Architecture pour la prise en compte des raccordements multiples



Documents pareils
Note d Application. Bascule d ALOHA via injection de route en BGP

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Le protocole IPv6 sur le Réseau Académique Parisien

Fonctions Réseau et Télécom. Haute Disponibilité

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

ROUTEURS CISCO, PERFECTIONNEMENT

Architecture Principes et recommandations

La supervision des services dans le réseau RENATER

Le service IPv4 multicast pour les sites RAP

La refonte du backbone de RAP

Travaux pratiques IPv6

Influence des bonnes pratiques sur les incidents BGP

Introduction aux Technologies de l Internet

Pré-requis techniques

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

Assemblée générale ordinaire de l association SYRHANO 20 mars 2012

CONVENTION AVEC LES MAITRES D OUVRAGES DES RESEAUX DE COLLECTE

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Réseaux IUP2 / 2005 IPv6

Compte-rendu du TP n o 2

RECTORATC / AC

Présentation générale. Novembre 2013

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Evoluez au rythme de la technologie

Plan. Rappels sur Netflow v1 v8. Netflow v9. Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6

Cahier des Clauses Techniques Particulières

Protocoles de routage RIP, OSPF, BGP

Gestion et Surveillance de Réseau

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Plateforme de management de liens multi-opérateurs multi-supports VISP. (VIrtual Services Provider) Contact :

Réseau Privé d entreprise

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Les réseaux de campus. F. Nolot

Un concept multi-centre de données traditionnel basé sur le DNS

Pare-feu VPN sans fil N Cisco RV120W

Architecture de Réseaux Redondants

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

TutoJRES MétrologieM Mesures passives

IPv6. Autoconfiguration avec état DHCPv6 Objectif: Quelle est l'utilité de DHCP avec IPv6? v.1a E. Berera 1

Mise en place du réseau métropolitain grenoblois TIGRE

Check Point Certified Security Expert R75. Configurer et administrer des solutions avancées de la suite des produits de sécurité Check Point R71.

Présentation et portée du cours : CCNA Exploration v4.0

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

INGENIERIE ET DEPLOIEMENT DE RESEAUX COMPLEXES WiMAX - INTERNET - VoIP

TP 2 Réseaux. Adresses IP, routage et sous-réseaux

DTS MOBATime's Distributed Time System

Dr Rim Belhassine-Cherif Directeur de Développement de Produits et Services.

Configuration des routes statiques, routes flottantes et leur distribution.

Groupe Eyrolles, 2000, 2004, ISBN :

Contrôle d accès Centralisé Multi-sites

Mettre en place un accès sécurisé à travers Internet

de trafic sur l infrastructure de production MPLS de RENATER

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

Métrologie des réseaux IP

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session Option SISR

Cours admin 200x serveur : DNS et Netbios

LE RESEAU GLOBAL INTERNET

Chapitre 1 Le routage statique

Le NIC France. Annie Renard INRIA. BP , Le Chesnay CEDEX Septembre 1995

Plan. Programmation Internet Cours 3. Organismes de standardisation

Connect FH. La connectivité Très-Haut Débit par faisceaux hertziens

IPFIX (Internet Protocol Information export)

LES RESEAUX VIRTUELS VLAN

Architecture de Réseaux Redondants

Sécurité des réseaux sans fil

Extrait de Plan de Continuation d'activité Octopuce

INTERCONNEXION SECURISEE AVEC LA DOUANE SPÉCIFICATIONS POUR LES PARTENAIRES

Routeur VPN Wireless-N Cisco RV215W

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

CheckPoint R76 Security Engineering niveau 2 (Cours officiel)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Le catalogue TIC. Solutions. pour les. Professionnels

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Services Colt IP VPN Colt Technology Services Group Limited. Tous droits réservés.

Présentation et portée du cours : CCNA Exploration v4.0

CAHIER DES CHARGES «Accès internet : Fibre optique» Déploiement d une solution internet à très haut débit et à débit garanti.

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Evoluez au rythme de la technologie

TESTING NETWORK HARDWARE

Sécuriser le routage sur Internet

Le Haut & Très Haut Débit

ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS FEFORT ÉLÉMENTS DE CORRECTION

Configuration du serveur ESX

IP Exchange Network Architecture et Services. EFORT

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Annexe A : Énoncé des travaux. Service d interconnexion Internet (SII) pour Services partagés Canada (SPC)

Evolution de l infrastructure transport

ROUTING AND SWITCHING ICND ICND ROUTE...10 SWITCH...12 TSHOOT...14 BGP...16 DESGN...18

TOPOLOGIES des RESEAUX D ADMINISTRATION

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Expérience pilote de ToIP sur RAP

Licence professionnelle Réseaux et Sécurité Projets tutorés

Transcription:

Architecture pour la prise en compte des raccordements multiples Description : Ce document présente l architecture, principalement basée sur le protocole de routage BGP, pour les raccordements multiples des sites à. Version actuelle : 1.12 Date : 22/09/09 Auteur : LD Version Dates Remarques 1.0 29/05/07 Création du document 1.12 22/09/09 Ajout «Ultime Recours» 1

Table des matières Table des matières... 2 Introduction... 2 1 Raccordement fiabilisé de sur :... 3 2 Raccordement fiabilisé d un site sur :... 4 2.1 Raccordement d un site à 2 PEs :... 6 2.2 Raccordement de 2 sites secourus mutuellement... 8 2.3 Envoi de la communauté à... 9 2.4 Accès réseau d ultime recours :... 10 2.5 Accès nominal par un autre FAI :... 12 2.6 Exemples de configurations pour le routeur de site... 13 Introduction Le raccordement fiabilisé à permet une répartition de charge et une redondance entre les deux routeurs d accès de : pe-jussieu et pe-odeon. La répartition du trafic entre et s obtient par le partitionnement de en deux zones : la zone Odéon (O) et la zone Jussieu (J). Dans l état normal de fonctionnement, le trafic des sites raccordés aux PoP Odéon, Malesherbes et Auteuil transite par pe-odeon, et, le trafic des sites raccordés aux PoP Cnam et Jussieu transite par pe-jussieu. Les mécanismes permettant la redondance et la répartition de charge ont donc été généralisés pour que les sites puissent bénéficier, à leur tour, d un raccordement fiabilisé sur. Ce document est valable pour les services IPv4 et IPv6 unicast et vient compléter, au niveau des mécanismes et de l architecture de routage, le document «Mise en place de raccordement fiabilisé pour les sites sur». Pour les services IPv4 et IPv6 multicast, un raccordement en mode préconisé et une étude au cas par cas sont nécessaires. Cependant, la répartition de charge du trafic IPv6 entre et est moins souple, puisque seuls les /48 sont acceptés par. Pour les VPN de niveau 2, il faut se référer au document http://www.rap.prd.fr/pdf/service_l2vpn_vpls.pdf. 2

1 Raccordement fiabilisé de sur : Deux peering BGP sont établis entre et depuis pe-jussieu et pe-odeon : - annonce à toutes les routes de l Internet (BGP Full Routing) - annonce à ses préfixes et ceux des sites raccordés Chacun des préfixes des sites raccordés à est annoncé deux fois à. contrôle ses annonces BGP et utilise les valeurs de communauté 1 suivantes : 2200:590 2 : Chemin de secours 2200:610 3 : Chemin nominal J Routes sites J : 2422:610 Routes sites O : 2422:590 full routing v4/v6 NR JUSSIEU O Routes sites O: 2422:610 Routes sites J : 2422:590 full routing v4/v6 NR PARIS 1 Figure 1 Raccordement fiabilisé de à Pour un préfixe annoncé à depuis pe-jussieu avec la communauté 2200:610, par exemple, le trafic provenant de et à destination de ce préfixe transitera, dans l état normal de fonctionnement par pe-jussieu, et, par pe-odeon en cas d incident sur le chemin nominal. 1 Communautés : attribut BGP qui permet de générer des groupes de destinations (préfixes IP) qui partagent des propriétés communes. Une communauté BGP est transitive, elle se propage d AS en AS. 2 Communauté spécifiée par ayant pour effet de rendre la route moins prioritaire. 3 Idem : http://www.renater.fr/spip.php?article614. 3

En ajoutant l attribut BGP de communauté à nos annonces, on influence le chemin de retour du trafic de nos sites. Il existe donc une hiérarchie à 2 niveaux de priorités pour chaque préfixe IP, dont le schéma ci-dessus montre la répartition par zone. Aussi, tous les PE de sont en full-mesh ibgp, grâce aux pe-jussieu et pe-odeon qui remplissent la fonction de route reflector (RR) et qui redistribuent du full-routing. Ainsi, pour le trafic provenant des sites et à destination de, c est par le paramétrage de l ibgp et de l IGP de que le trafic emprunte le bon chemin de sortie et que l on évite une asymétrie de trafic. 2 Raccordement fiabilisé d un site sur : C est le même principe qui est reprit dans ce cas. On généralise au backbone les mécanismes de fiabilisation mis en œuvre en visant les 2 objectifs suivants : - Le site contrôle le trafic sur ses accès à - Le routage avec s adapte dynamiquement selon les réglages au niveau du site. Le site choisi pour chacun de ses préfixes IP le PoP nominal et le PoP de secours en utilisant, ici aussi, l'attribut BGP community. A noter, le format d annonce d une communauté doit suivre la recommandation du RFC 1997 : <numéro d AS de sur 2 octets (2422) > : <valeur de la communauté sur 2 octets > Une table des correspondances est configurée sur chacun des PE entre la communauté BGP envoyée par le site et une local-preference qui sera transitive dans l ibgp de. Le site agit ici sur le choix du chemin retour de son trafic, il doit par ailleurs agir sur son réseau interne pour le choix du chemin de son trafic sortant en vue de garder un trafic symétrique. A chaque PoP ou PE est donc attribué une valeur de communauté de référence permettant de le rendre prioritaire : Priorité du POP Valeur de la communauté Jussieu Odéon Auteuil Malesherbes CNAM 100 1 2 2 2 2 200 2 1 2 2 2 300 2 2 1 2 2 400 2 2 2 1 2 500 2 2 2 2 1 Tableau 1: Communautés de référence par PoP Un site raccordé à 2 PoPs choisi pour chacun de ses préfixes IP par quel PoP il transite en priorité. Il annonce à ses routes avec la valeur de communauté de référence du PoP choisi comme prioritaire et avec cette même valeur de communauté sur l autre PoP choisi comme secours. Cette méthode est généralisée à tous les PE dont voici le schéma global résultant : 4

100 600 200 600 300 500 400 900 500 600 100 600 200 600 300 900 400 600 500 600 100 500 200 500 300 500 400 500 500 1000 O 100 600 200 900 300 600 400 600 500 600 100 1000 200 500 300 500 400 500 500 500 J Lpf. Com. 1000 590 900 610 600 610 500 590 Lpf. Com. 1000 610 900 590 600 590 500 610 Com.: communauté Lpf. : local-preference Figure 2 : Correspondances Communauté - Local-preference sur Réciproquement, une table des correspondances sur pe-odeon et pe-jussieu entre la localpreference obtenue et la communauté BGP envoyée à permet de gérer dynamiquement l annonce des routes vers selon les réglages du site. Les mécanismes qui permettent de «transformer» une communauté en local-preference et l inverse sont des policy (en terme Juniper, route-map en terme cisco) : Site Annonces BGP Annonces BGP Policy-in Communauté BGP envoyée par le site = Local-preference dans l ibgp de Policy-out Local-preference dans l ibgp de = Communauté BGP envoyée à Figure 3 : Principe des correspondances community - local-preference 5

2.1 Raccordement d un site à 2 PEs : Site Policy-in Localpref ibgp Policy-out Préfixe IP1 : Communauté 2422:500 Préfixe IP2 : Communauté 2422:400 O J Préfixe IP1 : 2422:590 Préfixe IP2 : 2422:610 Figure 4 : Site raccordé à 2 PE Le site envoie ses routes avec les valeurs de communautés de références. Chaque PE met en œuvre une policy en entrée (policy-in ou route-map) sur les annonces BGP envoyées par le site, permettant de définir une local-preference, dont voici les caractéristiques : - Une annonce est rejetée si elle comporte une valeur de communauté non définie sur - Seules les routes connues dans SI 4 pour le site sont acceptées. - Seules les routes comportant le bon numéro d AS sont acceptées. - Allocation d une local-preference pour chaque préfixe en fonction de la communauté envoyée. Et, chaque PE met en œuvre une policy en sortie (policy-out ou route-map) afin de n annoncer qu une route par défaut au site. Exemples de configurations mises en œuvre sur un PE : - PE-JUSSIEU : [policy-options ] 4 SI : Système d Information du Réseau Académique Parisien. 6

policy-statement BGP-FILTER-SITE_A-IN { term ok { from { as-path AS-SITE_A; route-filter X.X.X.X/Y orlonger;... then next policy; term default { then reject; policy-statement community-100-200 { term comm100 { from community -community-100; local-preference 1000; accept; term comm200 { from community -community-200; local-preference 500; accept; term default { then reject; policy-statement BGP-FILTER-SITE_A-OUT { term default-route { from { prefix-list default-route; then accept; term default { then reject; community -community-100 members 2422:100; community -community-200 members 2422:200; as-path AS-SITE_A "^AS_SITE_A.*"; 7

[routing-options] autonomous-system 2422; [protocols] bgp { group SITE_A { type external; local-address Y.Y.Y.Y; passive; import [ BGP-FILTER-SITE_A-IN community-100-200 ]; family inet { any; export BGP-FILTER-SITE_A-OUT; peer-as AS_SITE_A; neighbor X.X.X.X; 2.2 Raccordement de 2 sites secourus mutuellement Site A Site B Localpref ibgp Préfixe IP site A : Communauté 2422:400 Préfixe IP site B : Communauté 2422:500 Policy-in Policy-out O J Préfixe IP site B : 2422:590 Préfixe IP site A : 2422:610 Figure 5 : Sites secourus mutuellement 8

Si deux sites raccordés à sur 2 PoPs différents ont une liaison qui les raccorde entre eux, chacun d eux peut devenir le backup de l autre. Dans ce cas, il faut que la policy en entrée sur les annonces BGP envoyées par le site autorise les routes de chacun des deux sites, ainsi que l AS des 2 sites (s ils sont différents). Le site peut aussi demander à ce que du trafic inter-site, passe non pas par leur liaison directe mais par. Dans ce cas, il faut aussi autoriser, en plus de la route par défaut, l annonce en BGP des routes du site A vers le site B et l inverse. On modifie pour cela la policy en sortie des annonces BGP vers le site. En interne, le site doit donc mettre en œuvre les bons mécanismes de priorisation des routes (local-preference, coût IGP, etc ) afin de bien organiser sa répartition de trafic inter-site. 2.3 Envoi de la communauté à La local-preference transitant dans l ibgp de dont la valeur est déterminée par la communauté envoyée par le site est analysée par pe-odeon et pe-jussieu afin d en déduire la communauté à envoyer vers. - Les communautés admises sur sont les suivantes : 2200:610 (Communauté libre d utilisation) : Cette communauté permet de déclarer un chemin primaire dans le cas d un réseau avec plusieurs attachements sur. 2200:590 (Communauté libre d utilisation) : Cette communauté permet de déclarer un chemin secondaire dans le cas d un réseau avec plusieurs attachements sur. 2200:290 (Sous réserve de validation, faire la demande au NOC-) : Un préfixe reçu avec cette communauté ne sera pris en compte que s il n existe pas de route alternative. Cette communauté permet donc à un établissement multi-homé de prioriser un accès via un autre opérateur que. Cette communauté n est disponible que pour les sites ayant des adresses PI. 2200:3000 (Communauté libre d utilisation) : Un préfixe reçu avec cette communauté ne sera pas annoncé sur GEANT, les transits et les points d échange. Cette communauté n est disponible que pour les sites ayant des adresses PI. Pour les préfixes dérivés des blocs (Adresses PA), il n est pas possible d utiliser cette fonctionnalité puisque les préfixes agrégés sont annoncés. On les déclare dans le contexte [ policy-options ] : community -Community-Backup members 2200:590; community -Community-Main members 2200:610; community -Community-Passive members 2200:290; Une table des correspondances local-preference/communauté est configurée à l aide d une policy : o PE-JUSSIEU : [policy-options] 9

policy-statement bgp-renater-out-new { term localpref1000-to-community { from local-preference 1000; community set -Community-Main; next term; term localpref900-to-community { from local-preference 900; community set -Community-Backup; next term; term localpref600-to-community { from local-preference 600; community set -Community-Backup; next term; term localpref500-to-community { from local-preference 500; community set -Community-Main; next term; 2.4 Accès réseau d ultime recours : Un site peut recourir à l établissement d un raccordement dit «d ultime recours» en vue d atteindre un degré très élevé de disponibilité de son accès réseau à. De manière générale, le site met en place cet accès pour ses services critiques, cependant le choix des préfixes IP et des débits à supporter sur ce lien est à son entière appréciation. Ce raccordement peut être un accès direct sur avec un accès bas-débit de 2 à 20 Mbit/s (cela concerne les sites haut-débit) ou bien un accès par VPN sous la forme d'un tunnel IPSEC (cela concerne les sites haut-débit comme bas-débit) terminé dans un équipement de cœur de. Dans ce deuxième cas, le site est seul responsable de la mise en place et du fonctionnement du raccordement à Internet utilisé pour son accès d ultime recours, et devra par ailleurs disposer de l équipement terminateur du tunnel sur son site. 10

100 500 200 500 300 500 400 900 500 500 100 500 200 500 300 500 400 500 500 1000 100 1000 200 500 300 500 400 500 500 500 100 500 400 Lpf. Com. 1000 610 900 590 600 590 500 610 400 610 390 590 O J 100 600 200 600 300 900 400 600 500 600 100 600 200 900 300 600 400 600 500 600 Lpf. Com. 1000 590 900 610 600 610 500 590 400 590 100 500 390 390 610 Com.: communauté Lpf. : local-preference Figure 6 : Ajout de local-preference sur pour les accès d ultime recours Chaque site ne peut disposer que d'un accès d'ultime recours au maximum et de part la configuration BGP fixée sur, sa priorité est strictement moins élevée que celles de l accès nominal (site bas-débit ou site en raccordement haut-débit simple) et de l accès secondaire (site haut-débit en raccordement fiabilisé). En temps normal, aucun trafic de production ne passe par cet accès d'ultime recours. Pour bénéficier pleinement du dispositif, un site haut-débit aura au préalable migré vers un raccordement fiabilisé avant d avoir recours à cette solution. Pour rendre homogène les configurations BGP, toutes les valeurs de communauté [100-200-300-400-500] sont acceptées, cependant, de part la nature strictement moins prioritaire des routes reçues, fixe en statique la local-preference correspondante sur. Exemple pour un site haut-débit en raccordement fiabilisé avec un ultime recours par un accès bas-débit : 11

Site même câble optique OBS Préfixe IP1->2 : Com. 2422:500 Préfixe IP1->5 : Com. 2422:500 Préfixe IP5->n : Com. 2422:400 O J Préfixe IP1->2 : 2422:590 Préfixe IP1->5 : 2422:590 Préfixe IP5->n : 2422:610 Figure 7 : Un accès réseau d ultime recours par le service bas-débit de 2.5 Accès nominal par un autre FAI : Un site raccordé à un FAI peut choisir ce dernier comme chemin nominal. Pour cela, la communauté 2200:290 sera transmise par à. Dans le cas où le FAI tombe et que prend le relais, et puisque les routes du site sont transmises par les 2 accès à, il faut rendre l un des 2 accès moins prioritaire. n a pas prévu d autres communautés pour ce faire, la configuration se basera donc sur du BGP prepending : on «gonfle» l as-path. Prenons l exemple d un site raccordé sur la partition Jussieu (faire l inverse pour un site de la partition Odeon) : - On transmet depuis le pe-jussieu la communauté 2200:290, pour cela on positionne les configurations suivantes dans le term qui accepte les routes pour l établissement dans le policy-statement bgp-renater-out-new : [policy-options] policy-statement bgp-renater-out-new {... term <nom de l établissment> { from { route-filter A.B.C.D/E orlonger; 12

... community set -Community-Passive; next term; - On transmet depuis le pe-odeon la communauté 2200:290 et on gonfle l as-path pour ses routes avec la méthode de BGP prepending, pour cela on positionne les configurations suivantes : [policy-options] policy-statement bgp-renater-out-new {... term <nom de l établissment> { from { route-filter A.B.C.D/E orlonger; community set -Community-Passive; then as-path-prepend "2422 2422"; next term;... 2.6 Exemples de configurations pour le routeur de site Se référer au document «Mise en place de raccordement fiabilisé pour les sites sur» en ligne sur le portail de. 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back