CR IETF 63 Paris rpsec Routing Protocols Security Requirements WG Envoyés à la mailing-list: besoins en sécurité pour BGP Travail des 2 prochains mois: vulnérabilités d'ospf, BGP attack tree Après: MANET? IP mobile? IS-IS? RIP? ***** Efficient BGP security, Meiyuan Zhao, Sean Smith, David Nicol S-BGP transporte une RA (Route Attestation) et une AA (Address Attestation) sous forme de PKI. La RA permet d'authentifier un AS path. A chaque nœud, authentification des données BGP => éventuels problèmes de performance: tailles des messages x8, mémoire x10. => Signature Amortization: vérification rapide de la signature par agrégation des signatures de chaque AS par hachage. 2 variantes de signature: GAS (General Aggregation Signature) / SAS (Sequential Aggregation Signature) 2 variantes d'agrégation: par vecteurs de bits / par arbre Après tests, solution retenue: GAS-V Futur: test de l'impact des PKI: CRL (Certificate Revocation List) vs OCSP (Online Certificate Status Protocol) mpls MultiProtocol Label Switching WG ***** MPLS extensions to ICMP, Ron Bronica draft-ietf-mpls-icmp-03 Update d'un draft écrit il y a cinq ans et qui bien que largement implémenté, n'est jamais devenu un RFC car l'iesg considère qu'il y a une "violation de couches": informations MPLS transportées par de l'icmp Pourtant, ce draft est nécessaire car le RFC 792 (ICMP) ne définit pas de mécanisme permettant de reporter un header MPLS dans un message ICMP. Problème à résoudre au cœur du réseau MPLS : le LSR enlève le stack de labels pour forger le paquet ICMP quid du transport du résultat?? ***** Nouveau RFC : RFC 4090 Fast Reroute Extensions for RSVP-TE for LSP Tunnels ***** Drafts en cours de rédaction par le WG : draft-ietf-mpls-lsr-self-test draft-ietf-mpls-oam-frmwk draft-ietf-mpls-oam-requirements-06 draft-ietf-mpls-over-l2tpv3 draft-ietf-mpls-p2mp-sig-requirement draft-ietf-mpls-rsvp-te-p2mp draft-ietf-mpls-rfc3036bis-01 Emilie Camisard GIP RENATER 1
draft-ietf-mpls-soft-preemption ***** LDP to draft standards, Ina Minei draft-ietf-mpls-rfc3036bis-01 draft-minei-ldp-operational-experience-01 Dernières relectures. Utilisation de LDP, comment le déployer, dans quel cadre Questionnaire de besoins envoyé, mais peu de réponses. ***** LSR self test, George Swallow draft-ietf-mpls-lsr-self-test A été en attente de la spécification du ping LSP. Draft désormais prêt, dernier appel à contributions. ***** P2MP LSP Ping draft-yasukawa-mpls-p2mp-lsp-ping-02 Depuis Minneapolis, les objectifs du draft ont été précisés. Il est possible d effectuer un ping sur un arbre ou d un équipement particulier. Va très certainement devenir un WG document. draft-nadeau-mpls-interas-lspping-00 Utilisation du ping LSP en milieu inter-as. Problème si l adresse IP contenue dans le paquet n est pas annoncée à tous les AS traversés. Solution indiquée : l ASBR doit se souvenir qu un ping LSP a transité par lui, de manière à ce que les erreurs éventuelles de routage lui soient remontées. ***** P2MP OAM requirements draft-yasukawa-mpls-p2mp-oam-reqs-00.txt Détection et reporting d erreurs liées au plan de contrôle. Le document est à relire et à clarifier davantage, avant d en faire très certainement un WG document. ***** Detecting P2MP dataplane failures, Rahul Aggarwal draft-ietf-mpls-rsvp-te-p2mp-02 draft-yasukawa-mpls-p2mp-lsp-ping-02 draft-nadeau-mpls-interas-lspping Manque de clarté du RFC 3032 (MPLS Label Stacking) sur les définitions des LSP utilisés par l unicast ou le multicast. Trois aspects différents sont traités dans chacun des drafts. UAL: Upstream label allocation. Plus pratique pour l ajout d un équipement à un arbre multicast. Suggestion qu au lieu de différencier l unicast du multicast, il serait plus opportun de distinguer l upstream allocated du downstream allocated. ***** MPLS multicast encapsulation draft-leroux-mpls-mp-ldp-reqs-01 Emilie Camisard GIP RENATER 2
draft-rosen-mpls-multicast-encaps-00 draft-raggarwa-mpls-upstream-label-00 Préfèrent l'attribution de labels en upstream pour pouvoir ajouter facilement un nouveau client en gardant une homogénéité dans les numéros de labels: à spécifier car le RFC3031 réduit la distribution de label à du downstream. Proposition d'ajouter un objet RSVP-TE: UPSTREAM_ASSIGNED_LABEL. En cas de réception de cet objet, le LSR ne renverrait pas de label en retour de la demande d'établissement de LSP. ***** LDP et P2MP, Jean-Louis Leroux, FT Propose : - Un nouveau type de FEC avec root address et LSP identifier - Unsollicited label distribution, ordered distribution of labels, egress initiated draft-minei-mpls-ldp-p2mp-01 draft-yasukawa-mpls-ldp-mcast-over-p2mp-lsps-00 draft-raggarwa-mpls-rsvp-ldp-upstream-00 draft-wijnands-mpls-ldp-mcast-ext-00 Proposent de créer un nouveau type de FEC à partir : - de l'adresse de la racine de l'arbre - du type d'arbre - de l'"opaque value" : sorte d'id de LSP l3vpn Layer 3 Virtual Private Network WG ***** Déjà publiés sous forme de RFC: generic requirements, terminology, service requirements, framework, security framework. ***** Travaux actuels : - Requirement for multicast - Multicast solution in bgp ip vpn - CE-CE member verification - l3vpn import export verification - appl stat, framework - definition textual convention mib for bgp/mpls ip vpn. ***** Multicast VPN Requirements - Thomas Morin draft-ietf-l3vpn-ppvpn-mcast-reqts-01 Un update a été fait récemment, avec les changements suivants: ajout de parties sur les CsC requirements et la QoS. Les besoins pour le déploiement figurent sous la forme de use cases. Questionnaire pour les ISP sur le VPN multicast: quels déploiements prévus, avec quelles technologies Réponse avant le15/9. Reste à compléter le draft avec les résultats du questionnaire + revoir les besoins (protocoles PE- CE, inter-as, CsC ) ***** Multicast VPN MIB - Tom Nadeau draft-svaidya-mcast-vpn-mib-02 Emilie Camisard GIP RENATER 3
Management des technos proposées dans le draft multicast de Rosen. pwe3 Pseudo Wire Emulation Edge to Edge WG ***** Luca Martini, Requirements for inter domain Pseudo-Wires draft-ietf-pwe3-ms-pw-requirements-00 Définit les bases de la signalisation pour l interaction entre LDP, L2TPv3, liens statiques PW «single segment» (SS) avec LDP PW «multi segment» (MS) avec RSVP-TE ***** Matthew Bocci, An Architecture for Multi-Segment Pseudo Wire Emulation Edge-to- Edge draft-bocci-bryant-pwe3-ms-pw-arch-00 Modèle de couches de protocoles: RFC 3985 excepté que le PW est indépendant du tunnel PSN (Packet Switched Network). Modèle de S-PE : ------------------------------------------------------- S-PE<-----> single PW instance forwarder single PW instance <-------> S-PE ------------------------------------------------------- L2 protocol L2 protocol PW demux <--------PW SEGMENT -----------> PW demux PSN physical layer <--------PSN TUNNEL -----------> PSN physical layer ***** Rahul Aggarwal, draft-raggarwa-rsvpte-pw-02 Création de LSP avec RSVP-TE car de nombreux mécanismes sont déjà fournis par ce protocole et on évite le full-mesh des U-PE et des Tunnels PSN. ***** Multi-Segment Pseudowire Setup and Maintenance using LDP, Florin Balus draft-balus-mh-pw-control-protocol-02 Création dynamique d un MS-PW, qui est constitué de plusieurs SS-PW Next hop déterminé par BGP ou statique. ***** Multi-Segment Pseudo Wire Signaling Himanshu Shah draft-shah-bocci-pwe3-ms-pw-signaling-01 Extensions de protocoles de signalisation car les PW ne sont pas des LSP normaux : signalisation amorcée par le U-PE downstream l1vpn Layer 1 Virtual Private Network WG Spécification de mécanismes nécessaires à la fourniture de services de VPN de niveau 1 (connexions de niveau 1 entre des CE) sur un réseau d ISP basé sur du GMPLS. Emilie Camisard GIP RENATER 4
***** Actions: Sept 05: Draft Framework + Basic mode specs Dec 05: MIB basic mode Jun 06: first drafts of enhanced mode specs ***** Overview of L1VPN Framework and Requirements, Marco Carugi Liaison entre ITU-T SG13 et IETF Questionnaire de besoins émis par l'itu, pas beaucoup de réponses. A abouti à 2 recommandations: Y.1312 (L1 VPN Generic Requirements and Architecture elements) : septembre 2003 Y.1313 (L1 VPN service and network architectures) : mai 2004 ***** draft-takeda-l1vpn-framework-04, Tomonori Takeda Deux modèles de services sont définis : - basic mode : les fonctions de l interface CE-PE sont limitées aux aspects de signalisation. Le réseau du provider n est pas impliqué dans la distribution des informations de routage propres au réseau du client. - enhanced mode : les fonctions de l interface CE-PE sont celles du «basic mode» + échange limité d informations entre les plans de contrôle du provider et du client. ***** Overview of Existing Solutions Drafts draft-ouldbrahim-ppvpn-gvpn-bgpgmpls-06 draft-ietf-ccamp-gmpls-overlay-06 Unité de base d'un L1VPN: le LSP entre des CE concept de GVPN: Generalised VPN. 2 services offerts par GVPN: - GVPW (Generalised Virtual Private Wire) : basic mode - GVPXC (Generalised Virtual Private Crossconnect): enhanced mode ***** GMPLS UNI: RSVP-TE for overlay model UNI entre le CE et le PE, pas d'échange d'information de routage au niveau du client. ccamp Common Control and Measurement Plane WG ***** Drafts en cours de rédaction: - GMPLS addressing - GMPLS - ASON lexicography - ASON routing evaluation - LSP stitching - interdomain RSVP-TE - path computation per-domain - ASON signalling ***** Interactions avec autres groupes de travail: - Q.14: routing signalling req lexicographie Emilie Camisard GIP RENATER 5
- Q.9/11/12 : Ethernet functions / interfaces GFP et LCAS / Ethernet : architecture et services + ASON - OIF: fin de UNI 2.0 et début de E-NNI 2.0 ***** Inter-domain Stitching - draft-ietf-ccamp-lsp-stitching-01 Problématique non résolue: quelle signalisation pour créer des LSP bidirectionnels? Solutions : envois de labels en upstream, ajout de flags dans LDP, envoi d un seul label pour les 2 sens. Possibilité de passer de PSC-n à PSC-n+1 interdite. Soulevé également : jusqu'à maintenant, aucun algorithme CSPF spécifié ***** GMPLS Addressing - draft-ietf-ccamp-gmpls-addressing-01 A résoudre: par quel biais un routeur egress peut-il connaître un routeur ingress et savoir qu'une FA (forwarding adjacency) est présente dans le LSP? ***** GMPLS Lexicography, Igor Bryskin Ce lexique doit permettre aux personnes maîtrisant la terminologie ASON de saisir rapidement le contenu d un RFC sur GMPLS. ***** GMPLS for Ethernet, Dimitri Papadimitriou draft-papadimitriou-ccamp-gmpls-ethernet-framework-00 Identifie les fonctionnalités requises dans les plans de contrôle : link discovery, signalisation, routage. Scénarios dans lesquels le GMPLS pourrait être utile : - Aggregation: réseaux d accès - Metro - Unified / Core: réseau intégrant les paquets IP, les trames Ethernet, la commutation de circuits. - Transport / Core: passage à travers plusieurs AS. ***** Prochains sujets d'étude: - MPLS-GMPLS migration - GMPLS interoperability issues - L1VPN => new WG - PCE (Path computation elements) requirements ***** Nouveaux sujets récents: - control and use of VCAT/LCAS - control plane saturation - MIB for IGP-TE/ GMPLS - Advertisements for TE/GMPLS capabilities - interpretation of CSPF constraints Emilie Camisard GIP RENATER 6