RÉSEAUX II. Dr. Assia Djabelkhir-Bentellis 4ème année Informatique Ecole Normale Supèrieure de Constantine

Transcription

1 RÉSEAUX II Dr. Assia Djabelkhir-Bentellis 4ème année Informatique Ecole Normale Supèrieure de Constantine

2 A. Djabelkhir-Bentellis Réseaux II 2 Sommaire CH1. Inter-réseaux et routage (oct.) CH2. Problèmes d inter-réseaux (oct. - nov.) La suite TCP/IP CH3. Les routeurs (Routage/Acheminement) (nov. - déc.) Configuration d un routeur Dépannage CH4. Les protocoles de routage (déc. - janv. fév.) Routage CIDR Protocole de routage Interior IGP (RIP, OSPF) Protocole de routage Exterior EGP (BGP) Configuration des protocoles de routage Dépannage CH5. Introduction aux protocoles multicast (mars) CH6. Administration Réseau (avril) CH7. Bases de Sécurité Informatique (mai)

3 A. Djabelkhir-Bentellis Réseaux II 3 Références «Réseaux», Andrew Tanenbaum, Pearson «Les réseaux», Guy Pujolle, Eyrolles «TCP/IP Illustrated», W. Richard Stevens (3 volumes), Addison Wesley «TCP/IP Administration de réseau», Craig Hunt, O Reilly «Unix Network Programming», W. Richard Stevens Introduction à TCP/IP et aux routeurs Bill Fenner, Andrew M. Rudoff, Addison WesleyAlexandre Conception de réseaux et protocoles de routage. Dulaunoy Jaques Drouot. Transmissions et réseaux. Stéphane Lohier et Dominique Présent. Support de cours Cisco IOS de Champagne-Ardenne Support de cours de A. Guermouche F. Nolot, université de Reims

4 A. Djabelkhir-Bentellis Réseaux II 4 Liens utiles on/reseaux pdf

5 A. Djabelkhir-Bentellis Réseaux II 5 CH1. INTER-RÉSEAUX ET ROUTAGE Rappel des notions de base

6 A. Djabelkhir-Bentellis Réseaux II 6 Rappel de notions Réseaux informatiques Adressage Routage Protocole Pile de protocoles Routeur/passerelle/gateway Table de routage Broadcast/multicast

7 A. Djabelkhir-Bentellis Réseaux II 7 Grands principes Qu est-ce qu un réseau? C est un ensemble de matériels et de logiciels permettant à des équipements de communiquer entre eux. L objectif d un réseau est le partage des ressources matérielles (disques durs, imprimantes) et des ressources logicielles (fichiers, applications) Les réseaux regroupent un ensemble hétérogène d architectures, du filaire au sans-fil, du LAN au WAN

8 A. Djabelkhir-Bentellis Réseaux II 8 Adressage Objectif : localiser/identifier un hôte dans un réseau Exemples : adresses MAC, adresses IP DNS : Domain Name Service est l annuaire de l Internet où les noms des sites sont accompagnés d une adresse IP, le tout généré automatiquement

9 A. Djabelkhir-Bentellis Réseaux II 9 Adressage IP Sur 32 bits, généralement agrégés en 4 blocs d un octet : [ ] Pas de lien géographique Masque : permet de déterminer le sous-réseau local : un masque de [ ] donnera l adresse de réseau Notation CIDR : on indique le masque sous forme du nombre de bits à un à gauche : /24 Classification : Classe A : réseau de à (sur 8 bits) Classe B : de à (sur 16 bits) Classe C : de à (sur 24 bits) Classe D : multicast, spéciale, de 224 à 231 Actuellement, l attribution des adresses se fait plus sporadiquement, sur un système sans classes (notation CIDR)

10 A. Djabelkhir-Bentellis Réseaux II 10 Routeur Un point réseau qui fait office d'entrée vers un autre réseau. Doté d une interface pour chaque réseau et d une table de routage et fonctionne suivant un algorithme de routage bien défini.

11 A. Djabelkhir-Bentellis Réseaux II 11 Routage Mécanisme par lequel le message d'un expéditeur est acheminé jusqu'à son destinataire, même si aucun des deux ne connaît le chemin complet que le message doit suivre... Deux types logiques d'ordinateur dans le WAN: Les hôtes (hosts) ou stations, qui sont reliés à un seul réseau et qui ont par conséquent une table de routage simple Les routeurs/passerelles (gateway), qui relient au moins deux réseaux et possèdent une table de routage plus complexe

12 A. Djabelkhir-Bentellis Réseaux II 12 Routage Statique Destination NetMask Gateway Network * Destination NetMask Gateway Network * Destination NetMask Gateway Network Destination NetMask Gateway Network

13 A. Djabelkhir-Bentellis Réseaux II 13 Routage Dynamique

14 A. Djabelkhir-Bentellis Réseaux II 14 Reste à voir Protocole Pile/couche/Famille de protocoles Broadcast/multicast

15 A. Djabelkhir-Bentellis Réseaux II 15 CH2. LES PROBLÈMES D INTER RÉSEAUX La suite TCP/IP

16 A. Djabelkhir-Bentellis Réseaux II 16 La diversité des réseaux

17 A. Djabelkhir-Bentellis Réseaux II 17 Réseaux de terminaux Appli Appli Appli Ordinateur central WAN Contrôleur de grappe Terminaux passifs Terminaux passifs

18 A. Djabelkhir-Bentellis Réseaux II 18 Réseau d entreprise Réseau longue distance (public) Réseaux locaux Réseaux locaux Utilisateurs nomades Télétravailleur

19 A. Djabelkhir-Bentellis Réseaux II 19 Les différents systèmes d exploitation MAC OS Windows 3.11, Windows 95, Windows 98, Windows 2000,2003 Windows NT, XP Les Unix commerciaux : AIX d IBM, HP-UX de HP, SOLARIS de SUN, DIGITAL Unix... Les Unix libres : Linux, FreeBSD, OpenBSD, Debian Les grands systèmes : DIGITAL VMS, IBM MVS, BULL GCOS,...

20 A. Djabelkhir-Bentellis Réseaux II 20 De l OS au NOS NOS = OS + Gestionnaire de réseau Network Operating System = + Voyons voir! Ali peut accéder : au répertoire \enseignants\ali à l imprimante TPR Dana peut accéder : au répertoire \etudiants\dana à l imprimante SPR

21 A. Djabelkhir-Bentellis Réseaux II 21 De l OS au NOS Windows NT Server de Microsoft Netware de Novell

22 A. Djabelkhir-Bentellis Réseaux II 22 Un langage commun : IP IP LAN Ethernet WAN LAN Token-Ring

23 A. Djabelkhir-Bentellis Réseaux II 23 Il n'y avait pas que IP Netbeui (Microsoft) IPX (Novell Netware) DECnet (digital) AppleTalk...et tant d'autres

24 A. Djabelkhir-Bentellis Réseaux II 24 Internet, le Réseau des réseaux Internet Particuliers Entreprise CLIPPO Entreprise Universités...

25 A. Djabelkhir-Bentellis Réseaux II 25 Le modèle TCP/IP Le modèle TCP/IP correspond à une simplification du modèle OSI plus pragmatique et représentatif des technologies existantes. Indépendamment des types de réseaux (ATM, Ethernet ou FDDI), on parle de réseau TCP/IP lorsque la famille de protocoles TCP/IP est utilisée.

26 A. Djabelkhir-Bentellis Réseaux II 26 Les 4 couches

27 A. Djabelkhir-Bentellis Réseaux II 27 OSI Vs TCP/ IP

28 A. Djabelkhir-Bentellis Réseaux II 28 La suite de protocoles TCP / IP Les protocoles TCP et IP sont les deux membres principaux de la suite de protocoles IP. UDP (User Datagram Protocol) ICMP (Internet Control Message Protocol) RIP (Routing Information Protocol) ARP (Address Resolution Protocol)

29 A. Djabelkhir-Bentellis Réseaux II 29 Les protocoles de l Internet

30 A. Djabelkhir-Bentellis Réseaux II 30 La couche Accès réseau La couche accès réseau est la première couche de la pile TCP/IP, elle offre les capacités à accéder à un réseau physique quel qu'il soit, c'est-à-dire les moyens à mettre en œuvre afin de transmettre des données via un réseau. Ainsi, la couche accès réseau contient toutes les spécifications concernant la transmission de données sur un réseau physique, qu'il s'agisse de réseau local (Anneau à jeton - token ring, ethernet, FDDI), de connexion à une ligne téléphonique ou n'importe quel type de liaison à un réseau.

31 A. Djabelkhir-Bentellis Réseaux II 31 La couche Accès réseau Elle prend en charge les notions suivantes : Acheminement des données sur la liaison Coordination de la transmission de données (synchronisation) Format des données Conversion des signaux (analogique/numérique) Contrôle des erreurs à l'arrivée... L'ensemble de ces tâches est réalisé par le système d'exploitation, ainsi que les pilotes du matériel et le matériel luimême, permettant la connexion au réseau (ex. pilote de carte réseau).

32 A. Djabelkhir-Bentellis Réseaux II 32 La couche Internet La couche "la plus importante" car c'est elle qui définit les datagrammes, et qui gère les notions d'adressage IP. Son rôle est de permettre l'injection de paquets dans n'importe quel réseau et l'acheminement de ces paquets indépendamment les uns des autres jusqu'à destination. Les paquets sont alors rassemblés par cette couche. La couche Internet contient 5 protocoles : Le protocole IP (Internet Protocol) Le protocole ARP (Address Resolution Protocol) Le protocole ICMP (Internet Control Message Protocol ) Le protocole RARP (Reverse Address Resolution Protocol) Le protocole IGMP (Internet Group Management Protocol )

33 A. Djabelkhir-Bentellis Réseaux II 33 Le protocole IP Comment acheminer les informations d un réseau à un autre Principe de base : si l adresse de destination n est pas dans le réseau local (déterminé avec le masque), on envoie les paquets à la passerelle (gateway, routeur) qui saura où envoyer le paquet. Le protocole IP travaille en mode non connecté : les paquets émis par le niveau 3 sont acheminés de manière autonome (datagrammes), sans garantie de livraison. Le datagramme correspond au format de paquet défini par le protocole Internet. Les cinq ou six (sixième facultatif) premiers mots de 32 bits représentent les informations de contrôle appelées en-tête.

34 A. Djabelkhir-Bentellis Réseaux II 34 Datagramme Les octets issus de la couche Transport (paquets TCP ou UDP) sont encapsulés à l aide d un en-tête IP avant d être propagés vers la couche réseau. MTU (Maximum Transfer Unit) : taille maximale des datagrammes, liée aux caractéristiques de propagation du support physique. Les octets sont lus et transmis au réseau en respectant le Network Byte Order ou NBO quelle que soit l architecture CPU de l hôte : le poids fort en premier. L en-tête IP minimale fait 5 mots de 4 octets, soit 20 octets. S il y a des options, la taille maximale peut atteindre 60 octets.

35 A. Djabelkhir-Bentellis Réseaux II 35 Datagramme

36 A. Djabelkhir-Bentellis Réseaux II 36 En-tête IPv4 Version : v4 IHL (Internet Header Length) : longueur de l en-tête en mots de 32 bits Total length : Taille du datagramme, en-tête + données Type of Service : qualité de service : minimal cost: 0x02, reliability: 0x04, throughput: 0x08 (ex. ftp), low delay: 0x10 (ex. telnet) Identification : identifiant d'un ensemble de fragments pour leur le rassemblage Flags : DF (Don't Fragment) / MF (More Fragment) Fragment Offset : position du fragment dans le message Time To Live (TTL) : temps de vie maximal en sec. Protocol : protocole de la couche supérieure encapsulé dans le paquet : ICMP(1), IGMP(2), UDP(17), TCP(6), OSPF(89) etc. Permet d identifier le format et le contenu des données. Header Checksum : contrôle d'erreurs de l'en-tête Adresses IP source et destination

37 A. Djabelkhir-Bentellis Réseaux II 37 RIP (Routing Information Protocol) RIP est un protocole de routage dynamique qui permet l'échange d'informations de routage sur un inter-réseau. Chaque routeur fonctionnant avec RIP échange les identificateurs des réseaux qu'il peut atteindre, ainsi que la distance qui le sépare de ce réseau : nb de sauts = nb de routeurs à traverser Ainsi, chacun dispose de la liste des réseaux et peut proposer le meilleur chemin.

38 A. Djabelkhir-Bentellis Réseaux II 38 ARP (Address Resolution Protocol) Le protocole ARP permet de déterminer l'adresse physique (ou MAC) d'un nœud à partir de son adresse IP en effectuant une diffusion du type «qui est X2.X2.X2.X2?» Le nœud qui possède cette adresse IP sera la seule à répondre en envoyant à l émetteur une réponse ARP du type «je suis adresseip, mon adresse MAC est adressemac». Pour émettre cette réponse au bon nœud, il crée une entrée dans sa table ARP à partir des données contenues dans la requête ARP qu il vient de recevoir. Le nœud à l origine de la requête ARP reçoit la réponse, met à jour sa table ARP et peut donc envoyer le message en attente.

39 A. Djabelkhir-Bentellis Réseaux II 39 ARP : le datagramme Ce datagramme est encapsulé dans une trame physique du type 0x0806

40 A. Djabelkhir-Bentellis Réseaux II 40 ICMP (Internet Control Message Protocol) ICMP est un protocole de maintenance utilisé pour les tests et les diagnostics, qui véhicule des messages de contrôle. Il permet à deux systèmes d'un réseau IP de partager des informations d'état et d'erreur. Ex. : La commande ping utilise les paquets ICMP de demande d'écho et de réponse à un écho afin de déterminer si le système IP d'un réseau donné fonctionne. C'est pourquoi l'utilitaire ping est utilisé pour diagnostiquer les défaillances au niveau d'un réseau IP ou des routeurs.

41 A. Djabelkhir-Bentellis Réseaux II 41 ICMP : principe et fonctionnement ICMP permet de vérifier si les paquets émis par le protocole IP sont arrivés à leur destinataire dans de bonnes conditions. Si une passerelle ne peut router ou délivrer directement un paquet ou si un évènement anormal arrive sur le réseau, comme un trafic trop important ou une machine indisponible, il faut pouvoir en informer l hôte qui a émis le paquet. Celui-ci pourra alors réagir en fonction du type de problème rencontré. Il existe 11 TYPEs de message ICMP.

42 A. Djabelkhir-Bentellis Réseaux II 42 ICMP : quelques types de message Echo Request (8), Echo reply (0) : pour tester si son destinataire est accessible. Le hôte destinataire d une telle requête doit formuler un message ICMP echo reply en retour. Destination Unreachable (3) : quand une passerelle ne peut pas délivrer un datagramme IP. Dans ce cas le champ CODE complète le message d erreur avec : 0 Network unreachable 1 Host unreachable 2 Protocol unreachable 3 Port unreachable 4 Fragmentation needed and DF set 5 Source route failed Router solicitation (10) vs Router advertisement (9) : il s agit d obtenir ou d annoncer des routes.

43 A. Djabelkhir-Bentellis Réseaux II 43 IGMP : Internet Group Management Protocol IGMP est un protocole de communication entre les routeurs susceptibles de transmettre des datagrammes multicast et des hôtes qui veulent s enregistrer dans tel ou tel groupe. Objectif : Les datagrammes ayant une adresse multicast sont à destination d un groupe d utilisateurs dont l émetteur ne connait ni le nombre ni l emplacement. L usage du multicast étant par construction dédié aux applications comme la radio ou la vidéo sur le réseau, donc consommatrices de bande passante, il est primordial que les routeurs aient un moyen de savoir s il y a des utilisateurs de tel ou tel groupe sur les LANs directement accessibles pour ne pas encombrer les bandes passantes associées avec des flux d octets que personne n utilise!

44 A. Djabelkhir-Bentellis Réseaux II 44 La couche Transport Son rôle est le même que celui de la couche transport du modèle OSI : permettre à des entités paires de soutenir une conversation. Officiellement, cette couche n'a que deux implémentations : TCP, un protocole orienté connexion qui assure le contrôle des erreurs UDP, un protocole non orienté connexion dont le contrôle d'erreur est peu fiable

45 A. Djabelkhir-Bentellis Réseaux II 45 TCP (Transmission Control Protocol) Protocole de contrôle de la transmission, est probablement le protocole IP de niveau supérieur le plus répandu. Il fournit un protocole fiable, orienté connexion, au-dessus d'ip (ou encapsulé à l'intérieur d'ip) TCP fournit un service sécurisé de remise des paquets : garantit l'ordre et la remise des paquets, il vérifie l'intégrité de l'en-tête des paquets et des données qu'ils contiennent. TCP est responsable de la retransmission des paquets altérés ou perdus par le réseau lors de leur transmission. Cette fiabilité fait de TCP/IP un protocole bien adapté pour la transmission de données basée sur la session, les applications client-serveur et les services critiques tels que le courrier électronique.

46 A. Djabelkhir-Bentellis Réseaux II 46 TCP (Transmission Control Protocol) Sur une connexion TCP entre deux machines du réseau, les messages (ou paquets TCP) sont acquittés et délivrés en séquence. La fiabilité de TCP a son prix : Les en-têtes TCP requièrent l'utilisation de bits supplémentaires pour effectuer correctement la mise en séquence des informations Un total de contrôle (checksum) obligatoire pour assurer la fiabilité non seulement de l'en-tête TCP, mais aussi des données contenues dans le paquet.

47 A. Djabelkhir-Bentellis Réseaux II 47 TCP (Transmission Control Protocol) Pour garantir la réussite de la livraison des données, ce protocole exige également que le destinataire accuse réception des données. Ces accusés de réception (ACK) génèrent une activité réseau supplémentaire qui diminue le débit de la transmission des données au profit de la fiabilité. Pour limiter l'impact de cette contrainte sur la performance, la plupart des hôtes n'envoient un accusé de réception que pour un segment sur deux ou lorsque le délai imparti pour un ACK expire.

48 A. Djabelkhir-Bentellis Réseaux II 48 En-Tête TCP

49 A. Djabelkhir-Bentellis Réseaux II 49 TCP : techniques Connexion : Etablissement : Three-way handshake Clôture : canonique ou abrupte Contrôle de flux : Fenêtres glissantes Départ lent Evitement de la congestion

50 A. Djabelkhir-Bentellis Réseaux II 50 UDP (User Datagram Protocol) Un complément du protocole TCP qui offre un service de datagrammes sans connexion qui ne garantit ni la remise ni l'ordre des paquets délivrés. Les checksums des données sont facultatives dans le protocole UDP. Ceci permet d'échanger des données sur des réseaux à fiabilité élevée sans utiliser inutilement des ressources réseau ou du temps de traitement. Les messages (ou paquets UDP) sont transmis de manière autonome (sans garantie de livraison.). Le protocole UDP prend également en charge l'envoi de données d'un expéditeur unique vers plusieurs destinataires. Exemple : TFTP, DHCP, NFS, DNS Windows utilise UDP pour les Broadcast en TCP/IP

51 A. Djabelkhir-Bentellis Réseaux II 51 La couche Application Contrairement au modèle OSI, c'est la couche immédiatement supérieure à la couche transport, tout simplement parce que les couches présentation et session sont apparues inutiles. Cette couche contient un nombre très important de protocoles de haut niveau dont le rôle est de fournir des services réseaux évolués.

52 A. Djabelkhir-Bentellis Réseaux II 52 Les applications TCP/IP Les protocoles du niveau application les plus connus sont : HTTP (Hyper Text Transfer Protocol) permet l'accès aux documents HTML et le transfert de fichiers depuis un site WWW FTP (File Transfer Protocol) pour le transfert de fichiers, s'appuie sur TCP et établit une connexion sur un serveur FTP Telnet pour la connexion à distance en émulation terminal, à un hôte Unix/Linux. SMTP (Simple Mail Transfer Protocol) pour la messagerie électronique (UDP et TCP) SNMP (Simple Network Management Protocol) pour l'administration du réseau NFS (Network File System) pour le partage des fichiers Unix/Linux.

53 A. Djabelkhir-Bentellis Réseaux II 53 HTTP : Hypertext Transfer Protocol Est un protocole de communication clientserveur développé pour le World Wide Web. HTTPS (avec S pour secured) est la variante du HTTP sécurisée par l'usage des protocoles SSL ou TLS. Les clients HTTP les plus connus sont les navigateurs Web permettant à un utilisateur d'accéder à un serveur contenant les données tels que Apache HTTP Server ou Internet Information Services. Port 80

54 A. Djabelkhir-Bentellis Réseaux II 54 FTP : File Transfer Protocol Protocole de transfert de fichiers : protocole de communication destiné à l'échange de fichiers sur un réseau TCP/IP. Il permet, depuis un hôte, de copier des fichiers vers un autre hôte du réseau, ou encore de supprimer ou de modifier des fichiers sur cet hôte. Ce mécanisme de copie est souvent utilisé pour alimenter un site web hébergé chez un tiers. Autres protocoles de transfert de fichiers : Trivial File Transfer Protocol (TFTP) Secure File Transfer Protocol (SFTP) File Transfer Protocol over SSL (FTPS) File exchange Protocol (FXP) CFT (Cross File Transfer) Ports 20 (data) 21 (commands)

55 A. Djabelkhir-Bentellis Réseaux II 55 Telnet : TErminalNETwork ou TELecommunication NETwork Ou encore TELetype NETwork : un protocole du réseau TCP/IP qui permet de fournir un moyen de communication très généraliste, bi-directionnel et orienté octet. telnet est aussi une commande permettant de créer une session Telnet sur une machine distante. Utilisation : se connecter à des serveurs telnet, qui demandent un identifiant, puis un mot de passe, et donnent une ligne de commande sur la machine distante en échange. Port 23

56 A. Djabelkhir-Bentellis Réseaux II 56 SMTP : Simple Mail Transfer Protocol Protocole simple de transfert de courrier électronique vers les serveurs de messagerie électronique. On commence par spécifier l'expéditeur du message, puis le ou les destinataires du message, puis, en général après avoir vérifié leur existence, le corps du message est transféré. Port 25

57 A. Djabelkhir-Bentellis Réseaux II 57 SNMP : Simple Network Management Protocol Protocole simple de gestion de réseau qui permet aux administrateurs réseau de gérer les équipements du réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance. L'architecture de gestion du réseau proposée par le protocole SNMP est fondée sur trois principaux éléments : les équipements gérés (managed devices) : sont des éléments du réseau (ponts, commutateurs, concentrateurs, routeurs ou serveurs), contenant des «objets de gestion» (managed objects) pouvant être des informations sur le matériel, des éléments de configuration ou des informations statistiques ; les agents, c'est-à-dire les applications de gestion de réseau résidant dans un périphérique, sont chargés de transmettre les données locales de gestion du périphérique au format SNMP ; les systèmes de gestion de réseau (network management systems notés NMS), c'est-à-dire les consoles à travers lesquelles les administrateurs peuvent réaliser des tâches d'administration.

58 A. Djabelkhir-Bentellis Réseaux II 58 NFS : Network File System Ce système de fichiers en réseau permet de partager des données principalement entre systèmes UNIX. Des versions existent pour Macintosh ou Microsoft Windows.

59 A. Djabelkhir-Bentellis Réseaux II 59 CH3. LES ROUTEURS (ROUTAGE/ACHEMINEMENT) Cisco IOS

60 A. Djabelkhir-Bentellis Réseaux II 60 Introduction Les routeurs de haute performance Les composants internes Les connexions externes Les spécifications des routeurs Cisco IOS

61 A. Djabelkhir-Bentellis Réseaux II 61 High Performance Routers

62 A. Djabelkhir-Bentellis Réseaux II 62 Internal Components of a 2600 Cisco Router

63 A. Djabelkhir-Bentellis Réseaux II 63 External Connections on a 2600 Router

64 A. Djabelkhir-Bentellis Réseaux II Cisco Router : spécifications CPU: Motorola 68EC MHz RAM: Up to 16 MB Flash: 4, 8 or 16 MB Power consumption: 40 W Dimensions: cm Weight: 4.5 kg Power supplies: 110/240 V AC or 48 V DC Supported interfaces: Ethernet (10 Mbit/s), Token Ring (16 Mbit/s), ISDN BRI (128 kbit/s), Sync Serial (2 Mbit/s), Async Serial. Bandwidth: 4400 packets-per-second (using CEF) Typical throughput: 2.2 Mbit/s (64-byte packets) 6-8 Mbit (1500-byte packets)

65 A. Djabelkhir-Bentellis Réseaux II 65 Cisco IOS Présentation Les modes Configuration

66 A. Djabelkhir-Bentellis Réseaux II 66 Cisco IOS : présentation Cisco IOS (InterNetwork Operating System) est le logiciel qui fonctionne sur la majorité du matériel de marque Cisco et qui permet de le configurer La configuration se fait : Soit par une interface Web si elle est disponible Soit par une interface en ligne de commande (quasiment toujours disponible) appelée CLI (command-line interface) La suite de ce chapitre détaille l'utilisation du CLI

67 A. Djabelkhir-Bentellis Réseaux II 67 CLI : les principes de base Le CLI est divisé en différents modes de commandes : User EXEC mode Privileged EXEC mode Global configuration mode Interface configuration mode Subinterface configuration mode ROM Monitor mode Les commandes disponibles dépendent du mode dans lequel l'utilisateur se situe L'utilisation du? permet d'obtenir toutes les commandes disponibles dans le mode courant mais aussi les options disponibles pour la commande en cours : «show?» permet de connaître les options de la commande show «sh?» permet d'obtenir toutes les commandes disponibles commençant par sh La touche TAB permet de faire la complétion des commandes tapées et s'il n'y a aucune ambiguïté, il est possible de taper que les premières lettres de la commande voulue (exemple : «en» au lieu de «enable»)

68 A. Djabelkhir-Bentellis Réseaux II 68 Les modes Le User EXEC mode (>) est le mode par défaut dans lequel l'utilisateur se trouve quand il se connecte sur le matériel Il ne permet pas de changer la configuration du matériel Pour avoir accès à toutes les commandes de configuration, vous devez entrer dans le Privileged EXEC mode (#) Accessible généralement par mot de passe Depuis le Privilege EXEC mode, il est possible d'entrer dans le global configuration mode (config) Il est possible dans ce mode de saisir des commandes de configuration et donc de modifier la configuration courante Attention : toute modification est perdu lors d'un redémarrage si elle n'est pas sauvegardée A partir du Global configuration mode, il est alors possible d'entrer dans l' interface configuration mode (config-if) puis à partir de celui-ci, dans le subinterface configuration mode La configuration se fait de manière hiérarchique

69 A. Djabelkhir-Bentellis Réseaux II 69 Les modes en résumé

70 A. Djabelkhir-Bentellis Réseaux II 70 User EXEC mode Lors de la connexion au matériel, nous obtenons un prompt du style : Router >

71 A. Djabelkhir-Bentellis Réseaux II 71 Visualisation d'informations La commande show permet d'obtenir tout type d'informations sur le matériel Suivant le mode, elle possède des options différentes Dans tous les cas, elle possède de nombreuses sous-commandes Exemple : show running-config : configuration en cours show startup-config : configuration sauvegardé show version : version d'ios utilisé mais aussi le type du matériel utilisé et le nombre de chacune de ses interfaces show history : par défaut, les 10 dernières commandes exécutées. Cette quantité est configurable par la commande terminal history show users : les utilisateurs connectés

72 A. Djabelkhir-Bentellis Réseaux II 72 Privileged EXEC mode L'accès au Privileged EXEC mode se fait depuis le User EXEC mode en tapant la commande enable (ou en) Le prompt est modifié en : Router # Certains utilisateurs appellent ce mode : le mode enable La commande disable permet de quitter ce mode

73 A. Djabelkhir-Bentellis Réseaux II 73 Global configuration mode Permet de configurer le matériel et d'avoir accès à la configuration des interfaces La commande configure terminal (ou conf t si aucune ambiguïté) permet d'accéder à ce mode Nous obtenons les lignes suivantes : Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# Pour retourner au Privileged EXEC mode, Utilisez la commande end Ou les touches CTRL+Z La commande exit permet de retourner au mode précédent

74 A. Djabelkhir-Bentellis Réseaux II 74 Mots de passes En Terminal Mode, hostname permet de changer le nom du matériel Secret et Enable password : Pour protéger l'accès au Privileged mode, il est possible de définir un mot de passe 2 solutions : enable secret mot_de_passe : le mot de passe est stocké de manière cryptée enable password mot_de_passe : Le mot de passe est stocké en clair

75 A. Djabelkhir-Bentellis Réseaux II 75 Stockage de configuration du matériel 2 fichiers de configuration sont présents sur le matériel : Le fichier running-config : correspond à la configuration utilisé quand le routeur fonctionne Le fichier startup-config : la configuration qui est lu lors du démarrage du matériel

76 A. Djabelkhir-Bentellis Réseaux II 76 Sauvegarder la configuration Quand le fichier running-configuration est correct, il faut alors le copier dans le startupconfig En privileged mode, faire : copy running-config startup-config Ou bien copy system:running-config nvram:startup-config Attention : lors du redémarrage du matériel, toute la configuration est perdue si vous oubliez de faire la manipulation précédente!

77 A. Djabelkhir-Bentellis Réseaux II 77 Interface configuration mode Permet de configurer chacune des interfaces FastEthernet, GigabitEtherne, série, FDDI,... Utilisez la commande : interface type numéro pour configurer une interface en particulier type peut être Serial, FastEthernet, Async,... Pour visualiser les possibilités de votre matériel, tapez : interface? Exemple : interface FastEthernet 0 int FastEthernet 0/1 La numérotation des interfaces se fait de la façon suivante : Le premier chiffre indique le slot utilisé Le deuxième chiffre indique le port utilisé Quand il n'y a qu'une interface d'un type donné, nous utilisons qu'un chiffre

78 A. Djabelkhir-Bentellis Réseaux II 78 Configurer une interface Ethernet d'un routeur En Terminal configuration mode, choisir l'interface à configurer L'attribution d'une adresse IP se fait interface par interface avec la commande ip address Exemple : Sur un routeur, nous allons attribuer l'adresse à l'interface FastEthernet numéro 0

79 A. Djabelkhir-Bentellis Réseaux II 79 Configurer l'adresse IP d'un switch Sur un switch qui gère les VLAN, l'adresse IP est affectée au VLAN Le seul VLAN qui permet d'administrer le switch à distance est le VLAN 1, c'est donc sur celui-ci que l'on affecte Créer un nouveau VLAN : vlan number Pour configurer un VLAN, depuis le Terminal Configuration mode, il existe une interface vlan, accessible en utilisant : interface vlan number Exemple : nous allons attribuer l'adresse au VLAN 1

80 A. Djabelkhir-Bentellis Réseaux II 80 Affecter un port à un VLAN VLAN static Depuis Interface configuration mode, il faut signaler que le port en question sera membre d'un VLAN Commande : switchport mode access Ensuite, affecter ce port à un VLAN Ou : switchport access vlan num Vous pouvez annuler cette manipulation : Soit en utilisant la commande no Soit en affectant ce port au VLAN par défaut, le VLAN 1 Exemple : nous allons affecter le port FastEthernet 4 au VLAN 3

81 A. Djabelkhir-Bentellis Réseaux II 81 VLAN Trunk 802.1Q Un«lienmarqué»(tagged link) est une interconnexion entre deux commutateurs qui préserve l'appartenance aux VLAN de chaque trame. Pour interconnecter deux commutateurs qui ont 3 VLAN communs, il faudrait 3 câbles et sacrifier 3 ports sur chaque commutateur. Pour éviter cela, il existe le lien trunk : un seul câble d'interconnexion sur lequel plusieurs VLAN passeront, mais les trames sont marquées (taggées) pour que les commutateurs sachent à quel Vlan elles appartiennent. Ceci est accompli en encapsulant chaque trame de façon à conserver son numéro de VLAN. L'IEEE a développé la norme 802.1Q. Cisco et d'autres constructeurs utilisent le terme «lien trunk» (trunk link) pour parler d'un lien marqué.

82 A. Djabelkhir-Bentellis Réseaux II 82 VLAN Trunk 802.1Q Configurer un port en mode trunk pour qu'il transporte entre les switchs les trames des différents VLAN Choisir l'interface à configurer et taper la commande: switchport mode trunk Affecter les différents ports au VLAN désiré Il est possible de ne faire transiter que certains VLANs à travers le port trunk avec la commande: switchport trunk allowed vlan remove vlanid-list

83 A. Djabelkhir-Bentellis Réseaux II 83 Les connexions distantes Il est possible de configurer le matériel via telnet Les accès distants aux matériels peuvent se faire via les 4 types de lignes disponibles sur le matériel Cisco Port console (CON ou CTY) Port auxiliaire (AUX) Port asynchrone (TTY) : généralement utilisé pour des connexions entrantes via modem, connexions PPP ou SLIP Port Virtuel Asynchrone (VTY) : connexions entrantes Telnet, X25 ou des protocoles de translation sur des ports synchrones (comme Ethernet ou les interfaces séries)

84 A. Djabelkhir-Bentellis Réseaux II 84 Accès telnet Le nombre de connexions Telnet est limité par le nombre de ports vty disponibles Pour connaître ce nombre, faire en Privileged mode : line vty 0? Pour activer 5 connexions entrantes via Telnet : linevty04 password mot_de_passe login Ceci permet à 5 vty d'accepter des telnet entrants La commande login active la vérification de l'accès par mot de passe Pour désactiver une connexion, faire no password et login sur la ligne voulue. Si aucun mot de passe n'est activé, aucune connexion ne peut être établie Attention : Si vous utilisez no login, vous désactivez la vérification par mot de passe! Pour se connecter au matériel via une interface (FastEthernet par exemple), il faut qu'elle soit configurée :-)

85 A. Djabelkhir-Bentellis Réseaux II 85 Pour aller plus loin Centraliser la gestion des VLAN Le VLAN Trunk Protocol permet de centraliser la configuration des VLAN sur un seul switch et de propager cette configuration sur tous les autres switchs Cluster de switch Connecter plusieurs switchs entre eux qui seront ensuite vu comme une seule entité Visualiser la table ARP : sh mac address-table Protection des ports Empêcher le switch de faire du forward de niveau 2 entre ses ports Cela oblige de faire transiter les trames via le niveau 3 (routeur)

86 A. Djabelkhir-Bentellis Réseaux II 86 Cisco IOS : Configuration de route statique ou par défaut En mode configuration : Exemple : Router(config)# ip route

87 A. Djabelkhir-Bentellis Réseaux II 87 CH4. LES PROTOCOLES DE ROUTAGE Routage CIDR Protocole de routage Interior IGP (RIP, OSPF) Protocole de routage Exterior EGP (BGP) Configuration des protocoles de routage Dépannage

88 A. Djabelkhir-Bentellis Réseaux II 88 Objectifs Fonctions de base des protocoles de routage : déterminer et mettre à jour les tables de routage répartition des charges pour éviter les congestions, Évaluation des critères pour déterminer le coût d'une liaison (nombre de nœuds, temps de traversée, taille des files d'attente etc.) Fonctions avancées, liées à la qualité de service : définir des classes de trafic, ordonnancement, instaurer la sécurité, contrôle de flux et contrôle de congestion, qualité de service: temps-réel, multimédia etc.

89 A. Djabelkhir-Bentellis Réseaux II 89 Internet : un routage hiérarchique

90 A. Djabelkhir-Bentellis Réseaux II 90 Internet Backbone : Dorsale Internet Une dorsale Internet (ou épine dorsale) est un réseau longue distance très haut débit qui constitue le cœur du réseau Internet. Le backbone est l ensemble des supports de transmission et de commutation à partir du commutateur d abonné ; il supporte la partie la plus importante du trafic avec une bande passante importante. Le débit atteint 800 Gb/s en employant des liaisons à fibre optique. En théorie, ces liaisons peuvent atteindre plusieurs Tb/s (terabits par seconde).

91 A. Djabelkhir-Bentellis Réseaux II 91 Hiérarchie dans l Internet Trois niveaux de hiérarchie dans les adresses IP adresse réseaux, adresse sous-réseaux, adresse de la machine. Les réseaux de backbone ne publient les routes qu aux réseaux, et pas aux sous-réseaux. ex *, * Malgré cela, il y a environ 118,000 adresses de réseaux dans les routeurs de backbones (2003) Les gateways (EG) communiquent avec le backbone pour trouver le meilleur noeud suivant pour chaque réseau dans l Internet.

92 A. Djabelkhir-Bentellis Réseaux II 92 Les approches de routage Vecteur de distance (Distance-Vector, DV) chaque routeur ne connaît initialement que le coût de ses propres liaisons, les routeurs échangent entre eux des informations de coûts, chaque routeur n'a qu'une vision partielle du réseau: coût vers chaque destination, fonctionne bien sur des systèmes de petite taille. Etat des liens (Link-State, LS) chaque routeur construit une vision complète de la topologie du réseau à partir d'informations distribuées, ne pas confondre connaître la topologie et connaître tous les noeuds terminaux, fonctionne sur des grands réseaux.

93 A. Djabelkhir-Bentellis Réseaux II 93 Approche vecteur de distance Chaque routeur ne connaît initialement que le coût de ses propres liaisons vers ses voisins direct. C est le vecteur initial Chaque routeur va échanger son vecteur initial avec tous ses voisins Après un certain nombre d itérations, chaque routeur va connaître le coût vers chaque destination Fonctionne bien sur des systèmes de petite taille

94 A. Djabelkhir-Bentellis Réseaux II 94 DV : exemple Synchronisation pas nécessaire dans les envois de messages.

95 A. Djabelkhir-Bentellis Réseaux II 95 Algorithme DV (Bellman-Ford) Condition de consistance: D(i,j) = c(i,k) + D(k,j) L algorithme DV évalue cette condition de manière récursive : À l itération m i, le critère de consistance est vérifié, en supposant que chaque nœud N voit les noeuds et les liens à (au moins) m- sauts de lui : une vision à m-sauts

96 A. Djabelkhir-Bentellis Réseaux II 96 Algorithme DV A reçoit de B: DV(B,*)=(7,0,1,,8) Pour tout voisin k, si c(i,k) + D(k,j) < D(i,j), alors: D(i,j) = c(i,k) + D(k,j) prochain-saut(j) = k Pour voisin B, si c(a,b)+d(b,c) < D(A,C), alors: D(A,C) = c(a,b) + D(B,C) prochain-saut(c) = B

97 A. Djabelkhir-Bentellis Réseaux II 97 Approche état des liens Chaque routeur construit une vision complète de la topologie du réseau à partir d'informations distribuées, Ne pas confondre connaître la topologie et connaître tous les noeuds terminaux, Fonctionne sur des grands réseaux. Approche itérative, et pivote autour des destinations j, et leur prédécesseurs k = p(j) Une autre vision du critère de consistance est utilisée : D(i,j) = D(i,k) + c(k,j)

98 A. Djabelkhir-Bentellis Réseaux II 98 Diffusion de la topologie Chaque noeud i collecte tous les états c(*,*) d abord puis exécute localement l algorithme de plus court chemin (Dijkstra). Un routeur décrit son voisinage avec un link state packet (LSP)

99 A. Djabelkhir-Bentellis Réseaux II 99 Diffusion de la topologie Utilise une diffusion contrôlée pour distribuer l information dans le réseau Garde le LSP dans une base de données de LSP Si nouvelle, transmet sur chaque interface, sauf l interface entrante Un réseau avec E sommets transmettra au plus 2E fois Après chaque itération, l algorithme découvre un nouveau noeud destination j et un plus court chemin vers ce noeud. Après m itérations, l algorithme a exploré les chemins à m sauts, ou moins, à partir du noeud i. Il a une vision du réseau à m-saut (tel le cas de l approche distance-vector)

100 A. Djabelkhir-Bentellis Réseaux II 100 Dijkstra L algorithme de Dijkstra au noeud i utilise deux ensembles : l ensemble V de tous les noeuds. l ensemble V T des noeuds pour lesquels les plus courts chemins ont été trouvés, et Pour tout noeud k, deux valeurs sont calculées : [k] = D(i,k): la valeur en cours de la distance entre i et k. p(k): le noeud prédécesseur de k dans le chemin le plus court (connu) à partir de i SPF-tree : arbre de parcours des plus courts chemins à partir d un noeud A (the shortest-paths spanning tree rooted at A)

101 A. Djabelkhir-Bentellis Réseaux II 101 Dijkstra

102 A. Djabelkhir-Bentellis Réseaux II 102 Algorithme de Dijkstra : exemple

103 A. Djabelkhir-Bentellis Réseaux II 103 Comment calculer la métrique coût? Le choix du coût du lien détermine la charge du traffic : Coût faible = probabilité élevée que le lien appartienne au SPT et va attirer du traffic Tradeoff: convergence vs load distribution Eviter les oscillations Meilleure utilisation du réseau Métriques statiques (weighted hop count) Ne prend pas en compte la charge du traffic. Métriques dynamiques Coût évalué à partir de la taille des files d attente, le délai, etc. Très oscillatoire, difficile à évaluer Métrique quasi-statique : Se baser sur l état de l ensemble du réseau pour attribuer des métriques statiques (nécessite d avoir une matrice des charges)

104 A. Djabelkhir-Bentellis Réseaux II 104 Organisation en systèmes autonomes L Internet est organisée en un ensemble de systèmes autonomes (Autonomous System) Chaque AS est un ensemble de réseaux et de routeurs sous une administration commune entreprise, campus, réseau régional toutes les parties d un AS doivent être connexes Les numéros d AS sur 16 bits Le routage entre AS est appelé routage externe (EGP) IGP?

105 A. Djabelkhir-Bentellis Réseaux II 105 Le vrai routage dans l Internet

106 A. Djabelkhir-Bentellis Réseaux II 106 Le routage dans l'internet Interior Routing (IGP : Interior Gatway Protocol) utilise RIP (Routing Information Protocol, DV), IGRP/EIGRP (cisco, DV), IS-IS (LS) et OSPF (Open Shortest Path First, LS). Ce dernier est le préféré car plus performant. protocole d'échange de données de routage périodiques entre routeurs adjacents. Exterior Routing utilise EGP (Exterior Gateway Protocol, DV), BGP (Border Gateway Protocol, DV). Ce dernier est celui préféré. connexion TCP entre les routeurs pour les échanges d'informations, routage politique (accessibilité)

107 A. Djabelkhir-Bentellis Réseaux II 107 Exemple de routage interne et externe

108 A. Djabelkhir-Bentellis Réseaux II 108 Systèmes autonomes et routage externe

109 A. Djabelkhir-Bentellis Réseaux II 109 Les protocoles de routage interne RIP (v1 et v2) Routing Information Protocol Nombre de saut comme métrique Nombre de saut maximum = 15 Mise à jour des tables de routage toutes les 30s IGRP Interior Gateway Routing Protocol (Cisco) Bande passante et délai comme métrique Mise à jour des tables de routage toutes les 30s OSPF Open Shortest Path First Notion de zones administratives Utilise SPF (Dijkstra) pour calculer le plus court chemin Le coût d un lien dépend de la capacité (10 8 /capacité) Paquet HELLO toutes les 10s ou 30s EIGRP Enhanced IGRP (Cisco) Utilise l équilibrage Utilise DUAL (Diffused Update Algorithm) pour calculer le plus court chemin

110 A. Djabelkhir-Bentellis Réseaux II 110 RIP: rappel Se base sur un algorithme à vecteur de distance. Ancien, il a été prévu initialement pour être mis en place sur des réseaux dont le diamètre est inférieur ou égal à 15, une distance de 16 représentant un distance infinie (c'est à dire une impossibilité d'atteindre la destination). Il reprend les principales caractéristiques décrites dans le routage à vecteur de distance : Chaque routeur possède une table de routage, dont les entrées indiquent la distance et le prochain saut pour atteindre un réseau. Cette table de routage est périodiquement (30s + t) envoyée à tous les voisins (broadcast/multicast). Lorsqu'un routeur reçoit le contenu de la table d'un voisin, il calcule les nouvelles distances estimées et met à jour sa propre table dans deux cas : Si le nouveau coût est inférieur à celui indiqué par la table locale, et que le prochain saut est différent ; Ou si le prochain saut est identique, même si le nouveau coût est supérieur à l'ancien.

111 A. Djabelkhir-Bentellis Réseaux II 111 RIP : rappel D'autres caractéristiques sont ajoutées pour résoudre les problèmes relatifs à l'algorithme utilisé : On considère qu'un routeur est tombé si on ne reçoit pas de nouvelles pendant plus de 180 secondes, et le coût pour l'atteindre est forcé à 16 (infini). Pour accélérer la convergence de l'algorithme, si un routeur modifie sa table de routage, il n'attend pas l'expiration de son temporisateur pour envoyer le contenu de sa table : il l'émet immédiatement à tous ses voisins. Point fort : simplicité

112 A. Djabelkhir-Bentellis Réseaux II 112 RIP : le message

113 A. Djabelkhir-Bentellis Réseaux II 113 RIP : le message Commande : requête/réponse ou diffusion/mise à jour. Version 1 pour RIPv1 et 2 pour RIPv2 Domaine de routage : permet de découper le réseau en sousréseaux logiques. Famille d adresse (Address familly identifier - AFI) AF_INET pour IPv4. Identifiant de route (Route tag - RIPv2) C est un traceur ou marqueur pour : identifier une route qui provient d un autre IGP voire d un autre EGP et qui est propagée par RIP. distinguer les routes apprises en interne par RIP de celles apprises par d autres protocoles (par exemple OSPF). Adresse IPv4 Il s agit de la destination à atteindre par le routeur qui émet cette annonce. Masque de sous-réseau (RIPv2) C est un des apports principaux de RIPv2 par rapport à RIPv1.

114 A. Djabelkhir-Bentellis Réseaux II 114 RIP : le message Adresse IPv4 du prochain routeur (Next hop - RIPv2) En fonctionnement normal l adresse signifie que la route passe par celui qui l annonce. Ici il s agit d une autre adresse IPv4, différente de celle de l annonceur. Celui-ci n utilise pas RIP (sinon il ferait l annonce lui-même), mais sans doute un autre protocole de routage. Ce cas de figure arrive à la frontière entre deux réseaux, quand par exemple un routeur interne annonce une meilleure route via un routeur du même LAN. Métrique distance de la route compris entre 1 et 15 (0 : hôte local ; 16 : infini non accessible)

115 A. Djabelkhir-Bentellis Réseaux II 115 RIP : la diffusion RIP est encapsulé dans un paquet UDP avec 520 comme port de destination. Le nombre maximum de routes est limité à 25 Il faut 20 octets pour décrire une route La partie utile du datagramme fait au plus = 504 octets et le datagramme complet 532 octets au maximum, le risque de fragmentation est nul sur des LANs et via les liaisons point à point (PPP). S il faut propager plus de 25 routes, il faut envisager l émission d autant de datagrammes que nécessaire!

116 A. Djabelkhir-Bentellis Réseaux II 116 RIP1 vs RIP2 Gestion des adresses de sous-réseaux (Routage CIDR) Indication d un prochain routeur qui n est pas celui qui annonce la route Indication de routes de provenances externes, ou Route tag Usage de l adresse multicast pour propager des routes (plutôt qu un limited broadcast IP , plus perturbateur parceque lu par tous les hôtes). et RIPng (next generation) : extension de RIP2 pour IPv6

117 A. Djabelkhir-Bentellis Réseaux II 117 RIP v1 : Comptage à l infini (boucle de routage) Table de routage de R1 : S1 et S2 : distance 0 S3 : distance 1 S4 : distance 2 Table de routage de R3 : S3 et S4 : distance 0 S1 : distance 2 S2 : distance 1 Après une coupure de S2 : R1 fait sa mise à jour donc n'envoie plus de route pour S1 vers R2 Or R3 connaît une route pour S1 donc R2 va la prendre en compte Pour R2 : distance vers S1 sera 3, puis 4, puis... Pour R3 : distance vers S1 sera 4, puis 5, puis...

118 A. Djabelkhir-Bentellis Réseaux II 118 RIP v2 3 algorithmes de plus : split horizon : les données ne sont pas renvoyées vers le nœud d'où on les a appris hold down : le routeur ignore les informations relatives à un réseau pendant une période fixe après réception d'un message qui en spécifie l'inaccessibilité. poison reverse : si on détecte une route coupée et qu'on reçoit un message avec un coût très supérieur au coût initial, on ignore l'information (considérée revenue par une boucle). Plus les améliorations suivantes : masque de sous-réseau : sous-réseaux possibles + agrégation des routes authentification (mot de passe en clair ou chiffré sur 16 octets)

119 A. Djabelkhir-Bentellis Réseaux II 119 RIP v2 : Split horizon (clivage d horizon) Une règle qui interdit à tout routeur d'annoncer un préfixe réseau via l'interface par laquelle il a appris l'existence de celui-ci ou par laquelle il passe pour accéder à ce réseau Pourquoi? Supposons que S2 ne soit plus disponible, R2 met à jour sa propre table et l'envoie à R3. En même temps, R3 envoie sa table àr2 R2 apprend qu'il existe une route pour S2 par R3 R3 apprend que S2 n'existe plus Avec le split horizon, dans ce cas, nous n'aurions pas le comptage à l'infini Mais le split horizon n'empêche pas toujours le comptage à l'infini comme dans l'exemple suivant (suppose que S2 est en panne, R3 fait une annonce...)

120 A. Djabelkhir-Bentellis Réseaux II 120 RIP v2 : Split horizon avec Poison-reverse Cisco utilise une variante du Split horizon : antidote Quand le réseau est stable, utilisation du split horizon classique Quand une route vers un réseau est annoncée avec une distance infinie, le destinataire de la mise à jour l'annonce aussi avec une métrique infinie sur toutes ces interfaces, y compris celles protégées par le Split-horizon

121 A. Djabelkhir-Bentellis Réseaux II 121 RIP v2 : Temporisateur de retenue Hold-down Le comptage à l'infini peut être résolu par cette fonction, appelée aussi mécanisme de gel. Lorsqu'un routeur prend connaissance de l'indisponibilité d'une route : il doit ignorer toute information concernant un chemin vers ce sous-réseaux pendant une durée égale au temporisateur Hold-down Ainsi, si une annonce arrive sur un routeur qui vient d'annoncer une défaillance pour un même sous-réseau Ce routeur va attendre avant de prendre en compte cette annonce L'annonce de distance infinie aura le temps de se propager Mais : durant toute la période de gel : boucle de routage maintenue routes incorrectes conservées (même si route de remplacement existe)

122 A. Djabelkhir-Bentellis Réseaux II 122 RIP v2 : Fonction Route-poisoning Dès qu'une ligne tombe en panne, un protocole de routage peut choisir de simplement arrêter de l'annoncer Mais comment distinguer une panne réelle d'une absence de mise à jour perdue à cause de bruit sur la ligne? La fonction Route-poisoning impose au routeur de faire une annonce pour la ligne en panne avec une métrique infinie sur les mêmes interfaces que celles par lesquelles elle a pu être annoncée.

123 A. Djabelkhir-Bentellis Réseaux II 123 RIP v2 : Mises à jour déclenchées Dès qu'un routeur remarque un changement d'état sur le sous-réseau directement connecté, il expédie immédiatement ses nouvelles informations. Cette technique couplée au routing-poisoning et au Poison-reverse accélère la convergence des algorithmes de routage

124 A. Djabelkhir-Bentellis Réseaux II 124 RIP : Équilibrage de charge RIP est capable de gérer jusque 6 routes d'un même coût (équivalentes) Quand un routeur reçoit une information via un algorithme de routage, il choisit toujours l'information avec la plus petite distance administrative. La distance administrative est la préférence dans une table de routage des routes apprises par un protocole de routage par rapport aux mêmes routes apprises par un autre protocole de routage. Plus la valeur est faible et plus le protocole est préféré. Chaque protocole dispose de sa valeur par défaut sur les routeurs Cisco

125 A. Djabelkhir-Bentellis Réseaux II 125 RIP : discussion Points forts Simplicité de mise en œuvre ; Simplicité du protocole permettant une compréhension aisée des échanges ; Robustesse des implémentations. Points faibles Métrique : saut, pas adapté à des réseaux dont les nœuds sont séparés par des liaisons utilisant des bandes passantes disparates Limitation à une profondeur de 15 ; Problème de la vitesse de convergence (lente) de l algorithme La topologie des réseaux RIP reste à un seul niveau (pas de hiérarchie par exemple entre l arête centrale d un réseau (backbone) et des réseaux terminaux.

126 A. Djabelkhir-Bentellis Réseaux II 126 RIP : configuration Pour activer le protocole de routage RIP sur un routeur, il suffit d'utiliser la commande router rip en mode de configuration global, puis de déclarer les réseaux connectés directement avec la commande network. Chaque commande network active RIP sur un ensemble d'interfaces envoie périodique de mises à jour écoute régulière par le routeur des mises à jour reçues par cette interface

127 A. Djabelkhir-Bentellis Réseaux II 127 RIP : ip classless network affecte les 2 interfaces concernées La commande network attend en paramètre un numéro de réseau et non pas un sous-réseau. Dans le cas où vous tapez un numéro de sous-réseau, il sera automatiquement transformé en numéro de réseau Attention : si le routeur fonctionne en no ip classless, c'està dire que le routage se fait suivant la classe, un paquet à destination de ne sera pas routé sur la route par défaut car aucun réseau /24 n'est connecté au routeur En ip classless, il sera par contre routé sur la route par défaut

128 A. Djabelkhir-Bentellis Réseaux II 128 RIP : Configuration des options RIPv2 utilise les techniques suivantes pour éviter les boucles et accélérer la convergence Split horizon Split horizon with poison reverse (ou Poison reverse) Holddown Mise à jour déclenchée Pour désactiver le split horizon : Router(config-if)# no ip split-horizon Par défaut la valeur du holddown est de 180 secondes. Dans certains cas, il peut être utile de diminuer cette valeur : en configuration router : timers basic update invalid holddown flush Faire un no timers basic pour retrouver les valeurs par défaut

129 A. Djabelkhir-Bentellis Réseaux II 129 RIP : Configuration des options Dans l'exemple, un holddown de 90 secondes est suffisant. Avec des mises à jour toutes les 30 secondes, si S2 disparaît, R2 va recevoir une nouvelle route pour S2 de la part de R3 (par exemple) mais si R2 attend 90 secondes avant de faire sa mise à jour, S2 aura disparu des tables de routage de R4 et de R3

130 A. Djabelkhir-Bentellis Réseaux II 130 RIP : Configuration des options Par défaut, les mises à jour sont faites toutes les 30 secondes Valeur modifiable par : Router(config-router)# update-timer seconds Par la commande network, on «active» pour le routage toutes les interfaces sur le réseau spécifié. Pour qu'une interface n'envoie plus de mises à jour : Router(config-router)# passive-interface interface Attention : elle continue à les recevoir

131 A. Djabelkhir-Bentellis Réseaux II 131 RIP : Configuration des options Comme RIPv1 envoie ses mises à jour par broadcast, il se peut que le routeur soit connecté à un routeur voisin qui n'accepte pas les broadcast de part le protocole d'interconnexion qu'il utilise. Dans ce cas, on peut spécifier directement l'adresse de ce voisin pour lui envoyer en unicast les mises à jour Router(config-router)# neighbor ip_address Par défaut, les routeurs Cisco reçoivent les paquets RIPv1 et v2 mais n'envoie que des paquets RIPv1. Pour spécifier quel est le protocole à utiliser sur les interfaces Router(config-router)# version {1 2} Router(config-if)#ip rip send version 1 OU ip rip send version 2 OU ip rip send version 1 2 Router(config-if)#ip rip receive version 1 OU...

132 A. Djabelkhir-Bentellis Réseaux II 132 Cisco IOS : Vérification des protocoles utilisés Pour visualiser les routes : Router# show ip route Pour visualiser le protocole de routage utilisé: Router# show ip protocols Pour visualiser le détail d'une interface : Router# show interface interface ou Router# show interface pour visualiser toutes les interfaces Pour visualiser une interface ip Router# show ip interface ou Router# show ip interface brief pour visualiser uniquement les informations importantes de toutes les interfaces Pour visualiser la base de données RIP du routeur Router# show ip rip database

133 A. Djabelkhir-Bentellis Réseaux II 133 OSPF : principe Routage à état des liens (Link-State) : permettre au routeur d'avoir une vision globale du réseau et de sa topologie une base de données sur chaque nœud représentant la topologie totale du réseau détection de boucle calcul de la route la plus courte par l'algorithme de Dijkstra configuration pour chaque interface métrique par type de coût (longueur de la file d'attente, débit, distance en saut, etc) Ne diffuser que les modifications détectées dans la topologie (accessibilité et coût) routage par type de service (champ TOS du datagramme) notion d'aire de routage : introduit des notions de domaine et de zone dans le but de limiter la charge de calcul de chaque routeur

134 A. Djabelkhir-Bentellis Réseaux II 134 OSPF : principe Le protocole Hello permet à chaque routeur d'échanger des informations concernant l'état de leurs liens, et de vérifier que les liaisons sont opérationnelles. Deux mécanismes pour détecter les changements d'état de lien : Les changements d'état d'interface : ces changements sont détectés localement par l OS du routeur. L'expiration du temporisateur pour un paquet Hello, indiquant qu'un voisin est inactif. La détection d'un changement de topologie est suivie par l'inondation, sur toutes les interfaces, d'un paquet indiquant cette information. Chaque routeur met à jour sa base de donnée et recalcule le plus court chemin pour chaque destination.

135 A. Djabelkhir-Bentellis Réseaux II 135 OSPF : Aire de routage Un réseau OSPF est divisé en plusieurs aires (Area) qui se connectent à une aire centrale de distribution appelée dorsale (backbone). Chaque aire est désignée par un identifiant de 32 bits mis sous la forme X.Y.Z.T. Cet identifiant ne correspond pas forcément à l'adresse réseau (même si par commodité, on le choisit souvent ainsi). Pas plus d'une cinquantaine de routeurs maximum par aire. Réduction du nombre de routeur par zone de diffusion

136 A. Djabelkhir-Bentellis Réseaux II 136 OSPF : Aire dorsale (area backbone) L'aire dorsale : a pour identifiant obligatoirement sert pour l'acheminement inter-aire est obligatoire si le réseau n'a pas été découpé en aire, il y en a qu'une seule et c'est la dorsale d'id

137 A. Djabelkhir-Bentellis Réseaux II 137 OSPF : routeurs On distingue 3 types de routeurs dans OSPF : routeur interne (Internal Router - IR) : qui annoncent les routes internes à leur aire routeur de la dorsale (Backbone Router - BR) : qui annoncent les routes internes à la dorsale. (En fait ce sont des IR de l'aire "dorsale") routeur frontière (Area Boundary Router - ABR) : qui assurent la connexion à la dorsale routeur frontière de systèmes autonomes (Autonomous System Boundary Router - ASBR) : pour assurer l échange avec d'autres systèmes autonomes

138 A. Djabelkhir-Bentellis Réseaux II 138 OSPF : routeurs

139 A. Djabelkhir-Bentellis Réseaux II 139 OSPF : relation de voisinage et relation d'adjacence Deux routeurs sont voisins s'ils appartiennent à une même zone et sont reliés par un même média (lien de diffusion «broadcast domain» ou à chaque extrémité d'un lien point-à-point). Deux routeurs sont adjacents si ils sont voisins et synchronisés, c'est-à-dire s'ils échangent des informations sur la topologie du réseau pour s'assurer du bon fonctionnement l'un de l'autre.

140 A. Djabelkhir-Bentellis Réseaux II 140 OSPF : Routeur Désigné (Designated Router - DR) Un seul routeur parmi les routeurs voisins est responsable. le DR (et le BDR) assure la diffusion des messages vers les routeurs de la zone évite d établir n 2 relations entre routeurs voisins et de dupliquer la même information Le DR (designated router) sert de point central d échange. Le BDR (backup designated router - DR de secours) surveille le DR et prend sa place s'il ne répond plus.

141 A. Djabelkhir-Bentellis Réseaux II 141 OSPF : Election des DR/BDR Un BDR est élu en premier puis, en l'absence d'un DR, le BDR quitte son statut pour devenir DR. Election à deux tours : 1 ier tour : priorité la plus élevée sur les interfaces du réseau partagé (de 0 : disqualification automatique à 255 : qualification automatique) priorité définie manuellement par interface ou par défaut (= 1) une interface d'un routeur déjà DR est inéligible 2 ème tour : cas de routeurs ex aequo. Le routeur de plus haut ID OSPF qui remporte l élection. ID OSPF : (32 bits) adresse IP la plus élevée parmi toutes les interfaces du routeur. Le vainqueur de l élection devient BDR. Les routeurs placent leurs interfaces dans un état en conséquence : DR, BDR ou DROTHER. Si un DR n'existe plus ou pas du tout, le BDR devient DR et une élection a lieu pour désigner le nouveau BDR.

142 A. Djabelkhir-Bentellis Réseaux II 142 OSPF : Rôle du DR Le DR maintient la base topologique du réseau Relation maître-esclave entre le DR et les routeurs de la zone. Les routeurs de la zone ne sont adjacents qu'avec le DR et le BDR. Par contre, ils ne sont pas adjacents entre eux mais peuvent être voisins. En cas de panne du DR, le routeur de secours (BDR) maintiendra également la base de donnée et prendra le relais du DR en devenant lui-même DR (et un autre BDR sera élu). A chaque fois qu'un routeur envoie une mise à jour, il l'envoie aux DR/BDR (via une adresse multicast) et c'est le DR qui rediffuse cette information à tous les routeurs. Les routeurs n'ont pas à se mettre constamment à jour entre eux et reçoivent l'ensemble des mises à jours d'une seule et même source. L'utilisation du multicast permet de réduire la charge réseau.

143 A. Djabelkhir-Bentellis Réseaux II 143 OSPF : Envoi par inondation (flooding) Envoi recursif : Le routeur envoie un LSU (link state update) contenant l'info du nouvel état de lien au DR et BDR ( ) Le DR fait passer le LSU aux autres routeurs ( ) Les autres routeurs acquittent avec un LSAck Si un routeur se trouve connecté aussi à un autre réseau, il envoi le LSU au DR/BDR de cet autre réseau ( ) (inondation recursive) La coordination par les DR permettent d éviter de renvoyer deux fois le même LSU et d éviter les boucles.

144 A. Djabelkhir-Bentellis Réseaux II 144 OSPF : Envoi par inondation (flooding) 1. Nouvel état de lien 2. LSU vers DR/BDR 3. LSU vers la zone 4. Acquittement

145 A. Djabelkhir-Bentellis Réseaux II 145 OSPF : Bases de données Trois bases de données sur chaque routeur : Base de donnes d'adjacence - Adjacencies database : Liste de tous les routeurs adjacents avec lesquels est établi une communication bidirectionnelle. Unique pour chaque routeur (Liste composée d'un DR et d'un BDR par interface). Base de données topologique - Link-state database (LSDB) : BD topologique contenant la liste des informations sur tous les routeurs du réseau. Elle montre la topologie du réseau (graphe). Maintenue identique sur chaque routeur OSPF par inondation périodique des mises a jours Echangé entre le DR et le BDR Table de routage - Forwarding database : Liste des routes générées par l'algorithme de djikstra sur la BD topologique. Unique pour chaque routeur Calculée par chaque routeur

146 A. Djabelkhir-Bentellis Réseaux II 146 OSPF : Types de lien Link-state advertisement (LSA) est le moyen de communication de base de OSPF. Plusieurs types de paquets LSA :

147 A. Djabelkhir-Bentellis Réseaux II 147 OSPF : Types de lien Router-LSA : chaque routeur d'une aire génère un router- LSA décrivant l état et le coût de chacun de ses liens (interfaces) vers l'aire. Network-LSA : chaque DR génère un Network-LSA pour chaque réseau de l'aire supportant plus de 2 routeurs. Ce LSA décrit tous les routeurs attachés à ce réseau, y compris le DR. Summary-LSA : Chaque routeur frontière (BR ou ASBR) génère des Summary-LSA décrivant les destination interaires. AS-external-LSA : Chaque routeur frontière de l'as (ASBR) génère un AS-external-LSA décrivant les destinations externes à l'as.

148 A. Djabelkhir-Bentellis Réseaux II 148 OSPF : Message Types de message : Hello (type 1) : établit et maintien les informations d'adjacence des routeurs voisins DBD Database Description Packet (type 2) : description du contenu de la LSDB d'un routeur LSR - Link State Request (type 3) : demande de certains états de liens à la LSDB d'un voisin LSU - Link State Update (type 4) : mise à jour d états de liens. Transporte les annonce d état de lien LSA (link-state advertisements) aux routeurs voisins LSAck - Link-State acknowledgement (type 5) : accusé de reception des LSA

149 A. Djabelkhir-Bentellis Réseaux II 149 Protocole Hello : rappel Quand un routeur commence un processus de routage OSPF sur une interface, il envoie un paquet Hello et continue à envoyer ces paquets à intervalles réguliers. La règle qui gouverne l'échange des paquets Hello OSPF est appelée le protocole Hello. Les paquets Hello sont adressés en multicast : «tous les routeurs OSPF». Les routeurs OSPF utilisent ces paquets Hello pour initier de nouvelles adjacences et pour s'assurer que les routeurs voisins sont fonctionnels. Par défaut, les paquets Hello sont envoyés toutes les 10 secondes. Bien que un paquet Hello soit petit (moins de 50 octets), il est en fait l'en-tête d un paquet OSPF qui prend la valeur de 1 dans le champ type.

150 A. Djabelkhir-Bentellis Réseaux II 150 OSPF : Message Hello OSPF établit et vérifie l'accessibilité des routeurs voisins en envoyant régulièrement des messages HELLO sur chaque lien. masque de sous-réseaux. période hello : nombre de secondes entre lesquels ce routeur envoie ses messages HELLO Options supportées par le routeur Priorité du routeur (pour l élection) temporisation de panne : nombre de secondes avant qu'un routeur silencieux ne soit considéré comme Down. Adresse du DR (0 si il n'y en a pas) adresse du BDR (0 si il n'y en a pas) ID routeurs voisins : adresses IP de chaque router dont on a reçu récemment les messages HELLO

151 A. Djabelkhir-Bentellis Réseaux II 151 OSPF : Message de description de base de données (type 2) DBD Les routeurs s échangent des messages OSPF de description de base de données pour initialiser leur base de données de topologie réseau. MTU int. : taille maximum des paquets IP que l'interface du routeur peut envoyer sans fragmentation. Options supportées par le routeur 5bitsàzéro Bit I (Init bit) : I=1 si premier packet de la séquence Bit M (More bit) : M=1 si d'autres paquets doivent suivre Bit MS (Master/slave bit) : MS=1 si le routeur est le maître durant le processus d échange de bases. DD Sequence Number : séquence utilisée pour numéroter les paquets pour pouvoir les reconstituer dans l'ordre (incrémentation). description des liens par des LSA (en-tête seulement)

152 A. Djabelkhir-Bentellis Réseaux II 152 OSPF : Message de demande d état de lien (type 3) LSR Demande aux voisins des informations de mise à jour pour les liens qui semblent obsolètes. Dans cette demande sont transmise les informations les plus récentes qu'il possède à propos de ces liens. LS Type : type de LSA recherche Link State ID : L'identifiant du LSA (généralement l'ip) L'ID du routeur (annonceur) qui a créé les LSA et dont l'update est recherchée.

153 A. Djabelkhir-Bentellis Réseaux II 153 OSPF : Message de mise à jour d état de lien (type 4) LSU Les routeurs diffusent l état des liens (LSA - link State Advertisement) en transmettant des messages de mise à jour d état de lien. description des liens par des LSA (en-tête et corps)

154 A. Djabelkhir-Bentellis Réseaux II 154 OSPF : Message accusé de réception d état de lien (type 5) LSAck Les en-tête LSA permettent d'accuser réception pour chaque LSA envoyé.

155 A. Djabelkhir-Bentellis Réseaux II 155 OSPF : les étapes 1. Etablir le voisinage des routeurs (Hello) 2. Election du DR et du BDR (si nécessaire) : champ de priorité (0-255) dans paquet HELLO (et ID si égalité). 3. Découvrir les routes : Echange de DBD : type d état de lien, les annonces d'adresses, le coût du lien, un nombre de séquence. Comparaisons des DBD reçus avec leur propres DBD. LSR+LSA dans LSU 4. Sélectionner les bonnes routes 5. Maintenir les informations de routage : Quand un changement survient, les routeurs utilisent le processus d'inondation (flooding) pour avertir leurs voisins sur le réseau. Si une ligne est down, le routeur envoie le nouvel état au DR ou BDR qui fera suivre aux autres routeurs (LSU+LSAck).

156 A. Djabelkhir-Bentellis Réseaux II 156 OSPF : les 7 états Down Connectivité non assurée Envoi de messages Hello annonçant son ID Init A reçu son premier Hello (mais ne contenant pas son ID) Two-way A reçu son premier Hello contenant son ID connectivité dans les deux sens Exstart Si nécessaire, élection du DR (et du BDR) à l'aide de paquets HELLO.

157 A. Djabelkhir-Bentellis Réseaux II 157 OSPF : les 7 états Exchange Echanges de DBD coordonnées par le DR. Les routeurs envoient des LSAck Comparaison des DBD reçus avec leur DBD locale, si nouvelle route, passage en état "Loading" en envoyant un LSR. Loading Le LSR a été envoyé. Attente du LSU (contenant le LSA). Acquittement avec un LSAck Full état terminal, routeurs en complète adjacence. Les routeurs connaissent tous leurs routeurs voisins et l état de toutes les liaisons du réseau. Création de la table de routage (algorithme SPF).

158 A. Djabelkhir-Bentellis Réseaux II 158 OSPF : Adresses multicast

159 A. Djabelkhir-Bentellis Réseaux II 159 OSPF : Protocole d'inondation (flooding) A chaque changement d état d'un lien, le routeur qui en a la charge émet un LSU (contenant le LSA) vers les DR/BDR ( ) Le DR attribue un numéro de séquence et émet le LSU vers tous les routeurs ( ). Chaque routeur recevant le LSA cherche l'entrée du LSA dans sa base par le numero de séquence. Si LSA non présent ou si annonce plus récente : met à jour la base retransmet le LSA sur toutes ses interfaces sauf celle par laquelle il a reçu l'annonce acquitte le message (OSPF type 5)

160 A. Djabelkhir-Bentellis Réseaux II 160 OSPF : Maintien des informations de routage Détection d'un changement sur un lien : Disparition d'un lien : silence de la ligne. Toutes les 10 secondes, par défaut, les routeurs envoient un HELLO. Si silence pendant 40 secondes, la ligne est considérée comme "down". (R)établissement d'un lien : un HELLO est reçu par le routeur sur ce lien. Un routeur détecte un changement : Un LSU est envoyé par flooding Les routeurs recevant le LSU mettent à jour leur base de données d état de lien (LSDB) Les routeurs recalculent leur table de routage par l'algorithme SPF. Si aucun changement d état n'intervient dans le réseau, les infos seront quand même mises à jour périodiquement. Chaque LSA reçu a une période d'existence (30 min par défaut chez Cisco)

161 A. Djabelkhir-Bentellis Réseaux II 161 OSPF : Coût Par défaut, coûts utilisés en fonction de la bande passante du lien : Suivant la formule : Bande passante de référence = 100 Mbps (donc 10 8, par défaut)

162 A. Djabelkhir-Bentellis Réseaux II 162 OSPF : Synthèse Routage à état de lien (Link-State) : permettre au routeur d'avoir une vision globale du réseau et de sa topologie OSPF gère les limitations de RIP : s'applique sur de très larges réseaux utilisant une architecture hièrarchique. Mises à jour sont non périodiques et déclenchées sur des changements de topologie, ce qui entraine un faible temps de convergence des tables de routage. Protocole à état de lien recommande pour remplacer RIP : plus fiable hierarchisé authentification équilibrage de charge

163 A. Djabelkhir-Bentellis Réseaux II 163 OSPF et QoS Certaines caractéristiques d'ospf lui permettent de prendre en compte la QoS : Il peut calculer une route différente pour chaque type de service. Il sait répartir le trafic sur des liaisons qui ont le même coût. Il permet de combiner plusieurs critères pour calculer une même route.

164 A. Djabelkhir-Bentellis Réseaux II 164 OSPF : Configuration Cisco En mode configuration : Exemple : Router(config)# router ospf 1 Router(config-router)# network area 0 Router(config-router)# network area 0 Router(config-router)# default-information originate

165 A. Djabelkhir-Bentellis Réseaux II 165 OSPF : exemple de configuration

166 A. Djabelkhir-Bentellis Réseaux II 166 OSPF : Activation du routage OSPF Router(config)#router ospf process-id Process-id entre 1 et Signification locale uniquement Permet d'avoir plusieurs processus OSPF

167 A. Djabelkhir-Bentellis Réseaux II 167 OSPF : Définition du réseau network adresse wildcard_mask area_id adresse : réseau devant être utilisé pour diffuser et écouter les messages OSPF area_id : zone dans laquelle le réseau figure

168 A. Djabelkhir-Bentellis Réseaux II 168 OSPF : Visualiser le Router ID 3 solutions : show ip protocols show ip ospf show ip ospf interface

169 A. Djabelkhir-Bentellis Réseaux II 169 OSPF : Configurer le loopback Le Router ID (RID) est déterminé soit Par l'adresse de loopback, Par l'adresse IP d'une interface Avantage d'uitliser une adresse de loopback Une interface de Loopback ne peut pas devenir défaillante Apporte une plus grande stabilité à OSPF Pour faire prendre en compte une modification de RID Router#clear ip ospf process

170 A. Djabelkhir-Bentellis Réseaux II 170 OSPF : Vérifier les configurations Visualiser les Neighbor adjacency table : Router#show ip ospf neighbor L'absence de voisin est indiquée par : Une absence de Neighbor ID Un état FULL non affiché Conséquence d'une absence de voisin : Aucune information link state ne sera échangée L'arbre SPF et les tables de routages ne seront pas justes

171 A. Djabelkhir-Bentellis Réseaux II 171 OSPF : La table de routage La commande show ip route permet de visualiser les routes apprises par le routeur. La lettre O en début de ligne indique que la route a été apprise par OSPF. Remarque : OSPF ne fait pas automatiquement l'aggrégation de routes

172 A. Djabelkhir-Bentellis Réseaux II 172 OSPF : Calcul du coût Le coût total d'une route est la somme des coûts de chaque lien.

173 A. Djabelkhir-Bentellis Réseaux II 173 OSPF : Visualiser le coût d'un lien La commande show interface permet de visualiser la bande passante définie sur une interface

174 A. Djabelkhir-Bentellis Réseaux II 174 OSPF : Modifier le coût Les 2 interfaces extrémités d'une liaison série doivent être configuré avec la même bande passante Router(config-if)#bandwidth bandwidth-kbps La commande ip ospf cost permet de définir directement le cout d'une interface

175 A. Djabelkhir-Bentellis Réseaux II 175 EIGRP : Historique - d'igrp à EIGRP IGRP : Développé en 1985 pour palier aux limites de RIPv1 Utilise une combinaison des métriques suivantes : bande passante (par défaut) le délai (par défaut) la fiabilité la charge N'est plus supporté à partir des versions IOS 12.2 EIGRP : Les algorithmes à vecteur distance utilisent généralement des variantes de Bellman-Ford ou Ford-Fulkerson EIGRP utilise un algorithme de diffusion appelé DUAL (Diffusing Update Algorithm)

176 A. Djabelkhir-Bentellis Réseaux II 176 EIGRP : le concept Protocole hybride : Un protocole de routage dynamique est dit être hybride quand celui-ci possède à la fois des fonctionnalités d'algorithmes de routage à vecteur distance et d'algorithmes de routage à états de liens Propriétaire : Cisco EIGRP envoie d'abord toutes ses informations de routage à un voisin et ensuite seulement des mises à jour.

177 A. Djabelkhir-Bentellis Réseaux II 177 EGP (External Gateway Protocol) Routage inter-domaine Problèmes techniques : Topologie : Internet est un réseau maillé entre AS complexes. Autonomie des AS : les métriques sont différentes suivant les protocoles internes aux AS.

178 A. Djabelkhir-Bentellis Réseaux II 178 EGP : Problèmes politiques s'utilise entre entités distinctes (souvent concurrentes). Impossibilité de prendre une décision qui s'imposera à tous. On n'est pas prévenu de ce que vont faire les autres. Idée de menace : le but n'est pas de trouver la meilleure route mais au contraire d'empêcher les routeurs de choisir une route dont on ne voudrait pas.

179 A. Djabelkhir-Bentellis Réseaux II 179 BGP (Border Gateway Protocol) Protocole standard de l'internet pour les interconnexions entre opérateurs. Ne tient pas compte de la structure interne des AS BGP 4 : RFC 1771, mars 1995 Sélection des routes basée sur : le préfixe le plus spécifique (cf. "best prefix match") le meilleur chemin : le plus court en nombre d"autonomous System" (AS)! Support essentiel au CIDR : "Classless InterDomain Routing" (CIDR)

180 A. Djabelkhir-Bentellis Réseaux II 180 BGP : Principe Protocole point à point entre routeurs de bords de l'as : Etablissement de session BGP (TCP port 179) : fiabilité des transmissions Un routeur peut participer à plusieurs sessions BGP Routage par vecteur de chemin, path vector (et pas par vecteur de distance, ni par état des liens) Un noeud n'a pas à accepter une route apprise par ses voisins (il a le choix d'accepter ou de refuser). Un noeud BGP annonce une partie de sa table de routage Ce qui est partagé et accepté dépend de la politique de routage

181 A. Djabelkhir-Bentellis Réseaux II 181 BGP : principe Protocole à vecteur de chemin : trouver des chemins sans cycle entre les AS. Problèmes : pas de routage par défaut!!! Plus de AS sur l'internet (2006), soit de très grosses tables dans les routeurs BGP Besoin de flexibilité : les AS sont tous interconnectés Cela permet d'envoyer un paquet à partir de partout à n'importe qui En général un paquet traverse quelques AS avant de parvenir à son destinataire

182 A. Djabelkhir-Bentellis Réseaux II 182 BGP : CIDR et longuest prefix match CIDR : utilisation de préfixes de longueur variable. Pour l'instant les tables BGP de l'internet comportent un peu plus de routes. CIDR utilisé pour réduire les tables de routage (supernetting). Possibilité de recouvrement des préfixes Il est choisi le préfixe de longueur maximale pour router. Exemple : Un routeur entend : R1 annonce /16 et R2 annonce /24 Pour router : R2 est choisit R1 est choisit

183 A. Djabelkhir-Bentellis Réseaux II 183 BGP 4 BGP est utilisé pour transporter des informations de routage entre AS : numéro d'as liste des réseaux de chaque AS distance vers les sous-réseau de l'as IP du routeur d'entrée vers les sous-réseaux. Messages échangés : Message d'ouverture (numéro d'as) entre deux routeurs Message de mise à jour : signale chaque changement d état et les routes inaccessibles. Message de notification : motif de la fermeture Message Hello keepalive : pour signaler que le routeur est toujours vivant.

184 A. Djabelkhir-Bentellis Réseaux II 184 BGP : Domaine de transit et domaine souche Type de traffic : local source ou destination au sein de l'as Traffic de transit passant à travers un AS. Type d'as : AS souche (stub AS) : connecté à un seul AS. Transporte du traffic local uniquement. AS multi-domicilié : AS connecté à plusieurs autres AS. Ne transporte pas de traffic de transit. AS transit : AS connecté à plusieurs AS et transportant du traffic de transit.

185 A. Djabelkhir-Bentellis Réseaux II 185 BGP : Domaine de transit et domaine souche

186 A. Djabelkhir-Bentellis Réseaux II 186 BGP : AS Chaque AS a : un ou plusieurs border router gérant le traffic inter AS un BGP speaker (pour les AS participant au routage) un speaker BGP établit des sessions avec ses pairs et annonce : les réseaux locaux les autres réseaux accessibles (pour les AS de transit) donne des informations sur les chemins (poids) les routes supprimées

187 A. Djabelkhir-Bentellis Réseaux II 187 BGP : Peering (appairage) Définition : L'appairage est la pratique d'échanger du trafic Internet avec des pairs. 2 types de peering : Client-fournisseur (customer-provider peering) : Relation asymétrique dans laquelle un client (un domaine de routage) achète une connectivité a l'internet auprès d'un fournisseur d'accès (un autre domaine de routage). Pair-à-pair (shared-cost peering) : Relation symétrique où deux domaines de routage (souvent de même importance) acceptent d échanger gratuitement leurs paquets à travers un point d'interconnexion.

188 A. Djabelkhir-Bentellis Réseaux II 188 BGP : Peering (appairage)

189 A. Djabelkhir-Bentellis Réseaux II 189 BGP : customer-provider peering Le client envoie ses routes internes et les routes apprises de ses propres clients au fournisseur Le fournisseur annoncera ces routes sur tout l'internet Le fournisseur annonce à son client toutes les routes qu'il connait Le client est capable d'atteindre n'importe qui sur l'internet

190 A. Djabelkhir-Bentellis Réseaux II 190 BGP : shared-cost peering Chaque "peer" envoie à l'autre ses propres routes et celles de ses clients Le point d'interconnexion sera utilisé par l'un des pair BGP pour atteindre les destinations de l'autre pair (ou de ses clients) ) échange de trafic local

191 A. Djabelkhir-Bentellis Réseaux II 191 BGP : Interconnexion d'as Les routeurs des AS sont connectés : par liaison point-à-point Seul matériel commun : la liaison. Cher si beaucoup d'as voisins géographiquement

192 A. Djabelkhir-Bentellis Réseaux II 192 BGP : Interconnexion d'as Les routeurs des AS sont connectés : par liaison point-à-point Seul matériel commun : la liaison. Cher si beaucoup d'as voisins géographiquement par point d échange GIX (Global Internet exchange) également appelé IXP (Internet Exchange Point)

193 A. Djabelkhir-Bentellis Réseaux II 193 BGP : le protocole 1. Open (1) : Chaque routeur BGP échange avec ses voisins des messages pour ouvrir et négocier les paramètres de la session BGP. Initialement, les routeurs BGP échangent la totalité des information de routage. 2. Update (2) : seules les modifications sont transmises. Un numéro est associé à chaque version des informations collectées par un routeur. Tous les voisins BGP doivent avoir le même numéro. Ce numéro est modifié à chaque mise à jour. 3. Keepalive (4) : transmis périodiquement pour vérifier le bon fonctionnement de la session BGP. 4. Notification (3) : messages spéciaux utilisés pour informer les voisins BGP des erreurs et des cas spéciaux.

194 A. Djabelkhir-Bentellis Réseaux II 194 BGP : les informations échangées Tableau d'accessibilité de préfixes IP (destinations). Pour chacun des préfixes : AS path : chemin d'as sans boucle suivi pour atteindre la destination. Next hop : Le prochain saut pour atteindre le réseau Poids (Weight) Préférences locales : pour influencer le processus de sélection du meilleur chemin. Interprétation locale à l'as. Multi-exit discriminator : pour informer une préference relatives entre différents points d'entrées. Communauté (Community) : regroupement de destinations identifiée par un numéro. Origine... Ces informations permettent de construire une forme de graphe d'as (sans boucle) sur lequel une politique de routage peut être appliquée pour contraindre certains chemins.

195 A. Djabelkhir-Bentellis Réseaux II 195 BGP : paires dorsales

196 A. Djabelkhir-Bentellis Réseaux II 196 BGP : En pratique Chaque grand FAI est un AS Entre 2 AS, accord d échange de trafic entre 2 FAI : via GIX (Internet Exchange Point) ou ligne privée louée Communication avec ses pairs par BGP Validation des annonces : serveurs de routes IRR (Internet Routing Registry) infos relatives aux blocs détenus par chaque FAI BGP est le cœur de l'internet : problème de validation des données des serveurs de routes. problème de routage temporaire, trous noirs de l'internet beaucoup de mise à jour BGP chaque jour! trop trop trop grosses table de routage à maintenir (et ca augmente!)

197 A. Djabelkhir-Bentellis Réseaux II 197 ICANN : Internet Corporation for Assigned Names and Numbers Organisation dont le rôle est la gestion des ressources partagées de numérotation requises soit par les protocoles de communication sur Internet, soit pour l'interconnexion de réseaux à Internet : Noms de domaine : gère la zone racine du DNS ainsi que les délégations dans les zones. Numéros d'as : affecte des blocs de AS aux registres Internet régionaux (RIR) Adresses IP : Pour IPv4, assigne des blocs de taille /8 aux RIR Pour IPv6, assigne des blocs de taille /12 à 13 aux RIR Numérosdeprotocolesetdeport: publie la liste des Well- Known-Ports. Rôle anciennement joué par l'internet Assigned Numbers Authority

198 A. Djabelkhir-Bentellis Réseaux II 198 Organisation et politique : RIR, LIR L'ICANN réparti les ressources d'adressage et de routage de l'internet - constituées par les adresses IP et les numéros AS - auprès de RIR Les RIR (Regional Address Registry) repartissent ces ressources auprès des LIR ARIN pour les zones Amérique du Nord AfriNIC pour l'afrique APNIC pour les zones Asie-Pacique LACNIC pour les zones Amériques du Sud - Caraïbes RIPE NCC pour la zone Europe étendue. Les LIR (Local Internet Registries) sont des opérateurs ou des fournisseurs d'accès qui attribuent les adresses aux utilisateurs finaux. Les numéros d'as sont des entiers stockés sur 32 bits (depuis 2007)

199 A. Djabelkhir-Bentellis Réseaux II 199 BGP : Cisco IOS configuration ISP(config)#router bgp AS_ID ISP(config-router)#neighbor gatway remote-as remoteas_id ISP(config-router)#network NetIP

200 A. Djabelkhir-Bentellis Réseaux II 200 CH5. INTRODUCTION AUX PROTOCOLES MULTICAST IGMP DVRMP PIM

201 A. Djabelkhir-Bentellis Réseaux II 201 Les protocoles multicast IGMP / CGMP PIM SM / DM / SDM DVMRP / MOSPF mbgp / MASK MSDP Auto-RP / BSR UDLR

202 A. Djabelkhir-Bentellis Réseaux II 202 Définitions et rappels Multicast = Multipoint Applications "habituelles" entre une source et une destination applications Unicast (point à point) "Nouveau" type d'applications entre une source et plusieurs destinations : applications Multicast Les participants à une application multicast constituent un groupe multicast Le groupe multicast n'est pas limité au réseau local => routage vers les adresses de groupe : routage multicast

203 A. Djabelkhir-Bentellis Réseaux II 203 Rappels : adressage Le groupe multicast a une adresse multicast de classe D > Réservation de plages d'adresses spécifiques : * : utilisation locale sur le LAN : tous les hosts multicasts du LAN : tous les routeurs multicasts du LAN : tous les routeurs DVMRP du LAN : tous les routeurs RIPv2 239.*.*.* : "administratively scoped addresses" adresses à portée locale Toutes les autres adresses de à ont une portée non limitée attribuées de façon permanente à différentes applications réservées pour une allocation dynamique via SDR (Session Directory Tool) ou autres méthodes

204 A. Djabelkhir-Bentellis Réseaux II 204 Exemple : téléséminaire

205 A. Djabelkhir-Bentellis Réseaux II 205 Exemple : téléséminaire

206 A. Djabelkhir-Bentellis Réseaux II 206 Types d'applications Multicast Diffusion de 1 vers plusieurs Téléséminaire : pas d'interaction des destinataires Diffusion des tables de routage RIPv2 Diffusion de plusieurs vers plusieurs Téléconférence : chaque membre du groupe peut être source du flux multicast

207 A. Djabelkhir-Bentellis Réseaux II 207 Multicast : généralités Unicast : vers un seul destinataire Broadcast : vers tous les équipements du LAN Multicast : vers tous ceux qui appartiennent au même groupe multicast qui se sont "abonnés" à ce groupe

208 A. Djabelkhir-Bentellis Réseaux II 208 Multicast : généralités meilleure utilisation de la bande passante les mêmes données ne circulent qu une seule fois sur le même lien les sources et les destinataires (membres) sont distincts les hôtes disent aux routeurs de quels groupes ils sont membres mais pas aux destinataires auxquels ils envoient les routeurs doivent écouter toutes les adresses multicast les routeurs utilisent des protocoles pour gérer les groupes multicast

209 A. Djabelkhir-Bentellis Réseaux II 209 le MBone MBone = Multicast backbone Virtual Internet backbone for Multicast IP Réseau virtuel d'équipements multicast sur Internet reliés par des "tunnels" au-dessus de la topologie unicast (overlay network) Ensemble d'outils : pour annoncer la diffusion de programmes multimédia (sdr : session directory tool) pour permettre aux utilisateurs de rejoindre les groupes multicast (sdr) pour suivre ou diffuser ces programmes : Audio : vat (visual audio tool), rat (robust audio tool) Vidéo : vic (videoconference)

210 A. Djabelkhir-Bentellis Réseaux II 210 Envoi de paquets Une adresse multicast ne peut être que destinataire C est l adresse d un groupe de machines abonnées à une session multicast Les sources (émetteurs) sont «vues» par leur adresse unicast Le niveau Liaison de données n'utilise pas ARP : mécanisme de correspondance (pour IEEE-802) multicast multicast Etre membre d'un groupe est indépendant d'envoyer à ce groupe une source n est pas obligatoirement membre du groupe auquel elles envoie un flux multicast

211 A. Djabelkhir-Bentellis Réseaux II 211 Multicast : correspondance adresses IEEE et adresses IP

212 A. Djabelkhir-Bentellis Réseaux II 212 Multicast : correspondance adresses IEEE et adresses IP

213 A. Djabelkhir-Bentellis Réseaux II 213 Multicast : correspondance adresses IEEE et adresses IP

214 A. Djabelkhir-Bentellis Réseaux II 214 Réception de paquets Par défaut, le coupleur Ethernet d'une station écoute son adresse Ethernet (fixée en PROM) et l'adresse de broadcast (FF...FF) Les autres adresses Ethernet doivent être explicitement programmées dans le driver du coupleur Pour le multicast, il faut écouter au minimum : équivalent Ethernet de (tous les hôtes multicast du LAN) équivalent Ethernet du répertoire des sessions Mbone annonçant la liste des groupes multicast actifs ( )

215 A. Djabelkhir-Bentellis Réseaux II 215 Les équipements multicast Postes de travail stations, PC, portables + carte réseau supportant le multicast : avoir un système intégrant les fonctionnalités multicast configurer une route pour les adresses de groupes : / Le(s) routeur(s) + cartes réseau supportant le multicast (ainsi que le niveau 2!) avoir un IOS qui intègre IGMP + le routage multicast

216 A. Djabelkhir-Bentellis Réseaux II 216 En Résumé Multicast = meilleure utilisation de la bande passante les mêmes données ne circulent qu une seule fois sur le même lien Les émetteurs (sources) et les receveurs (membres) sont distincts Les hôtes disent aux routeurs de quels groupes ils sont membres et ne reçoivent que les datagrammes de ces groupes ils ne disent rien sur les groupes multicast auxquels ils envoient des informations Les routeurs doivent écouter toutes les adresses multicast pour être capables de transmettre les datagrammes multicast Les routeurs utilisent des protocoles de routage multicast pour administrer les groupes multicast

217 A. Djabelkhir-Bentellis Réseaux II 217 Diffusion de Groupes sur le LAN Internet Group Management Protocol (IGMP) Protocole d'interaction entre le(s) routeur(s) multicast du LAN et les hôtes multicast du LAN Permet à un hôte de s'abonner (désabonner) à un groupe dire au routeur : envoyez-moi une copie des paquets reçus pour le groupe multicast d adresse d.d.d.d Actuellement : version 3

218 A. Djabelkhir-Bentellis Réseaux II 218 IGMP: un seul routeur sur le LAN Le routeur envoie toutes les 60 (120) secondes Une sollicitation aveugle à (query) avec un TTL=1 à quel(s) groupe(s) voulez vous vous abonner? et attend les réponses Le(s) hôte(s) renvoie(nt) un IGMP report qui indique l adresse du ou des groupes qui l (es) intéressent Si le routeur ne reçoit aucune réponse pour un groupe donné le groupe est réputé sans abonné local il arrête la réémission des paquets multicast de ce groupe

219 A. Djabelkhir-Bentellis Réseaux II 219 IGMP: un seul routeur Quand l hôte reçoit l invitation query Il fixe un délai aléatoire avant de répondre pour éviter que toutes les réponses arrivent au même moment Quand un hôte a répondu, les autres n ont plus besoin de répondre => une réponse par groupe multicast et par LAN Le routeur arme une temporisation sur les abonnements aux groupes multicast avant de solliciter à nouveau tous les hôtes sollicitation périodique

220 A. Djabelkhir-Bentellis Réseaux II 220 IGMP : s abonner à un groupe

221 A. Djabelkhir-Bentellis Réseaux II 221 IGMPv2 : quitter un groupe

222 A. Djabelkhir-Bentellis Réseaux II 222 IGMP : plusieurs routeurs sur le LAN Un routeur est élu entre tous les routeurs c est le Designated Router (DR) il est seul à émettre les IGMP Queries en v2, le DR est le routeur dont est la plus petite Le DR n est pas forcément le routeur qui transmet les paquets multicast

223 A. Djabelkhir-Bentellis Réseaux II 223 Commutation des trames multicast Problème: Inondation des trames multicast Certains commutateurs traitent le trafic multicast comme inconnu ou comme broadcast et envoient la trame sur tous les ports Des entrées statiques peuvent parfois être configurées pour pérciser quels ports doivent commuter quel(s) groupe(s) multicast Besoin de configuration automatique IGMP Snooping CGMP

224 A. Djabelkhir-Bentellis Réseaux II 224 CGMP : Cisco Group Multicast Protocol Pour les commutateurs et les routeurs : Le routeur envoie les commandes CGMP aux commutateurs à une adresse MAC conventionnelle : cdd.dddd Le paquet CGMP contient : Type : Join or Leave MAC address du client IGMP adresse Multicast du groupe Le commutateur utilise l information du paquet CGMP pour ajouter ou supprimer une entrée pour une MAC adresse multicast particulière

225 A. Djabelkhir-Bentellis Réseaux II 225 Diffusion de Groupes au-delà du LAN IGMP permet la distribution des datagrammes multicast sur le LAN Protocole de routage pour acheminer ces paquets hors du LAN Protocoles de routage multicast, distincts des protocoles de routage unicast : Tous les routeurs ne savent pas traiter les datagrammes multicast La topologie multicast est -souvent- distincte de la topologie Unicast (basée sur les tunnels inter-routeurs multicast) Ils construisent des arbres de diffusion du trafic multicast où l émetteur est la racine de l arbre de diffusion l arbre minimal de diffusion : toutes les branches sont utiles (ie. ont au moins un abonné) est en constante évolution : ajout (suppression) d une feuille/branche

226 A. Djabelkhir-Bentellis Réseaux II 226 Les Protocoles de routage Multicast On distingue deux types de protocoles en fonction du mode de transmission des paquets multicast utilisé : Mode dense (inondation) DVMRP (distance vector multicast routing protocole, PIM DM (protocole independent multicast dense mode) et MOSPF (multicast OSPF) suppose que les abonnés aux groupes multicast sont nombreux Mode épars PIM SM (PIM sparse mode) et CBT faible population abonnée

227 A. Djabelkhir-Bentellis Réseaux II 227 DVMRP : Distance Vector Multicast Routing Protocol Version 3 Implanté dans certains routeurs pas Cisco Agit en mode dense : flooding + pruning On inonde (flooding ) tout l'arbre multicast Ceux qui ne sont pas intéressés le disent Ils sont élagués de l arbre (pruning ) Pour éviter les boucles => algorithme RPF Reverse Path Forwarding

228 A. Djabelkhir-Bentellis Réseaux II 228 RPF : Reverse Path Forwarding Un routeur transmet un paquet multicast si le datagramme est reçu sur l interface utilisée pour envoyer un paquet unicast vers la source (reverse path) Test RPF : Oui : paquet retransmis, on inonde Non : paquet mis à la poubelle Un paquet est retransmis vers toutes les interfaces non élaguées du routeur - SAUF l interface RPF

229 A. Djabelkhir-Bentellis Réseaux II 229 RPF : Reverse Path Forwarding

230 A. Djabelkhir-Bentellis Réseaux II 230 DVMRP : Routage VariantedeRIP Utilise son propre routage unicast pour déterminer son critère RPF et sa décision de transmettre un datagramme multicast Le routage Unicast est nécesaire pour localiser les sources multicast Les paramètres du protocole : le nombre de sauts (hops), des métriques et les seuils (Threshold ) Le seuil indique si un datagramme multicast peut être réémis.

231 A. Djabelkhir-Bentellis Réseaux II 231 DVMRP : Routage Echange de tables de routage entre routeurs DVMRP Destination / Masque / Métrique Les destinations sont des sources (émetteurs des datagrammes multicast) La métrique (distance) est le nombre de routeurs multicast à franchir pour atteindre la source L optique est de toujours construire un arbre minimal à partir de la source Le même protocole de routage est utilisé dans tout l arbre de diffusion (tous les routeurs ont la même vue de la topologie multicast)

232 A. Djabelkhir-Bentellis Réseaux II 232 DVMRP : Echange des tables de routage (théorie)

233 A. Djabelkhir-Bentellis Réseaux II 233 DVMRP : Poison Reverse Le routeur B va décider : que le routeur A voisin est en amont vers la source S il envoie à A une information de routage vers S dont la métrique est dite empoisonnée (infini) Conséquence : B attend le flux multicast de A pour la source S A ne doit pas compter sur B pour ce même flux

234 A. Djabelkhir-Bentellis Réseaux II 234 DVMRP : Poison Reverse

235 A. Djabelkhir-Bentellis Réseaux II 235 DVMRP: échange des routes Les échanges d'informations de routage utilise les messages IGMP : Envoi à (tous les routeurs DVMRP) d un route report toutes les 60 secondes d un probe message toutes les 10 secondes pour découvrir les voisins dvmrp Utilisation de sous-types : Response : envoie les routes vers les destinations (Sources) Request : demande les routes vers les destinations Prune : rapport d aucun membre Graft : greffe d une nouvelle branche sur l arbre multicast

236 A. Djabelkhir-Bentellis Réseaux II 236 PIM : Protocol Independent Multicast Indépendant du protocole de routage unicast DVMRP prend les décisions de RPF a son propre protocole de routage PIM repose sur le protocole de routage unicast sousjacent pour les décisions RPF et les poison reverse routes PIM peut fonctionner selon deux modes : dense mode (DM) sparse mode (SM) PIM utilise l arbre basé sur la source si l état (S,G) existe sinon il utilise l arbre partagé état (*,G) PIMv1 et PIMv2

237 A. Djabelkhir-Bentellis Réseaux II 237 PIM : Dense Mode Ressemble à DVMRP sauf pour le routage Mécanismes de flooding et pruning et de greffe Pruning vers les voisins non RPF Arbres construits par rapport aux sources émettrices en utilisant l algorithme RPF Utilisation de déclaration (assert) pour élire un transmetteur sur un LAN à plusieurs routeurs Faible overhead pour les groupes denses

238 A. Djabelkhir-Bentellis Réseaux II 238 PIM : élagage et greffe sur l arbre de diffusion Elagage : Le routeur multicast n a plus de récepteurs locaux ni de routeurs multicast en aval Il envoie un prune packet à la (les) source émettrice pour ce groupe multicast via les interfaces RPF Il arme un timeout Greffe : A la réception d une nouvelle demande d un récepteur local ou d un routeur en aval pour un nouveau groupe (ou un groupe précédemment élagué), il envoie un graft packet vers le routeur RPF pour éviter d attendre l expiration du timeout d élagage

239 A. Djabelkhir-Bentellis Réseaux II 239 PIM, Dense-Mode : exemple

240 A. Djabelkhir-Bentellis Réseaux II 240 PIM, Dense-Mode : exemple

241 A. Djabelkhir-Bentellis Réseaux II 241 PIM, Dense-Mode : exemple

242 A. Djabelkhir-Bentellis Réseaux II 242 PIM, Dense-Mode : exemple

243 A. Djabelkhir-Bentellis Réseaux II 243 PIM, Dense-Mode : exemple

244 A. Djabelkhir-Bentellis Réseaux II 244 PIM : Sparse mode Mode d abonnement explicite (Join) : La source s enregistre auprès d'un Point de Rendez-vous (RP) Le RP est la racine de l'arbre de diffusion multicast partagé (RPT, root path tree) Le RP est configuré statiquement ou connu dynamiquement par Auto-RP ou «candidate rp» (PIMv2) Pour s'abonner le destinataire envoit un Join au RP Il peut y avoir plusieurs RP 1 groupe n est enregistré auprès que d un seul RP Pas d'inondation

245 A. Djabelkhir-Bentellis Réseaux II 245 PIM : Sparse mode Le flux multicast parcourt l arbre partagé (RPT) ou/puis l arbre centré sur la source (SPT, shortest path tree) Les routeurs feuilles peuvent se joindre à l arbre Les paquets multicast ne vont que là où c'est utile On utilise le RP pour tester les interfaces RPF de l arbre partagé (RPT) état (*,G) On utilise la Source pour tester les interfaces RPF de l arbre basé sur la Source (SPT) état (S,G) Les états (S,G) sont préférés aux états (*,G)

246 A. Djabelkhir-Bentellis Réseaux II 246 PIM, Sparse-Mode : exemple

247 A. Djabelkhir-Bentellis Réseaux II 247 PIM, Sparse-Mode : exemple

248 A. Djabelkhir-Bentellis Réseaux II 248 PIM, Sparse-Mode : exemple OIL : output interface list

249 A. Djabelkhir-Bentellis Réseaux II 249 PIM, Sparse-Mode : exemple

250 A. Djabelkhir-Bentellis Réseaux II 250 PIM, Sparse-Mode : exemple

251 A. Djabelkhir-Bentellis Réseaux II 251 PIM, Sparse-Mode : exemple

252 A. Djabelkhir-Bentellis Réseaux II 252 PIM, Sparse-Mode : exemple

253 A. Djabelkhir-Bentellis Réseaux II 253 PIM, Sparse-Mode : exemple

254 A. Djabelkhir-Bentellis Réseaux II 254 PIM, Sparse-Mode : exemple

255 A. Djabelkhir-Bentellis Réseaux II 255 PIM, Sparse-Mode : exemple

256 A. Djabelkhir-Bentellis Réseaux II 256 PIM SDM : Sparse Dense Mode Facilité sur les routeurs Cisco Permet à une interface de se comporter soit en mode sparse soit en mode dense en fonction du groupe multicast si un RP est connu pour ce groupe : Sparse Mode sinon : Dense Mode Permet de : interconnecter des nuages denses (DVMRP) interfacer PIM et DVMRP diffuser des groupes particuliers (Auto-RP)

257 A. Djabelkhir-Bentellis Réseaux II 257 Synthèse : modes de diffusion Dense Flood + Prune : inefficace Peut provoquer des problèmes dans certaines topologies Création d un état (S,G) dans chaque routeur même s il n y a aucun récepteur pour ces données Traffic engineering pratiquement impossible Ne scale pas aussi bien que le Sparse mode

258 A. Djabelkhir-Bentellis Réseaux II 258 Synthèse : modes de diffusion épars Impose de configurer un RP Très efficace Abonnement explicite Trafic va seulement là où c est nécessaire Les états ({*,S},G) sont seulement créés sur les chemins des abonnés Traffic engineering possible Utilise des arbres partagés dont différents RP peuvent être l origine Scales beaucoup mieux que le mode dense

259 A. Djabelkhir-Bentellis Réseaux II 259 CH6. ADMINISTRATION RÉSEAU DNS, DHCP

260 A. Djabelkhir-Bentellis Réseaux II 260 DNS 1. Motivation d'un dispositif de nommage 2. Hiérarchie DNS 3. Enregistrement de ressources 4. Déroulement d'une résolution DNS 5. Protocole DNS 6. Outils DNS

261 A. Djabelkhir-Bentellis Réseaux II 261 DNS : Nommage Problème : les adresses IP ne sont pas faciles à mémoriser Solution : faire une table de correspondance

262 A. Djabelkhir-Bentellis Réseaux II 262 DNS : un système centralisé? Pourquoi pas de DNS centralisé? Un seul serveur contiendrait toutes les correspondances requises par les applications de l internet dimension de l internet : trop de correspondances à gérer, nombre de requêtes au serveur trop important tolérance aux pannes : si le serveur DNS tombe, tout internet aussi traffic impossible à supporter par un seul serveur délai de réponse : il faut faire en sorte que la réponse soit la plus proche possible du demandeur problème lié à la maintenance et aux mises à jour perpétuelles de la base

263 A. Djabelkhir-Bentellis Réseaux II 263 DNS : un système distribué Aucun serveur ne connaît toutes les correspondances si un serveur ne connaît pas une correspondance, il interroge un autre serveur jusqu à atteindre le serveur détenant l information Trois types de serveur DNS : Les serveurs de noms locaux à qui s adressent les requêtes locales; ils sont en charge de la résolution Les serveurs de noms racine qui sont censés savoir comment se rapprocher de la réponse Les serveurs de noms de source autorisée qui contiennent les correspondances officielles

264 A. Djabelkhir-Bentellis Réseaux II 264 DNS : Nommage Problème d'une table de correspondance sur plusieurs millions de machines : ambiguïté de noms inévitables administration et maintenance de la table de correspondance impossible une table de plusieurs millions d'entrée sur chacune des machines lors d'un changement sur une table reporter le changement sur les tables de toutes les machines!

265 A. Djabelkhir-Bentellis Réseaux II 265 DNS : Domaine Un domaine est un sous-arbre entier de l espace de nommage Deux nœuds différents peuvent avoir le même nom dans deux domaines différents : cleo.labri.fr et cleo.free.fr

266 A. Djabelkhir-Bentellis Réseaux II 266 DNS : Espace de noms hiérarchique et distribués 3 3, Zola 3, Zola. Paris

267 A. Djabelkhir-Bentellis Réseaux II 267 DNS : Espace de noms hiérarchique et distribués www

268 A. Djabelkhir-Bentellis Réseaux II 268 DNS : Zone Un sous-arbre administré par un organisme qui gère la délégation des noms et sous-domaines de la zone Une zone = une administration centralisée avec au moins un serveur DNS (généralement un primaire et un secondaire) serveur primaire pour la zone : source de la zone serveur secondaire pour la zone : copie (automatique) de la zone Une zone doit connaître les serveurs DNS des zones subordonnées Un serveur peut servir plusieurs zones

269 A. Djabelkhir-Bentellis Réseaux II 269 DNS : Domaine Le premier niveau de l arbre : Top Level Domain (TLD) géré pas l ICANN (Internet Corporation for Assigned Names and Numbers) deux types de TLD : generic TLD :.com,.org,.gov,.net,... countries TLD :.dz,.fr,.de,.uk,... Les autres niveaux sont gérés par des entités locales : DZ.NIC (CERIST) est l'organe agréé par l'icann pour la gestion du cctld.dz relatif à l'algérie (

270 A. Djabelkhir-Bentellis Réseaux II 270 DNS : Espace de noms hiérarchique et distribués

271 A. Djabelkhir-Bentellis Réseaux II 271 DNS : Zone

272 A. Djabelkhir-Bentellis Réseaux II 272 DNS : Top-Level domains

273 A. Djabelkhir-Bentellis Réseaux II 273 DNS : FQDN Format FQDN (Fully Qualified Domain Name - Nom de Domaine Totalement Qualifié) Noms absolus (FQDN) : sndl.cerist.dz triton.cdc.u-cergy.fr Noms relatifs sndl (domaine courant : cerist.dz) triton (domaine courant : cdc.u-cergy.fr) triton.cdc (domaine courant : u-cergy.fr)

274 A. Djabelkhir-Bentellis Réseaux II 274 DNS : serveurs Les serveurs de noms locaux : Chaque organisation a un serveur de nom local serveur de noms par défaut de la zone contient parfois les correspondances relatives à la zone de l organisation Toutes les requêtes en provenance de cette organisation vont vers ce serveur de noms local Les serveurs de noms racine : Il existe 13 serveurs racine dans internet Chaque serveur DNS local connaît un serveur de noms racine qu il peut interroger lorsqu il ne connaît pas une correspondance Un serveur de nom racine connaît au moins les serveurs de nomsdesourceautoriséedupremierniveau(.fr,.com,...)

275 A. Djabelkhir-Bentellis Réseaux II 275 DNS : Serveurs Un serveur de noms racine qui ne connaît pas la réponse à une requête interroge un autre serveur de noms le rapprochant de la réponse, généralement le serveur de noms de source autorisée qui connaît la correspondance Les serveurs de noms de source autorisée : Chaque hôte est enregistré auprès d au moins deux authoritative servers (le primaire et le secondaire) qui stockent son adresse IP et son nom Un serveur de noms est dit de source autorisée pour un hôte s il est responsable de la correspondance nom/@ip pour cet hôte (serveur primaire de la zone) Un serveur de nom local n est pas forcément de source autorisée de premier niveau (.fr,... )

276 A. Djabelkhir-Bentellis Réseaux II 276 DNS : Serveurs racines Machines *.root-servers.net adresses diffusées et connues par tous les serveurs DNS 13 adresses IP seulement pour gérer la racine des adresses anycast Anycast est une technique d'adressage et de routage permettant de rediriger les données vers le serveur le "plus proche" ou le "plus efficace" selon la politique de routage (routage BGP, généralement)

277 A. Djabelkhir-Bentellis Réseaux II 277 DNS : Serveurs racines 202 serveurs. 13 adresses IP anycast.

278 A. Djabelkhir-Bentellis Réseaux II 278 DNS : Résolution de nom Modèle client/serveur : un émetteur interroge un serveur de noms (serveur DNS) Port 53/UDP Le DNS peut être utilisé pour : conversion de noms en adresse IP conversion d'adresse IP en noms routage du courrier

279 A. Djabelkhir-Bentellis Réseaux II 279 DNS : Résolution de nom Résolution récursive : La machine qui demande la résolution de nom contacte un serveur DNS et attend que ce dernier lui retourne la réponse désirée. Résolution itérative : Le serveur de noms contacté fournit en réponse le nom d un autre serveur DNS à contacter pour avancer dans la résolution. Dans une résolution de nom, certaines requêtes peuvent être itératives, d autres récursives.

280 A. Djabelkhir-Bentellis Réseaux II 280 DNS : Résolution de nom

281 A. Djabelkhir-Bentellis Réseaux II 281 DNS : Résolution de nom

282 A. Djabelkhir-Bentellis Réseaux II 282 DNS : résolution inverse Retrouver le nom canonique à partir de l adresse IP

283 A. Djabelkhir-Bentellis Réseaux II 283 DNS : résolution inverse Le domaine arpa : un domaine particulier géré par l ICANN permettant la résolution inverse

284 A. Djabelkhir-Bentellis Réseaux II 284 DNS : résolution inverse

285 A. Djabelkhir-Bentellis Réseaux II 285 DNS : résolution inverse

286 A. Djabelkhir-Bentellis Réseaux II 286 DNS : Cache Objectif : Réduire le temps de réponse d une résolution de nom Diminuer le nombre de messages DNS nécessaires Le serveur de noms (quelconque) stocke dans son cache les informations récentes Comme la mémoire n est pas infinie et que les données peuvent ne plus être valables au bout d un certain temps, les données sortent du cache après un certain temps (TTL d environ 2 jours) Un serveur DNS qui mémorise dans son cache un enregistrement DNS n a pas autorité dessus spécifie no authoritative dans la réponse

287 A. Djabelkhir-Bentellis Réseaux II 287 DNS : Les messages Un message de type requête DNS est de la forme : (Nom, Type, Classe) Un message de réponse DNS contient un ou plusieurs RR (Resource record) L unité de stockage d une correspondance dans le cache : (Nom, Type, Classe, TTL, Valeur) Type : le type de l enregistrement Nom et Valeur dépendent de la valeur de Type : Type=A adresse IPv4 Type=NS serveur de noms de source autorisée Type=MX alias réservé au serveur de mail Type=PTR sert à la résolution inverse... Classe représente la famille de protocoles : Classe=1 pour internet (IN) TTL représente la durée de vie de l entrée dans le cache (en secondes)

288 A. Djabelkhir-Bentellis Réseaux II 288 Resource records

289 A. Djabelkhir-Bentellis Réseaux II 289 DNS : Déroulement d'une résolution

290 A. Djabelkhir-Bentellis Réseaux II 290 DNS : Déroulement d'une résolution

291 A. Djabelkhir-Bentellis Réseaux II 291 DNS : Déroulement d'une résolution

292 A. Djabelkhir-Bentellis Réseaux II 292 DNS : Déroulement d'une résolution

293 A. Djabelkhir-Bentellis Réseaux II 293 DNS : Déroulement d'une résolution

294 A. Djabelkhir-Bentellis Réseaux II 294 DNS : Déroulement d'une résolution

295 A. Djabelkhir-Bentellis Réseaux II 295 DHCP : Dynamic Host Configuration Protocol Protocole client/serveur Le serveur DHCP fournit des paramètres de configuration aux clients (généralement des paramètres nécessaires à la configuration du réseau) Permet l attribution automatique d adresses IP Successeur de BOOTP (protocole d obtention automatique d adresse IP utilisé pour les stations diskless ) Compatible avec BOOTP

296 A. Djabelkhir-Bentellis Réseaux II 296 DHCP : gestion des adresses IP 3 méthodes de gestion des adresses IP : Allocation manuelle. Le serveur DHCP attribue l adresse IP en se basant sur une table d adresses MAC prédéfinie Allocation automatique. Le serveur DHCP attribue de manière permanente une adresse IP (parmi l ensemble des adresses libres ) à un client Allocation dynamique. Méthode permettant la réutilisation d adresses IP (basée sur un mécanisme de bail )

297 A. Djabelkhir-Bentellis Réseaux II 297 DHCP : le protocole Protocole utilisant les ports 67/UDP (serveur) et 68/UDP (client) Échange de messages entre client et serveurs pour l attribution d une adresse IP pour une durée donnée Protocole basé sur un mécanisme de broadcast Utilisation de différents types de messages : DHCP Discover, DHCP Offer, DHCP Request, DHCP Acknowledge, DHCP Inform et DHCP Release

298 A. Djabelkhir-Bentellis Réseaux II 298 DHCP : le protocole DHCP Discover : Le client diffuse un message dans le réseau local pour trouver les serveurs disponibles. La diffusion est faite vers l adresse De plus, le client peut ajouter sa dernière adresse IP obtenue à l aide de DHCP. DHCP Offer : Le serveur choisit une configuration pour le client (en se basant éventuellement sur l adresse MAC contenue dans le message du client)

299 A. Djabelkhir-Bentellis Réseaux II 299 DHCP : le protocole DHCP Request : Le client sélectionne une configuration parmi celles qu il a reçues (paquets DHCP Offer) et la diffuse dans le réseau. Le client met dans le message l adresse que le serveur lui a proposée. S il a reçu plusieurs offres il spécifie le serveur qu il a choisi. DHCP Acknowledgement : Le serveur confirme l attribution de l adresse IP au client (le message contient toutes les informations nécessaires à la configuration plus éventuellement un bail). Le client peut configurer son réseau à la réception de ce message

300 A. Djabelkhir-Bentellis Réseaux II 300 DHCP : le protocole DHCP Inform : Le client demande des informations complémentaires au serveur DHCP (complément par rapport au DHCP ACK ou demande spécifique pour une application donnée) DHCP Release : Le client envoie un message au serveur pour libérer son adresse IP. Ce message n est pas nécessaire (l adresse IP est récupérée par le serveur lorsque le bail expire et qu il n est pas renouvelé)

301 A. Djabelkhir-Bentellis Réseaux II 301 DHCP : le protocole

302 A. Djabelkhir-Bentellis Réseaux II 302 DHCP : Configuration

303 A. Djabelkhir-Bentellis Réseaux II 303 CH7. INTRODUCTION À LA SÉCURITÉ RÉSEAUX

304 A. Djabelkhir-Bentellis Réseaux II 304 Plan du chapitre 1. Motivation 2. Facteurs d'insécurité : l'humain & sa machine 3. Programmes malveillant : Cheval de Troie, Vers, Virus, Espions, Portes dérobées (backdoor) 4. Attaque par courrier électronique 5. Attaque sur le réseau: écoute des connexion (Sniffing), mystication (spoofing), déni de services (DoS) 6. Techniques d'intrusions 7. Parade 8. Architecture securisée : Filtrage IP - Pare-feux, liste d'accès

305 A. Djabelkhir-Bentellis Réseaux II 305 Pourquoi la securité Une connexion à Internet permet à un réseau de se connecter à plusieurs centaines de milliers d'autres réseaux : avantages considerables Chacun de ces centaines de milliers d'autres réseaux peuvent se connecter a ce réseau. Parmi eux, combien de personnes animées de mauvaises intentions, et potentiellement dangereuses?

306 A. Djabelkhir-Bentellis Réseaux II 306 Problémes de sécurité possibles Différentes catégories de problèmes de sécurité : Chacun ayant son contexte propre et ses solutions. Sécuriser un environnement informatique revient à considérer chacun de ces cas. Catégories de problèmes de sécurité : Erreur humaine : une destruction de fichiers importants par mégarde Problème logiciel : OS, un logiciel qui plante et corrompt des données importantes Problème matériel : un crash de disque, un incendie, une inondation Piratage : vol, détournement ou destruction de données par des personnes malveillantes

307 A. Djabelkhir-Bentellis Réseaux II 307 Problémes de sécurité possibles Catégories de problèmes de sécurité Erreur humaine : une destruction de fichiers importants par mégarde Education des utilisateurs Problème logiciel : OS, un logiciel qui plante et corrompt des données importantes Mise à jours des logiciels Problème matériel : un crash de disque, un incendie, une inondation Maintenance du matériel Redondance du matériel dispersion sur plusieurs sites Piratage : vol, détournement ou destruction de données par des personnes malveillantes Sécurisation des systèmes et du réseau

308 A. Djabelkhir-Bentellis Réseaux II 308 Problémes de sécurité possibles Catégories de problèmes de sécurité Erreur humaine : une destruction de fichiers importants par mégarde Problème logiciel : OS, un logiciel qui plante et corrompt des données importantes Problème matériel : un crash de disque, un incendie, une inondation Piratage : vol, détournement ou destruction de données par des personnes malveillantes + Duplicata du système et des logiciels utilisés, ainsi que un rapport précis de l état du système (lorsqu'il est stable). Sauvegardes regulières des données.

309 A. Djabelkhir-Bentellis Réseaux II 309 Agression : Motivations Accès abusifs ou non autorises aux ressources Temps de calculs : "crack" de mots de passe, de clefs Place disque : stockage de logiciels pirates ou de documents inavouables Site clandestin : échange FTP pour des logiciels warez* ou des images illégales Site relais : utilisation du site comme point de départ vers un site à attaquer afin de pouvoir "brouiller" les traces *Le terme warez désigne des contenus numériques protégés par les lois du copyright, mais diffusés illégalement sans reverser de droits

310 A. Djabelkhir-Bentellis Réseaux II 310 Agression : Motivations Espionnage industriel, conflit militaire Récupération : de documents sensibles Détournement : des clients/utilisateurs du concurrents Paralysie : des serveurs du concurrent Désoeuvrement, Erreurs de jeunesse Attirance de l'interdit Désir de renommée, impressioner ses amis Envie de nuire, vandalisme Ces points ne sont pas exclusifs.

311 A. Djabelkhir-Bentellis Réseaux II 311 Agression : conséquences Les conséquences peuvent être plus ou moins graves suivant les précautions prises en matière de sécurité, du type de l'attaque, et de la cible visée. Pertes : documents perdus, outils de travails détruits, mois de travail perdu Manque à gagner : perte financière dans le cas d'espionnage industriel Perte de crédibilité : une entreprise passoire quand à la confidentialité des dossiers de ses clients, une page web d'accueil détournée... Illégalité : en étant utilisée pour des tracs clandestins Divulgation : d'informations confidentielles Déclenchement d'actions pouvant provoquer des accidents physiques : drames humains, destruction matérielles, etc.

312 A. Djabelkhir-Bentellis Réseaux II 312 Facteurs d'insecurité : l'humain & sa machine Environ 80% des problèmes de sécurité ont pour origine les utilisateurs internes qui mettent le réseau en danger (souvent) par ignorance ou inconscience par leur comportement : Installation intempestives de logiciels de sources douteuses (chevaux de troie : vers, virus, porte dérobée) Mauvaise utilisation du lecteur de courriels (en ouvrant automatiquement les fichiers attachés) mêmes risques que ceux cités précédemment Mots de passe "basique" Prêt" de mot de passe Trou dans le réseau par ignorance (modem, wifi) ou volontairement (IRC, Internet Relay Chat pour une utilisation à distance)

313 A. Djabelkhir-Bentellis Réseaux II 313 Logiciel malveillant (malware) But : nuire à un système informatique. Virus : programme se dupliquant sur d'autres ordinateurs Ver (worm) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction Wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) Cheval de Troie (trojan) : programme à apparence légitime (voulue) qui éxécute des routines nuisibles sans l'autorisation de l'utilisateur

314 A. Djabelkhir-Bentellis Réseaux II 314 Logiciel malveillant (malware) But : nuire à un système informatique. Porte dérobée (backdoor) : ouvreur d'un accès frauduleux sur un système informatique, à distance Logiciel espion (spyware) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers Enregistreur de frappe (keylogger) : programme généralement invisible, installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier Exploit : programme permettant d'exploiter une faille de sécurité d'un réseau

315 A. Djabelkhir-Bentellis Réseaux II 315 Cheval de Troie ( trojan) En général, piège l'utilisateur naïf qui croit exécuter un logiciel attirant car décrit et nommé avec un nom qui semble inoffensif (setup, tetris.exe, oce.bin, super mario.exe, mise-a-jour-v1.2.4, update tool) Incorporation plus ou moins subtile. Lorsque l'utilisateur exécute le programme qui semble inoffensif : La routine nuisible est exécutée et l'utilisateur peut s'apercevoir de son erreur, mais... trop tard. La routine nuisible est exécutée en arrière plan et rien ne semble se lancer. L'utilisateur est déçu, mais oublie l'incident. La routine nuisible est exécutée et affiche un message d'erreur laissant penser à un problème dans l'exécution du logiciel. Le logiciel se lance au grand bonheur de l'utilisateur, et la routine nuisible est exécutée en arrière plan.

316 A. Djabelkhir-Bentellis Réseaux II 316 Cheval de Troie ( trojan) La routine nuisible peut être : Un programme effectuant directement son action : destruction de fichiers, plantage du système, envoi de certaines informations du disque, s'autoréplique pour utiliser toutes les ressources du système (wabbit) L'installation de virus, de vers L'installation d éspion (spyware, keylogger) Une installation d'une porte dérobée (backdoor)

317 A. Djabelkhir-Bentellis Réseaux II 317 Vers 1. Exploitation d'une faille d'un service 2. Modification du code du service pour : effectuer des opérations malveillantes contacter ce service sur une autre machine 3. Goto 1 Les grands vers : ver Morris ( Morris) : devine les mots de passe faibles des utilisateurs à l'aide de dictionnaires I love you (2000) /mail : avec en pièce jointe (malware). L'utilisateur croit que la pièce jointe est un fichier de texte. En ouvrant ce fichier, l'utilisateur exécute le programme, qui va explorer la liste des contacts de l'utilisateur pour leur envoyer un mail semblable. Code Red (2001) /IIS (Internet Information Services): prendre le contrôle de ces serveurs (ftp, http, smtp) pour lancer à partir d'eux une attaque par déni de service (DoS), visant à saturer les ressources d'un site Web précis (serveur de la Maison Blanche)

318 A. Djabelkhir-Bentellis Réseaux II 318 Autres Vers Se propageant en utilisant les adresses contenues dans le carnet d'adresse de l'utilisateur ou d'autres fichiers. S exécute lors de l'exécutiondelapiècejointeattachée:bagle (2004), Melissa ( David Smith) virus de macro word 97/2000et outlook 95/98, NetSky ( Jaschan), Sobig (2003) Sasser ( Jaschan) : faille LSASS de Windows Nimda : faille Unicode Web Traversal exploit. S'installer sur simple visite d'un site infecté. Peut se transmettre par courriel en utilisant une faille de l'implémentation de MIME par Microsoft Internet Explorer, lui permettant de s exécuter sur simple prévisualisation du courriel. SQL Slammer (2003) sur faille de Microsoft SQL Server. Sert ensuite à stocker des warez. Santy (2004) sur faille du logiciel de forum phpbb : utilise Google pour trouver des serveurs web l'utilisant. Puis DoS de phpbb Concker-A, B, B++, C (nov 2008) : faille de Windows Server Service (2000, XP, XP, 2003, 2007, 2008, Vista, 7) 9 millions d'infectés. infection classique et cassage de mot de passe. MAIS le vers se protège luimême et se met à jour. Connexion vers serveurs pseudo-aléatoire pour récupérer des ordres (mise à jour, patch, p2p, etc.).

319 A. Djabelkhir-Bentellis Réseaux II 319 Virus Un virus informatique est un automate auto réplicatif à la base non malveillant, mais aujourd'hui souvent additionné de code malveillant (donc classifié comme logiciel malveillant), conçu pour se propager à d'autres ordinateurs en s'insérant dans des logiciels légitimes, appelés «hôtes». Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme les réseaux informatiques et les CDs, les clefs USB, etc. [source Wikipédia]

320 A. Djabelkhir-Bentellis Réseaux II 320 Virus informatiques célèbres Cabir (2004) est considéré comme le tout premier virus PoC (proof of concept) recensé, se propageant par la téléphonie mobile grâce à la technologie Bluetooth et du système d'exploitation Symbian OS. MyDoom.A est un virus qui se propage par les courriels et le service P2P. Les premières infections ont eu lieu le 26 janvier Psyb0t est découvert en janvier Il est considéré comme étant le seul virus informatique ayant la capacité d'infecter les routeurs et modem haut-débit. Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs. Il détruisait l'ensemble des informations du système attaqué et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à 2002.

321 A. Djabelkhir-Bentellis Réseaux II 321 Espions (Spyware) Un Spyware peut (liste non exhaustive) capturer des mots de passe, espionner les programmes exécutés à telle ou telle heure, espionner les sites Internet visités, effectuer des captures d écrans puis transmettre ces informations à un tier.

322 A. Djabelkhir-Bentellis Réseaux II 322 Portes derobées : backdoor Introduit par le développeur du logiciel ou par un pirate informatique. La personne connaissant la porte dérobée peut l'utiliser pour surveiller les activités du logiciel, voire en prendre le contrôle (par contournement de l'authentification). Enfin, selon l étendue des droits que le système d'exploitation donne au logiciel contenant la porte dérobée, le contrôle peut s étendre à l'ensemble des opérations de l'ordinateur et peut même ouvrir un port d écoute que le pirate pourra contacter a tout moment (socket de troie) Exemple célèbre : Back Orifice (Cult of the Dead Cow) est un logiciel de prise de contrôle à distance (port 31337) de machines utilisant le système d'exploitation Windows.

323 A. Djabelkhir-Bentellis Réseaux II 323 Attaque par courrier électronique Courrier électronique : énormément utilisé transporte tout type de données utilisés par des utilisateurs n'ayant pas ou peu de connaissance en informatique et sécurité moyen de diffusion efficace, peu contrôlable et peu contrôlé.

324 A. Djabelkhir-Bentellis Réseaux II 324 Hoax : Canular Informatique

325 A. Djabelkhir-Bentellis Réseaux II 325 Spam 81 ND Jan 29 Eugenio Oneill ( 2) buy now 100mg x 60 pills $ ND Jan 29 ftragten_1990@s ( 11) Discount for you. Right time to buy items 32 ND Jan 29 Jennifer Yang ( 2) Price for 24 ND Jan 29 Rodney Crum ( 30) Best gift for you 46 ND Jan 29 ikaihc_1995@laf ( 11) Discount. Save 70% on on your meds now. 28 ND Jan 29 Shauna Tidwell ( 32) Easiest way to 77 ND Jan 29 Ellwood Mooney ( 4) You are nominated for an Associates 62 ND Jan 29 Service PayPal ( 74) Attention! Votre compte PayPal a ete limi 47 ND Jan 29 Clayton. Pre 20 ( 9) Vegas Casino Club, le meilleur choix en l 6 ND Jan 29 Alfred Collins ( 180) Confirm your order 44 ND Jan 29 European Casino ( 99) Offre de bonus incroyable! 12 ND Jan 29 Agustin Curtis ( 175) Make money Fast 2 ND Jan 29 Addison Copelan ( 876) Breaking News

326 A. Djabelkhir-Bentellis Réseaux II 326 Phishing : l'hameçonnage 1. L'utilisateur reçoit un mail semblant provenir de sa banque 2. Ce mail lui indique qu'il y a un problème sur son compte et qu'il faut y remédier rapidement. 3. L'utilisateur est invité à cliquer sur un lien sensé le diriger vers la page d'accueil de sa banque 4. En réalite, ce lien le redirige vers le site de l'arnaqueur. La page d'accueil imitant celle de la banque. 5. L'utilisateur est invité à rentrer son login/mot de passe ou code de carte bleue 6. L'arnaqueur est content...

327 A. Djabelkhir-Bentellis Réseaux II 327 Attaque sur le réseau Ecoute des connexions (sniffing) : interception des messages et/ou mot de passe par des renifleurs, identification des services du réseau, des machines qui communiquent, des comportements, etc. Mystification (spoofing) : prendre l'identité d'une autre personne/machine, DNS, routeur, machine sécurisée, etc. Deni de service (denial of service - DoS) : empêcher le bon fonctionnement d'un système en empêchant un service/machine de fonctionner. Intrusion exploitant : Les bugs des services (serveur de mail, routeurs...) Des portes dérobées déjà mises en place par une intrusion précédente Faille dans l'architecture du réseau, sur les systèmes employés, dans les éléments d'interconnexion.

328 A. Djabelkhir-Bentellis Réseaux II 328 Sniffing : écoute des connexions Sur réseau en bus, utilisant du cable coaxial Sur réseau Wi-Fi! Interception de mots de passes, de correspondances privées.

329 A. Djabelkhir-Bentellis Réseaux II 329 Spoofing : Mystification (usurpation d'identité) ARP Cache Poisoning : Envoi ARP reply au routeur en prétendant être la machine dont on a usurpé l'identité. Envoi ARP request à la machine victime en prétendant être le routeur. Tout le trafic entre la victime et le routeur passe par l'attaquant IP Spoofing : abuse la machine cible en se faisant passer pour une autre machine (par ex. un hôte de confiance) en usurpant son adresse IP. ICMP, UDP : Vol de session TCP : plux complexe, car numéro de séquence à deviner. DNS Cache Poisoning

330 A. Djabelkhir-Bentellis Réseaux II 330 DNS Cache Poisoning : Attaque par l'ajout de plusieurs resolutions (Kashpure ) Dans une transaction DNS, l'identifiant de 16 bits pseudoaléatoire doit être le même. Le pirate demande au serveur DNS cible, l'ip d'une zone dont il gère le serveur DNS. Le serveur DNS cible interroge le serveur DNS du pirate Le serveur DNS du pirate renvoi l'information + des infos concernant d'autres sites. Le serveur DNS cible insère toutes ces informations dans son cache. Utilisation d'un serveur DNS ne prenant que les réponses à la question posée.

331 A. Djabelkhir-Bentellis Réseaux II 331 DNS Cache Poisoning : Attaque basée sur le paradoxe des anniversaires (1995) Paradoxe des anniversaires : Il suffit de 23 personnes pour avoir une chance sur deux que deux personnes de ce groupe aient leur anniversaire le même jour de l'année. A partir d'un groupe de 57 personnes, la probabilité est supérieure à 99

332 A. Djabelkhir-Bentellis Réseaux II 332 DNS Cache Poisoning : Attaque basée sur le paradoxe des anniversaires (1995) Principe Le pirate envoie un grand nombre de requête de résolution au serveur DNS A (ex. résoudre En même temps, le pirate se fait passer pour le serveur de nom B interrogé par le serveur DNS A pour résoudre la requête en envoyant dans la réponse : un identifiant aléatoire et la résolution IP h.a.c.k (l'adresse IP d'un serveur pirate). Si par hasard, l'identifiant tombe sur celui utilisé dans la transaction entre A et le vrai B, et que la réponse du pirate arrive avant la réponse du B légitime, alors le serveur DNS A insère h.a.c.k dans son cache Les autres clients DNS interrogeant A pour obtenir l'adresse de auront pour réponse h.a.c.k.

333 A. Djabelkhir-Bentellis Réseaux II 333 Déni de services Empêcher une machine de fournir les services qu'elle devrait fournir. sabotage d'un concurrent, chantage malveillance pure, défi bloquer la surveillance pendant une intrusion se faire passer pour la machine attaquée saturation des ressources attaque de la machine (piratage, virus, vers) Distributed Denial of Service (DDoS) : repose sur une parallélisation d'attaques DoS, simultanément menées par plusieurs systèmes (machines rebond) contre un seul.

334 A. Djabelkhir-Bentellis Réseaux II 334 DoS par saturation des ressources Saturation d'un serveur : Attaque faisant planter un système (en général celui d'un serveur), en surchargeant ses ressources. Saturation d'un réseau : Attaque submergeant un réseau d'un flot de trafic plus grand qu'il n'est capable de le traiter - la bande passante est alors saturée et le réseau devient indisponible. Attaque ARP : demandes incessantes ARP envoyées vers un routeur ou serveur d'un même réseau. ping de la mort : ICMP echo request de taille supérieure (65535 octets) au maximum spécifié. Attaque ping : inondation de ICMP echo request vers un routeur ou serveur Attaque Smurf : inondation de ICMP echo request avec pour adresse IP source l'adresse de la victime et pour destination l'adresse de diffusion du réseau

335 A. Djabelkhir-Bentellis Réseaux II 335 DoS par saturation des ressources Host Unreachable : envoi de message ICMP "Host unreachable" à la victime ( déconnexion des sessions) Lan Attack : envoi de paquet TCP d'ip et port source identiques à ceux de la victime. Teardrop Attack : messages fragmentés construits pour que les fragments se chevauchent et soient impossibles à reconstituer ( crash) SYN Flood : inondation de demandes d'ouverture de session TCP. Evasive UDP Attack : inondation de paquets UDP de longueur variable et d'adresse source IP aléatoire vers la victime. mail bombing : avalanche d' sur le compte d'un utilisateur ou sur un serveur pour l'engorger.

336 A. Djabelkhir-Bentellis Réseaux II 336 Techniques d'intrusion 1. Connexion à une ressource partagée 2. Attaque Attaque par force brute Attaque par débordement de tampon Exploitation d'une faille logicielle 3. Accès à un interpréteur de commandes intéractif 4. Elevation des privilèges 5. Installation d'un rootkit 6. Effacement des traces + cassage de logiciel (Cracking ) cryptanalyse rétro-ingénierie

337 A. Djabelkhir-Bentellis Réseaux II 337 Attaque par usurpation d'identité Exemple : Attaque de Mitnick sur le réseau de Tsutomu Shimomura Identification d'une machine de confiance du serveur victime Choix d'une date propice pour l'attaque (Noël 1994) Recherche de l'algorithme de génération d'identifiant de session TCP par envoi de SYN et RESET DoS de la machine de confiance par envoi de TCP SYN Envoi de segments TCP en usurpant l'identité de la machine de confiance et en prévoyant l'identifiant de session TCP utilisé. Utilisation de la connexion TCP pour modifier le host de la machine Libération de la machine de confiance par envoi de TCP RESET

338 A. Djabelkhir-Bentellis Réseaux II 338 Piratage par rebond Interception d'un mot de passe en clair Utilisation du mot de passe pour se connecter à la machine : mots de passes enregistrés, crack passwd autorisation distantes depuis cette machine reniflement (sniffing) du réseau de la machine pour intercepter d'autres mots de passes.

339 A. Djabelkhir-Bentellis Réseaux II 339 Sites clandestins et sites relais 1. Répertoire de stockage de document ouvert pour téléchargement (upload) ou piratage de compte 2. Fichiers inavouables mis à disposition d'autres pirates 3. Site servant de relai pour attaquer d'autres sites Tracage difficile

340 A. Djabelkhir-Bentellis Réseaux II 340 Intrusion physique, Social Engineering mot de passe sous le clavier, écrit sur le tableau... social engineering

341 A. Djabelkhir-Bentellis Réseaux II 341 Parade Se tenir au courant Connaître les systèmes d'exploitation Connaître son infrastructure Restreindre l'accès au réseau (pare-feu) Réduire le nombre de points d'entrée (ports ouverts, machines accessibles) Supprimer les services, machines, utilisateurs inutiles Définir une politique de sécurite interne (mots de passe, lancement d'exécutables) Eduquer les utilisateurs Déployer des utilitaires de sécurité (journalisation, statistiques, traces, tests d'intrusion)

342 A. Djabelkhir-Bentellis Réseaux II 342 Parade Sauvegarde régulière des données, et identifiants uniques des outils systèmes (md5) Les logiciels, services, machines... inutiles doivent être arrêtés ou supprimés. Utilisation d équipements adaptés (ex. switch plutôt que hub contre les renifleurs) Se mettre à jour sur les nouvelles failles de sécurité découvertes, et appliquer les correctifs aussitôt qu'ils sont disponibles Vérification de l'intégrité des logiciels (MD5, SHA256) et de leur provenance Vérification des sites accédés : certificats Utilisation du chiffrement (ssh, VPN) Mettre en place une architecture de réseau bien pensé, et éventuellement un (ou des) firewall.

343 A. Djabelkhir-Bentellis Réseaux II 343 Parade

344 A. Djabelkhir-Bentellis Réseaux II 344 Mise en place d'une architecture sécurisée un firewall restrictif une passerelle un traçage des connexions une gestion d'une DMZ différents services réseaux (FTP, HTTP, DNS...) dont certains doivent pouvoir être accédés depuis l'extérieur.

345 A. Djabelkhir-Bentellis Réseaux II 345 Filtrage IP Les deux types de politiques pour un filtre sont : Politique restrictive : ce qui n'est pas explicitement autorisé est interdit (souvent ce qui est mis en place dans les entreprises) Politique permissive : ce qui n'est pas explicitement interdit est autorisé (ex. : les réseaux domestiques, certains réseaux d'universités)

346 A. Djabelkhir-Bentellis Réseaux II 346 Types de parefeux Pare-feu sans état (stateless firewall) : regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées. Pare-feu à états (stateful firewall) : vérifie que chaque paquet est bien la suite d'un précédent paquet et la réponse à un paquet dans l'autre sens. Pare-feu applicatif : vérifie la complète conformité du paquet à un protocole attendu. pour ouverture de ports dynamique (FTP) contre ceux qui utilisent un tunnel TCP pour contourner le filtrage par ports. mais coûteux en ressources

347 A. Djabelkhir-Bentellis Réseaux II 347 Filtrage IP - parefeux sans état Les règles sont parfois appelées ACL - Access Control List On juge du passage d'un paquet (s'il doit être autorisé, interdit, tracé), en évaluant les règles de filtrage par ordre CROISSANT Lorsqu'une condition est vérifiée, on exécute l'action correspondante (interdiction/autorisation) et on SORT du script. L'ordre d évaluation des règles a donc son importance.

348 A. Djabelkhir-Bentellis Réseaux II 348 Filtrage IP filtrage sur les interfaces filtrage sur les sources filtrages sur les destinations filtrage sur les ports (donc les services) filtrage sur les paquets (protocole TCP / UDP / ICMP...) traçage de la connexion (ce qui permet de repérer un agresseur potentiel afin de pouvoir permettre à l'administrateur de prendre les mesures appropriées).

349 A. Djabelkhir-Bentellis Réseaux II 349 Filtrage IP

350 A. Djabelkhir-Bentellis Réseaux II 350 Règle de filtrage pour routeur 0

351 A. Djabelkhir-Bentellis Réseaux II 351 Cisco : perçu de la configuration des ACLs standard

352 A. Djabelkhir-Bentellis Réseaux II 352 Proxy : mondataire Pas de connexion directe entre l'intérieur et l'extérieur Définition : Un proxy est un intermédiaire dans une connexion entre le client et le serveur Le client s adresse toujours au proxy Le proxy est spécifique à une application donnée (HTTP, FTP,... ) Possibilité de modification des informations échangées entre le client et le serveur.

353 A. Djabelkhir-Bentellis Réseaux II 353 Proxy

354 A. Djabelkhir-Bentellis Réseaux II 354 DMZ : Zone démilitarisée Les services courants comme le serveur web, serveur FTP, gestionnaire de domaines (DNS)... doivent être accessibles de l'extérieur suivant certains critères bien précis. Ces ouverture même contrôlées en font des trous de sécurité potentiels, ils doivent donc être placés dans un endroit "moins sécurisé" que l'on appelle DMZ. Une de ces machines mise dans la DMZ, si elle était attaquée, ne pourrait en aucune manière accéder au réseau interne (à cause du pare-feu). Suivant la politique de sécurité décidé, le réseau interne doit pouvoir accéder librement aux services extérieurs ou non.

355 A. Djabelkhir-Bentellis Réseaux II 355 DMZ

356 A. Djabelkhir-Bentellis Réseaux II 356 Cryptographie Contre les écoutes : Il faut chiffrer les données de machine-à-machine de manière applicative : ssh, ssl, etc. de machine-à-réseau ou de réseau-à-réseau : tunnel, VPN Contre les usurpations d'identité : Il faut authentifier Gestion de certificats Défi dans les protocoles!

357 A. Djabelkhir-Bentellis Réseaux II 357 Que faire après une attaque? garder son calme archiver, tracer, isoler tout ce qui peut l être avertir les autorités compétentes colmater la faille, vérifier TOUS les systèmes (voire les reinstaller) corriger immédiatement les effets de la contamination et supprimant la contamination elle-même. Rechercher la causes en amont. Prévoir les conséquences en aval, les conséquences éventuelles de son action à l'encontre de notre machine, nos données, notre réseau, notre entreprise et nous même

358 A. Djabelkhir-Bentellis Réseaux II 358 Arsenal législatif en Algérie Contrairement à plusieurs pays disposant d une loi sur la cyber sécurité, l Algérie est dotée uniquement d une loi sur la cybercriminalité, jugée incomplète.

359 A. Djabelkhir-Bentellis Réseaux II 359 Acteurs institutionnels en Algérie

360 A. Djabelkhir-Bentellis Réseaux II 360 Au niveau international Aucune législation véritablement internationale concernant la criminalité informatique. La loi du pays dans lequel le crime est constaté s'applique. un pirate américain attaquant un serveur en France via une machine située en Allemagne? un pirate Ukrainien attaquant un serveur en France via une machine située au Venezuela via une machine situé au Gabon via une machine situé en Birmanie?