Projet Réseau Evolution de la PlateForme spécialité RESeau (PFRES) Le 8 juin 2012

Projet Réseau Evolution de la PlateForme spécialité RESeau (PFRES) Benjamin Bachelart Benjamin Gonzalez Benjamin Baron Alexandre Ragaleux Le 8 juin 2012 1 / 39

Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 2 / 39

Contexte Plateforme expérimentale destinée aux étudiants Projets de recherche, maquettes Située au LIP6, salle Intel 25/26 110 3 / 39

MODE NM E1 NM E0 NM E1 NM E0 SYST RPS MASTR STAT DUPLX SPEED 1X 2X 1 2 3 4 5 6 7 8 9 10 11 12 S L O T 3 S L O T 1 S L O T 3 S L O T 1 9X 10X 11X 12X 13 14 15 16 17 18 19 20 19X 20X 21 S L O T 2 S L O T 0 S L O T 2 S L O T 0 Catalyst 2960 SERIES 22 23 24 CONSOLE AUX CONSOLE AUX SPD SPD SPD SPD GE 0/1 GE 0/0 GE 0/1 GE 0/0 LINK LINK LINK LINK PEP PEP SFP SFP SYS OK SYS PWR INLINE PWR PVDM 1 PVDM 0 AIM 1 AIM 0 FDX 100 LINK FDX 100 LINK FE 0/1 FE 0/0 CONSOLE AUX CF COMPACT FLASH DO NOT REMOVE DURING NETWORK OPERATION SLOT 3 SLOT 2 THIS SLOT ACCEPTS ONLY VICs AND WICs SLOT 1 SLOT 0 THIS SLOT ACCEPTS ONLY VICs AND WICs POWER STATUS ACTIVE VPN FLASH Cisco 2800 Series CISCO ASA 5510 series Adaptive Security Appliance PlateForme de la spécialité RESseau AS 4 AS 3 AS 2 AS 1 Située dans la salle Intel 25/26 110 4 / 39

Cahier des charges Intégration et installation de nouveaux équipements Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 Services : base, sécurité et VoIP QoS et MPLS Documentation : manuel et TRAC 5 / 39

Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 6 / 39

Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 serveur2.ent1 serveur3.ent1 AS 1 Catalyst 2800 VLAN 210 ASA5510 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 AS 4 serveur3.ent2 Load Balancer J2300-2 Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ MIR VLAN 221 VLAN 320 J2 ISS J1 VLAN 222 AS 2 VLAN 332 VLAN 331 VLAN 333 AS 3 serveur2.core1 serveur1.core1 PSEUDOL MEDIAL J2300-1 Firewall1.ent2 VLAN 430 J4 7 / 39

Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 VLAN 210 serveur2.ent1 serveur3.ent1 Catalyst 2800 ASA5510 MIR VLAN 222 serveur2.core1 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 serveur3.ent2 Load Balancer J2300-2 Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ VLAN 221 VLAN 320 J2 ISS VLAN 332 VLAN 331 J1 VLAN 333 serveur1.core1 PSEUDOL MEDIAL J2300-1 Firewall1.ent2 VLAN 430 J4 8 / 39

Accès à la plateforme Plusieurs passerelles à traverser : Passerelles : sphinx.lip6.fr et gate-net.rsr.lip6.fr Contrôleurs de console (ACS) accessibles depuis le VLAN Internet Gestion des équipements out-of-band MGMT4 Serveurs AS 4 MGMT3 Serveurs AS 3 MGMT2 Serveurs AS 2 MGMT1 Serveurs AS 1 gate-net 9 / 39

Accès à la plateforme Plusieurs passerelles à traverser : Passerelles : sphinx.lip6.fr et gate-net.rsr.lip6.fr Contrôleurs de console (ACS) accessibles depuis le VLAN Internet Gestion des équipements out-of-band MGMT4 Serveurs AS 4 MGMT3 Serveurs AS 3 MGMT2 Serveurs AS 2 MGMT1 Serveurs AS 1 gate-net 10 / 39

Plan d adressage Numéro de de l AS Adresse IPv4 Adresse IPv6 VLAN Internet (999) 10.0.0.0/8 N/A AS 1 23.7.100.0/24 2a00:b82:8502::/48 AS 2 28.5.0.0/16 2e70:13::/32 AS 3 13.8.0.0/16 2d05:37::/32 AS 4 4.11.100/24 2a00:285:42::/48 Adressage privé pour le VLAN Internet (999) Adressage publique pour les ASs 11 / 39

Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 12 / 39

Open Shortest Path First Implémenté dans AS 2, AS 3 et AS 4 Protocole à états de liens idéal pour une petite architecture Bien documenté et très utilisé Routeurs backbones AS 3 MIR ISS AS 1 AS 4 Area 0.0.0.0 OSPF dans l AS 2 13 / 39

Open Shortest Path First Implémenté dans AS 2, AS 3 et AS 4 Protocole à états de liens idéal pour une petite architecture Bien documenté et très utilisé Routeurs backbones Juniper 2 Juniper 4 AS 2 AS 4 Juniper 1 Area 0.0.0.0 OSPF dans l AS 3 14 / 39

Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) local-pref 100 F P AS 2 F Cl AS 1 Cl AS 4 Cl F AS 3 P local-pref 200 15 / 39

Services implémentés Déploiement de services multiples sur la plateforme Services de base : DHCP, DNS, FTP, HTTP, NTP Sécurité : IPSec, VPN VoIP Management : SNMP (Nagios/Cacti) Focus sur VPN et VoIP 16 / 39

Virtual Private Network Internet serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN 17 / 39

Virtual Private Network server.crt server.key client.crt client.key serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN ca.crt dh1024.pem 18 / 39

Virtual Private Network server.crt server.key client.crt client.key client.crt client.key SSH serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN ca.crt dh1024.pem ca.crt dh1024.pem 19 / 39

Virtual Private Network Clients Clients Internet serveur1.ent2 Serveur OpenVPN serveur1.ent1 Client OpenVPN 20 / 39

Voice over IP Intégration des téléphones IP dans les AS d entreprise Nouveaux VLANs : téléphone IP, serveur Asterisk, routeur Asterisk : protocoles SIP (signalisation) et RTP (voix), IAX 21 / 39

Voice over IP Trafic SIP (Session Initiation Protocol) local-pref 100 Juniper1 ISS MIR AS 4 AS 2 AS 1 J2 Routeur AS 1 Serveur1.Ent2 Asterisk Juniper2 J4 J1 AS 3 Serveur1.Ent1 Asterisk local-pref 200 22 / 39

Voice over IP Trafic RTP (Real-Time Protocol) Juniper1 ISS MIR AS 4 AS 2 AS 1 Routeur AS 1 J2 Serveur1.Ent2 Asterisk Juniper2 J4 AS 3 J1 Serveur1.Ent1 Asterisk 23 / 39

MPLS (MultiProtocol Label Switching) Protocole de couche 2,5 Implémenté au niveau des routeurs J1, J2 et J4 de l AS 3 S appuie sur RSVP pour définir les LSP (paths) : MPLS-TE Champ TC (Traffic Class ou EXP) définit les classes de service 8 16 24 32 Label TC S TTL L2 IP Label stack Shim-label de MPLS 24 / 39

MPLS (MultiProtocol Label Switching) PSEUDOL MEDIAL AS 2 L2 IP Ingress Router LER LSP Egress Router LER J2 J1 J4 Transit Router LSR L2 IP AS 4 25 / 39

MPLS (MultiProtocol Label Switching) PSEUDOL MEDIAL AS 2 Egress Router LER J2 J1 J4 Transit Router LSR L2 IP LSP L2 IP Ingress Router LER AS 4 26 / 39

Intégration de J3 pour la VoIP J2 SIP RTP RTP SIP LSP 1 J1 Reste LSP 2 Reste J3 J4 27 / 39

Quality of Service Classe DSCP EXP PLP Best Effort BE / 000000 000 Low Expedited Forwarding EF / 101110 010 Low Assured Forwarding AF41 / 100010 100 Low IPv4 Pseudo-header Version IHL TOS Total Length Identification Flags Fragment offset TTL Protocol Header checksum IPv6 Pseudo-header Version Traffic Class (DS) Payload Length Flow Label Next Header Hop Limit MPLS Shim header Label EXP S TTL 28 / 39

Quality of Service Classe DSCP EXP PLP Best Effort BE / 000000 000 Low Expedited Forwarding EF / 101110 010 Low Assured Forwarding AF41 / 100010 100 Low Trafic RTP Expedited Forwarding Best Effort Toutes les classes Trafic SIP Assured Forwarding 29 / 39

Quality of Service Three priority classes Three priority/drop classes Packet source Classifier Marker Policer Shaper/ Dropper Packets with DiffServ mark EF AF41 BE Traffic Conditioning Agreement Per-hop behavior Ingress Node Interior Node Egress Node TCA PHB PHB TCA PHB 30 / 39

Quality of Service Juniper1 ISS MIR AS 4 AS 2 AS 1 Routeur AS 1 J2 serveur1.ent2 Asterisk Juniper2 J4 AS 3 J1 serveur1.ent1 Asterisk Ingress Node Interior Node Egress Node TCA PHB PHB TCA PHB 31 / 39

Quality of Service 1e+06 100000 iperf Octets 10000 1000 RTP 100 SIP 10 0 20 40 60 80 100 120 140 160 Temps Trafic entre J2 (AS 3) et MIR (AS 2) 32 / 39

Sommaire 1 Contexte 2 Architecture de la plateforme 3 Implémentations effectuées Routage Services MultiProtocol Label Switching Quality of Service 4 Conclusion 33 / 39

Revenons sur le cahier des charges Equipements : dysfonctionnements, installation et configuration Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 VoIP : QoS et MPLS Sécurité : VPN et IPSec Documentation : manuel et TRAC 34 / 39

Revenons sur le cahier des charges Equipements : dysfonctionnements, installation et configuration Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 VoIP : QoS et MPLS Sécurité : VPN et IPSec Documentation : manuel et TRAC 35 / 39

Revenons sur le cahier des charges Equipements : dysfonctionnements, installation et configuration Réorganisation : câblages et VLANs Adressage et routage : IPv6 et IPv4 VoIP : QoS et MPLS Sécurité : VPN et IPSec Documentation : manuel et TRAC PFRES : PlateForme de la spécialité RESeaux Manuel de l utilisateur Benjamin Bachelart (mail) Benjamin Baron (mail) Benjamin Gonzalez (mail) Alexandre Ragaleux (mail) 2012 36 / 39

Difficultés rencontrées Branchements et configuration des contrôleurs de console Juniper 3 non fonctionnel dès le début du projet Non fonctionnement, puis réparation de Juniper 4 Firewalls Juniper et le trafic IPv6 en mode transparent Configuration de MPLS (LDP, puis RSVP) 37 / 39

Evolutions Mise en place d un serveur de mails (IMAP/POP3/SMTP) Développement des outils de supervision Utilisation de machines virtuelles pour ajouter du trafic Systèmes d exploitation hétérogènes sur les serveurs Ajout d équipements pour étendre/ajouter des ASs Mise à jour de tous les firmwares des équipements 38 / 39

PlateForme de la spécialité RESseau Des questions? 39 / 39

Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 serveur2.ent1 serveur3.ent1 AS 1 Catalyst 2800 VLAN 210 ASA5510 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 AS 4 serveur3.ent2 Load Balancer J2300-2 Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ MIR VLAN 221 VLAN 320 J2 ISS J1 VLAN 222 AS 2 VLAN 332 VLAN 331 VLAN 333 AS 3 serveur2.core1 serveur1.core1 PSEUDOL MEDIAL J2300-1 Firewall1.ent2 VLAN 430 J4 40 / 39

Vue d ensemble VLAN 111 VLAN 112 serveur1.ent1 VLAN 210 serveur2.ent1 serveur3.ent1 Catalyst 2800 ASA5510 MIR VLAN 222 serveur2.core1 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 serveur3.ent2 Load Balancer J2300-2 Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ VLAN 221 VLAN 320 J2 ISS VLAN 332 VLAN 331 J1 VLAN 333 serveur1.core1 PSEUDOL MEDIAL J2300-1 Firewall1.ent2 VLAN 430 J4 41 / 39

Vue d ensemble (AS 1) VLAN 111 VLAN 112 serveur1.ent1 VLAN 210 serveur2.ent1 serveur3.ent1 Catalyst 2800 ASA5510 42 / 39

Vue d ensemble (AS 2) MIR VLAN 222 serveur2.core1 VLAN 221 serveur1.core1 VLAN 320 ISS 43 / 39

VLAN 221 Vue d ensemble (AS 3) serveur1.core1 VLAN 320 ISS J2 VLAN 332 J1 VLAN 333 VLAN 331 PSEUDOL MEDIAL VLAN 430 J4 44 / 39

Vue d ensemble (AS 4) serveur3.ent1 Catalyst 2800 ASA5510 serveur1.ent1 serveur2.ent1 VLAN 443 VLAN 444 VLAN 442 serveur3.ent2 Load Balancer J2300-2 Firewall2.ent2 VLAN 441 VLAN 420 serveur3.ent2 DMZ J2300-1 Firewall1.ent2 V 45 / 39

Topologie physique Au moins un commutateur par AS Topologie physique en étoile Tous les équipements sont connectés au commutateur Permet le port mirorring sur chaque commutateur AS 2 serveur1.ent2 eth2 eth1 eth0 serveur3.ent2 eth2 eth1 eth0 0/0 0/1 0/2 Firewall2.ent2 J2300-1 Port0 Port1 40 41 42 49 50 51 55 56 57 58 59 420 1 3 5 7 9 11 13 15 17 19 21 23 2 4 6 8 10 12 14 16 18 20 22 24 400 420 444 441 442 443 421 430 431 999 AS 4 46 47 48 52 53 54 71 140 60 61 430 eth2 eth1 eth0 0/0 0/1 0/2 Port0 Port1 AS 3 serveur2.ent2 Firewall1.ent2 MGMT4 J2300-2 Topologie physique du commutateur de l AS 4 46 / 39

Routeur Juniper 3 Carte compact flash corrompue (lecture impossible) Formatée en UFS (BSD) Fichier junos-jseries-8.2r2.4-export-cf256 (commande dd) Détails dans le manuel et le rapport 47 / 39

Routeur Juniper 3 AS 2 VLAN 331 13.8.0.0/27 2d05:37:0:331::/64 ProCurve 2900 HP1 VLAN 334 13.8.0.88/30 2d05:37:0:334::/64 J2 VLAN 320 28.5.254.4/30 2e70:13:254:320::/64 VLAN 335 13.8.0.92/30 2d05:37:0:335::/64 J1 J3 ProCurve 2900 HP2 VLAN 336 13.8.0.32/27 2d05:37:0:336::/64 PSEUDOL VLAN 333 13.8.0.84/30 2d05:37:0:333::/64 VLAN 430 13.8.254.0/30 2d05:37:254:430::/64 J4 VLAN 332 13.8.0.80/30 2d05:37:0:332::/64 MEDIAL AS 4 48 / 39

Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) local-pref 100 F P AS 2 F Cl AS 1 Cl AS 4 Cl F AS 3 P local-pref 200 49 / 39

Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) AS2 AS4 F P AS 2 F AS2 Cl AS 1 AS 4 AS-PATH Cl AS4 Cl AS3 F AS 3 AS-PATH AS3 P AS2 AS-PATH AS1 AS3 AS4 AS1 AS-PATH AS2 AS2 AS2 AS3 AS4 50 / 39

Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) F P AS 2 F Cl AS 1 AS 4 Cl Cl F AS 3 AS4 P AS1 AS4 AS-PATH AS1 AS3 AS4 AS-PATH AS2 AS-PATH AS-PATH AS3, AS4 AS2 AS2 AS3 AS4 AS2, AS4 AS2, AS1 51 / 39

Border Gateway Protocol Implémenté dans l ensemble des ASs Plusieurs relations : Client, Fournisseur et Pair Attribut local-pref : avoir le plus de sauts possible (MPLS dans AS 3) AS1 AS3 F P AS 2 AS3 AS4 AS3, AS4 F Cl AS 1 AS 4 AS-PATH AS2 Cl Cl F AS2 AS2, AS4 AS2, AS1 AS 3 AS-PATH AS2 P AS-PATH AS1 AS3 AS4 AS3, AS4 AS-PATH AS2 AS2, AS3 AS2, AS4 AS2, AS3, AS4 AS3 AS4 AS3, AS2 AS2, AS4 AS3, AS2, AS1 AS2, AS1 AS2, AS1 52 / 39

NTP (Network Time Protocol) serveur1.core1 MEDIAL Serveurs AS 1 Serveurs AS 4 requête NTP serveur3.ent1 serveur2.core1 PSEUDOL serveur3.ent2 53 / 39

SNMP (Simple Network Management Protocol) Nagios 54 / 39

SNMP (Simple Network Management Protocol) Cacti 55 / 39

QoS Cisco IOS Classification de trafic : class-map ou rate-limit Selon ACL, DSCP, input-interface,... Politique de trafic : policy-map File d attente, bande passante, mise en forme Attacher les politiques aux interfaces : input ou output 56 / 39

QoS Juniper JunOS forwarding-classes : files d attente classifiers : identifier la classe d un paquet Behavior Aggregate (BA) : code-points DSCP, EXP Multifield Classifier (MF) : attributs IP, transport (firewall filters) policer : politique de trafic pour un flot input/output schedulers : ordonnancement/mise en forme des flots associés aux files d attente drop-profiles : gestion de file d attente rewrite-rules : re-marquer les paquets (BA Classifier) 57 / 39

Références I K. Dooley et I. Brown (2006). Cisco IOS Cookbook. (2 e ed.). O Reilly. W. Goralski, C. Gadecki M. Bushong (2011). Jun OS for DUMMIES. (2 e ed.). Wiley. G. Pujolle (2011). Les réseaux. (7 e ed.). Eyrolles. A. Tanenbaum et D. Wetherall (2011). Comupter Networks. (5 e ed.). Pearson. 58 / 39

Références II Site web Cisco. Accès : http://www.cisco.com Site web Juniper. Accès : http://www.juniper.net Site web HP. Accès : http://www.hp.com Site web Extreme Networks. Accès : http://www.extremenetworks.com 59 / 39