vlan sur le switch, le vlan 10 et le vlan 20 1 ère méthode SW1>enable SW1#vlan database Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 19

20 SW1(vlan)#vlan 10 name vlandix SW1(vlan)#vlan 20 name vlanvingt SW1(vlan)#exit SW1#configure terminal SW1(config)#interface fastethernet 0/1 SW1(config-if) #switchport access vlan 10 SW1(config if)# interface fastethernet 0/2 SW1(config-if) #switchport access vlan 10 SW1(config if)# interface fastethernet 0/3 SW1(config-if) #switchport access vlan 10. SW1(config)#interface fastethernet 0/13 SW1(config-if) #switchport access vlan 20 SW1(config if)# interface fastethernet 0/14 SW1(config-if) #switchport access vlan 20 SW1(config if)# interface fastethernet 0/15 SW1(config-if) #switchport access vlan 20 Attribuer la moitié des ports au Vlan 10 et l autre au Vlan 20. SW1#show vlan brief 2 ème méthode SW1>enable SW1#configure terminal SW1(config)#vlan 10 SW1(config-vlan)#name vlandix SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name vlanvingt SW1(config-vlan)#exit SW1#configure terminal SW1(config)#interface fastethernet 0/1 SW1(config-if) #switchport access vlan 10 SW1(config if)# interface fastethernet 0/2 SW1(config-if) #switchport access vlan 10 SW1(config if)# interface fastethernet 0/3 SW1(config-if) #switchport access vlan 10 SW1(config)#interface fastethernet 0/13 SW1(config-if) #switchport access vlan 20 SW1(config if)# interface fastethernet 0/14 Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 20

21 SW1(config-if) #switchport access vlan 20 SW1(config if)# interface fastethernet 0/15 SW1(config-if) #switchport access vlan 20. On peut également utiliser le range pour affecter un ensemble de ports SW1(config)#interface range fastethernet 0/13-24 SW1(config-if-range)# #switchport access vlan 20 La création des vlan par configuration globale est préférable à la première méthode de création des vlan par base de données. Cette dernière tend à disparaître, un message d avertissement apparait lors de son utilisation. Mise en place de Vlan voix SW1>enable SW1#configure terminal SW1(config)#vlan 10 SW1(config-vlan)#name Clients SW1(config-vlan)#exit SW1(config)#vlan 20 SW1(config-vlan)#name VoIP SW1(config-vlan)#exit SW1(config)#interface fastethernet 0/1 SW1(config-if) #switchport mode access SW1(config-if) #switchport access vlan 10 SW1(config-if) #switchport voice vlan 20 SW1(config-if) #exit switchport mode access est optionnelle et indique au commutateur que l interface ne peut fonctionner que dans le mode access et de nom de tronçon (trunk). Trunk Un trunk est une connexion physique établie sur un câble croisé entre deux commutateurs. Ils permettent la diffusion du trafic de plusieurs réseaux virtuels. Configuration de trunk entre commutateurs SW1>enable SW1#configure terminal SW1(config)#interface fastethernet 0/8 SW1(config-if) #switchport mode trunk SW1(config-if) #switchport trunk encapsulation dot1q SW1(config-if) #exit Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 21

22 Changer le type d encapsulation ISL (Inter Switch Link - crée par Cisco) et 802.1q (standard IEEE) SW1(config)#interface fastethernet 0/0.1 SW1(config-if) #encapsulation dot1q vlan 10 SW1(config-if) #ip address SW1(config-if) #exit SW1#show interface trunk Configuration par http, via l interface web SW1>enable SW1#configure terminal SW1(config)#interface vlan 1 SW1(config-if) #ip address SW1(config-if) #exit SW1(config) #ip http server Sécuriser l accès http SW1(config)#access-list 1 permit host SW1(config)#ip http access-class 1 SW1(config)#username jmm privilege 15 secret P@ssword Configuration de VTP (Virtual LAN Trunk Protocol) 1 ère méthode SW1>enable SW1#vlan database SW1(vlan)#vtp domain VTPdom SW1(vlan)#vtp password P@ssword SW1(vlan)#vtp server SW1(vlan)#vtp v2-mode SW1(vlan)#exit SW2>enable SW2#vlan database SW2(vlan)#vtp domain VTPdom SW2(vlan)#vtp password P@ssword SW2(vlan)#vtp client SW2(vlan)#vtp v2-mode SW2(vlan)#exit Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 22

23 Créer le vlan 100 SW1#vlan database SW1(vlan)#vlan 100 name VTPtest SW1(vlan)#exit 2 ème méthode SW1>enable SW1#configure terminal SW1(config)#vtp mode server SW1(config)#vtp domain VTPdom SW1(config)#vtp password P@ssword SW1(config)#vtp version 2 SW1(config)#exit SW2>enable SW2#configure terminal SW2 (config)#vtp mode client SW2 (config)#vtp domain VTPdom SW2 (config)#vtp password P@ssword SW2 (config)#vtp version 2 SW2 (config)#exit Sur SW1 SW1#configure terminal SW1(config)#vlan 100 SW1(config-vlan)#name VTPtest SW1(config-vlan)#exit SW1#show vtp status SW1#show vtp counters Le routage inter vlan Router#configure terminal Router(config)#interface fastethernet 0/0 Router(config-if)#ip address Router(config-if)#no shutdown Router(config)# interface fastethernet 0/0.10 Router(config-subif)#encapsulation dot1q 10 Router(config-subif)#ip address Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 23

24 Router(config)# interface fastethernet 0/0.20 Router(config-subif)#encapsulation dot1q 20 Router(config-subif)#ip address Router(config-subif)#end Switch# configure terminal Switch(config)# interface fastethernet 0/1 Switch(config-if)#switchport mode trunk Switch(config-if)#end Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)#name vlan10 Switch(config-vlan)#exit Switch(config)# vlan 20 Switch(config-vlan)#name vlan20 Switch(config-vlan)#exit Switch(config)# interface range fastethernet 0/2-12 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10 Switch(config-if-range)#exit Switch(config)# interface range fastethernet 0/13-24 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 20 Switch(config-if-range)#end Les commandes vlan vlan (id-vlan) name (nom-vlan) shutdown empêche le commutateur de transmettre du trafic dans le vlan en question shutdown (vlan id-vlan) vtp domain (nom-domain) vtp password (mot de passe) vtp { server client transparent} vtp pruning switchport mode {access dynamic {auto desirable} trunk } switchport trunk allowed vlan {add all except remove} (liste-vlan) switchport access vlan (id-vlan) switchport trunk encapsulation {dot1q isl negociate} Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 24

25 switchport voice vlan (id-vlan) switchport nonegociate show interfaces (id-interface) switchport show interfaces (id-interface) trunk show vlan[brief id (id-vlan) name (nom-vlan) summary ] show vlan (vlan) show vtp status show vtp password 10) Le DHCP (Dynamic Host Configuration Protocol) sur les routeurs Cisco et avec GNS3 GNS3 (Graphical Network Simulator) 1) Emulateur Cisco (IOS et Dynamips) 2) IHM (GNS3) 3) Wireshark 4) VPCS (processus simulant le réseau, ping, traceroute, batch, DHCP, etc.) 5) VirtualBox et Qemu Configuration d une IP statique sur un poste avec GNS3 (VPCS - Virtual PC Simulator) VPCS> ip n _adresse_ip/masque_de_sous_réseau_cidr n _passerelle (On peut faire la même chose avec les PC en mode console) Configuration du DHCP sur le routeur R1(config)#service dhcp R1(config)#ip dhcp pool clientjmm R1(dhcp-config)#network R1(dhcp-config)#domain-name domainejmm.fr R1(dhcp-config)#dns-server R1(dhcp-config)#lease 0 8 R1(dhcp-config)#exit R1# Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 25

26 R1(config)#ip dhcp excluded-address R1(config)# Vérification R1#show ip dhcp binding R1#show ip dhcp server statistics Pour les hosts avec GNS3 UDP NIO (Pour le host 4 nio_udp 30003: :20003) (Pour le host 5 nio_udp 30004: :20004) Les deux numéros de ports (port local et port distant) doivent être différents. Pour les PC (hosts) et VPCS ip dhcp DDORA D > DHCP D > Discover O > Offer R > Request A > Acknowledgement ip (pour voir) Pour sauvegarder le fichier save jmm.vpcs Pour recharger le fichier load jmm.vpcs Configuration d'un relais DHCP R1(config)#interface fastethernet 1/0 R1(config-if)#ip helper-address R1(config-if)#end Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 26

27 Pour visualiser R1#show running-config R1#show run int fa1/0 Building configuration... Current configuration : 128 bytes! interface FastEthernet1/0.2 ip address ip helper-address end R1# L attribution d adresses IP enipv6 L attribution d adresses IPv6 stateless R0>enable R0#configure terminal R0(config)#interface fastethernet0/0 R0(config-if)#ipv6 nd prefix 2001:db8::/64 R0(config-if)#no ipv6 nd suppress-ra R0(config-if)#end ipv6 nd prefix permet de spécifier quelle adresse réseau doit être incluse dans les annonces ICMPv6. La commande no ipv6 nd prefix permet de supprimer l adresse réseau des annonces ICMPv6. La commande no ipv6 nd suppress-ra permet de forcer l annonce indiquant que le routeur est passerelle pour le segment. La configuration d un DHCP IPv6 R0>enable R0#configure terminal R0(config)#ipv6 dhcp pool dhcp-pool Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 27

28 R0(config-dhcp)#prefix-delegation pool clt-prefix-pool R0(config-dhcp)#dns-server 2001:db8:3::1 R0(config-dhcp)#domain-name labo.local R0(config-dhcp)#exit R0(config)#ipv6 local pool clt-prefix-pool 2001:db8::/64 64 R0(config)#interface fastethernet0/0 R0(config-if)#ipv6 dhcp server dhcp-pool R0(config-if)#end 11) Le multicast Le multicast est une forme de diffusion d'un émetteur (source unique) vers un groupe de récepteurs. Les récepteurs intéressés par les messages adressés à ce groupe doivent s'inscrire à ce groupe. Ces abonnements permettent aux switchs et routeurs intermédiaires d'établir une route depuis le ou les émetteurs de ce groupe vers les récepteurs de ce groupe. Le Reverse Path Forwarding (RPF) est une technique utilisée dans le multicast pour limiter l'inondation des paquets dans le réseau. Il consiste à ignorer un paquet s'il ne provient pas de l'interface que le routeur aurait utilisée pour router la source du paquet. Le Reverse Path Broadcasting (RPB) est un algorithme utilisé dans le multicast pour construire des arbres de diffusions. Protocol-Independent Multicast (PIM) est une famille de protocoles de routage IP multicast qui permet la diffusion vers un groupe d'hôtes. PIM est dit Protocol-Independent car il base ses décisions de routage sur la topologie établie par d'autres protocoles comme BGP. PIM Sparse Mode (PIM-SM) construit des arbres partagés unidirectionnels basés sur un point de rendez-vous (RP), et créé éventuellement un arbre SPF par source. PIM-SM convient bien pour les applications à travers des liens à longue distance. PIM Dense Mode (PIM-DM) utilise le routage multicast dense. Il diffuse par défaut les paquets à travers le domaine jusqu'à ce que des messages de pruning indiquent qu'aucun client n'est intéressé par le groupe en aval. PIM-DM s'adapte en général assez mal à la hausse de la charge et est utilisé dans des domaines restreints. PIM bidirectionnel construit explicitement des arbres bi-directionnels partagés. Il ne construit jamais d'arbre SPF et peut donc aboutir à des délais plus importants que PIM-SM Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 28

29 mais s'adapte mieux à la hausse de la charge car il n'a pas besoin de conserver d'état lié à la source. PIM source-specific multicast (PIM-SSM) construit des arbres dont la racine est une seule source, offrant un modèle plus robuste pour un type d'application limitée (typiquement le broadcast). Dans SSM, un datagramme est transmis par la source S vers une destination G et les clients y accèdent en souscrivant au canal (S, G). PIM-SM est généralement employé dans les réseaux de télévision IP pour le routage entre les sous-réseaux. Distance Vector Multicast Routing Protocol (DVMRP) est un protocole de routage utilisé pour partager des informations entre routeurs afin de faciliter le transport de paquets IP multicast parmi les réseaux. Il formait la base historique d'internet concernant le backbone multicast Mbone. Internet Group Management Protocol (IGMP) est un protocole qui permet à des routeurs IP de déterminer de façon dynamique les groupes multicast qui disposent de clients dans un sous-réseau. IGMP est un protocole asymétrique en ce sens où le comportement spécifié pour les hôtes diffère de celui des routeurs multicast. Toutefois, un routeur multicast pouvant s'abonner à un groupe multicast au même titre qu'un hôte, les routeurs multicast doivent exécuter les deux parties du protocole. IGMP est un protocole exécuté entre les machines hôtes d'un même sous-réseau et les routeurs multicast de ce sous-réseau. Il permet à une machine hôte d'informer un de ces routeurs multicast sur ses abonnements en cours à des groupes multicast. Les routeurs maintiennent la liste des groupes multicast pour lesquels des machines hôtes leur ont rapporté être abonnées. Une telle liste est maintenue pour chacun des sous-réseaux qu'un routeur multicast interconnecte et permet au routeur de déterminer les paquets IP multicast à relayer sur ces sous-réseaux. Un paquet IP multicast est relayé sur un sous-réseau si l'adresse de destination de ce paquet est celle d'un des groupes multicast associés à ce sous-réseau. Le flooding (inondation) : ce sont des paquets multicast envoyés vers tous les routeurs. Le routeur diffuse sur toutes ses interfaces sauf l entrée mais ne diffuse pas si le flux à déjà été diffusé. Cela évite les boucles mais nécessite de maintenir un état sur chaque routeur. C'est très consommateur en bande passante. Le pruning (élagage): c'est un traitement immédiatement effectué pour les messages prune reçus sur les interfaces point a point. Si le routeur ne reçoit pas (S,G) sur l interface RPF, un message Prune sur cette interface est envoyé. l interface est supprimée de la liste des interfaces de sortie tout au long de la durée de vie du Prune. Cela permet d éviter la duplications des datagrammes. Si le routeur n a pas de routeur en aval et pas de membre local, il y a un envoi d un prune le traitement est immédiat. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 29

30 La graft (greffe) : c'est la reconstruction de l arbre de distribution par greffage d une branche élaguée pendant la durée de vie du Prune. Le routeur reçoit d un routeur aval (élagué) un graft pour (S,G) ou bien un nouveau membre local apparaît. Le message Graft remonte vers le routeur RPF qui renvoie un accusé de réception au routeur aval. Le routeur aval arrête d envoyer des messages Graft en amont. Ajoute l interface prunée à la liste de sortie des interfaces (S,G), ceci, de routeur en routeur vers la source jusqu à la greffe complète de la branche. Dense-mode R1(config)# no ip routing R1(config)# interface FastEthernet 0/0 R1(config-if)# ip address R1(config-if)# no shutdown R1(config-if)# ip pim dense-mode R1(config-if)# no shutdown R1(config-if)# interface loopback 1 R1(config-if)# ip address R2# conf t R2(config)# no ip routing R2(config)# interface FastEthernet 0/0 R2(config-if)# ip address R2(config-if)# no shutdown R2(config-if)#ip igmp join-group R2(config-if)#no shutdown R2(config-if)# interface loopback 2 R2(config-if)# ip address R3# conf t Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 30

31 R3(config)# no ip routing R3(config)# interface FastEthernet 0/0 R3(config-if)# ip address R3(config-if)# no shutdown R3(config-if)#ip igmp join-group R3(config-if)# no shutdown R3(config-if)# interface loopback 3 R3(config-if)# ip address SW1(config)# ip igmp snooping vlan 1 static e interface Fa0/9 SW1#interface FastEthernet0/1 SW1(config-if)# switchport mode access SW1#interface FastEthernet0/3 SW1(config-if)# switchport mode access SW1#interface FastEthernet0/5 SW1(config-if)#switchport mode access SW1#interface Vlan1 SW1(config-if)# ip address SW1(config-if)# no shutdown SW1# show mac address-table multicast Sparse-mode R1(config)# interface loopback 1 R1(config-if)# ip address Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 31

32 R1(config-if)# ip igmp join-group R1(config-if)# ip pim sparse-mode R1(config-if)# no shutdown R1(config)# interface FastEthernet 0/0 R1(config-if)# ip address R1(config-if)# ip pim sparse-mode R1(config-if)# no shutdown R1(config)# interface serial 0/0/0 R1(config-if)# ip address R1(config-if)# clock rate R1(config-if)#bandwidth 64 R1(config-if)# ip pim sparse-mode R1(config-if)# no shutdown R1(config)# interface serial 0/0/1 R1(config-if)# ip address R1(config-if)# bandwidth 64 R1(config-if)# ip pim sparse-mode R1(config-if)# no shutdown R1(config)#ip pim rp-address R1(config)#access-list 32 permit R1(config)# router eigrp 1 R1(config-router)# network R1(config-router)# network R2(config)# interface loopback 2 R2(config-if)# ip address R2(config-if)# ip igmp join-group R2(config-if)# ip pim sparse-mode R2(config-if)# no shutdown R2(config)# interface FastEthernet 0/0 R2(config-if)# ip address R2(config-if)# ip pim sparse-mode R2(config-if)# no shutdown R2(config)# interface serial 0/0/0 R2(config-if)# bandwidth 64 R2(config-if)# ip address R2(config-if)# ip pim sparse-mode Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 32

33 R2(config-if)# no shutdown R2(config)# interface serial 0/0/1 R2(config-if)# bandwidth 128 R2(config-if)# ip address R2(config-if)#clock rate R2(config-if)# ip pim sparse-mode R2(config-if)#no shutdown R2(config)#ip pim rp-address R2(config)#access-list 32 permit R2(config)# router eigrp 1 R2(config-router)# network R2(config-router)# network R3(config)# interface loopback 3 R3(config-if)# ip address R3(config-if)# ip igmp join-group R3(config-if)# ip pim sparse-mode R3(config-if)# no shutdown R3(config)# interface fastethernet 0/0 R3(config-if)# ip address R3(config-if)# ip pim sparse-mode R3(config-if)# no shutdown R3(config)# interface serial 0/0/0 R3(config-if)# bandwidth 64 R3(config-if)# ip address R3(config-if)# clock rate R3(config-if)# ip pim sparse-mode R3(config-if)# no shutdown R3(config)# interface serial 0/0/1 R3(config-if)# bandwidth 128 R3(config-if)# ip address R3(config-if)# ip pim sparse-mode R3(config-if)# no shutdown R3(config)# router eigrp 1 R3(config)#ip pim rp-address R3(config)#access-list 32 permit R3(config-router)# network R3(config-router)# network Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 33

34 SW1(config)#interface FastEthernet0/1 SW1(config-if)#switchport access vlan 13 SW1(config-if)#switchport mode access SW1(config)#interface FastEthernet0/3 SW1(config-if)# switchport access vlan 20 SW1(config-if)#switchport mode access SW1(config)#interface FastEthernet0/5 SW1(config)#switchport access vlan 13 SW1(config-if)#switchport mode access SW1(config)#interface vlan20 SW1(config-if)# ip address SW1(config-if)# no shutdown SW1(config-if)#ip default-gateway PIM (Protocol-Independent Multicast) sparse-dense mode Implementation IGMP R1: hostname R1 interface Loopback1 ip address interface FastEthernet0/0 ip address no shutdown Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 34

35 interface Serial0/0/0 bandwidth 64 ip address clock rate no shutdown interface Serial0/0/1 bandwidth 64 ip address no shutdown R2: hostname R2 interface Loopback2 ip address interface FastEthernet0/0 ip address no shutdown interface Serial0/0/0 bandwidth 64 ip address no shutdown interface Serial0/0/1 bandwidth 128 ip address clock rate no shutdown R3: hostname R3 interface Loopback3 ip address interface FastEthernet0/0 ip address no shutdown interface Serial0/0/0 bandwidth 64 ip address clock rate no shutdown interface Serial0/0/1 bandwidth 128 ip address no shutdown SW1: hostname SW1 interface FastEthernet0/1 switchport access vlan 13 switchport mode access Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 35

36 interface FastEthernet0/3 switchport access vlan 20 switchport mode access interface FastEthernet0/5 switchport access vlan 13 switchport mode access SW1# conf t SW1(config)# ip default-gateway SW1(config)# interface vlan 20 SW1(config-if)# ip address SW1(config-if)# no shutdown IGMP (Internet Group Management Protocol) R1# conf t R1(config)# interface loopback 1 R1(config-if)# ip igmp join-group R1(config-if)# ip igmp join-group R2# conf t R2(config)# interface loopback 2 R2(config-if)# ip igmp join-group R3# conf t R3(config)# interface loopback 3 R3(config-if)# ip igmp join-group R3(config-if)# ip igmp join-group Implémentation PIM avec le mode sparse-dense R1(config)# ip multicast-routing R2(config)# ip multicast-routing R3(config)# ip multicast-routing R1(config)# interface loopback 1 R1(config-if)# ip pim sparse-dense-mode R1(config-if)# interface fastethernet 0/0 R1(config-if)# ip pim sparse-dense-mode R1(config-if)# interface serial 0/0/0 R1(config-if)# ip pim sparse-dense-mode R1(config-if)# interface serial 0/0/1 R1(config-if)# ip pim sparse-dense-mode R2(config)# interface loopback 2 R2(config-if)# ip pim sparse-dense-mode R2(config-if)# interface fastethernet 0/0 R2(config-if)# ip pim sparse-dense-mode R2(config-if)# interface serial 0/0/0 Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 36

37 R2(config-if)# ip pim sparse-dense-mode R2(config-if)# interface serial 0/0/1 R2(config-if)# ip pim sparse-dense-mode R3(config)# interface loopback 3 R3(config-if)# ip pim sparse-dense-mode R3(config-if)# interface fastethernet 0/0 R3(config-if)# ip pim sparse-dense-mode R3(config-if)# interface serial 0/0/0 R3(config-if)# ip pim sparse-dense-mode R3(config-if)# interface serial 0/0/1 R3(config-if)# ip pim sparse-dense-mode 12) La Qualité de service (QoS) La qualité de service (Quality of service - QoS) est la capacité à véhiculer dans de bonnes conditions un type de trafic donné, en termes de disponibilité, débit, délais de transmission, gigue, taux de perte de paquets, etc. Le terme niveau de service définit le niveau d'exigence pour la capacité d'un réseau à fournir un service point à point ou de bout en bout avec un traffic donné. On définit généralement trois niveaux de QoS : Meilleur effort (best effort), ne fournissant aucune différenciation entre plusieurs flux réseaux et ne permettant aucune garantie. Ce niveau de service est ainsi parfois appelé lack of QoS. Service différencié (differenciated service ou soft QoS), permettant de définir des niveaux de priorité aux différents flux réseau sans toutefois fournir une garantie stricte. Service garanti (guaranteed service ou hard QoS), consistant à réserver des ressources réseau pour certains types de flux. Le principal mécanisme utilisé pour obtenir un tel niveau de service est RSVP (Resource reservation Protocol - Protocole de réservation de ressources). Critères de qualité de service Les principaux critères permettant d'apprécier la qualité de service sont les suivants : Débit (bandwidth), parfois appelé bande passante par abus de langage, il définit le volume maximal d'information (bits) par unité de temps. Gigue (en anglais jitter) : elle représente la fluctuation du signal numérique, dans le temps ou en phase. Latence, délai ou temps de réponse (delay) : elle caractérise le retard entre l'émission et la réception d'un paquet. Perte de paquet (packet loss): elle correspond à la non-délivrance d'un paquet de données, la plupart du temps dû à un encombrement du réseau. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 37

38 Déséquencement (desequencing) : il s'agit d'une modification de l'ordre d'arrivée des paquets. Classification et marquage Les mécanismes utilisés en QoS pour le marquage et la classification sont le CAR (Committed Access Rate) et le PBR (Policy Based Routing). Il faut rajouter les ACL. Le CAR permet de faire aussi le policing. Création et mise en files d attente Le buffer acceptance (BA) décide si le paquet peut être accepté à l'intérieur du buffer quand un paquet arrive sur un lien d'entrée. Tail drop supprime les paquets en excès quand le buffer acceptance est plein. Token bucket: l'algorithme du seau à jetons permet de contrôler le débit passant par un nœud d'un réseau informatique. L'algorithme du seau à jetons permet de contrôler le débit d'un flux passant par un nœud sur un réseau. Il est utilisé en particulier pour fluidifier des échanges irréguliers (shaping) ou pour limiter un débit (policing), mais n'est pas limité à ces seules applications. L'algorithme du seau à jetons est très voisin de celui du seau percé. La différence principale est que l'algorithme du seau à jetons permet de régler directement le débit en bits par seconde, alors que l'algorithme du seau percé envoie les paquets à un rythme régulier, qu'ils soient gros ou petits, ce qui empêche de régler le débit. Une analogie simple permet de comprendre l'algorithme : Soit un seau percé en son fond : si le seau n'est pas vide alors le contenu s'y écoule avec un débit constant. La taille du seau représente la quantité d'informations qui peut y être stockée, mesurée en nombre d'octets. Lorsqu'un paquet arrive, s'il reste suffisamment d'espace dans le seau, il y est placé. Sinon, le seau déborde (paquet en excès). Les paquets en excès sont en général jetés. Ils peuvent aussi être mis en attente, ou marqués comme non-conformes avant d'être envoyés. L'algorithme peut être implémenté de la façon suivante : Un compteur est incrémenté à intervalles réguliers. Le compteur ne peut pas dépasser un certain maximum. Quand un paquet de n octets arrive, si le compteur est plus grand que n, on retranche n du compteur, et on envoie le paquet. S'il n'est pas possible de retrancher n du compteur, il reste inchangé, et le paquet est considéré en excès. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 38

39 Leaky bucket: l'algorithme du seau percé permet de contrôler le nombre de paquets passant à chaque seconde par un nœud d'un réseau informatique. L'algorithme du seau percé permet de contrôler le nombre de paquets par seconde passant par un nœud sur un réseau. Il est utilisé en particulier pour fluidifier des échanges irréguliers (shaping) ou pour limiter un débit (policing), mais n'est pas limité à ces seules applications. Une analogie simple permet de comprendre l'algorithme : Soit un seau percé en son fond : si le seau n'est pas vide alors le contenu s'y écoule avec un débit constant. La taille du seau représente la quantité d'informations qui peut y être stockée, mesurée en nombre de paquets. Lorsqu'un paquet arrive, s'il reste suffisamment d'espace dans le seau, il y est placé. Sinon, le seau déborde (paquet en excès). Les paquets en excès sont en général jetés. Ils peuvent aussi être mis en attente, ou marqués comme non-conformes avant d'être envoyés. Jonathan Turner a fourni en 1986 la première description de l'algorithme ainsi qu'une implémentation : L'analogue du seau est un compteur (une variable) qui permet de vérifier que le débit se conforme aux limites. Le compteur est décrémenté à intervalles de temps réguliers, sans pouvoir devenir négatif. Le compteur est incrémenté à chaque paquet qui arrive, s'il dépasse le maximum établi, le paquet est considéré en excès. RED (Random Early Detection), c est un mécanisme d anticipation aléatoire dès que la file d attente commence à être saturée. Il intervient avant la congestion et les paquets sont aléatoirement rejetés lorsqu on s approche de la congestion. WRED (Weight Random Early Detection) est une extension du RED et permet de sélectionner les flux en fonction de priorités et du poids qui déterminent le rejet des paquets. DSCP=0 est la classe class-default, il s agit du best effort (pas de qualité de service) Gestions et ordonnancements (Scheduling) des files d attente Les mécanismes utilisés pour l ordonnancement sont le CBWFQ (Class Based Weighted Fair Queuing) mis en œuvre avec policy-map et le contrôle de la bande passante avec bandwidth (non préemption par le scheduler) et priority (préemption par le scheduler). Fair-queue pour la classe class-default est le service best effort. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 39

40 Fluidifier des échanges irréguliers. Le Traffic shaping ou régulation de flux est le contrôle du volume des échanges sur un réseau informatique dans le but d optimiser ou de garantir les performances, une latence plus basse ou d augmenter la bande passante utilisable en retardant les paquets qui correspondent à certains critères. Plus particulièrement, le traffic shaping désigne toute action sur un groupe de paquets (un flux réseau) qui impose un délai supplémentaire à ces paquets pour qu ils se conforment à une contrainte prédéterminée (contractuelle ou liée à un certain type de trafic). Le traffic shaping offre un moyen de contrôler le volume des échanges en train d être envoyé à un réseau pendant une période donnée (bandwidth throttling), le débit maximum auquel le trafic peut être envoyé (rate limiting), ou encore des critères plus complexes tels que l'algorithme GCRA (generic cell rate algorithm) dans le cadre de ATM. Limiter un débit. Le Traffic policing, ou limitation du flux, consiste à vérifier que les flux réseau se conforment à un accord de service et à prendre les mesures pour faire respecter un tel contrat. Les sources de données qui sont informées de l'existence d'un tel accord peuvent appliquer le traffic shaping (régulation de flux) pour faire en sorte que ce qu'elles envoient reste dans les limites de ce contrat. Les paquets échangés dépassant ce qui est prévu dans l'accord peuvent être immédiatement jetés, marqués comme étant en excès, ou laissés inchangés par le processus de limitation du flux. Le sort réservé aux données excédentaires est fonction de choix administratifs et des caractéristiques des données échangées. Exemple: Le mécanisme WRED dscp = 26 Les paquets de la file d attente LAN auront une priorité de 26 Le poids a une constante de 4 (priorité), constante définie par l administrateur minth = 16 : Les paquets commenceront à être supprimés à 16 minth maxth =48 : Les paquets seront tous supprimés à 48 maxth mpd (mark probability denominator) 10 par défaut (CISCO) Formule de calcul de la moyenne d occupation : Average = (old_average(1-2-n)) + (current_queue_size * 2-n) class. random-detect dscp-based random-detect exponential-weighting-constant 9 le 9 correspond au facteur de poids qui est 9 par defaut chez Cisco. random-detect dscp random-detect dscp Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 40

41 Le 10 est le mpd par défaut de chez Cisco. Exemple de QoS: Créer une classe de QoS qui possède trois niveaux de priorité : le premier niveau bénéficie de 50% de la bande passante (réservée pour le trafic FTP) le deuxième niveau bénéficie de 25% de la bande passante (réservée pour le trafic WEB) le troisième niveau de 20% de la bande passante (réservée au trafic ICMP). Mise en place de la politique de QoS. 1 er niveau 50 % Bande Passante FTP (A) 2 ème niveau 25 % Bande Passante Web (www) (B) 3 ème niveau 20 % Bande Passante ICMP (C) 4 ème niveau 5 % Bande Passante Best Effort (D) I) Classification ACL étendue Résolution access-list 100 permit TCP any any eq 21 (A) access-list 101 permit TCP any any eq www (B) access-list 102 permit ICMP any any all (C) access-list 103 permit IP any any all (D) II) Le marquage Avec CAR 1) rate-limit input access-group conform-action setdscp-transmit 0 exceed-action drop (D) Avec PBR 2) route-map marque_a permit 10 match ip address 100 set ip dscp AF23 (A) 3) route-map marque_b permit 20 match ip address 101 set ip dscp AF22 (B) Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 41

42 4) route-map marque_c permit 30 match ip address 102 set ip dscp AF21 (C) III) Le Queuing (File d attente) class-map match-all A match access-group 100 (A) class-map match-all B match access-group 101 (B) class-map match-all C match access-group 102 (C) class-map match-all D match access-group 103 (D) IV) Le Scheduling policy-map politiqueqos class A priority percent 50 (A) class B priority percent 25 (B) class C priority percent 20 (C) class D fair-queue (D) Implémentation du Service interface fastethernet 0/0 service-policy output politiqueqos 13) MPLS (Multi-Protocol Label Switching) Dans les réseaux informatiques et les télécommunications, Multi-Protocol Label Switching (MPLS) est un mécanisme de transport de données basé sur la commutation d'étiquettes ou labels, qui sont insérés à l'entrée du réseau MPLS et retirés à sa sortie. Un LER (Label Edge Router) est un routeur qui opère à la frontière d'un réseau MPLS. Un LSR (Label Switch Router) est un routeur situé au milieu d'un réseau MPLS. Il est responsable de la commutation des labels utilisés pour router les paquets. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 42

43 Son objectif: Acheminer les paquets plus rapidement afin de réduire le temps de recherche de paquets dans la table de routage. Faciliter la création de VPN (VPN-MPLS). Faciliter le traitement ingénierie du trafic (décider du chemin du flux dans les réseaux ou AS). Les différents protocoles qui peuvent être utilisés pour échanges des labels MPLS: TDP (Tag Distribution Protocol) (Cisco) et LDP (Label Distribution Protocol). Extensions de RSVP (Resource Reservation Protocol) Extensions de BGP et MP-BGP pour MPLS-VPN PIM (Protocol Independent Multicast) Une FEC (Forward Equivalence Class) permet d identifier un ensemble de paquets IP grâce à la mise en place de labels (étiquettes). Un label regroupe des paquets IP de même classification. Les paquets suivront ainsi le même chemin ou LSP (Label Switch Path). Une FEC est composée d une adresse destination, d un next hop (sous-réseau) et d une métrique. Les tables MPLS : Il faut définir la LIB (Label Information Base). La LIB contient la liste des labels pour chaque sous-réseau pour les routeurs LSR voisins. La table de routage permet l annonce des routeurs directement connectés, le routage statique et dynamique. La LFIB (Label Forwarding Information Base) regroupe l ensemble des deux premières en définissant le label qui correspond au nexthop du routage. LFIB = LIB & table de routage La table LIB est construite à partir des échanges de messages inter routeurs avec la mise en place du protocole de distribution LDP. On y trouve plusieurs champs dont Label in - interface out - label out et le nexthop. La commutation de labels : Les opérations exécutées par un LSR (Label Switch Router), lorsqu il reçoit un paquet, il fait un push et un swap. Lorsqu il est à l origine du paquet, il fait un pop. La table utilisée pour l acheminement d un paquet MPLS est LFIB. Voici les tables de routage et de commutation du réseau MPLS suivant : Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 43

44 Table de routage de R1 Destination Next Hop Interface out /24 e0 e /24 e0 e1 Table de routage de R2 Destination Next Hop Interface out /24 e0 e /24 e0 e2 Table de routage de R3 Destination Next Hop Interface out /24 DC e /24 e1 e0 Table de commutation de R1 Input label Input Destination Output Label Output - e /24 2 e1 - e /24 4 e1 Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 44

45 Table de commutation de R2 Input label Input Destination Output Label Output 4 e /24 3 e1 2 e /24 7 e2 Table de commutation de R3 Input label Input Destination Output Label Output e /24 5 e0 Les informations échangées entre LER des différents sites d un même VPN sont les labels VPN ainsi que les informations de routage classiques. (routes et labels) Les noms commerciaux pour les routeurs sont : P- Provider (LSR) - PE- Provider Edge (LER) - CE (Customer Edge) Le protocole utilisé pour l'échange entre LER (PE) est MP-BGP. Les protocoles utilisés : Entre LSR et LER: LDP, TDP, RIP, OSPF, IS-IS, RSVP Entre LER et CE: RIP, OSPF, IS-IS Entre LSR et LSR: RIP, OSPF, LDP, TDP, RSVP, IS-IS Entre LER et LER : MP-eBGP, BGP, MP-iBGP La table de routage relative à un VPN construite par un LER s appelle VRF (VPN Routing and Forwarding). Une VRF se compose d une table de routage, d une FIB (Forwarding Information Base), d une table CEF (Cisco Express Forwarding) indépendante et d un nom local au routeur. Route Distinguisher (RD) permet de rendre uniques les routes VPN échangées entre PE. Route Target (RT) gère l import et export des routes VPN sous forme de filtres. Les mécanismes utilisés par un VPN pour garantir la sécurité des VPN consistent à : Séparer les flux de chaque client en marquant les données avec un identifiant spécifique à chaque VPN. (IPVPN4). Chiffrer et authentifier les données échangées entre deux sites faisant partie d'un même VPN si bien qu'elles ne peuvent pas être imitées ou exploitées par un autre site. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 45

46 14) Asterisk Asterisk est un autocommutateur téléphonique privé (PABX) libre et propriétaire (sous licences GPL et propriétaire) pour systèmes GNU-Linux. Il permet, entre autres, la messagerie vocale, les files d'attente, les agents d'appels, les musiques d'attente, les mises en garde d'appels, la distribution des appels, l'utilisation des conférences, etc. Asterisk implémente les protocoles H.320, H.323 et SIP, ainsi qu'un protocole spécifique nommé IAX (Inter-Asterisk exchange). Ce dernier permet la communication entre deux serveurs Asterisk ainsi qu'entre client et serveur Asterisk. Il faut configurer trois fichiers asterisk.conf, sip.conf et extensions.conf qui correspondent à la configuration minimale à laquelle on peut rajouter voic .conf pour le répondeur. Voici le fichier extensions.conf dont le rôle consiste à créer du dialplan (le plan de numérotation). exten =>100,1,Dial (SIP/vous,10,r) exten =>100,n,Voic exten =>100,n,PlayBack (vm-goodbye) exten =>100,n,Hangup () exten =>100,102,Voic exten =>100,n,Hangup () Explications: exten =>nom, priorité, application () exten =>100,1, Dial (SIP/vous,10,r) Dial : composition du numéro 1 : priorité 100 : numéro d abonné SIP : protocole de signalisation 10 : secondes de sonnerie r : ring (appel) exten =>100,n, Voic (100@site,u) n: (next) priorité suivante Voic transfert sur la boite vocale 100 : numéro d : contexte (regroupe les appels d une entité) u (unavailable) : le correspondant est non disponible (ne répond pas) exten =>100,n,PlayBack (vm-goodbye) PlayBack: joue le fichier vm-goodbye exten =>100,n,Hangup () Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 46

47 Hangup () : raccrochage exten =>100,102,Voic (100@site,b) Voic transfert sur la boite vocale 100: numéro d abonné 102 : priorité (1+101) la ligne est occupée b (busy) : ligne occupée exten =>100,n,Hangup () Hangup () : raccrochage Suite du fichier exten =>888,1,Answer() exten =>888,n,Voic Main (@site) exten =>888,n,Hangup () exten =>500,1,Answer() exten =>500,n,SayUnixTime (,CET, km) exten =>500,n,Hangup () exten =>600,1,Answer() exten =>600,n,MeetMe (600,30) exten =>600,n,Hangup () Quand le 888 est composé, l appelé accède aux messages de la boite vocale. Quand on compose le 500, on accède à l horloge parlante et le 600 à la conférence enregistrée. 15) Annexe ACL (Access Control List) : une liste de contrôle d'accès est une collection d'instructions permettant d'autoriser ou de refuser des paquets en fonction d'un certain nombre de critères, tels que : L'adresse d'origine L'adresse de destination Le numéro de port. Les protocoles de couches supérieures Il existe trois types de liste de contrôle d'accès : les ACLs standards, les ACLs étendues et les ACLs nommées. Les ACLs standards utilisent des spécifications d'adresses simplifiées et autorisent ou refusent un ensemble de protocoles. C'est-à-dire en d'autres termes que l'on peut interdire par exemple à une machine l'accès à une autre machine ou à un autre réseau. Les ACLs étendues utilisent des spécifications d'adresses plus complexes et autorisent ou refusent des protocoles précis. Ce type d'acl utilise un filtrage bien plus spécifique - on peut Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 47

48 selon nos besoins, interdire (ou permettre) des flux depuis et vers une autre machine (ou réseaux) suivant des critères tels que : Le type de protocole de niveau 4 (en l'occurrence TCP ou UDP). Le numéro de port utilisé. Ou même le type de l'application (ftp, telnet, etc.). Les ACLs nommées peuvent être soit standards, soit étendues. Elles n'ont pour but que de faciliter la compréhension et de connaître la finalité de l'acl. Le Protocol Data Unit (Unité de données de protocole - PDU) est l'ensemble des informations échangées entre niveaux dans le système de couches modèle OSI. Le (N)-PDU est l'unité de données pour une couche (numéro N). Il comprend un (N+1)-PDU, et une information de contrôle (N)-PCI (Protocol-control information), c est-à-dire l'ensemble complet des données de la couche supérieure (N+1) auquel sont ajoutées des données complémentaires afin de pouvoir effectuer un contrôle d'erreur. Le SDU (Service Data Unit) est la donnée effective dans un PDU. Le TTL (Time To Live) est une donnée placée au niveau de l'en-tête du paquet IP qui indique le nombre maximal de routeurs de transit. Ce champ est codé sur huit bits, ce qui permet de spécifier des valeurs initiales de 1 à 255. La valeur initiale est généralement fixée par le système d'exploitation et dépend du diamètre d'internet (RFC 1122), c'est-à-dire du nombre maximal de routeurs qui peut exister entre deux hôtes Internet à un moment donné. Quand un routeur de transit arrive à la valeur 0 après avoir décrémenté ce champ, le paquet est détruit et un paquet ICMP 11 Time Exceeded est envoyé vers la source. Ceci évite qu'un paquet boucle à l'infini s il existe un problème de boucle de routage. Traceroute est un outil qui exploite ce mécanisme pour déterminer la route empruntée par un paquet vers la destination. La valeur initiale de 1 est utilisée par certains protocoles pour s'assurer que les paquets ne sont pas routés au-delà d'un segment, c'est le cas d ebgp. La valeur initiale de 255 est utilisée par des protocoles pour s'assurer que le paquet reçu émane bien du même segment, il doit valoir donc impérativement 254 à la réception. C'est le cas du protocole Bidirectional Forwarding Detection. Le round-trip delay time (RTD) ou round-trip time (RTT) est dans les réseaux informatiques, le temps que met un signal pour parcourir l'ensemble d'un circuit fermé. Cette valeur est importante, car elle intervient de façon cruciale dans l'efficacité de nombreux systèmes comme par exemple, lors du chargement d'une page web en utilisant le protocole HTTP, le téléchargement de chaque élément de la page nécessite l'ouverture et la fermeture d'une connexion TCP. La durée de téléchargement de l'élément est donc nécessairement supérieure à deux RTD : le handshake TCP (SYN et SYN-ACK), puis la requête HTTP. Overhead est la quantité de données rajoutée aux données effectives à transporter. Jean Michel MEULIEN - Protocoles de routage dans les réseaux Page 48