Professional Documents
Culture Documents
de rseaux
et tudes de cas
Seconde dition
CampusPress France a apport le plus grand soin la ralisation de ce livre afin de vous fournir une
information complte et fiable. Cependant, CampusPress France nassume de responsabilits, ni
pour son utilisation, ni pour les contrefaons de brevets ou atteintes aux droits de tierces personnes
qui pourraient rsulter de cette utilisation.
Les exemples ou les programmes prsents dans cet ouvrage sont fournis pour illustrer les descriptions thoriques. Ils ne sont en aucun cas destins une utilisation commerciale ou professionnelle.
CampusPress France ne pourra en aucun cas tre tenu pour responsable des prjudices ou dommages de quelque nature que ce soit pouvant rsulter de lutilisation de ces exemples ou programmes.
Tous les noms de produits ou marques cits dans ce livre sont des marques dposes par leurs
propritaires respectifs.
ISBN : 2-7440-0870-2
Copyright 2000
CampusPress France
Tous droits rservs
Toute reproduction, mme partielle, par quelque procd que ce soit, est interdite sans autorisation pralable. Une copie par
xrographie, photographie, film, support magntique ou autre, constitue une contrefaon passible des peines prvues par la
loi, du 11 mars 1957 et du 3 juillet 1995, sur la protection des droits dauteur.
10
10
11
12
12
Rsum ...............................................................................................................................
17
19
20
20
21
23
23
24
25
37
44
50
IV
57
58
58
60
62
66
67
67
68
68
70
71
72
74
75
75
75
76
76
77
81
81
81
82
84
90
91
91
92
92
95
98
101
101
102
102
103
103
105
107
108
110
113
113
114
114
117
119
121
123
124
125
125
125
131
133
134
136
138
138
139
139
140
141
146
147
148
148
149
150
151
152
152
153
VI
154
155
156
161
161
164
170
171
171
172
173
176
177
178
178
181
184
186
190
190
191
192
193
194
195
195
196
196
196
197
197
199
200
200
202
204
VII
205
206
206
207
208
209
210
210
211
217
220
220
221
223
224
225
228
228
230
230
233
236
239
244
252
256
257
257
257
258
261
265
266
266
267
268
268
270
VIII
272
273
273
276
276
278
278
282
283
284
288
289
290
291
292
292
293
294
298
300
300
301
302
303
306
307
307
308
308
309
309
309
310
311
312
313
IX
315
315
316
316
317
317
319
320
320
322
322
323
323
323
326
326
327
329
331
334
335
337
338
340
340
341
341
341
342
343
343
343
343
345
346
346
347
347
348
348
348
349
349
349
349
350
350
355
358
360
363
365
365
367
367
370
370
371
371
371
373
373
373
374
376
378
384
385
385
387
388
389
390
390
394
396
XI
396
397
398
400
401
408
409
410
411
413
415
417
418
418
419
420
421
422
422
423
426
428
429
430
433
434
434
435
436
436
439
439
441
443
443
443
444
444
445
XII
449
Prsentation ........................................................................................................................
Lectorat de ce chapitre .......................................................................................................
Termes et acronymes employs dans ce chapitre ..............................................................
Introduction ladministration de rseau ..........................................................................
Prsentation technique des quipements Cisco .................................................................
Introduction aux commutateurs ...................................................................................
Introduction aux routeurs .............................................................................................
Introduction aux commutateurs de niveau 3 ................................................................
Technologies communes aux commutateurs et aux routeurs .......................................
Protocole dadministration de rseau .................................................................................
Protocoles de base ........................................................................................................
Prsentation du modle dvnements .........................................................................
Directives dadministration de rseau ................................................................................
Conception efficace et armoires de cblage scurises ................................................
Identification des ports jugs "critiques" ......................................................................
Mise en place du suivi derreurs ..................................................................................
Collecte de donnes de rfrence .................................................................................
Valeurs de seuils ...........................................................................................................
Recommandations sur les commutateurs Cisco Catalyst ..................................................
Recommandations de conception et de configuration ..................................................
Etat des ressources de commutateur ............................................................................
Etat de chssis et denvironnement ..............................................................................
Etat de modules de commutateur .................................................................................
Topologie STP ..............................................................................................................
Informations de base de donnes de transmission de pont ..........................................
Erreurs de port ..............................................................................................................
Taux dutilisation des ports, broadcast, multicast, et unicast .......................................
Utilisation client ...........................................................................................................
Reporting de temps de rponse ....................................................................................
Variables MIB pour les environnements commuts .....................................................
Autres objets surveiller ..............................................................................................
Recommandations sur les routeur Cisco ............................................................................
Gestion des erreurs .......................................................................................................
Gestion des performances ............................................................................................
450
450
450
452
453
453
457
457
457
459
459
460
464
464
465
466
467
469
471
471
482
486
489
490
492
493
495
496
497
497
500
511
511
517
XIII
524
524
525
525
525
525
525
535
537
538
540
541
543
545
548
550
551
553
553
556
558
559
561
561
563
565
568
569
Chapitre 17. Configuration de EIGRP sur des rseaux Novell et AppleTalk ..................
571
571
572
572
582
582
583
585
XIV
587
Introduction ........................................................................................................................
MPOA avec AAL5 (RFC 1483) .........................................................................................
Circuits virtuels permanents (PVC) .............................................................................
Circuits virtuels commuts (SVC) ...............................................................................
Classical IP sur ATM (RFC 1577) .....................................................................................
Considrations de conception ......................................................................................
Topologie ......................................................................................................................
Configuration ...............................................................................................................
Dpannage ....................................................................................................................
Introduction LANE .........................................................................................................
Considrations de conception ......................................................................................
Topologie ......................................................................................................................
Configuration ...............................................................................................................
Dpannage ....................................................................................................................
Protocole MPOA (Multiprotocols Over ATM) ..................................................................
Considrations de conception ......................................................................................
Topologie ......................................................................................................................
Configuration MPOA ...................................................................................................
Dpannage ....................................................................................................................
Rsum ..............................................................................................................................
587
588
588
594
603
604
604
604
605
609
610
611
611
614
623
623
624
624
626
631
633
634
635
638
640
643
643
645
648
650
651
653
654
656
657
657
658
XV
660
660
660
661
663
663
664
664
664
665
666
666
666
668
670
671
671
672
672
673
674
675
675
676
676
676
677
677
677
678
679
679
681
681
683
684
XVI
685
685
687
687
691
692
694
696
698
701
702
704
705
705
706
707
713
Rsum ..............................................................................................................................
714
715
717
717
719
720
720
721
721
722
722
722
722
722
723
723
725
726
XVII
726
726
726
727
727
727
728
728
728
729
729
729
729
730
731
731
733
736
736
738
739
740
741
743
749
756
756
757
757
757
758
759
760
760
761
761
761
762
762
XVIII
763
764
765
765
768
769
769
770
771
774
774
774
775
775
Chapitre 23. HSRP pour un routage IP avec tolrance aux pannes ................................
777
780
781
783
785
787
789
789
789
790
793
807
807
807
808
808
809
811
811
815
816
XIX
821
822
824
827
827
828
831
832
834
Annexe F. Rduction du trafic SAP sur les rseaux Novell IPX .......................................
Listes daccs de filtrage des mises jour SAP .................................................................
Site central ....................................................................................................................
Sites distants .................................................................................................................
Mises jour SAP incrmentielles ......................................................................................
Site central ....................................................................................................................
Sites distants .................................................................................................................
Rsum ...............................................................................................................................
835
837
837
838
838
838
839
840
841
842
843
844
846
846
848
849
849
850
850
851
852
853
854
856
857
859
859
862
XX
865
865
867
867
868
868
868
869
870
872
Index .......................................................................................................................................
875
I
Architecture de rseaux
1
Introduction
Interrseaux DLSw+
10
11
12
13
1
Introduction
Par Atif Khan
Linterconnexion de rseaux, qui permet deux rseaux ou plus de communiquer, englobe tous les
aspects de la connexion des ordinateurs entre eux. Les rseaux se sont dvelopps pour pouvoir
rpondre des exigences de communication entre systmes terminaux trs varis. Ils ncessitent la
mise en uvre de nombreux protocoles et fonctionnalits pour pouvoir rester volutifs et tre administrs sans quil soit ncessaire de recourir en permanence des interventions manuelles. Les
rseaux de grande taille peuvent se composer des trois lments suivants :
m
les rseaux de campus, qui comprennent les utilisateurs connects localement, au sein dun
immeuble ou dun groupe dimmeubles ;
les rseaux tendus (WAN, Wide Area Network) qui relient des campus ;
les technologies de connexion distance, qui relient les bureaux de succursales et les utilisateurs
isols (itinrants et tltravailleurs) un campus local ou lInternet.
Partie I
Architecture de rseaux
Figure 1.1
Un exemple de rseau
dentreprise type.
WAN
Campus
Commutateur
Routeur A
WAN
Commutateur
LAN
Campus
Routeur B
Commutateur
LAN
WAN
Site 1
Hte A
Hte B
Site 2
Malgr les amliorations constantes des performances des quipements et des capacits des mdias
de transmission, il est clair que la conception dun rseau fait intervenir des environnements de plus
en plus complexes, impliquant de nombreux types de supports de transmission, de protocoles et
dinterconnexions des rseaux qui, de plus, ne sont pas contrls par une seule organisation. Une
approche prudente peut nanmoins aider le concepteur liminer une partie des difficults lies
lextension dun rseau au fur et mesure de son volution.
Ce chapitre prsente les technologies aujourdhui disponibles pour la conception de rseaux. Voici
les sujets gnraux qui seront traits :
m
Chapitre 1
Introduction
Figure 1.2
Exemple de rseau
de campus.
Routeur
Immeuble B
WAN
Routeur
Routeur
Commutateur
Immeuble C
Immeuble A
Token
Ring
Token
Ring
Un grand campus peut aussi exploiter une technologie de rseau tendu (WAN) pour raccorder des
immeubles entre eux. Bien quil utilise le cblage et les protocoles propres cette technologie, il
chappe aux contraintes de cot lev de la bande passante. Aprs linstallation du cblage, la
bande passante se rvle peu coteuse, car lentreprise en est propritaire et na donc pas supporter les frais rcurrents dun fournisseur de services. Faire voluer le cblage reste toutefois une
opration onreuse.
En consquence, les concepteurs de rseaux adoptent gnralement une conception optimise en
fonction de larchitecture la plus rapide pouvant fonctionner avec le cblage existant. Ils peuvent
toutefois tre confronts la ncessit de faire voluer le cblage pour satisfaire aux exigences
dapplications mergeantes. Par exemple, les technologies haut dbit, telles que Fast Ethernet,
Gigabit Ethernet et ATM, en tant que rseau fdrateur, ainsi que la commutation au niveau de la
couche 2, peuvent fournir une bande passante ddie pour des applications de bureautique.
Tendances de conception
Par le pass, les concepteurs ne disposaient que dun nombre limit doptions matrielles, savoir
routeurs ou hubs, lorsquils devaient faire lacquisition dune technologie pour leurs rseaux de
campus. Une erreur dans la conception matrielle tait donc chose rare. Les hubs (concentrateurs)
taient prvus pour les armoires de cblage et les routeurs pour le centre de traitement des donnes
ou les oprations principales de tlcommunication.
Partie I
Architecture de rseaux
Armoire de cblage
traditionnelle
Hub partag
Nouvelle armoire
de cblage
Si
Commutateur
multicouche
(couches 2 et 3)
Commutateur LAN
(couche 2)
Hub
Commutateur de
campus ATM
Concentrateur
CDDI/FDDI
Routeur Cisco
Routeur Cisco
Rseau fdrateur traditionnel
Les fonctionnalits de rseau de la couche 3 sont ncessaires pour interconnecter les groupes de
travail commuts et fournir des services qui incluent scurit, qualit de service (QoS, Quality of
Service) et gestion du trafic. Le routage intgre ces rseaux commuts et assure la scurit, la stabilit ainsi que le contrle ncessaires llaboration de rseaux fonctionnels et volutifs.
Traditionnellement, la commutation de couche 2 est assure par des commutateurs LAN, et la
commutation de couche 3 par des routeurs. On constate aujourdhui que ces deux fonctions de
rseau sont de plus en plus implmentes sur des plates-formes communes. Par exemple, des
commutateurs multicouches assurant cette fonctionnalit aux deux niveaux apparaissent maintenant
sur le march.
Avec lavnement de ces nouvelles fonctionnalits, telles que la commutation de couche 3, la commutation LAN, et les rseaux locaux virtuels ou VLAN (Virtual Local Area Network), la construction de
rseaux de campus est devenue plus complexe que par le pass. Le Tableau 1.1 rcapitule les diverses
technologies LAN ncessaires llaboration dun rseau de campus. La socit Cisco Systems
propose des produits pour toutes ces technologies.
Les concepteurs crent maintenant des rseaux de campus en faisant lacquisition de types dquipements diffrents (par exemple, routeurs, commutateurs Ethernet et commutateurs ATM) et en les
raccordant. Bien que des dcisions dachat isoles puissent sembler sans consquences, les concepteurs
ne doivent pas perdre de vue que tous ces quipements fonctionnent de concert pour former un rseau.
Chapitre 1
Introduction
Exploitation habituelle
Technologies de routage
Gigabit Ethernet
Commutation ATM
Il est possible de sparer ces technologies et dinstaller des rseaux bien penss exploitant chacune
delles, mais les concepteurs doivent garder lesprit leur intgration gnrale. Si cette intgration
de lensemble nest pas prise en compte, les risques de pannes, dimmobilisation et de congestion
du rseau seront plus nombreux quauparavant.
la commutation de circuits ;
la commutation de paquets ;
la commutation de cellules.
Partie I
Architecture de rseaux
Chaque technique de commutation a ses avantages et ses inconvnients. Par exemple, la commutation de circuits offre lutilisateur une bande passante ddie sur laquelle les connexions des autres
utilisateurs ne peuvent empiter. La commutation de paquets est connue pour offrir une plus grande
souplesse et exploiter la bande passante avec plus defficacit. Quant la commutation de cellules,
elle combine certains aspects des deux types de commutation prcdents pour autoriser linstallation de rseaux offrant une faible latence et un dbit lev. Elle a rapidement gagn en popularit, et
ATM est actuellement la technologie de commutation de cellules la plus prise. Voyez le Chapitre 2
pour plus dinformations sur les technologies de commutation des rseaux tendus et locaux.
Tendances de conception dun WAN
Les rseaux tendus sont connus pour leur faible dbit, leurs longs dlais de transmission et leur
taux derreur lev. Ils se caractrisent galement par un cot de location du mdia de transmission
(le cblage) auprs dun fournisseur de services. Puisque linfrastructure dun tel rseau est souvent
loue, sa conception doit permettre doptimiser le cot et lefficacit de la bande passante utilise.
Par exemple, toutes les technologies et fonctionnalits mises en uvre pour raccorder des campus
par lintermdiaire dun rseau tendu sont dveloppes pour rpondre aux exigences de conception
suivantes :
m
Depuis peu, les rseaux de mdias partags souffrent dune surtaxe en raison des nouvelles exigences suivantes :
m
Les concepteurs de rseaux se tournent vers la technologie WAN pour rpondre ces nouveaux
besoins. Les connexions WAN transportent gnralement des informations critiques et sont optimises pour offrir un bon rapport performances/prix de la bande passante. Les routeurs qui relient des
campus, par exemple, mettent en uvre loptimisation du trafic, la redondance ditinraires,
louverture de lignes commutes de secours en cas de sinistre, et amliorent la qualit de service
pour les applications critiques.
Le Tableau 1.2 rsume les diverses technologies WAN qui satisfont aux exigences des rseaux de
grande envergure.
Chapitre 1
Introduction
Exploitation
ADSL (Asymmetric
Digital Subscriber Line)
Variante du service DSL, ADSL permet dutiliser les lignes tlphoniques existantes pour former des chemins daccs plus rapides destins au multimdia et
aux communications de donnes haute vitesse. Lutilisateur doit disposer
dun modem ADSL. Les vitesses supportes sont variables selon la distance ;
elles peuvent tre suprieures 6 Mbit/s en rception et atteindre 640 Kbit/s en
mission.
Modem analogique
Cet quipement peut tre utilis par les tltravailleurs et les utilisateurs itinrants
qui accdent au rseau moins de deux heures par jour, ou en tant que matriel de
secours pour un autre type de liaison.
Lignes spcialises
loues
Elles peuvent tre utilises pour les rseaux PPP (Point-to-Point Protocol) et
les topologies Hub-and-Spoke, ou comme ligne de secours pour un autre type
de liaison.
RNIS
Cette technologie peut tre utilise pour fournir des accs distants rentables
des rseaux dentreprise. Elle peut servir au transport de la voix et de la vido,
et tre utilise comme moyen de communication de secours pour un autre type
de liaison.
Frame Relay
(relais de trames)
SMDS
(Switched Multimegabit
Data Service)
X.25
X.25 peut tre utilis pour fournir un circuit ou un rseau fdrateur WAN fiable.
Il assure galement le support des applications existantes.
ATM WAN
Cette technologie peut tre utilise pour devancer les exigences en bande passante. Elle assure galement la gestion de plusieurs classes de qualit de service, afin de pouvoir distinguer les besoins des applications en cas de retards et
de pertes.
10
Partie I
Architecture de rseaux
premier poste de dpenses dun rseau distant. A la diffrence des connexions WAN, les petits sites
ou les utilisateurs distants ont rarement besoin dtre connects 24 h/24.
En consquence, les concepteurs de rseaux choisissent habituellement entre la numrotation (dialup) et les liaisons WAN ddies comme solution de connexion distance. Les connexions distantes
fournissent gnralement un dbit de 128 Kbit/s ou infrieur. Un concepteur de rseau peut aussi
employer des ponts sur un site distant pour leur facilit dinstallation, leur topologie simple et leurs
exigences de faible trafic.
Tendances de conception des connexions distantes
Il existe aujourdhui un large ventail de mdias pour les rseaux WAN distants, parmi lesquels :
m
modem analogique ;
ligne loue ;
X.25 ;
RNIS.
Les connexions distantes permettent aussi un usage optimal de loption WAN approprie pour fournir une bande passante rentable, minimiser les cots des services de numrotation et optimiser le
service pour les utilisateurs finaux.
Tendances de lintgration LAN/WAN
Chapitre 1
Introduction
11
bases sur des intranets telles la formation par la vido, la vidoconfrence et la tlphonie ,
limpact de ces applications sur linfrastructure de rseau existante constitue un vrai problme. Par
exemple, si une socit sappuie sur son rseau dentreprise pour lacheminement du trafic SNA de
premire importance et souhaite installer une application de formation en ligne par la vido, le
rseau doit tre en mesure de fournir une garantie de qualit de service pour acheminer le trafic
multimdia sans lautoriser interfrer avec le flux des informations capitales de lentreprise. ATM
a t prsent comme lune des technologies dintgration de rseaux locaux et de rseaux tendus.
La qualit des fonctionnalits de service dATM autorise le support de nimporte quel type de trafic
en flux spars ou mixtes, quils soient sensibles au retard de livraison ou non (voir Figure 1.4).
Figure 1.4
PBX
Support ATM de
divers types de trafics.
Circuit
Flux
Commutation de cellules
FEP
SNA
Trames
Paquet
LAN
Cellules
Cellules
ATM
ATM peut galement sadapter pour fournir aussi bien des faibles dbits que des dbits levs. Il a
t adopt par tous les fabricants dquipements de lindustrie, des rseaux locaux au commutateur
priv (PBX, Private Branch eXchange).
Solutions intgres
Concernant la mise en uvre de rseaux, la tendance actuelle est dapporter aux concepteurs une
plus grande souplesse dans la rsolution de problmes, sans quils aient besoin de crer de multiples
rseaux ou de faire une croix sur les investissements existants en matire de communication de
donnes. Les routeurs peuvent permettre linstallation de rseaux fiables et srs, et servir de barrires
contre les temptes de broadcast sur les rseaux locaux. Des commutateurs, que lon peut diviser en
deux catgories principales, LAN et WAN, peuvent tre dploys aux niveaux groupe de travail,
pine dorsale de campus ou WAN. Les sites distants peuvent employer des routeurs dentre de
gamme pour se connecter au WAN.
Le support et lintgration de tous les produits Cisco sont grs par le systme IOS (Internetworking Operating System, systme dinterconnexion de rseaux) de Cisco. Il permet dintgrer des
groupes disparates, des quipements divers et de nombreux protocoles, afin de former un rseau trs
12
Partie I
Architecture de rseaux
volutif et dune grande fiabilit. Il garantit galement au rseau un niveau lev de scurit, de
qualit de service, et de services de trafic.
Disponibilit des applications. Les rseaux transportent les informations dapplications entre
les ordinateurs. Si les applications ne sont pas disponibles pour les utilisateurs du rseau, celuici ne remplit pas sa fonction.
Cot de possession dun rseau. Les budgets accords aux systmes dinformations se chiffrent aujourdhui en millions de francs. Etant donn que lexploitation de grandes organisations
repose de plus en plus sur des donnes lectroniques, les cots associs aux ressources informatiques continueront augmenter.
Un rseau bien conu peut faciliter un quilibrage de ces deux paramtres. Sil est correctement
implment, son infrastructure peut optimiser la disponibilit des applications et permettre ainsi
une exploitation rentable des ressources de rseau existantes.
Problmes de conception : optimisation de la disponibilit et des cots
En gnral, les problmes lis la conception de rseaux impliquent les trois types dlments gnraux suivants :
m
Elments de lenvironnement. Ils comprennent lemplacement des htes, des serveurs, des
terminaux et autres nuds dextrmit ; les prvisions de trafic pour lenvironnement ; les
prvisions de cots, afin de garantir diffrents niveaux de service.
Elments variables de rseau. Ils concernent la topologie du rseau, les capacits des lignes et
les allocations de flux de paquets.
Lobjectif est de rduire au maximum les cots, en se basant sur ces lments lors de la fourniture
dun service qui ne compromet pas les exigences de disponibilit dfinies. En tant que concepteur,
vous tes confront deux problmes principaux : disponibilit et cot, bien quils semblent incompatibles. En effet, toute augmentation de la disponibilit saccompagne gnralement dune
augmentation du cot. En consquence, vous devez estimer avec prudence limportance relative de
la disponibilit dune ressource et le cot global.
Chapitre 1
Introduction
13
Comme lillustre la Figure 1.5, la conception dun rseau est une rptition de tches. Les sections
suivantes mettent en valeur plusieurs aspects qui sont considrer avec prudence lors des
prvisions dimplmentation.
Figure 1.5
Processus gnral de conception dun rseau.
Simulation de comportement
pour une charge prvue.
En gnral, les utilisateurs veulent pouvoir disposer tout moment des applications du rseau. Les
facteurs dterminants de cette disponibilit sont le temps de rponse, le dbit et la fiabilit :
m
Le temps de rponse est lintervalle de temps compris entre lentre dune commande ou lactivation dune touche et lexcution de ladite commande ou la rception dune rponse manant
du systme hte. La satisfaction de lutilisateur peut gnralement tre considre comme une
fonction monotone, croissante ou dcroissante, mais il est primordial que ce paramtre ne
sapproche pas du seuil minimal. Les services interactifs en ligne, tels les distributeurs automatiques de billets de banque, sont un exemple dapplications dont le temps de rponse est considr comme capital.
Les applications qui injectent un fort volume de trafic sur le rseau ont davantage deffet sur le
dbit que celles qui connectent deux nuds dextrmit. Elles impliquent gnralement des
transferts de fichiers et de faibles exigences en termes de temps de rponse. En effet, leur excution peut tre programme des moments o le niveau de trafic sensible aux temps de rponse
est faible, par exemple, aprs les heures de travail habituelles.
14
Partie I
Architecture de rseaux
Bien que la fiabilit soit toujours un facteur important, certaines applications sont particulirement exigeantes en cette matire. Les organisations qui conduisent leur activit en ligne ou au
moyen du tlphone requirent une disponibilit du rseau avoisinant les 100 %. Les services
financiers, dchange de titres ou durgences en sont quelques exemples. Pour rpondre de tels
besoins de disponibilit, un haut niveau de performance matrielle ou topologique est ncessaire. Dterminer le cot de limmobilisation du rseau est une tape essentielle dans lvaluation de limportance de la fiabilit sur votre rseau.
Vous pouvez valuer les besoins des utilisateurs de plusieurs faons, sachant que plus ils seront
impliqus dans ce processus, plus votre valuation sera proche de la ralit. Les mthodes suivantes
devraient vous y aider :
m
Mise en place dinterviews, de groupes de discussion et dtudes. Lobjectif est de crer une
base de rfrence pour limplmentation dun rseau. En effet, certains groupes peuvent avoir
besoin dun accs des serveurs communs, dautres souhaiter autoriser un accs depuis lextrieur certaines ressources informatiques internes, et certaines organisations ncessiter que les
systmes dinformation soient administrs dune faon particulire, selon certains standards
extrieurs. La mthode la moins formelle pour recueillir des informations est dinterroger des
groupes dutilisateurs cls. Des groupes de discussion peuvent galement servir collecter
des informations et susciter des dbats entre diffrentes organisations ayant des intrts semblables ou diffrents. Enfin, des tudes formelles peuvent permettre de recueillir lopinion des utilisateurs, considre comme statistiquement valable, concernant un certain niveau de service ou
une architecture de rseau propose.
Chapitre 1
Introduction
15
amliorer sa stabilit, telles les fonctions de retenue de modifications (holddown), dhorizon clat
(split horizon) ou encore de mise jour corrective (poison reverse updates).
Linconvnient est que IGRP est un protocole de routage propritaire, alors que IS-IS (Intermediate
System-to Intermediate System) est une solution dinterconnexion ouverte qui fournit galement un
environnement de routage avec convergence rapide. Toutefois, limplmentation dun protocole de
routage ouvert peut conduire une complexit croissante de configuration de matriels provenant
de plusieurs fabricants.
Vos dcisions peuvent avoir des effets divers sur lensemble de la conception de votre rseau.
Supposez que vous dcidiez dintgrer IS-IS plutt que IGRP. Vous gagnez en interoprabilit, mais
perdez certaines fonctionnalits. Par exemple, vous ne pouvez pas quilibrer la charge de trafic sur
des chemins parallles ingaux. De la mme manire, certains modems fournissent dimportantes
capacits de diagnostic propritaires, mais ncessitent pour un rseau donn dtre tous du mme
fabricant pour que ces fonctionnalits propritaires puissent tre pleinement exploites.
Les prvisions et les investissements passs ont une influence considrable sur les choix dimplmentations pour le projet en cours. Vous devez prendre en considration les quipements de rseau
dj installs, les applications exploites (ou exploiter) sur le rseau, les modles de trafic,
lemplacement physique des sites, des htes et des utilisateurs, le taux de croissance de la communaut des utilisateurs, et le trac physique et logique du rseau.
Evaluation des cots
Le rseau est une composante stratgique de la conception globale de votre systme dinformation.
A ce titre, son cot total reprsente bien plus que le seul total des bons de commande dquipements.
Vous devez prendre en compte le cycle de vie intgral de votre environnement de rseau. Voici une
liste des cots associs sa mise en uvre :
m
Cots des quipements matriels et logiciels. Intgrez les cots rels lors de lacquisition de
vos systmes initiaux : ils doivent inclure les achats et les installations de dpart, la maintenance
et les mises jour programmes.
Cots de performances. Estimez le cot requis pour passer dun temps de rponse de 5 secondes une demi-seconde. De telles amliorations peuvent ncessiter des dpenses en mdias de
transmission, cartes rseau, nuds dinterconnexion, modems et services WAN.
Cots dinstallation. Limplantation du cblage sur un site est parfois lopration la plus
coteuse pour un grand rseau. Les cots comprennent la main duvre, la modification du site
et les frais supplmentaires de mise en conformit eu gard la lgislation locale et aux restrictions environnementales (par exemple, la suppression de lamiante). Mais dautres facteurs
importants peuvent concourir maintenir un niveau minimal de dpenses, par exemple une
bonne planification du trac de larmoire de cblage et des conventions de couleurs pour les
segments de cble.
Cots dexpansion. Calculez les frais engager pour le retrait de la totalit dun cblage Ethernet pais, lajout de fonctionnalits supplmentaires ou un changement demplacement. Une
prvision des besoins futurs permettra aussi dconomiser du temps et de largent.
Cots dassistance. Les rseaux complexes engendrent davantage de frais danalyse, de configuration et de maintenance. Par consquent, il est conseill de limiter la complexit au strict
16
Partie I
Architecture de rseaux
Cots de renonciation. Chaque choix implique une solution de rechange. Quil sagisse de
plate-forme matrielle, de topologie, de niveau de redondance ou dintgration de systme, il
existe toujours plusieurs options. Les cots de renonciation reprsentent la perte financire lie
un choix non adopt. Par exemple, ngliger les technologies rcentes peut entraner la perte
dune position concurrentielle sur le march, une baisse de la productivit et une diminution des
performances. Essayez dintgrer ces cots dans vos calculs afin de raliser des comparaisons
prcises en dbut de projet.
La modlisation de la charge de travail consiste, dun point de vue empirique, organiser un environnement de travail en rseau et analyser le trafic gnr par un certain nombre dutilisateurs et
dapplications, avec une topologie de rseau donne. Essayez de caractriser lactivit dune journe de travail ordinaire en termes de type et de niveau de trafic, de temps de rponse, de temps
dexcution de transferts de fichiers, etc. Vous pouvez galement analyser lexploitation des quipements de rseau existants pendant la priode de test.
Si les caractristiques du rseau test sont semblables celles du futur rseau, vous pouvez tenter
une extrapolation du nombre dutilisateurs, des applications utilises et de la topologie de ce
dernier. Il sagit de lapproche par dduction la plus raliste possible pour valuer le trafic, en
labsence doutils plus prcis qui permettraient den caractriser le comportement de faon plus
dtaille.
Outre la surveillance passive dun rseau existant, vous pouvez mesurer lactivit et le trafic gnrs
par un nombre connu dutilisateurs rattachs un rseau de test reprsentatif, afin de tenter destimer par anticipation la communaut des utilisateurs futurs.
Un problme li la modlisation de la charge de travail sur un rseau est la difficult de dfinir
avec exactitude la charge impose un quipement donn, ainsi que ses performances, en fonction
du nombre dutilisateurs, des types dapplications et de lemplacement gographique. Cela est
particulirement vrai sil ny a pas de rseau rel install.
Chapitre 1
Introduction
17
La nature temporelle des accs au rseau. Les priodes de trafic intense peuvent varier ; les
mesures doivent reflter un ensemble dobservations incluant les moments daffluence.
Les diffrences associes au type de trafic. Selon quun trafic est rout ou pont, les exigences
en matire dquipements et de protocoles de rseau seront diffrentes. Certains protocoles
ragissent aux paquets perdus, certains types dapplications ncessitent davantage de bande
passante, etc.
La nature alatoire du trafic de rseau. Le moment exact darrive des donnes et les effets
spcifiques au trafic sont imprvisibles.
Dun point de vue pratique, le test de sensibilit implique la rupture de liens stables et lobservation
des rpercussions. Procder au test sur un rseau de test est relativement facile. Provoquez un
dysfonctionnement en retirant une carte active, puis analysez de quelle faon le rseau gre la situation. Observez la manire dont le trafic est rerout, la vitesse de convergence, la perte ventuelle de
connectivit, et les problmes ventuels de gestion de types spcifiques de trafic. Vous pouvez
galement modifier le niveau de trafic sur un rseau afin dobserver les ractions lorsque le mdia
de transmission est proche de la saturation. Ce test simule une sorte de rgression : une srie de
modifications spcifiques (test) sont rptes sur diffrentes versions de configuration du rseau. En
analysant les effets des diffrentes variations de la conception, vous pouvez en valuer la rsistance.
NOTE
La modlisation des tests de sensibilit au moyen dun ordinateur sort du cadre de cet ouvrage. Louvrage
de A.S. Tannenbaum (paru en langue anglaise), Computer Networks (Upper Saddle River, New Jersey : Prentice Hall, 1996) constitue une bonne source dinformations sur la conception et la simulation de rseaux
dordinateurs.
Rsum
Aprs avoir dtermin les besoins de votre rseau, vous devez identifier puis slectionner les fonctionnalits spcifiques qui correspondent votre environnement informatique. Le Chapitre 2 fournit
davantage dinformations de base sur les diffrents types dquipements de rseaux, ainsi quune
description de lapproche hirarchique pour la mise en uvre de rseaux.
Les Chapitre 2 13 de ce livre donnent des renseignements dtaills sur les technologies impliques dans limplmentation de rseaux de grande taille dans les environnements suivants :
m
18
Partie I
Architecture de rseaux
conception avec SDLC (Synchronous Data Link Control) et STUN (Serial Tunneling),
SDLLC (SDLC Logical Link Control type 2) et QLLC (Qualified Logical Link Control) ;
conception avec APPN (Advanced Peer-to-Peer Networking) et DLSw (Data Link Switching).
m
Rseaux ATM.
Rseaux avec routage par ouverture de ligne la demande, ou DDR (Dial-on Demand Routing).
Rseaux RNIS.
Outre ces chapitres, dautres concernent la conception de rseaux LAN commuts, de rseaux
locaux de campus, et de rseaux destins aux applications multimdias. Les dix derniers chapitres
du livre incluent des tudes de cas qui concernent les concepts dcrits dans les chapitres prcdents.
2
Notions essentielles sur
la conception de rseaux
Par Atif Khan
Mettre en place un rseau peut-tre un vrai dfi. Un rseau form dun maillage de 50 nuds de
routage seulement peut dj gnrer des problmes complexes, aux consquences imprvisibles.
Lorsque lon tente doptimiser plusieurs rseaux, composs de milliers de nuds, les difficults
sont encore plus grandes.
En dpit de lamlioration des performances des quipements et des caractristiques fonctionnelles
des mdias de transmission, la conception dun rseau tend se complexifier. La tendance est des
environnements de plus en plus htrognes, qui associent de nombreux mdias et protocoles, et
impliquent pour nimporte quelle organisation une interconnexion des rseaux extrieurs.
Lobservation de certaines rgles de prudence dans llaboration dun rseau permet de limiter les
problmes qui pourraient apparatre dans le futur, mesure que le rseau se dveloppera.
Ce chapitre prsente les grandes lignes de la planification et de la conception dun rseau. Trois
sujets dordre gnral y sont traits :
m
20
Partie I
Architecture de rseaux
la commutation.
Equipements de rseau
les ponts ;
les commutateurs ;
les routeurs.
Description
Hubs (concentrateurs)
Ponts
Les ponts servent sparer logiquement des segments dun mme rseau. Ils
oprent au niveau de la couche Liaison de donnes du modle OSI (couche 2)
et sont indpendants des protocoles de couche suprieure.
Commutateurs
Les commutateurs sont semblables aux ponts, mais ils possdent gnralement
un plus grand nombre de ports. Chaque port dessert un seul segment de rseau,
sparant de ce fait les domaines de collision (collision domain). Aujourdhui,
dans les armoires de cblage, les concepteurs de rseaux remplacent les hubs
par des commutateurs afin daugmenter les performances ainsi que la bande
passante du rseau, tout en prservant les investissements existants en matire
de cblage.
Routeurs
Les experts en transmission de donnes saccordent pour dire que les concepteurs de rseaux prfrent aujourdhui lutilisation de routeurs et de commutateurs celle de ponts et de concentrateurs
pour crer des rseaux. Par consquent, ce chapitre est plus spcialement consacr au rle des
routeurs et des commutateurs dans la conception de rseaux.
Chapitre 2
21
Introduction la commutation
Dans les transmissions de donnes, tous les quipements de commutation et de routage excutent
les deux oprations de base suivantes :
m
Le processus de commutation consiste recevoir une trame entrante au niveau dune interface, puis
la retransmettre en sortie par une autre interface. Les routeurs sappuient sur la commutation de
niveau 3 pour aiguiller un paquet alors que les commutateurs emploient la commutation de niveau 2
pour transmettre les trames.
La diffrence entre ces deux mthodes de commutation rside dans le type dinformations situes
lintrieur de la trame, utilises pour dterminer linterface de sortie approprie. La commutation de
niveau 2 se fonde sur les informations dadresse MAC pour acheminer les trames, alors que celle
de niveau 3 utilise les informations de la couche rseau.
La commutation de niveau 2 ne recherche donc pas dans un paquet les informations de la couche
rseau, comme cest le cas de la commutation de niveau 3. A la place, elle examine ladresse MAC
de destination de la trame pour lenvoyer vers linterface correspondante, si elle connat son emplacement. Pour cela, elle labore et maintient une table de commutation qui permet de savoir quel
port ou quelle interface appartiennent les adresses MAC.
Si le commutateur de niveau 2 ne sait pas dans quelle direction envoyer la trame, il lenvoie sur le
rseau en diffusion broadcast sur tous ses ports afin de connatre la destination correcte. Lorsquil
reoit la rponse, il prend connaissance de lemplacement de la nouvelle adresse, puis ajoute les
informations ncessaires dans sa table de commutation.
Les adresses de la couche 2 sont dfinies par le fabricant de lquipement de communication utilis.
Il sagit dadresses uniques, composes de deux lments : le code du fabricant, ou code MFG
(Manufacturing), et un identifiant unique. Le code MFG est attribu chaque fabricant par lIEEE
(Institute of Electrical and Electronics Engineers), alors que lidentifiant unique est assign par le
fabricant chaque carte quil produit. A lexception des rseaux SNA (Systems Network Architecture), les utilisateurs ne disposent daucun contrle sur les adresses de niveau 2, car elles sont figes
pour un matriel de rseau donn, tandis que les adresses de la couche 3 peuvent tre modifies. De
plus, les adresses de la couche 2 impliquent lemploi dun espace dadressage linaire, avec des
adresses uniques, au plan mondial.
22
Partie I
Architecture de rseaux
La commutation de niveau 3 a lieu au niveau de la couche Rseau. Elle examine les informations
contenues dans les paquets afin de les acheminer en fonction de leur adresse de rseau de destination. Elle supporte galement les fonctionnalits de routeurs.
Les adresses de la couche 3 sont dfinies, pour la plupart, par ladministrateur de rseau qui tablit une
hirarchie sur le rseau. Des protocoles tels que IP, IPX et AppleTalk utilisent les informations
dadressage de cette couche. Ladministrateur rseau peut ainsi former des entits locales reprsentant
des units dadressage uniques (semblables aux rues, villes, tats et pays), et leur assigner une adresse.
Si des utilisateurs changent dimmeuble, leurs stations de travail reoivent une nouvelle adresse de
niveau 3, mais conservent leur adresse de niveau 2.
Les routeurs oprent au niveau de la couche 3 du modle OSI, ils participent donc ltablissement
de cette structure dadressage hirarchique laquelle ils peuvent en mme temps se conformer. Par
consquent, un rseau rout associe une structure dadressage logique une infrastructure physique, par exemple par le biais de sous-rseaux TCP/IP ou de rseaux IPX pour chaque segment.
Lcoulement du trafic sur un rseau commut (linaire) diffre fondamentalement de celui dun
rseau rout (hirarchique). Ce dernier offre une plus grande souplesse dcoulement, grce
lexploitation de cette hirarchie, qui lui permet de dterminer les meilleurs chemins emprunter et
de former des domaines de broadcast.
Implications des commutations de niveau 2 et de niveau 3
La puissance toujours croissante des ordinateurs et des applications client/serveur et multimdias
ncessite davantage de bande passante dans les environnements traditionnels o le mdia est partag.
Cela a amen les concepteurs de rseaux remplacer, dans les armoires de cblage, les hubs par des
commutateurs.
Bien que les commutateurs de niveau 2 utilisent la microsegmentation pour faire face cet accroissement de la demande en bande passante et en performances, les concepteurs sont maintenant
confronts aux problmes que pose la ncessit grandissante dune communication entre sousrseaux interconnects. Par exemple, chaque fois quun utilisateur accde des serveurs, ou
dautres ressources, situs sur des sous-rseaux diffrents, le trafic doit transiter par un quipement
qui opre au niveau de la couche 3. La Figure 2.1 illustre le cheminement du trafic travers deux
sous-rseaux, au moyen de commutateurs (niveau 2) et dun routeur (niveau 3).
Client X
Sous-rseau 1
Commutateur A
Commutation
de niveau 2
Routeur A
Commutation
de niveau 3
Commutateur B
Commutation
de niveau 2
Serveur Y
Sous-rseau 2
Figure 2.1
Circulation du trafic entre deux sous-rseaux, avec des commutateurs de niveau 2 et un routeur de niveau 3.
A la Figure 2.1, Client X doit emprunter le chemin suivant pour communiquer avec Serveur Y qui se
trouve sur un sous-rseau diffrent : il doit passer par Commutateur A (commutation de niveau 2),
Chapitre 2
23
Serveur Y
Si
Commutateur B
Commutation de
niveaux 2 et 3
Si
Commutateur A
Commutation de
niveaux 2 et 3
Si
Commutateur C
Commutation de
niveaux 2 et 3
Client X
Routeur A
Les modles de conception hirarchiques autorisent une organisation des rseaux en couches. Pour
mieux saisir limportance de ce concept, prenons lexemple du modle de rfrence OSI (Open
System Interconnection, interconnexion de systmes ouverts), qui sert comprendre et implmenter la communication entre ordinateurs. Lutilisation de couches lui permet de simplifier les tches
requises entre deux ordinateurs pour communiquer. Les modles hirarchiques font galement
appel ce concept afin de faciliter la mise en uvre de rseaux. Chaque couche peut tre ddie
des fonctions spcifiques, autorisant de ce fait le concepteur choisir les systmes et les fonctionnalits appropris pour chacune delles.
Une conception hirarchique facilite galement les modifications dans un rseau. Le principe de
modularit permet de crer des lments qui peuvent tre reproduits au fur et mesure que le rseau
se dveloppe. Lorsquun lment doit tre mis jour, le cot et la complexit associs ne portent
24
Partie I
Architecture de rseaux
alors que sur une petite portion du rseau. Au sein darchitectures linaires ou mailles importantes,
les modifications ont tendance affecter un grand nombre de systmes. Avec une structuration
modulaire en petits lments de rseau, plus faciles matriser, les incidents sont galement plus
faciles localiser et isoler. Les administrateurs sont mme didentifier les points de transition du
rseau, ce qui les aide identifier les pannes.
Modle de conception hirarchique
lpine dorsale, appele aussi rseau fdrateur, qui reprsente la couche centrale assurant le
transport optimal des donnes entre les sites ;
la couche de distribution, qui fournit une connectivit base sur des rgles ;
la couche daccs local, qui offre aux groupes de travail et aux utilisateurs individuels un accs
au rseau.
La Figure 2.3 est une reprsentation densemble qui montre les diverses facettes dun rseau hirarchique. Chaque couche (centrale, distribution et accs) offre des fonctionnalits diffrentes.
Figure 2.3
Modle de conception
de rseau hirarchique.
Couche centrale
Distribution
Commutation haute vitesse
Accs
Connectivit base sur des rgles
Accs local et distant pour groupes
de travail ou utilisateurs individuels
Cette couche est un rseau fdrateur de commutation haute vitesse qui devrait tre conu pour
commuter les paquets le plus rapidement possible. Elle nest cense oprer aucune manipulation
des paquets, telle que les listes daccs ou le filtrage, afin de ne pas ralentir leur commutation.
Fonctions de la couche de distribution
Cette couche reprsente la frontire entre la couche daccs et la couche centrale, et aide dterminer les caractristiques distinctives de cette dernire. Son objectif est doffrir une dfinition des
limites. La manipulation des paquets a lieu ce niveau.
Chapitre 2
25
Dans un environnement de rseau de campus, cette couche peut assurer plusieurs fonctions :
m
routage sur des rseaux locaux virtuels ou VLAN (Virtual Local Area Network) ;
scurit.
Dans les autres environnements, cette couche peut faire office de point de redistribution entre des
domaines de routage, ou bien de frontire entre des protocoles de routage statique ou dynamique.
Les sites distants peuvent galement sen servir de point daccs au rseau dentreprise. Sa principale fonctionnalit est doffrir une connectivit base sur des rgles.
Fonctions de la couche daccs
Cette couche reprsente le point daccs local au rseau pour les utilisateurs finaux. Elle utilise
parfois des listes daccs ou des filtres afin de mieux servir les besoins dun ensemble dutilisateurs
donn. Dans un environnement de rseau de campus, elle offre les fonctions suivantes :
m
microsegmentation.
Dans les autres environnements, cette couche peut autoriser des sites distants accder au rseau
dentreprise par le biais de certaines technologies longue distance, comme le Frame Relay (relais de
trames), RNIS ou des lignes loues.
Certains pensent parfois que ces trois couches (centrale, distribution et accs) existent en tant
quentits physiques clairement dfinies, ce qui nest pas le cas. Elles ont t dfinies pour aider la
conception de rseaux et reprsenter les fonctionnalits qui doivent tre implmentes. Linstanciation de chaque couche peut se faire au niveau de routeurs ou de commutateurs distincts, tre reprsente par un mdia physique, combine en un seul quipement, ou encore tre compltement
omise. La faon dont ces couches sont mises en uvre dpend des besoins du rseau en cours de
conception. Il faut noter toutefois que la structure hirarchique doit tre prserve pour que le fonctionnement du rseau soit optimal.
Services du rseau fdrateur
Cette section couvre les fonctionnalits de rseau qui grent les services du rseau fdrateur. Les
sujets suivants y sont traits :
m
optimisation du chemin ;
priorit du trafic ;
quilibrage de charge ;
chemins alternatifs ;
26
Partie I
accs commut ;
Architecture de rseaux
Optimisation du chemin
Lun des principaux avantages des routeurs est quils permettent dimplmenter un environnement
logique dans lequel les chemins les plus efficaces sont automatiquement slectionns pour faire
circuler le trafic. Ils sappuient pour cela sur les protocoles de routage associs aux diffrentes
couches du rseau.
Selon les protocoles installs, les routeurs permettent dimplmenter un environnement de routage
adapt des exigences spcifiques. Par exemple, sur un rseau IP, les routeurs Cisco sont aptes
grer tous les protocoles largement utiliss, tels que OSPF (Open Shortest Path First), RIP (Routing
Information Protocol), IGRP (Interior Gateway Routing Protocol, version amliore de RIP, cre
par Cisco), EIGRP (Enhanced IGRP), IS-IS (Intermediate System-to Intermediate System), BGP
(Border Gateway Protocol), et EGP (Exterior Gateway Protocol). Les fonctionnalits intgres
essentielles qui favorisent loptimisation du chemin incluent la convergence rapide et grable des
routes, ainsi que les mtriques et temporisateurs de routage configurables.
La convergence est le processus par lequel tous les routeurs saccordent pour choisir les routes les
plus fiables. Lorsquun vnement interrompt ou, linverse, ouvre la circulation sur certaines
routes, les routeurs senvoient des messages de mise jour des itinraires. Ils peuvent ainsi recalculer les routes optimales et dcider de celles emprunter. Les algorithmes de routage qui offrent une
convergence lente peuvent provoquer des boucles de routage ou des pannes sur le rseau.
Les algorithmes de routage utilisent de nombreuses mtriques diffrentes. Certains, plus sophistiqus, sappuient sur une forme hybride de mesure calcule partir dune combinaison de diffrentes
mtriques. EIGRP, par exemple, utilise lun des algorithmes vecteur de distance (distance vector
routing) les plus perfectionns. Il combine des valeurs de bande passante, de charge et de temps
dacheminement, afin de crer une mtrique compose. Les protocoles par informations dtat de
lien (link state routing), tels OSPF et IS-IS, emploient une mtrique qui reprsente le cot associ
un chemin donn.
Priorit du trafic
Bien que certains protocoles de rseau grent la priorit du trafic homogne interne, celle de flux
htrognes est la charge des routeurs. Une telle gestion du trafic permet un routage bas sur des
rgles et garantit que les donnes de premire importance seront prioritaires sur celles de moindre
importance.
Mise en file dattente de priorit
La mise en file dattente de priorit permet ladministrateur rseau dattribuer au trafic des degrs
de priorit. Celui-ci peut tre class selon diffrents critres, comme le type de protocole ou de
sous-protocole, puis plac dans lune des quatre files dattente (priorits haute, moyenne, normale
ou faible). Le trafic IP autorise une dfinition plus pousse du niveau de priorit. Cette fonctionnalit est la plus utile pour les liaisons srie faible vitesse. La Figure 2.4 illustre lutilisation dune
file dattente pour rpartir le trafic par niveau de priorit, acclrant ainsi lacheminement de
certains paquets travers le rseau.
Chapitre 2
Figure 2.4
27
Routeur
Trafic envoy
au routeur sans
aucune priorit
Trafic
Priorit
UDP
LAT avec pont
Haute
DECnet, VINES,
TCP, autres
protocoles
ponts
Moyenne
Autre trafic
Normale
AppleTalk
Faible
Rseau
fdrateur
Trafic envoy sur le rseau
fdrateur selon l'ordre
de priorit
3174
Token
Ring
Routeur A
Rseau IP
E2
E1
Routeur B
Token
Ring
3745
1.0.0.1
3278
LU04
1.0.0.2
3278
LU02
3278
LU03
Dans cette figure, lordinateur central IBM est reli par canal un contrleur de transmissions
3745, lui-mme connect un contrleur de cluster 3174 par le biais dun systme de ponts distants
routage par la source (RSRB, Remote Source-Routing Bridge). Plusieurs terminaux et imprimantes 3270, possdant chacun une adresse LU locale et unique, sont relis au contrleur de cluster.
Avec la gestion de priorit des adresses LU, un niveau de priorit peut tre accord chaque unit
logique associe un terminal ou une imprimante, cest--dire que certains terminaux peuvent
bnficier dun temps de rponse plus rapide que dautres, et les imprimantes peuvent recevoir une
priorit infrieure. Dans certaines situations o les utilisateurs exploitent des applications extrmement importantes, leur disponibilit peut tre amliore par cette fonctionnalit.
Pour finir, la plupart des protocoles routs (AppleTalk, IPX et DECnet) font appel un protocole de
routage qui se fonde sur le cot pour valuer lefficacit des diffrents chemins menant une destination donne. Grce la configuration de certains paramtres associs, il est possible de forcer
un type spcifique de paquets emprunter certaines routes, et raliser ainsi une forme de gestion
manuelle de la priorit.
28
Partie I
Architecture de rseaux
File dattente
personnalise.
R H
M
H
R : Priorit du rseau
H : Priorit haute
M : Priorit moyenne
F : Priorit faible
S = Trafic SNA
S
S
S
Trafic
APPN
Trafic
TCP/IP
20%
Trafic
NetBIOS
20%
20%
Trafic
divers
40%
Chapitre 2
29
La mise en file dattente personnalise permet de dfinir la priorit dun trafic multiprotocole ; elle
autorise un maximum de 16 files dattente. Chaque file est servie de faon squentielle, jusqu ce
que le nombre doctets envoys dpasse le compte doctets configurable, ou que la file soit vide. Un
aspect important de cette fonctionnalit est la rallocation de la bande passante restante en cas de
non-utilisation. Par exemple, si SNA nexploite que 20 % de la quantit qui lui a t octroye, les
autres protocoles peuvent alors se partager les 20 % restants.
Cette fonctionnalit est prvue pour des environnements o un niveau de service minimal doit tre
assur pour chaque protocole. Dans les environnements multiprotocoles actuels, elle permet des
protocoles possdant des caractristiques diffrentes de partager le mme mdia.
Mise en file dattente quitable pondre
La mise en file dattente quitable pondre est un algorithme de gestion de la priorit, qui utilise le
multiplexage temporel (TDM, Time-division Multiplexing) pour rpartir la bande passante entre des
clients qui se partagent une mme interface. Dans le multiplexage temporel, les clients reoivent
une tranche de temps, tour de rle. Avec la mise en file dattente quitable pondre, la bande
passante est rpartie quitablement entre les clients, afin que ceux qui possdent la mme charge de
travail en reoivent une quantit identique. Il est possible de spcifier diffrentes charges de travail,
par exemple par lintermdiaire du type de service, lorsque davantage de bande passante doit tre
attribue.
Si chaque client reoit la mme quantit de bande passante, indpendamment du dbit gnr, le
trafic de faible volume se voit avantag par rapport celui de fort volume. La possibilit de dfinir
diffrentes charges de travail permet au trafic qui ne supporte pas de retard de bnficier dune plus
grande bande passante, et garantit ainsi un temps de rponse appropri en cas de trafic dense. Diffrents types de flux de donnes peuvent converger sur un mme cble (voir Figure 2.7).
Figure 2.7
Session IPX A
File dattente
pondre.
Session Telnet B
Session FTP C
C
Session Telnet D
Session FTP E
E
C et E sont deux sessions FTP fort trafic. A, B et D sont des sessions interactives faible trafic.
Chaque session, dans ce cas, est appele une conversation. Si chaque conversation est desservie de
faon cyclique et reoit une tranche de temps indpendamment de son dbit darrive, les sessions
FTP ne monopolisent pas la bande passante. Par consquent, le dlai dattente qui prcde la transmission du trafic interactif devient prvisible.
La mise en file dattente quitable pondre fournit un algorithme qui identifie dynamiquement les
flux de donnes au moyen dune interface, puis les spare en files logiques distinctes. Cet algorithme
30
Partie I
Architecture de rseaux
utilise divers critres de distinction, en fonction des informations de protocole de la couche rseau
qui sont disponibles, puis fait le tri parmi eux. Par exemple, dans le cas de trafic IP, les critres sont
les adresses source et de destination, le type de protocole, les numros de sockets et le type de
service. Cest pourquoi les deux sessions Telnet (B et D) de la Figure 2.7 se trouvent aiguilles vers
deux files logiques diffrentes.
Idalement, lalgorithme devrait pouvoir faire la distinction entre toutes les conversations qui se
partagent le mdia, afin que chacune reoive sa juste part de bande passante. Malheureusement,
avec des protocoles tel SNA, il est impossible de distinguer une session SNA dune autre. Avec
DLSw+ (Data Link Switching Plus), par exemple, le trafic SNA est multiplex en une session TCP
unique. De la mme manire, dans le cas dAPPN, les sessions SNA sont multiplexes en une seule
session LLC2 (Logical Link Control, Type 2).
Cet algorithme considre toutes ces sessions comme une seule et mme conversation. Lorsquil y a
de nombreuses sessions TCP/IP, elles obtiennent la majorit de la bande passante, et le trafic SNA
le minimum. Pour cette raison, cet algorithme nest pas recommand pour lutilisation de SNA avec
une encapsulation TCP/IP au moyen de DLSw+, ou avec APPN.
La gestion de priorit avec file dattente quitable pondre prsente nanmoins de nombreux avantages par rapport aux gestions par file dattente de priorit ou personnalise. Ces dernires requirent la dfinition de listes daccs ; la bande passante doit tre alloue lavance, et les priorits
prdfinies. Cette caractristique entrane une charge supplmentaire. Il est parfois impossible aux
administrateurs de rseau didentifier et dassigner un niveau de priorit au trafic en temps rel. La
mise en file dattente quitable pondre est mme de distinguer les diffrents flux de donnes
sans requrir une telle charge administrative.
Equilibrage de charge
La meilleure faon dajouter de la bande passante sur un rseau fdrateur est dimplmenter des
liaisons supplmentaires. Les routeurs possdent des fonctionnalits intgres dquilibrage de la
charge sur de multiples liaisons et chemins. Il est possible demprunter jusqu quatre chemins vers un
rseau de destination. Dans certaines situations, il nest pas ncessaire que leur cot soit quivalent.
Avec IP, les routeurs assurent une rpartition de la charge, la fois par paquets et par destinations.
Lorsquils se fondent sur la destination, ils utilisent les informations ditinraire contenues dans
leur cache respectif afin de dterminer linterface de sortie. Dans le cas dun routage IGRP ou
EIGRP, lquilibrage peut se faire travers des chemins de cot diffrent. Les routeurs emploient
des mtriques pour dcider des itinraires que les paquets doivent suivre ; le niveau de lquilibrage
de charge peut tre dfini par lutilisateur.
Lquilibrage dun trafic pont sur des lignes sries est galement assur. Des lignes srie peuvent
tre assignes des groupes de circuits. Si lune des liaisons dun groupe fait partie de larbre
recouvrant (spanning tree) dun rseau, toutes ses liaisons peuvent alors tre utilises pour lquilibrage de charge. Afin de contourner les problmes de squencement des donnes, chaque destination est associe une liaison. Lorsquune interface tombe en panne ou, linverse, entre en
service, la raffectation est effectue dynamiquement.
Chapitre 2
31
Chemins alternatifs
Les pines dorsales de rseau sont nombreuses transporter des donnes critiques. Les organisations exploitantes souhaitent gnralement protger lintgrit de ces informations, et cela pratiquement nimporte quel prix. Les routeurs doivent donc tre suffisamment fiables afin de ne pas
reprsenter le point faible dans la chane des quipements de rseau. La solution consiste fournir
des chemins alternatifs pouvant tre emprunts lorsque des liaisons sur les rseaux actifs deviennent impraticables.
Il ne suffit pas de mettre en uvre une tolrance aux pannes au niveau de lpine dorsale pour assurer
une fiabilit de bout en bout. Si la communication tait pour une raison quelconque interrompue sur
un segment local au sein dun immeuble, les informations ne pourraient pas atteindre lpine
dorsale. Seule la redondance travers tout le rseau peut permettre une fiabilit de bout en bout.
Etant donn que le cot associ est habituellement prohibitif, la plupart des socits choisissent
dutiliser des chemins redondants uniquement sur les segments qui transportent des donnes sensibles.
Comment peut-on garantir la fiabilit dune pine dorsale ? Les routeurs sont la cl dun rseau
fiable. En fonction de ce que lon entend par fiabilit, cela peut signifier la duplication de chaque
systme important de routeur et, si possible, de chaque composant. Toutefois, cette solution nest
pas complte dans la mesure o tous ces composants doivent aussi tre relis par des circuits
supplmentaires pour pouvoir communiquer. Ce choix se rvle gnralement trs coteux, mais
surtout, il ne rsout pas entirement le problme. En supposant que tous les routeurs dun rseau
soient totalement fiables, des liaisons dfectueuses entre des nuds de lpine dorsale peuvent invalider la solution de redondance matrielle.
Pour vritablement garantir la fiabilit dun rseau, les liaisons doivent tre redondantes. Par
ailleurs, il ne suffit pas de les dupliquer toutes. En effet, les liaisons doubles doivent se terminer sur
plusieurs routeurs, moins que tous ceux de lpine dorsale noffrent une parfaite tolrance aux
pannes (risque de panne nul). Par consquent, la solution la plus efficace au problme de fiabilit
nest pas la redondance totale des routeurs, car elle est coteuse et napporte rien la fiabilit des
liaisons.
La plupart des concepteurs choisissent dimplmenter des rseaux qui ne sont que partiellement
redondants, et non totalement. La section "Choix des options de fiabilit de rseau", plus loin dans
ce chapitre, prsente plusieurs types de rseaux communment mis en uvre dans le cadre dune
recherche de fiabilit.
Accs commut
Laccs commut permet de bnficier de liaisons WAN sur la base de besoins ponctuels, par
lintermdiaire de contrles de routeur automatiss. Un modle de rseau fdrateur fiable consiste
en des liaisons dupliques et ddies, ainsi quune liaison commute inactive, capable dassurer un
secours dynamique en cas de besoin. Dans des conditions normales dexploitation, la charge peut
tre rpartie sur les liaisons ddies, et la liaison commute nest exploite que si lune delles
tombe en panne.
Les connexions WAN sur le rseau tlphonique public commut (RTC) utilisent traditionnellement
des lignes ddies. Lorsque les applications ne requirent que des connexions priodiques faible
dbit, cela peut se rvler trs onreux. Afin de limiter les besoins en circuits ddis, on emploie
32
Partie I
Architecture de rseaux
une fonctionnalit appele routage par ouverture de ligne la demande, ou DDR (Dial-on-Demand
Routing). La Figure 2.8 illustre une connexion DDR.
Figure 2.8
Lenvironnement de
routage par ouverture
de ligne la demande,
ou DDR.
Ethernet
Ethernet
Rseau
tlphonique
public commut
Routeur
Dispositif
ETCD
Token
Ring
Routeur
Dispositif
ETCD
Token
Ring
Grce cette fonctionnalit, les connexions de rseau ponctuelles faible trafic peuvent sappuyer
sur le rseau RTC. Lorsquun routeur reoit un paquet IP pont ou rout, dont la destination se
trouve de lautre ct de la ligne tlphonique, il active la fonction DDR. Une fois quil a compos
le numro de tlphone du rseau destinataire et tabli la connexion, les paquets des protocoles
supports peuvent tre transmis. Ds que lenvoi est termin, la ligne est automatiquement libre.
Avec cette facult de libration des connexions devenues inutiles, DDR permet de rduire le cot
dun rseau.
Encapsulation (mise en uvre dun tunnel)
Le processus dencapsulation place les paquets ou trames dun type de rseau dans les trames dun
autre type de rseau. On parle parfois de technique du tunnel (tunneling). Un tunnel permet
dencapsuler des paquets dans un protocole routable, par lintermdiaire dinterfaces virtuelles. Le
transport SDLC (Synchronous Data Link Control) consiste galement en une encapsulation de
paquets dans un protocole routable. De plus, il apporte des amliorations la technique du tunnel,
telles que la terminaison locale de la couche liaison de donnes, le blocage des diffusions broadcast,
la conversion de mdias, ainsi que dautres optimisations qui autorisent une certaine volutivit.
Les routeurs Cisco supportent les techniques dencapsulation et de mise en uvre de tunnel suivantes :
m
Chapitre 2
33
Techniques de tunnel protocole unique : Cayman (AppleTalk sur IP), AURP (AppleTalk sur
IP), EON (CLNP sur IP) et NOS (IP sur IP).
Les sections suivantes traitent des diffrents types dencapsulations IBM et de la technique de
tunnel multiprotocole de GRE.
Types dencapsulations IBM
La mise en uvre dun tunnel sur une ligne srie, via STUN, permet deux quipements normalement relis par une liaison srie directe dtre connects par le biais dun ou de plusieurs routeurs,
au moyen de protocoles compatibles avec SDLC ou HDLC (High-level Data Link Control). Ces
routeurs peuvent tre connects via un rseau multiprotocole de topologie quelconque. STUN
permet aussi lintgration de rseaux SNA et non SNA, au moyen de routeurs et de liaisons existantes. Le transport travers le rseau multiprotocole qui relie les routeurs peut utiliser TCP/IP. Ce
type de transport autorise un routage fiable et intelligent, par lintermdiaire de nimporte quel
protocole de routage pour IP support. Une configuration STUN est illustre la Figure 2.9.
Le transport SDLC est une variante de STUN qui permet des sessions utilisant des protocoles
SDLC et une encapsulation TCP/IP dtre termines au niveau local. Il permet aussi une participation aux oprations de fentrage SDLC et aux activits de retransmission.
Lorsquil sagit de relier des quipements distants utilisant SRB (Source Routing Bridge, pont
routage par la source) sur une liaison srie faible vitesse, la plupart des concepteurs de rseaux
choisissent dimplmenter RSRB (systme de ponts distants routage par la source) avec une encapsulation HDLC directe. Dans ce cas, les trames SRB sont encapsules dans un en-tte HDLC. Cette
solution najoute quune lgre surcharge de service, conomisant ainsi la prcieuse bande passante
de la ligne srie. Lencapsulation HDLC directe ne se limite pas aux liaisons sries (elle peut
galement tre utilise sur des liaisons Ethernet, Token Ring et FDDI), mais convient mieux lorsque
le rseau qui procde lencapsulation ne peut tolrer une surcharge de contrle additionnelle.
Si une certaine surcharge de service est tolre et que le squencement des trames soit important,
mais quune livraison extrmement fiable ne soit pas ncessaire, les paquets SRB peuvent tre
envoys par le biais de liaisons srie sur des rseaux Token Ring, Ethernet et FDDI, en utilisant
lencapsulation FST (Fast Sequenced Transport). FST est semblable TCP dans le sens o il effectue le squencement des paquets, mais sen distingue par le fait quil nassure pas leur acquittement.
Afin de bnficier dune remise extrmement fiable dans des environnements pouvant supporter une
surcharge moyenne, il est possible dencapsuler les trames SRB dans des paquets TCP/IP. Cette
solution nest pas seulement fiable, elle permet galement de tirer parti de fonctionnalits de
routage, telles que la manipulation de paquets par des protocoles de routage, le filtrage de paquets et
le routage multichemin.
34
Partie I
Figure 2.9
Architecture de rseaux
Mainframe IBM
Site local
37x5
Epine
dorsale
SNA
16/4 Token
Mbit/s Ring
Token 16/4
Ring Mbit/s
Routeur
Routeur
Stations de
travail Sun
Site distant
16/4 Token
Mbit/s Ring
Routeur
Routeur
Stations de
travail Sun
Contrleur de
cluster 3x74
3270
3270
Terminaux IBM
3270
Passager. Le protocole est encapsul (IP, CLNP, IPX, AppleTalk, DECnet Phase IV, XNS, VINES
et Apollo).
Chapitre 2
35
Grce au tunnel GRE, les protocoles de bureau peuvent bnficier des fonctionnalits avances de
slection de route dIP. De nombreux protocoles de LAN, tels AppleTalk et IPX, ont t optimiss
pour une utilisation locale. Ils disposent dun faible choix de mtriques de slection de route et
souffrent de limitations au niveau des comptes de sauts (hop count). Les protocoles de routage IP
permettent une slection de route plus souple et sadaptent mieux aux grands rseaux. La
Figure 2.10 illustre la technique du tunnel GRE travers une pine dorsale IP reliant plusieurs sites.
Quel que soit le nombre de routeurs et de chemins associs au nuage IP, le tunnel est vu comme un
seul saut.
Figure 2.10
Utilisation dune pine
dorsale protocole unique.
Site AppleTalk
Site Novell
Epine
dorsale IP
Site
AppleTalk
Site
AppelTalk/Novell
Tunnel GRE
36
Partie I
Figure 2.11
Connexion de deux
sous-rseaux non
contigus, laide
dun tunnel.
Architecture de rseaux
131.108.20.0
255.255.255.0
Routeur
Tunnel
Routeur
131.108.10.0
255.255.255.0
Rseau
192.1.1.0
Puisque lencapsulation requiert la manipulation de paquets, il est gnralement plus rapide de les
router de faon native plutt que dutiliser des tunnels. La vitesse de commutation du trafic qui transite par des tunnels est deux fois infrieure celle du processus de commutation classique, cest-dire que chaque routeur traite environ 1 000 paquets par seconde. La technique du tunnel est
coteuse en ressources processeur ; son activation doit donc faire lobjet dune certaine prudence.
Chaque interface de tunnel peut avoir vhiculer des informations de mise jour de routage, de
mise jour SAP, ainsi que dautres types de trafics administratifs. Lorsque plusieurs tunnels sont
configurs sur une mme liaison physique, celle-ci peut rapidement se retrouver sature dinformations de routage. Les performances dpendent alors du protocole passager, des diffusions broadcast,
des mises jour dinformations de routage et de la bande passante des interfaces physiques. En cas
de dfaillance, le dpannage dune liaison physique peut galement se rvler difficile. Il existe
cependant plusieurs moyens de dpannage en cas de problme avec le lien physique. Dans un environnement IPX, des filtres de routage et des filtres SAP rduisent la quantit de trafic de mise jour
qui circule sur les tunnels. Sur un rseau AppleTalk, le maintien de petites zones et lemploi de
filtres de route peuvent limiter les exigences excessives en bande passante.
Un tunnel peut galement masquer la vritable nature dune liaison, la rendant plus lente, plus
rapide, ou plus ou moins coteuse quelle ne lest en ralit. Il peut en rsulter une slection de
route imprvue ou malencontreuse. Les protocoles de routage qui se fondent uniquement sur le
compte de sauts pour dcider de la route emprunter prfrent gnralement utiliser un tunnel
plutt quune liaison relle. Mais ce nest pas toujours la meilleure solution, car un nuage IP peut
tre constitu de divers mdias dont les qualits sont trs diffrentes. Par exemple, le trafic peut tre
achemin sur des lignes Ethernet 100 Mbit/s et sur des lignes sries 9,6 Kbit/s. Avant dimplmenter un tunnel, il faut penser vrifier le type de mdia sous-jacent et les mtriques utilises par
chaque protocole.
Etant donn que les tunnels encapsulent des protocoles passagers non contrls, lorsquun rseau
comporte des sites qui mettent en uvre un filtrage de paquets fond sur des protocoles dans le
cadre dun systme de scurit avec pare-feu, il faut implmenter le filtrage sur le routeur pare-feu
afin que seuls les tunnels autoriss puissent accder au rseau. Sil est prvu que des tunnels en
provenance de rseaux non scuriss soient accepts, il est conseill dactiver le filtrage au niveau
de la sortie de ces tunnels, ou bien de placer celle-ci lextrieur de la zone scurise du rseau, afin de
prserver lintgrit du systme de scurit.
Chapitre 2
37
Lors de la mise en uvre dun tunnel IP sur IP, il faut veiller ne pas configurer par mgarde une
boucle de routage. Une telle situation se produit lorsque le protocole passager et le protocole de
transport sont identiques, car le meilleur chemin vers la destination du tunnel passe par linterface
du tunnel. Voici comment survient une boucle de routage avec un tunnel IP sur IP :
1. Le paquet est plac en file dattente de sortie de linterface du tunnel.
2. Linterface du tunnel ajoute un en-tte GRE, puis place le paquet dans la file dattente du protocole de transport (IP) afin quil soit achemin vers ladresse de destination du tunnel.
3. IP recherche la route vers ladresse de destination du tunnel et apprend que le chemin passe par
linterface du tunnel elle-mme.
4. De nouveau, le paquet est plac dans la file dattente de sortie de linterface du tunnel, comme
dcrit ltape 1. La boucle est ainsi provoque.
Lorsquun routeur dtecte une boucle de routage, il dsactive linterface du tunnel pendant une ou
deux minutes, puis met un message davertissement avant de sengager dans la boucle. On peut
galement conclure quune boucle a t dtecte lorsque linterface du tunnel est active et que le
protocole de ligne est inactif.
Afin dviter ces boucles, il faut sparer les informations de protocole passager et de routage du
protocole de transport, en suivant ces instructions :
m
Utiliser des identifiants de protocole de routage diffrents (par exemple, IGRP 1 et IGRP 2).
Attribuer linterface du tunnel une trs faible quantit de bande passante, afin que les protocoles de routage, tel IGRP, lui reconnaissent une trs haute mtrique et choisissent par consquent
le prochain saut appropri (cest--dire linterface physique la plus efficace plutt que celle du
tunnel).
Faire en sorte que les deux plages dadresse IP soient distinctes. Pour cela, utiliser une adresse
principale pour le tunnel diffrente de celle du rseau IP rel. Une telle mesure facilite galement
le dpannage, car il est plus ais de dterminer lappartenance de chaque adresse.
Services de distribution
Cette section couvre les fonctionnalits de rseau qui supportent des services de distribution. Les
sujets suivants y sont traits :
m
distribution stratgique ;
services de passerelle ;
38
Partie I
Architecture de rseaux
En vue doptimiser le fonctionnement du rseau fdrateur, les routeurs offrent plusieurs options de
mise au point des performances, telles la mise en file dattente de priorit, lutilisation de mtriques
par les protocoles de routage et la terminaison locale de session.
Il est possible dajuster la longueur des files dattente de priorit. Si une file dborde, les paquets
supplmentaires sont supprims et des messages de notification de congestion (quench) sont
envoys, si ncessaire, afin de stopper le flux de paquets du protocole concern. On peut galement
adapter les mtriques de routage afin de mieux contrler les chemins emprunts par le trafic
travers le rseau.
La terminaison locale de session permet des routeurs de jouer le rle de proxy pour des systmes
distants qui reprsentent les points dextrmit de session (un proxy est un agent intermdiaire qui
effectue certaines oprations pour le compte dun autre). La Figure 2.12 illustre un exemple de
terminaison locale de session dans un environnement IBM.
Figure 2.12
Terminaison locale
de session sur un
rseau fdrateur
multiprotocole.
Token
Ring
Routeur
Rseau fdrateur
multiprotocole
Session TCP/IP
Transport fiable
Contrle de flux TCP
Correction d'erreur
3745
Token
Ring
Routeur
Contrleur 3x74
Acquittements
Acquittements
Session LLC2
Temporisateur T1
Session LLC2
Temporisateur T1
A la Figure 2.12, les routeurs terminent localement les sessions de contrle LLC2 (Logical Link
Control Type 2) de liaison de donnes. Plutt que mettre en place des sessions de bout en bout o
toutes les informations de contrle sont transmises sur lpine dorsale multiprotocole, les routeurs
prennent en charge lacquittement des paquets qui proviennent des htes de rseaux locaux (LAN)
qui leur sont directement rattachs. Lacquittement au niveau local permet dconomiser la bande
passante du WAN (et, par consquent, de limiter les frais lis son exploitation), dviter les problmes de dpassement de temporisation, et doffrir un meilleur temps de rponse aux utilisateurs.
Filtrage de zones et de services
Les filtres de trafic qui sappuient sur le type de zone ou de service sont les principaux outils des
services de distribution utiliss afin dassurer un contrle daccs au niveau des services du rseau
fdrateur. Ils sont implments au moyen de listes daccs (access list). Celles-ci sont constitues
de squences dinstructions, chacune delle autorisant ou refusant certaines conditions ou adresses.
Chapitre 2
39
Elles peuvent servir accepter ou rejeter les messages qui proviennent de nuds de rseau spcifiques ou envoys laide de protocoles ou de services particuliers.
Ces filtres sont utiliss afin dassurer une transmission slective du trafic, base sur ladresse de
rseau. Ils peuvent tre mis en uvre au niveau des ports dentre ou de sortie. Les filtres de service
emploient des listes daccs appliques des protocoles (tel UDP pour IP), des applications (telle
SMTP, Simple Mail Transfer Protocol) et des protocoles spcifiques.
Supposons que vous disposiez dun rseau connect lInternet. Vous souhaitez que tous les htes
dun rseau Ethernet soient en mesure dtablir des connexions TCP/IP avec nimporte quel hte sur
lInternet, mais que linverse ne soit pas possible. La seule exception est la connexion dun hte
Internet sur le port SMTP dun hte de messagerie ddi.
SMTP utilise le port TCP 25 lune des extrmits de la connexion, et un numro de port alatoire de
lautre ct. Ces deux numros sont conservs tout au long de la connexion. Les paquets de messages
en provenance de lInternet sont envoys sur le port 25, tandis que ceux destination de lextrieur
sont envoys vers lautre numro de port. Le fait que le systme de scurit implment par le
routeur accepte toujours les connexions de messagerie sur le port 25 permet de contrler sparment les services entrants et sortants. La liste daccs peut tre configure au niveau de linterface
dentre ou de sortie.
Dans lexemple suivant, le rseau Ethernet est de classe B. Son adresse est 128.88.0.0 ; celle de
lhte de messagerie est 128.88.1.2. Le mot cl established sert uniquement au protocole TCP pour
indiquer une connexion tablie. Une correspondance se produit si les bits ACK ou RST du datagramme TCP sont activs, signifiant que le paquet appartient une connexion existante :
access-list 102 permit tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255
128.88.1.2 0.0.0.0 eq 25
interface ethernet 0
ip access-group 102
Distribution stratgique
La distribution stratgique part du principe que plusieurs dpartements dune organisation peuvent
observer des rgles diffrentes de distribution du trafic travers tout le rseau. Cette forme de distribution vise satisfaire des exigences diffrentes, sans pour autant provoquer de rpercussions ngatives quant aux performances et lintgrit des informations.
Une stratgie dans ce contexte est une rgle ou un ensemble de rgles qui gouvernent la distribution
du trafic, de bout en bout, en direction dun rseau fdrateur, puis sur ce rseau. Un dpartement
pourrait injecter vers cette pine dorsale un trafic compos de trois protocoles diffrents, mais souhaiter que celui dun protocole spcifique transite galement travers cette artre, car il transporte des
donnes critiques. Un autre dpartement pourrait galement vouloir rduire un trafic interne dj
excessif en interdisant tout trafic en provenance de lpine dorsale de pntrer sur son segment de
rseau, except celui de courrier lectronique et dapplications personnalises essentielles.
Ces exemples refltent des stratgies propres certains dpartements. Toutefois, elles pourraient
correspondre lensemble des objectifs de lorganisation. Par exemple, celle-ci pourrait souhaiter
rglementer le trafic sur lpine dorsale en se fondant sur un maximum de 10 % dutilisation de la
40
Partie I
Architecture de rseaux
bande passante en moyenne durant la journe, avec des crtes dune minute o la consommation
passe 30 %. Une autre stratgie dentreprise pourrait garantir que deux dpartements distants
peuvent communiquer nimporte quel moment, malgr des technologies de rseau diffrentes.
Diverses stratgies requirent souvent lemploi de technologies diffrentes au niveau des groupes
de travail ou des dpartements. Par consquent, la mise en uvre de la distribution stratgique
implique le support du large ventail de technologies actuellement en place. En retour, le fait de
pouvoir implmenter des solutions qui supportent de nombreuses stratgies permet daccrotre la
souplesse de lorganisation et la disponibilit des applications.
Outre la gestion de ces diffrentes technologies de rseau, des moyens doivent tre mis en uvre
pour, la fois les sparer, et les intgrer de faon approprie. Elles doivent pouvoir coexister ou, au
besoin, tre combines intelligemment selon les situations.
Observez la situation illustre la Figure 2.13. Une entreprise souhaite limiter le trafic inutile sur
lpine dorsale. Une solution serait de rduire la transmission des messages du protocole dannonces SAP (Service Advertisement Protocol) qui permettent des serveurs NetWare dannoncer les
services proposs aux clients. Lentreprise pourrait donc dfinir une stratgie stipulant que tous les services NetWare doivent tre assurs localement. Dans ce cas, il ny a aucune raison pour que des services
soient annoncs distance. Lorganisation pourrait donc mettre en uvre des filtres SAP pour
empcher que ce type de trafic ne quitte une interface de routeur, satisfaisant ainsi aux exigences de
circulation de trafic sur lpine dorsale.
Figure 2.13
Distribution
stratgique avec
filtrage SAP.
Filtre SAP
Client
Client
Filtre SAP
Client
Client
Client
Client
Rseau
fdrateur
Routeur
Serveur
NetWare
Routeur
Serveur
NetWare
Services de passerelle
Les fonctions de passerelle de protocole font partie de la panoplie logicielle standard de chaque routeur.
Par exemple, au moment de llaboration de cet ouvrage, Digital Equipement commercialisait DECnet
Phase V. Les adresses de cette version sont diffrentes de celles utilises par DECnet Phase IV. Pour les
rseaux qui ncessitent la cohabitation des deux types dhtes, la traduction bidirectionnelle Phase IV/
Phase V est conforme aux directives de Digital. Les routeurs Digital interagissent avec dautres
routeurs, et les htes Digital ne font aucune distinction entre les diffrents quipements.
La connexion de plusieurs rseaux DECnet indpendants peut conduire la ncessit de rsoudre
certains problmes. Rien nempche deux administrateurs dassigner tous deux la mme adresse de
nud 10 un hte sur leur rseau respectif. Toutefois, lorsque les deux rseaux se connecteront
Chapitre 2
41
ultrieurement, des conflits natront. DECnet fournit des passerelles de traduction dadresses (ATG,
Address Translation Gateway) pour rgler ce problme. La solution ATG gre, au niveau routeur, la
traduction des adresses de deux rseaux DECnet diffrents unis par un routeur. La Figure 2.14 illustre un exemple de cette opration.
Sur le Rseau 0, le routeur est configur avec ladresse 19.4 ; cest un routeur de niveau 1. Sur le
Rseau 1, le routeur est configur avec ladresse 50.5 ; cest un routeur de zone. A ce stade, aucune
information de routage nest change entre les deux rseaux. Le routeur maintient une table de
routage spare pour chaque rseau. En tablissant une carte de traduction, les paquets du Rseau 0
envoys ladresse 19.5 seront routs sur le Rseau 1 avec ladresse de destination 50.1, et les
paquets envoys vers ladresse 19.6 seront routs vers le Rseau 1 avec ladresse de destination
19.1. De la mme manire, les paquets transmis sur le Rseau 1 vers ladresse 47.1 seront aiguills
vers le Rseau 0 avec 19.1 comme adresse de destination, et les paquets expdis vers ladresse
47.2 seront achemins vers le Rseau 0 avec ladresse 19.3.
Figure 2.14
Exemple dimplmentation
de la traduction ATG de
DECnet.
Rseau 0
Rseau 1
19.4
19.1
A::
19.2
B::
50.5
50.1
D::
19.3
C::
60.1
E::
19.1
F::
E1
E0
Routeur A
19.5
50.1
19.6
19.1
19.1
47.1
19.3
47.2
Table de traduction DECnet
AppleTalk est un autre exemple de protocole ayant fait lobjet de plusieurs rvisions, chacune
comportant des caractristiques dadressage quelque peu diffrentes. Les adresses dAppleTalk
Phase 1 suivent une forme locale simple, celles dAppleTalk Phase 2 emploient une structure tendue (multirseau). Normalement, des informations expdies partir dun nud Phase 2 ne peuvent
pas tre comprises par un nud Phase 1 si ladressage tendu Phase 2 est utilis. Les routeurs
grent lacheminement du trafic entre ces deux types de nuds sur un mme cble, au moyen dun
routage transitoire.
Le routage transitoire peut tre ralis en reliant deux ports de routeur au mme cble. Configurez
un port pour grer ladressage non tendu et lautre port pour ladressage tendu. Ils doivent chacun
disposer dune adresse de rseau unique. Les paquets sont ensuite traduits, puis envoys sur lun ou
lautre des deux ports, selon les ncessits.
42
Partie I
Architecture de rseaux
La section prcdente relative aux services de passerelle a dcrit de quelle manire des passerelles
de protocole rout peuvent permettre deux nuds dextrmit dimplmentations diffrentes de
communiquer. Les routeurs peuvent galement agir en tant que passerelle pour les protocoles
de routage. Les informations en provenance dun protocole de routage tel que IGRP peuvent tre
transmises et utilises par un autre protocole de routage, tel RIP. Cela peut se rvler utile lorsque
plusieurs protocoles de routage sont utiliss sur un mme rseau.
Les informations de routage peuvent tre changes entre nimporte quels protocoles de routage
pour IP supports : RIP, IGRP, OSPF, EIGRP, IS-IS, EGP ou BGP. De la mme manire, la redistribution de route est supporte par ISO CLNS entre ISO IGRP et IS-IS. Les informations de routage
statiques peuvent galement tre redistribues. Des paramtres par dfaut peuvent tre assigns afin
quun protocole de routage puisse utiliser la mme mtrique pour toutes les routes redistribues, ce
qui simplifie le mcanisme.
Traduction du format de trame
Les techniques de traduction du mdia permettent de convertir les trames dun systme de rseau
vers un autre. Ce type de traduction est rarement efficace 100 %, car un systme peut utiliser des
attributs qui ne trouvent pas leur corollaire dans un autre systme. Par exemple, les rseaux Token
Ring mettent en uvre une gestion de priorit et de rservation intgre, que les rseaux Ethernet
nassurent pas. Les traductions qui interviennent entre ces deux architectures doivent dune faon
ou dune autre pouvoir prendre en compte ces diffrences. Il arrive quelles ne soient pas traites de
la mme manire selon les fabricants, bloquant ainsi toute interoprabilit.
Dans des situations o la communication entre des stations situes sur des mdias diffrents doit
tre autorise, les routeurs peuvent procder la traduction des trames. Pour implmenter un pont
direct entre des environnements Ethernet et Token Ring, utilisez soit un pont traducteur routage
par la source, soit un pont transparent routage par la source (SRT). La premire solution permet
dobtenir une traduction du format des trames de ces deux architectures, la seconde permet aux
routeurs dutiliser les algorithmes de pont SRB ou de pont transparent qui sont utiliss dans les
systmes de pontage Ethernet standard.
Lors du passage dun domaine SRB un domaine pont transparent, les champs SRB des trames
sont supprims. Les champs RIF sont placs en cache pour tre utiliss par le trafic en retour. Lors du
pontage dans le sens oppos, le routeur vrifie le paquet afin de dterminer sil fait partie dune diffusion broadcast, multicast, ou unicast. Dans les deux premiers cas, il est envoy en tant que paquet
dexploration darbre recouvrant. Dans le troisime cas, le routeur recherche le chemin de destination du paquet dans le cache RIF, et lutilise sil le trouve. Sinon, il lenvoie en tant que paquet
dexploration darbre recouvrant. Un exemple simple de cette topologie est illustr la Figure 2.15.
Les routeurs supportent SRT lorsque les deux algorithmes de pontage, SRB et transparent, sont
implments sur chaque interface SRT. Si une interface dtecte la prsence dun champ RIF, elle
utilise lalgorithme SRB, sinon elle utilise lautre algorithme.
Chapitre 2
43
Anneau avec
pont transparent
Figure 2.15
Topologie de pont traducteur
routage par la source.
Domaine avec
pont transparent
Token
Ring
Routeur
Pont traducteur
routage par la source
Figure 2.16
3x74
3270
Une configuration
SDLLC complexe.
C1
Anneau N7
SDLLC
Anneau N8
SDLLC
S0
Token
Ring 10
T0
Routeur A
E0
WAN
E0
Routeur B
SDLLC
S1
3x74
C2
37x5
E0
Hte
Routeur C
SDLLC S0
3270
3270
Anneau N9
SDLLC
C3
3x74
3270
La traduction entre des lignes srie qui exploitent le protocole SDLC et des anneaux Token Ring
qui exploitent LLC2 est aussi possible. Elle est connue sous la dsignation de traduction de trame
SDLLC et autorise les connexions entre des lignes srie et des rseaux Token Ring. Cela peut se
rvler utile pour consolider des rseaux SNA/SDLC, traditionnellement disparates, en un rseau
fdrateur multimdia, multiprotocole, fond sur un LAN. Avec SDLLC, les routeurs peuvent
terminer les sessions SDLC, traduire les trames SDLC en trames LLC2, puis transmettre ces
dernires par voie de pontage RSRB sur une liaison point--point ou un rseau IP. Puisquun rseau
IP fond sur des routeurs peut utiliser un mdia quelconque (FDDI, Frame Relay ou X.25), ou
encore des lignes loues, les routeurs grent SDLLC au-dessus de ces technologies, au moyen
dune encapsulation IP.
Une configuration SDLLC complexe est illustre la Figure 2.16.
44
Partie I
Architecture de rseaux
La section suivante traite des fonctions de rseaux qui grent les services daccs locaux. Voici les
sujets qui y sont abords :
m
segmentation de rseau ;
dcouverte de routeurs.
Les politiques dadressage sur des rseaux fonds sur des LAN, tels que les rseaux NetWare, ne
sadaptent pas toujours parfaitement une utilisation sur des rseaux multisegments locaux ou tendus. Un outil que les routeurs implmentent afin dassurer le fonctionnement de ces rgles est
ladressage de soutien pour un protocole donn. Il sagit dun mcanisme dassistance qui permet
de faire transiter un trafic spcifique travers un rseau sur lequel il ne circulerait pas autrement.
Lutilisation de cet adressage auxiliaire sera mieux illustre par un exemple. Imaginons son emploi
sur les rseaux IPX de Novell. Les clients Novell envoient des messages broadcast lorsquils
recherchent un serveur. Si celui-ci nest pas local, le trafic broadcast doit tre retransmis par lintermdiaire de routeurs. Les adresses auxiliaires et les listes daccs peuvent tre utilises ensemble
pour permettre aux diffusions broadcast de certains nuds dun rseau dtre diriges prcisment
vers certains serveurs sur un autre rseau. Chaque interface gre plusieurs de ces adresses, afin que
les paquets broadcast puissent tre transmis plusieurs htes. La Figure 2.17 illustre lemploi de cet
adressage avec NetWare.
Les clients NetWare sur le Rseau AA sont autoriss mettre des messages broadcast vers
nimporte quel serveur sur le Rseau BB. Une liste daccs applicable spcifierait que les paquets
broadcast de type 10 sont autoriss partir de tous les nuds sur le Rseau AA. Grce la configuration dun adressage auxiliaire, on identifie les adresses sur le Rseau BB vers lesquelles les diffusions broadcast sont diriges. Aucun autre nud sur le Rseau BB ne reoit ces diffusions. Les
diffusions broadcast de type autre que 10 ne seront pas routes.
Aucune diffusion broadcast en provenance dun rseau en aval du Rseau AA (par exemple un
Rseau AA1 quelconque) ne sera retransmise vers le Rseau BB par lintermdiaire du Routeur C1,
moins que les routeurs sparant les Rseaux AA et AA1 ne soient configurs pour le faire, au
moyen de paramtres prvus cet effet. Dans un tel cas, ces paramtres doivent tre appliqus aux
interfaces dentre, et configurs pour autoriser lacheminement des diffusions broadcast entre les
rseaux directement connects. De cette faon, le trafic est retransmis, mais de manire dirige,
de rseau en rseau.
Chapitre 2
Figure 2.17
Illustration du contrle
de diffusion broadcast
avec adressage de soutien.
45
Client
NetWare A
Client
NetWare B
AA
E0
BB
Routeur C1 E1
E2
Serveur
NetWare B
0090.aa23.ef01
CC
Segmentation de rseau
La division de rseaux en sous-lments plus faciles grer est le rle essentiel des routeurs daccs
local. Ils permettent en particulier dimplmenter des stratgies locales et de limiter le trafic inutile.
Parmi les moyens mis la disposition des concepteurs pour exploiter ces routeurs des fins de
segmentation, on trouve les sous-rseaux IP, ladressage de zone DECnet et les zones AppleTalk.
Vous pouvez utiliser des routeurs daccs local pour implmenter des stratgies locales, en les
plaant des endroits stratgiques et en les configurant de faon suivre des rgles spcifiques. Par
exemple, vous pouvez dfinir une srie de segments LAN avec des adresses de sous-rseaux diffrentes ; les routeurs seraient configurs avec des adresses dinterface et des masques de sous-rseau
appropris. En gnral, le trafic sur un segment donn est limit aux diffusions broadcast locales,
aux messages destination dune station sur le mme segment ou destination dun autre routeur.
En rpartissant les htes et les clients ingnieusement, vous pouvez employer cette mthode simple
de division dun rseau pour rduire lensemble de la congestion.
Diffusions broadcast et multicast
De nombreux protocoles exploitent les possibilits de diffusions broadcast et multicast. Une diffusion broadcast (diffusion gnrale) consiste en lenvoi dun paquet vers toutes les destinations
possibles du rseau. Une diffusion multicast (diffusion restreinte, multidestinataire ou encore multipoint) est lmission dun paquet destination dun sous-ensemble spcifique de nuds du rseau.
Les routeurs sont dots dun comportement par dfaut qui limite la prolifration des diffusions
broadcast, mais ils peuvent aussi tre configurs pour les relayer, si ncessaire. Dans certaines situations, la retransmission de ce type denvoi est souhaitable, voire ncessaire. Lessentiel est de
pouvoir contrler la fois les diffusions broadcast et multicast au moyen de routeurs.
46
Partie I
Architecture de rseaux
Dans le monde IP, linstar dautres technologies dailleurs, les requtes broadcast sont chose
courante. A moins quelles ne soient contrles, la bande passante peut sen trouver srieusement
affecte. Les routeurs proposent plusieurs fonctions qui permettent de rduire ce type de trafic et, du
mme coup, les risques de temptes de broadcast. Par exemple, la diffusion broadcast dirige
permet denvoyer les paquets concerns vers un rseau ou une srie de rseaux spcifiques, au lieu
de les transmettre sur lensemble du rseau. Lorsque les diffusions broadcast par inondation
(envoyes sur tout le rseau) sont ncessaires, les routeurs Cisco sappuient sur une technique dans
laquelle les paquets suivent un arbre recouvrant le rseau. Larbre recouvrant assure une couverture
complte, sans trafic excessif, car un paquet unique est envoy sur chaque segment de rseau.
Comme on la vu dans la section consacre ladressage de rseau valeur ajoute, le contrle du
trafic broadcast est pris en charge par les mcanismes de ladressage auxiliaire. Avec ce soutien,
vous pouvez galement autoriser un routeur ou une srie de routeurs relayer ce trafic, qui autrement serait bloqu. Par exemple, grce lacheminement des diffusions broadcast SAP, les clients
sur diffrents segments de rseau peuvent tre avertis de la disponibilit de certains services
NetWare assurs par des serveurs distants donns.
La fonctionnalit de diffusion multicast IP de Cisco autorise le trafic IP tre achemin partir
dune source vers un nombre spcifique de destinations. A la diffrence de la diffusion broadcast
qui transmet un paquet vers toutes les destinations, la diffusion multicast sadresse un groupe
identifi par une seule adresse IP. Ce type denvoi offre un excellent support pour des applications
telles que la vido, laudioconfrence, la dcouverte de ressources et la distribution des rsultats de
marchs boursiers.
Pour que la diffusion multicast IP soit possible, les htes IP doivent exploiter le protocole IGMP
(Internet Group Management Protocol). Ils peuvent ainsi signaler leur appartenance un groupe
auprs dun routeur multicast situ dans un voisinage immdiat. Lenregistrement dappartenance
un tel groupe est un processus dynamique. Les routeurs qui grent ce mode de diffusion envoient
des messages de requte IGMP sur les rseaux locaux auxquels ils sont connects. Les membres
dun groupe y rpondent par lmission de rapports IGMP sur les groupes auxquels ils appartiennent. Un routeur prend en compte le rapport denregistrement envoy par le premier hte abonn
un groupe, puis supprime tous les rapports identiques dautres htes qui appartiendraient au mme
groupe.
Le routeur multicast connect au rseau local a pour responsabilit de transmettre les datagrammes
dun groupe vers tous les autres rseaux qui comportent un hte membre de ce groupe. Les routeurs
laborent des arbres de distribution multicast (tables de routage) afin que les paquets puissent
emprunter des routes exemptes de boucles jusqu leur destination, sans tre dupliqus. Si aucun
rapport nest reu pour un groupe aprs un nombre dfini de requtes IGMP, le routeur multicast
concern supposera quaucun membre local nen fait partie, et stoppera lacheminement des diffusions multicast concernant ce groupe.
Les routeurs Cisco grent aussi le protocole PIM (Protocol Independent Multicast).
Services de noms, de proxy et de cache local
Trois fonctions essentielles du routeur participent galement la rduction du trafic et au fonctionnement efficace du rseau. Il sagit des services de gestion de noms, de proxy, et de cache local
dinformations de rseau.
Chapitre 2
47
Les applications de rseau et les services de connexion exploits sur des rseaux segments requirent
lemploi de mthodes rationnelles pour rsoudre les noms en adresses. Divers services concourent
cela. Nimporte quel routeur doit pouvoir grer les services de noms implments pour divers environnements de systmes terminaux. Parmi les services de noms supports, on trouve NetBIOS, DNS
(Domain Name System), IEN-116 pour IP et NBP (Name Binding Protocol) dAppleTalk.
Un routeur peut galement fournir des services de proxy pour un serveur de noms. La gestion par le
routeur dun cache de noms NetBIOS en est un exemple. Il na ainsi pas besoin de transmettre toutes
les requtes broadcast entre les ordinateurs NetBIOS client ou serveur (IBM PC ou PS/2) dans un
environnement SRB. Lorsquun tel cache est activ, le routeur procde de la faon suivante :
m
Il dtecte un hte qui envoie une srie de trames de requte dupliques et limite la retransmission
une trame par priode ; un intervalle de temps est dfini au pralable.
Il conserve en cache une table de correspondances entre les noms de serveurs et de clients
NetBIOS et leurs adresses MAC. Grce ce mcanisme, les requtes broadcast envoyes par les
clients afin de rechercher des serveurs peuvent tre directement diriges vers leurs destinataires
au lieu dtre diffuses en mode broadcast sur lensemble du rseau pont.
Lorsque la gestion de noms NetBIOS en cache est active et que les paramtres par dfaut sont
dfinis sur le routeur, sur les serveurs de noms NetBIOS, et sur les clients NetBIOS, environ vingt
paquets broadcast par ouverture de session sont conservs sur lanneau local o ils ont t gnrs.
Dans la plupart des cas, lutilisation du cache est optimale lorsquune grande quantit du trafic
broadcast gnr par les requtes NetBIOS provoque des goulets dtranglement sur un WAN qui
relie des rseaux locaux des environnement distants.
Les routeurs peuvent galement permettre une conomie de bande passante (ou grer des protocoles
de rsolution de noms non compatibles) au moyen dun ventail dautres services de proxy. En les
utilisant comme agents excutant des services pour le compte dautres quipements, vous pourrez
plus facilement adapter votre rseau. Au lieu de se trouver dans lobligation dajouter de la bande
passante lorsquun nouveau groupe de travail est ajout dans un environnement, il est possible
dutiliser un routeur afin de grer la rsolution dadresse et contrler les services de messages.
Parmi les exemples de ce type dexploitation, on trouve la fonction dexploration de proxy de SRB
et la fonction de sondage de proxy dans les implmentations de STUN.
Parfois, des portions de rseau ne peuvent pas participer lactivit de routage ou nimplmentent
pas des logiciels conformes aux protocoles gnralement installs pour la rsolution dadresse. Les
implmentations de proxy sur les routeurs permettent alors aux concepteurs de rseaux de supporter
ces rseaux ou htes sans avoir reconfigurer un rseau. Par exemple, les fonctionnalits de proxy
grent la rsolution dadresse ARP sur les rseaux IP ou NBP sur les rseaux AppleTalk.
Les caches locaux servent mmoriser des informations recueillies sur le rseau afin dviter que de
nouvelles requtes aient besoin dtre transmises chaque fois que les mmes lments dinformations
sont demands. Un cache ARP de routeur stocke les correspondances entre adresses physiques et
adresses de rseaux, empchant quune requte ARP ne soit envoye plusieurs fois en mode broadcast pour une mme adresse, dans une priode donne. Des caches dadresses sont galement mis en
uvre pour dautres protocoles, tels DECnet, Novell IPX et SRB, o les informations du champ RIF
sont conserves.
48
Partie I
Architecture de rseaux
Si toutes les informations dune entreprise sont disponibles pour tous les employs, des violations
de scurit et des accs indsirables aux ressources de fichiers peuvent se produire. Pour empcher
cela, les routeurs doivent :
m
empcher que le trafic sur lpine dorsale pntre de faon inapproprie sur un segment de rseau
de dpartement ou de groupe de travail.
Ces deux fonctions ncessitent la mise en place dun filtrage de paquets. Les services de filtrage
doivent tre personnaliss afin de sadapter diffrentes stratgies dentreprise. Les mthodes mises
en uvre cet effet peuvent rduire le trafic sur un rseau et permettre une entreprise de poursuivre
lexploitation dune technologie en place plutt que davoir investir dans davantage de matriels de
rseau. De plus, le filtrage amliore la scurit en empchant les utilisateurs non autoriss daccder
aux informations, mais rduit aussi les problmes de communication provoqus par une congestion
excessive.
Les routeurs acceptent de nombreuses stratgies de filtrage diffrentes pour assurer un contrle sur
le trafic qui pntre sur une pine dorsale. Le plus puissant de ces mcanismes est sans doute la liste
daccs. Elle permet de mettre en uvre les services daccs local suivants :
m
Vous exploitez un rseau avec routage Ethernet vers lInternet et souhaitez que tout hte sur le
rseau Ethernet soit capable dtablir une connexion TCP avec nimporte quel hte sur lInternet. Toutefois, vous ne voulez pas que linverse soit possible, sauf au niveau du port SMTP sur
un serveur de courrier ddi.
Vous souhaitez mettre des annonces pour un seul rseau, par lintermdiaire dun processus de
routage RIP.
Vous voulez empcher des paquets mis par une station de travail Sun de traverser un pont sur
un segment Ethernet particulier.
Vous voulez interdire un protocole donn fond sur Novell IPX dtablir une connexion entre
un rseau source (ou une combinaison de ports source) et un rseau de destination (ou une
combinaison de ports de destination).
La liste daccs empche logiquement certains paquets de traverser une interface de routeur
particulire, et fournit ainsi un outil gnral qui permet de mettre en place une scurit de rseau.
Outre cette mthode, il existe galement de nombreux autres systmes de scurit. Par exemple, le
gouvernement amricain a prconis lemploi dun champ optionnel dans len-tte de paquets IP
afin dimplmenter un systme de scurit de paquets hirarchiques, dsign par IPSO (Internet
Protocol Security Option).
Le support dIPSO au niveau des routeurs inclut les deux options de scurit (de base et tendue)
dcrites dans un projet dtude sur ce systme, communiqu par les bureaux de la DCA (Defense
Communications Agency). Ce document est une premire version du RFC 1108 (Request for
Comments). LIPSO dfinit des niveaux de scurit tels TOP SECRET, SECRET, etc. pour une
interface, et accepte ou rejette les messages selon quils contiennent ou non lautorisation adquate.
Certains systmes de scurit sont conus afin dempcher les utilisateurs distants daccder au
rseau, moins de disposer dune autorisation approprie. Par exemple, le systme TACACS
Chapitre 2
49
(Terminal Access Controller Access Control System) est un moyen de protger les accs par modem
sur un rseau. Le DDN (Defense Data Network) amricain a dvelopp ce systme afin de contrler
laccs ses serveurs de terminaux TAC.
Le support de TACACS sur un routeur suit un modle dapplication prsent par le DDN. Lorsquun
utilisateur tente de dmarrer un interprteur de commandes EXEC sur une ligne de commande protge par mot de passe, ce dernier est requis. En cas de non-conformit du mot de passe, laccs est
refus. Les administrateurs de routeurs peuvent contrler divers paramtres du systme TACACS,
tels que le nombre de tentatives autorises, le dlai dexpiration et lactivation de la comptabilit
TACACS.
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un autre moyen de contrler
laccs un rseau. Il est galement couramment utilis pour les communications entre deux
routeurs. Lorsquil est activ, un quipement distant (un PC, une station de travail, un routeur ou un
serveur de communication) qui tente de se connecter un routeur local est "mis au dfi" de fournir
une rponse approprie. En cas dchec, laccs est refus.
CHAP devient populaire, car il ne recourt pas lenvoi dun mot de passe sur le rseau. Il est
support sur toutes les lignes srie de routeurs qui exploitent lencapsulation PPP (Point-to-Point
Protocol).
Dcouverte de routeurs
Les htes doivent tre en mesure de localiser des routeurs lorsquils ont besoin daccder des
quipements extrieurs au rseau local. Lorsque plusieurs routeurs sont connects au segment local
dun hte, ce dernier doit dduire quel routeur reprsente le point daccs au chemin optimal vers
une destination donne. Ce processus est appel dcouverte de routeurs.
Voici les protocoles de dcouverte de routeurs :
m
ES-IS (End System-to-Intermediate System). Ce protocole a t dfini dans la suite de protocoles OSI de lISO. Il est ddi lchange dinformations entre des systmes intermdiaires
(routeurs) et des systmes terminaux (htes). Les systmes terminaux envoient des messages
"ES hello" tous les systmes intermdiaires situs sur le segment local. En rponse, ces
derniers renvoient des messages "IS hello" tous les systmes terminaux situs sur le sousrseau local. Les deux types de messages vhiculent les adresses de sous-rseau et de couche rseau
des systmes qui les ont gnrs. Grce ce protocole, ces systmes peuvent se localiser
mutuellement.
IRDP (ICMP Router Discovery Protocol). Il nexiste actuellement aucune mthode standard
qui permette aux stations terminales de localiser les routeurs dans lenvironnement IP. Le
problme est ltude. Dans de nombreuses situations, les stations sont simplement configures
manuellement avec ladresse dun routeur local. Toutefois, le RFC 1256 mentionne un protocole
de dcouverte de routeur qui utilise ICMP (Internet Control Message Protocol) : IRDP.
Proxy ARP (Proxy Address Resolution Protocol). Ce protocole utilise les messages broadcast
pour dterminer ladresse de la couche MAC qui correspond une adresse de rseau donne. Il
est suffisamment gnrique pour permettre lemploi dIP avec la quasi totalit des types de
mcanismes daccs au mdia sous-jacent. Un routeur sur lequel Proxy ARP est activ rpond
50
Partie I
Architecture de rseaux
aux requtes dadresse concernant les htes dont il connat litinraire, ce qui permet aux metteurs des requtes de supposer que les autres htes se trouvent en fait sur le mme rseau.
m
RIP (Routing Internet Protocol). Ce protocole est gnralement disponible sur les htes IP. De
nombreux utilisateurs sen servent afin de rechercher une adresse de routeur sur un LAN ou,
lorsquil y a plusieurs routeurs, afin de dterminer celui qui est le plus appropri pour une
adresse de rseau donne.
Les routeurs Cisco grent tous les protocoles de dcouverte de routeur lists. Vous pouvez ainsi
choisir le mcanisme qui convient le mieux votre environnement.
Choix des options de fiabilit de rseau
Lune des principales proccupations de la plupart des concepteurs de rseaux est de dterminer le
niveau de disponibilit requis des applications. En gnral, la disponibilit est mise en opposition
avec le cot dimplmentation quelle induit. Pour la plupart des organisations, le cot de la transformation dun rseau pour atteindre une totale tolrance aux pannes est prohibitif. Dfinir le niveau
de rsistance souhait et le niveau auquel la redondance doit tre assure nest pas une tche prendre
la lgre.
La Figure 2.18 montre une conception de rseau non redondant qui illustre les points considrer
afin damliorer le niveau de rsistance dun rseau.
Ce rseau prsente deux niveaux hirarchiques : un dpartement central et des bureaux distants.
Supposons que le dpartement central possde huit segments Ethernet auxquels sont connects
environ quatre cents utilisateurs (une moyenne de cinquante par segment). Chaque segment est
connect un routeur. Dans les bureaux distants, deux segments Ethernet sont connects au dpartement central par lintermdiaire dun routeur. Chaque routeur des bureaux distants est reli au
routeur du dpartement central par une liaison T1.
Figure 2.18
Dpartement central
Routeur
Routeur
Routeur
Routeur
Bureau distant 1
Bureau distant 2
Bureau distant 3
Chapitre 2
51
Les quatre sections suivantes traitent des diffrentes approches qui permettent de crer des rseaux
redondants, et dcrivent, pour chaque cas, un certain contexte qui permet de souligner leurs diffrents avantages et inconvnients :
m
matriel de secours.
En gnral, les liaisons WAN sont les composantes les moins fiables dun rseau, en raison des
problmes que pose la boucle locale. Outre ce dfaut, elles reprsentent aussi un facteur de ralentissement par rapport aux rseaux locaux quelles interconnectent. Toutefois, comme elles peuvent
relier des sites gographiquement distants, elles forment souvent le rseau fdrateur, et sont par
consquent vitales pour une entreprise. La combinaison de ces facteurs de fiabilit mdiocre, de
manque de rapidit et de haute importance fait de la liaison WAN un bon candidat la redondance.
Dans la premire tape de renforcement de ce rseau face aux pannes, une liaison WAN est ajoute
entre chaque bureau distant et le dpartement central, ce qui donne la topologie illustre la
Figure 2.19. Cette nouvelle structure a plusieurs avantages. Tout dabord, elle fournit un lien de
secours qui peut tre utilis si un lien principal entre nimporte quel bureau distant et le dpartement
central est dfaillant. Ensuite, si les routeurs grent lquilibrage de la charge, la bande passante se
trouve augmente, ce qui rduit les temps de rponse pour les utilisateurs et augmente la fiabilit
des applications.
Figure 2.19
Dpartement central
Routeur
Bureau distant 1
Routeur
Bureau distant 2
Routeur
Bureau distant 3
52
Partie I
Architecture de rseaux
Lquilibrage de la charge dans les environnements qui exploitent un systme de pont transparent et
IGRP constitue galement un autre outil qui permet daugmenter la rsistance aux pannes. Les
routeurs supportent galement lquilibrage de charge par paquets ou par destinations, dans tous les
environnements IP. La rpartition de la charge par paquets est recommande si les liaisons WAN
sont relativement lentes (infrieures 56 Kbit/s, par exemple). Au-del de ce dbit, il est recommand dactiver la commutation rapide sur les routeurs. Lorsque cette forme de commutation est
possible, lquilibrage de la charge est ralis par destinations.
Les routeurs peuvent automatiquement pallier le dysfonctionnement dune liaison WAN au moyen
dalgorithmes de routage de protocoles, tels que IGRP, EIGRP, OSPF et IS-IS. Si un lien nest plus
utilisable, lapplication de routage recalcule les itinraires et achemine tout le trafic par lintermdiaire dun autre circuit. Cela permet daugmenter la disponibilit des applications qui peuvent
ainsi continuer fonctionner, mme en cas de rupture sur un rseau tendu.
Le principal inconvnient de la duplication de liaisons WAN vers chaque bureau distant est le cot.
Dans lexemple de la Figure 2.19, trois nouveaux liens ont t ncessaires. Sur de grands rseaux
structurs en toile, avec plusieurs sites distants, dix voire vingt nouvelles liaisons pourraient se
rvler ncessaires, ainsi que de nouveaux quipements (y compris de nouvelles interfaces de
routeur WAN). Une solution moins coteuse, qui devient de plus en plus populaire, consiste relier
des sites distants au moyen dune topologies maille (voir Figure 2.20).
Dans la partie "Avant" de la Figure 2.20, toute panne associe lun des liens A ou B bloque les
changes entre le dpartement central et le site distant concern. La panne pourrait impliquer le
matriel de connexion de la liaison une unit de services de donnes (DSU, Data Service Unit)
ou une unit de services de canal (CSU, Channel Service Unit), par exemple , le routeur (dans sa
totalit, ou uniquement un port) ou la liaison elle-mme. Lajout de la liaison C dans la partie
"Aprs" de la figure permet de remdier toute panne de lun des liens principaux. Le site concern
pourra toujours accder au dpartement central par lintermdiaire du nouveau lien et de celui de
lautre bureau distant. Notez que, si une rupture a lieu sur le nouveau lien, la communication entre
les deux sites distants et le dpartement central se poursuit normalement, avec leurs liaisons respectives vers ce dernier.
Figure 2.20
Avant
Evolution dune
topologie en toile
vers une topologie
maille.
Aprs
Dpartement
central
Bureau distant 1
Dpartement
central
Bureau distant 2
Bureau distant 1
Bureau distant 2
C
Chapitre 2
53
Une topologie maille possde trois avantages distincts par rapport une topologie en toile redondante :
m
Elle est gnralement un peu moins coteuse (puisquelle compte au minimum une liaison WAN
de moins).
Elle fournit une communication plus directe (et ventuellement plus rapide) entre des sites
distants, ce qui se traduit par une plus grande disponibilit des applications. Cette solution peut
tre utile si de forts volumes de trafic sont transmis directement entre deux sites distants.
Elle favorise une exploitation distribue, prvient les goulets dtranglement au niveau du
routeur du dpartement central et augmente la disponibilit des applications.
Le volume de trafic qui circule entre les sites distants est relativement faible.
Le trafic qui transite entre le site central et les bureaux distants est constitu de donnes critiques,
sensibles au dlai de livraison. Le dlai et les problmes ventuels de fiabilit qui rsulteraient
du passage par un saut supplmentaire en cas de liaison dfectueuse entre un site distant et le site
central pourraient ne pas tre acceptables.
Les coupures dalimentation sont courantes sur les rseaux tendus. Elles peuvent se produire un
niveau local ou tendu, il est donc difficile de sen protger. Les cas dinterruption de courant
simples sont provoqus par un cordon dalimentation dplac ou dbranch, un disjoncteur activ,
ou une panne au niveau du fournisseur. Les cas plus complexes peuvent tre provoqus par une
surtension ou des phnomnes naturels, tel la foudre. Chaque organisation doit valuer la probabilit de chaque type de panne avant de dterminer les actions prventives entreprendre par rapport
ses besoins.
De nombreuses prcautions peuvent tre prises pour viter que certains problmes (le dbranchement
de cordons par exemple) se produisent trop souvent. Ce sujet dpasse le cadre de cet ouvrage et ne
sera pas abord. Ce chapitre se consacre aux difficults qui peuvent tre rsolues par des quipements de rseau.
Sur le plan des quipements de rseau, les systmes dalimentation double peuvent jouer un rle
prventif en cas de ruptures qui risqueraient dtre prjudiciables. Prenons le cas dun rseau fdrateur centralis (collapsed backbone). Cette configuration implique la connexion de plusieurs
rseaux un routeur faisant galement office de hub central dentreprise. Les avantages qui en
dcoulent sont une pine dorsale haut dbit (en fait, la plaque principale de connexion du routeur)
et une rentabilit accrue (moins de mdias). Malheureusement, si le systme dalimentation du
routeur fait lobjet dune panne, aucun des rseaux qui y sont connects ne peut plus communiquer
avec les autres.
Dans cette position de rseau fdrateur centralis, certains routeurs peuvent faire face ce
problme grce la redondance du systme dalimentation. De plus, de nombreux sites raccordent
un systme dalimentation larmoire lectrique locale et un autre un onduleur. En cas de panne,
le routeur peut ainsi assurer la communication entre les rseaux connects.
Les coupures dalimentation gnrale sont plus courantes que les pannes de systmes dalimentation
de routeur. Imaginez limpact dune panne de courant sur lensemble dun site dot dune topologie
54
Partie I
Architecture de rseaux
en toile redondante ou maille. Si le site central dune entreprise est victime dune rupture de
courant, la topologie peut tre srieusement touche, dautant que les applications de rseau essentielles sont souvent centralises ce niveau. Lentreprise pourrait subir des pertes financires pour
chaque minute dimmobilisation du rseau. Dans une telle situation, une configuration maille se
rvlerait plus adapte, car les liaisons entre sites distants seraient toujours disponibles, permettant la
communication.
Si une panne dalimentation survient sur un site distant, toutes les connexions tablies avec ce site
seront interrompues, moins quelles soient protges dune manire ou dune autre. Dans ce cas,
ni une topologie en toile redondante, ni une structure maille ne pourraient se prvaloir dune
quelconque supriorit. Dans les deux cas, tous les autres bureaux distants pourront continuer
communiquer avec le site central. Gnralement, les pannes dalimentation sur un site distant sont
plus srieuses lorsque les services de rseau sont largement distribus.
Pour se protger des coupures de courant au niveau local ou sur lensemble dun site, certaines
entreprises ngocient des dispositions spciales avec les compagnies dlectricit, afin de pouvoir
utiliser plusieurs armoires lectriques au sein de leur organisation. Une rupture au niveau dune
armoire lectrique naffectera pas le rseau si tous les composants essentiels sont relis plusieurs
armoires. Malheureusement, ce genre darrangement se rvle trs coteux et ne devrait tre envisag que dans le cas o lentreprise dispose dimportantes ressources informatiques, est engage
dans des oprations extrmement critiques, et est expose un risque relativement lev en cas de
panne de courant.
Limpact des coupures de courant trs localises peut tre limit si lon est assez prudent lors de la
planification du rseau. Lorsque cela est possible, les composants redondants devraient tre aliments par des circuits diffrents et ne devraient pas partager un mme emplacement physique. Par
exemple, si des routeurs redondants sont employs pour toutes les stations dun tage donn dans
un immeuble dentreprise, ils peuvent tre physiquement raccords des armoires de cblage
situes des tages diffrents. Cela vitera que des problmes dalimentation au niveau dune
armoire de cblage nempchent la communication entre toutes les stations dun mme tage. La
Figure 2.21 illustre une telle configuration.
Pour certaines entreprises, le besoin de se protger dune ventuelle panne de courant est tellement
vital quelles recourent la mise en uvre dun centre de donnes dentreprise dupliqu. Les organisations qui ont de telles exigences crent souvent un centre redondant dans une autre ville ou
une certaine distance du centre principal dans la mme ville, afin de se prmunir contre une panne
de secteur. Tous les services de soutien sont dupliqus, et les transactions en provenance de sites
distants sont envoyes vers les deux centres de donnes. Une telle configuration ncessite des
liaisons WAN dupliques partir de tous les bureaux distants, des quipements de rseau dupliqus,
des serveurs et des ressources de serveurs dupliqus, et la location dun autre immeuble. Une telle
approche se rvle si onreuse que les entreprises dsireuses dimplmenter un systme de tolrance sans faille y font appel en dernier recours.
La duplication partielle dun centre de traitement des donnes est galement une solution envisageable. On peut dupliquer plusieurs serveurs et liaisons indispensables qui y sont raccords. Il sagit
l dun compromis que les entreprises acceptent couramment pour faire face ces problmes.
Chapitre 2
Figure 2.21
Composants
redondants sur
diffrents tages.
Vers d'autres
routeurs
55
Routeur
Stations terminales
Routeur
LAN avec mdia partag
Etage X
Routeur
Stations terminales
Routeur
LAN avec mdia partag
Vers d'autres
routeurs
Routeur l'tage X1
La dfaillance dun mdia est lun des problmes qui peut se produire sur un rseau. On trouve dans
cette catgorie de dysfonctionnements les problmes lis au mdia et aux composants qui interviennent dans son raccordement chaque station terminale. Ils peuvent tre provoqus par des contrleurs de cartes, des cordons AUI (Attachment Unit Interface) de raccordement, ou cordons de
descente, des transceivers, des hubs, ou encore le cble lui-mme, des terminateurs ou dautres
lments. De nombreuses pannes de mdia sont dues une ngligence de loprateur ; elles sont
difficiles rsoudre.
Une faon de rduire les dsagrments causs par le dysfonctionnement du mdia est de le diviser
en segments plus petits et dutiliser un quipement diffrent pour chacun deux. Cela permet de
limiter limpact dune panne un segment particulier. Par exemple, si vous disposez de cent stations
connectes un seul commutateur, raccordez certaines dentre elles dautres commutateurs. Les
effets seront ainsi limits en cas de dfaillance dun hub ou de certaines dfaillances de sous-rseau.
En utilisant un quipement de rseau (un routeur, par exemple) pour sparer les segments, vous
vous protgerez contre dventuels problmes supplmentaires et rduirez le trafic transitant sur le
sous-rseau.
Comme illustr la Figure 2.21, la redondance peut tre exploite pour rduire les risques de panne
de mdia. Chaque station de cette figure est relie deux segments de mdia diffrents. Les cartes,
les ports de hub et les cbles dinterface sont tous redondants. Cette mesure double le cot de la
connectivit pour chaque station terminale, ainsi que le niveau dutilisation des ports sur tous les
quipements de rseau. Par consquent, elle est recommande uniquement dans les situations o
une redondance totale est requise. Elle suppose galement que les logiciels de stations terminales,
56
Partie I
Architecture de rseaux
incluant ceux de rseau et dapplications, puissent grer et utiliser de faon efficace les composants
dupliqus pour tre en mesure de dtecter les dfaillances au niveau dun rseau et dinitier une
convergence vers le rseau de secours.
Certains protocoles daccs au mdia sont dots de fonctionnalits intgres de tolrance aux
pannes. Les concentrateurs de cblage pour les rseaux Token Ring, appels MAU (Multistation
Access Unit), peuvent dtecter certaines dfaillances de connexion du mdia et les contourner en
interne. Lanneau double FDDI (contrarotatif) permet de contourner une portion du rseau qui pose
problme, en faisant transiter le trafic sur le second anneau.
Sur le plan du routage, de nombreuses dfaillances du mdia peuvent tre contournes sous rserve
que des chemins alternatifs existent et soient disponibles. Diverses techniques de dtection de
dfaillances matrielles permettent aux routeurs de rvler certains problmes de mdia. Si les
mises jour de routage ou les messages dactivit (keepalive messages) nont pas t reus de la
part dquipements normalement accessibles par lintermdiaire dun port de routeur donn, le
routeur dclare le chemin impraticable et recherche des itinraires de remplacement. Les rseaux
maills fournissent des routes alternatives, ce qui permet aux routeurs de compenser les dfaillances
du mdia.
Matriel de secours
A linstar de tous les dispositifs complexes, les routeurs, commutateurs et autres quipements de
rseau peuvent souffrir de problmes matriels. Lorsque de srieuses dfaillances se produisent,
lutilisation dquipements en double peut rduire de faon efficace les effets ngatifs. En cas de
panne, des protocoles de dcouverte de chemin peuvent aider les stations terminales localiser
de nouveaux itinraires, au moyen desquels elles pourront communiquer sur le rseau. Si chaque
rseau connect lquipement dfaillant possde un chemin alternatif pour sortir de la zone locale,
lintgralit de la connectivit est prserve.
Par exemple, lorsque des routeurs de secours sont mis en uvre, des mtriques de routage peuvent
tre dfinies de faon garantir quils ne pourront pas tre utiliss si les routeurs principaux fonctionnent. En cas de problme, la convergence est automatique et rapide. Considrons la situation
illustre la Figure 2.22. Sur ce rseau, des routeurs dupliqus sont utiliss sur tous les sites dots
de liaisons WAN en double. Si le routeur R1 subit une panne, les routeurs sur FDDI 1 la dtecteront
en raison de labsence de messages en provenance du routeur dfaillant. Au moyen de nimporte
lequel des nombreux protocoles de routage dynamiques, les routeurs A, B et C dsigneront le
routeur R3 comme le prochain saut sur litinraire menant aux ressources distantes accessibles via
le routeur R4.
Afin dassurer une certaine redondance, de nombreux rseaux sont dots de plusieurs routeurs qui
interconnectent des LAN particuliers. Par le pass, lefficacit de ce type de conception tait limite,
en raison de la vitesse laquelle les htes sur ces rseaux locaux dtectaient une mise jour de
topologie et changeaient de routeur. En particulier, les htes IP sont souvent configurs avec une
passerelle par dfaut ou pour utiliser le protocole Proxy ARP, afin de localiser un routeur sur leur
rseau local. Pour quun hte IP change de routeur, il fallait gnralement recourir une intervention manuelle visant mettre jour le cache ARP ou modifier la passerelle par dfaut.
Chapitre 2
Figure 2.22
Configuration FDDI
avec routeurs
redondants.
57
Site local
Routeur A
FDDI 1
Routeur R1
Site distant
Routeur B
Routeur R3
FDDI 2
Routeur X
Routeur R2
Routeur C
Routeur Y
Routeur R4
Routeur Z
Le protocole HSRP (Hot Standby Router Protocol) est une solution qui rend les changements de
topologie de rseau transparents pour les htes. Ce protocole autorise les htes changer de route
en dix secondes environ. Il est support sur Ethernet, Token Ring, FDDI, Fast Ethernet et ATM.
Un groupe HSRP peut tre dfini sur chaque rseau local. Tous les membres du groupe connaissent
ladresse IP et ladresse MAC de secours. Un membre est lu pour faire office de routeur leader. Il
traite tous les paquets envoys vers ladresse du groupe HSRP. Les autres routeurs surveillent le
routeur leader et agissent en tant que routeurs HSRP. Si le leader devient inutilisable pour une
raison quelconque, un nouveau leader est lu et hrite des adresses MAC et IP HSRP.
Les routeurs Cisco haut de gamme (des familles 4500, 7000, et 7500) peuvent supporter plusieurs
adresses MAC sur la mme interface Ethernet ou FDDI, ce qui leur permet de grer simultanment
le trafic envoy vers ladresse MAC de secours et ladresse MAC prive. Les commandes qui
permettent dactiver HSRP et de configurer un groupe HSRP sont : standby ip et standby group.
les ponts ;
les commutateurs ;
les routeurs.
Pour obtenir une synthse de leurs caractristiques, reportez-vous au Tableau 2.1, prsent plus haut
dans ce chapitre. Les experts en communication de donnes saccordent pour dire que les concepteurs de rseaux privilgient principalement lutilisation de routeurs et de commutateurs celle de
58
Partie I
Architecture de rseaux
ponts pour crer des rseaux. Cest pourquoi cette section se consacre au rle des commutateurs et
des routeurs.
Les commutateurs peuvent, sur le plan fonctionnel, tre diviss en deux groupes principaux : les
commutateurs de niveau 2 et les commutateurs multicouches, qui offrent des services de commutation des niveaux 2 et 3. Aujourdhui, les concepteurs ont tendance remplacer les hubs dans les
armoires de cblage par des commutateurs, dans le but damliorer les performances de rseau et de
prserver les investissements existants au niveau du cblage.
Les routeurs permettent de segmenter le trafic du rseau en se fondant sur ladresse de destination
de la couche rseau (niveau 3) la place de ladresse MAC. En consquence, les routeurs sont
dpendants des protocoles.
Avantages des commutateurs (services de niveau 2)
Un commutateur de niveau 2 peut prsenter certains des avantages suivants, voire tous :
m
Bande passante. Les commutateurs de rseaux locaux permettent aux utilisateurs de bnficier
dexcellentes performances, en allouant une bande passante ddie chaque port de commutation. Chacun de ces ports reprsente un segment de rseau diffrent. Cette technique est connue
sous lappellation microsegmentation.
VLAN. Les commutateurs de rseaux locaux peuvent regrouper des ports individuels en groupes de travail logiques commuts, appels VLAN (Virtual LAN), qui permettent de rduire le
domaine de broadcast certains ports membres du rseau virtuel. Ces rseaux virtuels sont
galement connus sous lappellation domaines commuts ou domaines de commutation autonomes. La communication entre deux rseaux virtuels ncessite lemploi dun routeur.
Puisque les routeurs utilisent les adresses de niveau 3, qui respectent gnralement une certaine
structure, ils peuvent utiliser des techniques (telles que la synthse dadressage) pour construire des
rseaux pouvant maintenir un certain niveau de performances et de ractions, au fur et mesure
quils se dveloppent. Imposant une structure (gnralement hirarchique) sur un rseau, les
routeurs peuvent utiliser efficacement des chemins redondants et choisir les routes optimales, mme
dans un environnement changeant dynamiquement.
Les routeurs sont ncessaires pour garantir lvolutivit du rseau, au fur et mesure quil stend.
Ils assurent les services suivants, qui sont essentiels pour la conception de rseaux :
m
scurit ;
multimdia.
Chapitre 2
59
Dans un monde idal, un rseau dentreprise parfait implmenterait un seul protocole de rseau
robuste et capable de transporter tous types de donnes facilement, sans erreur, et avec suffisamment de souplesse pour pouvoir sadapter toute interruption de connectivit imprvue. Toutefois,
il existe dans le monde rel de nombreux protocoles qui prsentent divers niveaux de souplesse de
raction.
Afin de concevoir un rseau fdrateur pour votre entreprise, vous devez considrer plusieurs options.
Elles sont gnralement rparties dans les deux principales catgories suivantes :
m
Les sections suivantes prsentent les caractristiques et les proprits propres ces deux orientations.
Epine dorsale avec routage multiprotocole
Un environnement dans lequel plusieurs protocoles de couche rseau sont routs travers une pine
dorsale commune sans encapsulation est appel pine dorsale routage multiprotocole (ou routage
en mode natif). Un tel environnement peut adopter lune des deux stratgies de routage suivantes,
ou les deux la fois, selon le protocole rout impliqu :
m
Routage intgr. Le routage intgr implique lemploi dun seul protocole de routage (par
exemple, par tat de lien) qui dtermine le chemin de plus faible cot pour diffrents protocoles
routs.
Routage spar. Cette approche implique lutilisation dun protocole de routage diffrent pour
chaque protocole de rseau rout. Par exemple, sur certains rseaux tendus composs de
plusieurs protocoles, le trafic Novell IPX est rout au moyen dune version propritaire du protocole RIP, IP est rout au moyen de IGRP, et le trafic de DECnet Phase V est rout via le protocole
IS-IS compatible ISO CLNS.
Ces protocoles de couche rseau sont routs indpendamment les uns des autres, avec des processus
de routage distincts, qui grent leurs trafics respectifs et des chemins calculs spars. Combiner
des routeurs au sein dun rseau qui supporte diffrentes associations de plusieurs protocoles peut
conduire une situation confuse, plus particulirement dans le cas du routage intgr. En gnral,
ce type de routage est plus facile grer si tous les routeurs raccords au rseau fdrateur qui
assure le routage intgr acceptent le mme plan de routage. Pour des protocoles diffrents, les
routes peuvent tre calcules sparment. Une autre solution consiste utiliser lencapsulation pour
acheminer un trafic via des routeurs qui ne supportent pas un protocole particulier.
Epine dorsale monoprotocole
Avec un rseau fdrateur protocole unique, tous les routeurs sont supposs grer le mme protocole de routage pour un seul protocole de rseau. Dans ce type denvironnement, tous les autres
protocoles de routage sont ignors. Si plusieurs protocoles doivent tre transports sur le rseau,
ceux qui ne sont pas accepts doivent tre encapsuls lintrieur du protocole gr, sous peine
dtre ignors par les nuds de routage.
60
Partie I
Architecture de rseaux
Peut-tre vous demandez-vous pourquoi implmenter une pine dorsale monoprotocole ? Le choix
de se limiter un rseau fdrateur protocole unique convient lorsquun nombre relativement
faible de protocoles diffrents doit tre gr, sur un nombre rduit de rseaux isols. Toutefois,
lencapsulation ajoutera une surcharge de trafic. En revanche, si plusieurs protocoles sont largement
utiliss sur lensemble du rseau, un rseau fdrateur multiprotocole donnera vraisemblablement
les meilleurs rsultats.
En gnral, vous devriez grer tous les protocoles de couche rseau au sein dun rseau adoptant un
routage natif et en implmenter un nombre aussi faible que possible.
Types de commutateurs
Commutateurs LAN. Les commutateurs de cette catgorie peuvent encore tre classs dans
deux sous-catgories, savoir les commutateurs de niveau 2 et les commutateurs multicouches.
Commutateurs ATM. La commutation ATM et les routeurs ATM fournissent une bande
passante de rseau fdrateur plus importante, afin de satisfaire aux exigences des services de
donnes haut dbit.
Les administrateurs de rseau ajoutent des commutateurs LAN dans leurs armoires de cblage, afin
daugmenter la bande passante et de rduire la congestion au niveau des hubs de mdia partag
existants, tout en exploitant de nouvelles technologies au niveau de lpine dorsale, telles que Fast
Ethernet et ATM.
Commutateurs LAN
Les commutateurs LAN, hautement performants et rentables, procurent aujourdhui aux administrateurs de rseau les avantages suivants :
m
Les commutateurs LAN rpondent aux besoins des utilisateurs en matire de bande passante. En
dployant des commutateurs plutt que des hubs partags traditionnels, les concepteurs de rseaux
peuvent amliorer les performances et accrotre la rentabilit des investissements existants au
niveau du mdia et des cartes LAN. Ces quipements proposent galement des fonctionnalits
jusqualors inexistantes, tels les rseaux locaux virtuels (VLAN), qui apportent une certaine
souplesse, car ils permettent dutiliser des logiciels pour dplacer, ajouter, et modifier des utilisateurs travers le rseau.
Les commutateurs LAN conviennent galement pour fournir un service de commutation de
segments et une bande passante volutive au niveau des centres de traitement de donnes de rseau,
en implmentant des liaisons commutes pour interconnecter les hubs existants dans les armoires
de cblage, les hubs locaux et les fermes de serveurs. Cisco commercialise une famille de commutateurs multicouches, appele Catalyst, qui permet de relier plusieurs commutateurs darmoires de
cblage ou hubs partags dans une configuration de rseau fdrateur.
Chapitre 2
61
Commutateurs ATM
Mme si tous les commutateurs ATM assurent le relais de trames, ils diffrent sensiblement par les
caractristiques suivantes :
m
redondance ;
De la mme faon quil existe des routeurs et des commutateurs LAN qui possdent des caractristiques diverses en termes de prix, de performances et de niveau de fonctionnalits, les commutateurs ATM peuvent tre classs en quatre types distincts, qui refltent les besoins dapplications et
de marchs particuliers :
m
Les commutateurs ATM de groupe de travail disposent de ports de commutation Ethernet et dune
liaison montante ATM pour se connecter un commutateur ATM de campus. Un exemple de
commutateur ATM de groupe de travail chez Cisco est le Catalyst 5000.
Les commutateurs ATM de campus sont gnralement utiliss sur les rseaux fdrateurs ATM de
faible tendue (par exemple, pour y connecter des routeurs ATM ou des commutateurs LAN).
Lexploitation de ce type de commutateurs ATM permet de rduire les congestions sur lpine
dorsale existante et de dployer de nouveaux services, tels que les rseaux virtuels (VLAN). Les
commutateurs de campus doivent accepter une large varit de rseaux fdrateurs locaux et de
types de WAN, mais tre optimiss afin doffrir un bon rapport prix/performances en ce qui
concerne la fonction dpine dorsale locale. Dans cette catgorie de commutateurs, les fonctionnalits
de routage ATM qui permettent plusieurs commutateurs dtre relis entre eux sont trs importantes.
Les mcanismes de contrle de congestion optimisant les performances du rseau fdrateur jouent
galement un rle primordial. La famille de commutateurs ATM LightStream 1010 est un exemple
de commutateurs ATM de campus. Pour plus dinformations sur le dploiement de ces deux catgories de commutateurs ATM sur un rseau, reportez-vous au Chapitre 12.
Commutateurs ATM dentreprise
Les commutateurs ATM dentreprise sont des quipements multiservices sophistiqus conus pour
constituer lpine dorsale centrale des grands rseaux dentreprise. Ils ont pour fonction de complter
les services des routeurs multiprotocoles haut de gamme actuels, et sont utiliss pour interconnecter
des commutateurs ATM de campus. Ils peuvent non seulement servir dpines dorsales ATM, mais
aussi de points uniques dintgration pour tous les services et toutes les technologies disparates que
62
Partie I
Architecture de rseaux
lon peut rencontrer sur les rseaux fdrateurs dentreprise lheure actuelle. Lintgration de tous
ces services au niveau dune plate-forme et dune infrastructure de transport ATM communes offre
aux concepteurs de rseaux une plus grande aisance pour administrer le rseau et limine le besoin
de superposer de multiples rseaux.
Le BPX/IGX de Cisco est un puissant commutateur ATM large bande, conu pour rpondre aux
exigences de trafic lev de grandes entreprises prives ou de fournisseurs de services publics. Pour
plus dinformations sur le dploiement des commutateurs ATM dentreprise sur un rseau, reportezvous au Chapitre 5.
Commutateurs daccs multiservices
Au-del des rseaux privs, les plates-formes ATM sont galement largement dployes par les
fournisseurs de services sous forme dquipements de tlcommunication CPE (Customer Premises
Equipment) et galement sur les rseaux publics. Elles sont exploites pour grer plusieurs services
de rseaux mtropolitains (MAN) et tendus (WAN) par exemple, la commutation Frame Relay,
linterconnexion de LAN, et les services ATM publics sur une infrastructure ATM commune.
Les commutateurs ATM dentreprise sont souvent utiliss avec ces applications de rseaux publics
en raison de leurs atouts en termes de disponibilit, de redondance, de support dinterfaces multiples, et de capacit intgrer la voix et les donnes.
Comparaison entre commutateurs et routeurs
Pour souligner les diffrences qui existent entre les commutateurs et les routeurs, les sections
suivantes examinent les rles respectifs de ces quipements dans les situations suivantes :
m
implmentation de VLAN ;
Les VLAN, ou LAN virtuels, apportent une solution aux deux problmes suivants :
m
simplification de la gestion de rseau par une plus grande facilit de reconfiguration (dplacements
et changements).
Un VLAN consiste en un seul domaine de diffusion. Il rsout les problmes dvolutivit des
grands rseaux linaires en scindant un seul domaine de broadcast en plusieurs domaines plus
petits, ou VLAN. Il facilite la modification de la conception dun rseau par rapport aux rseaux
traditionnels. Les commutateurs LAN peuvent servir segmenter des rseaux en groupes de travail
virtuels logiquement dfinis. Cette segmentation logique, couramment appele communication
VLAN, introduit un changement fondamental dans la conception, ladministration et la gestion des
LAN. Bien que la segmentation apporte des avantages substantiels dans ladministration, la scurit
et la gestion des diffusions broadcast sur le rseau dentreprise, les nombreuses composantes de la
solution VLAN doivent tre examines avant de dcider de les dployer grande chelle.
Chapitre 2
63
Les commutateurs et les routeurs ont chacun un rle important dans la conception dun VLAN. Le
commutateur reprsente le dispositif central qui contrle les VLAN individuels, alors que le routeur
leur permet de communiquer entre eux (voir Figure 2.23).
Figure 2.23
Groupe VLAN 1
Groupe VLAN 2
Etage 3
Etage 2
Contrle d'accs
entre rseaux VLAN
Etage 1
Les commutateurs liminent les contraintes physiques associes une structure avec hubs partags,
car ils relient logiquement les utilisateurs et les ports au niveau de lentreprise. En tant que dispositifs de remplacement des hubs, ils suppriment les barrires physiques imposes au niveau de chaque
armoire de cblage. De plus, le rle du routeur volue au-del des services traditionnels de pare-feu
et de suppression des diffusions broadcast, pour offrir un contrle fond sur des rgles, une gestion
du trafic broadcast, ainsi que le traitement et la distribution des routes. Tout aussi important, le
routeur conserve une place vitale au sein darchitectures configures en rseaux VLAN, car il
permet ces derniers de communiquer. Il reprsente galement le point daccs VLAN aux ressources partages, tels que serveurs et htes. Pour plus dinformations sur le dploiement de rseaux
VLAN, reportez-vous au Chapitre 12.
Exemples de conception de rseaux de campus commuts
Un rseau de campus commut bien implment doit combiner les avantages des routeurs et ceux
des commutateurs dans chaque partie du rseau, et permettre un rseau mdia partag dvoluer
aisment vers un grand rseau commut.
Par exemple, lincorporation de commutateurs dans un rseau de campus offre habituellement les
avantages suivants :
m
faible cot ;
configuration facile.
64
Partie I
Architecture de rseaux
Cependant, si vous avez besoin de services de rseau avancs, les routeurs sont ncessaires. Ils fournissent les services suivants :
m
adressage hirarchique ;
convergence rapide ;
scurit ;
Certains de ces services de routeur seront assurs lavenir par des commutateurs. Par exemple, le
support du multimdia ncessite souvent un protocole tel IGMP pour permettre aux stations de
travail dadhrer un groupe qui reoit des paquets multimdias multidestinataires. Les commutateurs Cisco peuvent participer ce processus au moyen du protocole CGMP (Cisco Group Management Protocol). Les commutateurs CGMP communiquent avec le routeur pour savoir si lun de
leurs utilisateurs connects fait ou non partie dun groupe multicast.
Le traitement assur par les commutateurs et les ponts peut parfois entraner un routage non optimal
des paquets, car chaque paquet doit passer par le pont racine de larbre recouvrant. Lorsque des
routeurs sont utiliss, le routage peut tre contrl et labor travers des chemins optimaux. Cisco
fournit maintenant un support pour un routage et une redondance amliors dans les environnements commuts, grce la gestion dune instance de larbre recouvrant par VLAN.
Les Figures 2.24 2.27 illustrent la faon dont les concepteurs de rseaux peuvent utiliser les commutateurs et les routeurs afin de faire voluer leurs rseaux de mdia partag en rseaux de commutation.
En gnral, lvolution vers une architecture de rseau de campus commut comprend quatre phases :
m
La phase 2 est lajout dune technologie dpine dorsale haute vitesse et du routage entre
commutateurs. Les commutateurs assurent la commutation et fournissent une bande passante
ddie aux ordinateurs et aux hubs partags. Les routeurs dpine dorsale sont connects des
commutateurs Fast Ethernet ou ATM. Laugmentation de bande passante sur lpine dorsale
correspond celle de la bande passante au niveau de larmoire de cblage. La Figure 2.25 illustre de quelle faon vous pouvez implmenter une technologie de rseau fdrateur haute
vitesse, et le routage entre commutateurs existants.
Chapitre 2
65
Figure 2.24
Lemploi de commutateurs
pour la microsegmentation.
Commutateur
LAN
Hub partag
Routeur Cisco
Figure 2.25
Lajout dune technologie dpine
dorsale haute vitesse et du routage
entre les commutateurs.
Commutateur LAN
Commutateur
ATM de campus
Commutateur central
haute vitesse
Routeur
Dans la phase 3, les routeurs sont distribus entre les commutateurs LAN dans larmoire de
cblage et le commutateur central haute vitesse. Lpine dorsale du rseau nest plus quun
mcanisme de transport haute vitesse, avec tous les autres quipements, tels les routeurs distribus, la priphrie. La Figure 2.26 illustre un tel rseau.
La phase 4, la phase finale, implique la commutation de bout en bout avec des fonctionnalits
compltes de commutation VLAN et multicouche. A ce stade, les quipements de commutation
intgrs de niveau 2 et 3 sont distribus sur tout le rseau et connects au commutateur central
haute vitesse. La Figure 2.27 illustre la phase finale.
66
Partie I
Architecture de rseaux
Figure 2.26
Distribution des routeurs entre le
commutateur central haute
vitesse et les commutateurs LAN.
Commutateur
LAN
Commutateur central
haute vitesse
Figure 2.27
Commutation de bout en bout, avec
fonctionnalits de commutation VLAN
et multicouche.
Si
Si
Commutateur
LAN
Commutateur central
haute vitesse
Routeur
Rsum
Ce chapitre vous a prsent les principes de conception gnrale de base des rseaux, ainsi que les
quipements ncessaires. Les prochains chapitres de cette partie sont consacrs aux diffrentes
technologies disponibles pour les concevoir.
3
Conception de rseaux IP tendus
avec protocoles de routage interne
Par Atif Khan
Ce chapitre dcrit les implications de lutilisation des protocoles EIGRP (Enhanced Interior
Gateway Routing Protocol), OSPF (Open Shortest Path First) et ODR (On-Demand Routing) lors
de la conception de rseaux IP tendus, travers ltude des lments suivants :
m
topologie de rseau ;
slection de route ;
convergence ;
volutivit du rseau ;
scurit.
EIGRP et OSPF sont des protocoles de routage pour IP (Internet Protocol). Nous commencerons par
une introduction aux problmes dordre gnral concernant les protocoles de routage et poursuivrons
avec les directives de conception permettant la mise en uvre de protocoles spcifiques pour IP.
68
Partie I
Architecture de rseaux
comprhension du contenu des prochaines sections qui examinent les caractristiques spcifiques
de ces protocoles.
Topologie de rseau
La topologie physique dun rseau est reprsente par lensemble complet des routeurs et des
rseaux quils relient. Les divers protocoles de routage apprennent diffremment les informations
de topologie. Certains requirent une notion de hirarchie et dautres pas. Cette hirarchie est
ncessaire aux rseaux pour tre volutifs. Par consquent, les protocoles ne requrant pas de
hirarchie devraient nanmoins limplmenter un certain degr, au risque de ne pas tre volutifs.
Certains protocoles exigent la cration explicite dune topologie hirarchique par ltablissement
dun rseau fdrateur et de zones logiques (voir Figure 3.1). Les protocoles OSPF et IS-IS (Intermediate System-to-Intermediate System) sont des exemples de protocoles de routage qui utilisent
une telle structure. Une topologie explicite selon un schma hirarchique est prioritaire sur une
topologie cre par un systme dadressage.
Figure 3.1
Un rseau hirarchique.
Rseau fdrateur
Routeur
Routeur
Routeur
Zone 1
Zone 2
Zone 3
Quel que soit le protocole de routage utilis, la topologie dadressage devrait tre dfinie de faon
reflter la hirarchie. Deux mthodes sont recommandes pour assigner les adresses sur un rseau
hirarchique. La plus simple est dattribuer chaque zone, y compris au rseau fdrateur, une
adresse de rseau unique. Lautre solution consiste rserver des plages dadresse pour chaque zone.
Une zone est un ensemble logique de rseaux et dhtes contigus. Elle comprend aussi tous les
routeurs dots dune interface sur lun des rseaux inclus. Chaque zone excute une copie distincte de
lalgorithme de routage de base, et possde, par consquent, sa propre base de donnes topologique.
Adressage et synthse de routage
Le processus de synthse de routes condense les informations de routage. Il permet aux routeurs de
rsumer un certain ensemble ditinraires en une seule annonce, rduisant ainsi la charge quils
Chapitre 3
69
doivent grer et la complexit apparente du rseau. Limportance de ce processus crot avec la taille
du rseau. Lorsquil nest pas utilis, chaque routeur sur un rseau doit mmoriser un chemin vers
chaque sous-rseau.
La Figure 3.2 illustre un exemple de la synthse de routes. Dans cet environnement, le routeur R2
mmorise un seul chemin vers tous les rseaux commenant par la lettre B. Le routeur R4 fait de
mme pour les rseaux commenant par la lettre A. Cest la base de la synthse de routage. Le
routeur R1 conserve tous les chemins, car il se trouve la lisire des rseaux A et B.
Figure 3.2
Table de routage
du routeur R1
Exemple de synthse
de routage.
Destination Prochain
saut
A1
Direct
A2
Direct
A3
R3
A4
R2
A5
R3
B1
Direct
B2
R4
B3
R4
B4
R4
Table de routage
du routeur R2
Destination Prochain
saut
A1
Direct
A3
Direct
A2
R1
A4
Direct
A5
R3
B
R1
Table de routage
du routeur R4
Destination Prochain
saut
B1
Direct
B2
Direct
B3
Direct
B4
Direct
A
R1
B1
Routeur R1
A1
FDDI
Routeur R4
B2
Ethernet
A2
Token B4
Ring
B3
Ethernet
A3
Routeur R2
Routeur R3
A4
Ethernet
Token
Ring
A5
La rduction de la surcharge lie aux informations de routage et leur propagation peut tre significative. La Figure 3.3 illustre les conomies potentielles. Laxe vertical dans lillustration indique le
nombre dentres dans la table de routage et laxe horizontal reprsente le nombre de sousrseaux. Sans le processus de synthse, chaque routeur situ sur un rseau compos de mille sous-rseaux
devrait mmoriser autant de routes. Avec la synthse, le rsultat est trs diffrent. Si vous prenez,
par exemple, un rseau de classe B avec huit bits despace dadresse de sous-rseau, chaque routeur
doit connatre tous les itinraires vers les sous-rseaux de son adresse de rseau 250 routes si
lon suppose que 1 000 sous-rseaux sintgrent dans une structure de 4 rseaux principaux de
250 sous-rseaux chacun plus une route pour chacun des autres rseaux (trois), ce qui donne un
total de 253 routes mmoriser par routeur. Cela reprsente peu prs une rduction de 75 % de la
taille de la table de routage.
70
Partie I
Architecture de rseaux
Lexemple prcdent illustre le type de synthse de routage le plus simple, o tous les accs aux
sous-rseaux sont ramens un seul chemin vers un rseau donn. Certains protocoles de routage
supportent galement la synthse de routes au niveau de nimporte quelle limite binaire (plutt que
seulement au niveau des limites principales des adresses de rseaux). Un protocole de routage ne
peut raliser une synthse au niveau bit que sil supporte les masques de sous-rseau de longueur
variable (VLSM, Variable-Length Subnet Mask).
Certains protocoles de routage effectuent une synthse automatique et dautres ncessitent une
configuration manuelle (voir Figure 3.3).
Figure 3.3
Avantages de la
synthse de routage.
1000
Sans synthse
750
Entres
de table
de routage
500
Avec synthse
250
0
0
250
500
750
1000
Nombre de sous-rseaux
Slection ditinraire
La slection de route est insignifiante lorsquil nexiste quun seul chemin vers la destination.
Cependant, si une section du chemin unique devient impraticable, aucun rtablissement nest possible. Par consquent, la plupart des rseaux sont conus avec des chemins multiples pour quune
autre solution puisse tre envisage en cas de dfaillance dun lien.
Les protocoles de routage comparent les mtriques de distance pour slectionner le meilleur chemin
parmi plusieurs solutions. Elles sont calcules en se fondant sur une caractristique ou sur un
ensemble de caractristiques dfinies pour chaque rseau. Une mtrique est donc un agrgat des
caractristiques de chaque rseau physique rencontr sur une route. La Figure 3.4 illustre un rseau
maill avec une mtrique assigne chaque lien avec le meilleur itinraire identifi pour aller de la
source la destination.
Chapitre 3
Figure 3.4
71
8
Routeur 1
Mtriques de routage
et slection ditinraire.
Routeur 4
Source
Destination
Routeur 3
2
Routeur 2
Routeur 5
Les protocoles de routage utilisent diverses techniques pour attribuer une mtrique un rseau et
chaque protocole possde une manire propre de former un agrgat mtrique. La plupart dentre
eux sont capables dutiliser plusieurs chemins lorsquils sont de mme cot. Seuls certains protocoles peuvent exploiter plusieurs chemins de cot ingal. Dans tous les cas, cet quilibrage de charge
contribue amliorer lallocation globale de la bande passante du rseau.
Lorsque plusieurs itinraires sont utiliss, il est possible de distribuer les paquets de diffrentes
faons. Les deux mcanismes les plus courants sont lquilibrage de charge par paquet et lquilibrage de charge par destination. Le premier rpartit les paquets sur tous les itinraires possibles
proportionnellement aux mtriques de distance. Lorsque les chemins ont des cots gaux, la
rpartition sapparente une distribution o chacun est servi tour de rle. Un paquet (ou une destination selon le mode de commutation) est alors distribu chaque itinraire possible. Le second
mcanisme rpartit les paquets sur toutes les routes possibles pour une destination donne. Chaque
nouvelle destination se voit assigner la route suivante disponible. Cette technique tend prserver
lordre des paquets.
NOTE
La plupart des implmentations TCP peuvent grer les paquets sans prendre en compte leur ordre. Toutefois, cela peut entraner des dgradations de performances.
Lorsque la commutation rapide est active sur un routeur (par dfaut), la slection de route est
effectue en se fondant sur la destination. Dans le cas contraire, le choix seffectue par rapport aux
paquets. Pour des vitesses de liaison de 56 Kbit/s ou plus, la commutation rapide est recommande.
Convergence
Lorsque la topologie de rseau change, le trafic doit tre raiguill rapidement. Lexpression "temps
de convergence" dsigne le dlai ncessaire un routeur pour prendre en compte une nouvelle
route. Un routeur ragit en trois temps suite un changement de topologie :
m
Il dtecte le changement.
72
Partie I
Architecture de rseaux
Certains changements sont immdiatement dtectables. Par exemple, la dfaillance dune ligne
srie entranant la perte de la porteuse est immdiatement dtecte par un routeur. Dautres problmes sont plus difficiles dcouvrir, comme une ligne srie qui nest plus fiable alors que la porteuse
nest pas perdue. De plus, certains mdias comme Ethernet ne fournissent pas dindications physiques telles que la perte de la porteuse. Lorsquun routeur est rinitialis, les autres routeurs ne le
voient pas non plus immdiatement. En gnral, la capacit des routeurs dtecter les problmes
dpend du mdia et du protocole de routage exploits.
Lorsquune rupture de lien est dtecte, le protocole doit choisir un nouvel itinraire puis propager
linformation de changement de route. Dans les deux cas, les mcanismes employs dpendent du
protocole.
Evolutivit du rseau
La capacit faire voluer un rseau est lie en partie aux proprits dadaptabilit des protocoles
de routage utiliss et la qualit de conception du rseau.
Deux facteurs limitent les possibilits dvolution dun rseau : les problmes fonctionnels et les
problmes techniques. Les premiers sont gnralement plus significatifs que les seconds. Les considrations lies laspect fonctionnel encouragent lemploi de grandes zones ou de protocoles qui
ne requirent pas de structure hirarchique. Lorsque des protocoles hirarchiques sont ncessaires,
les considrations concernant laspect technique favorisent lexploitation de zones dont la taille est
base sur les ressources disponibles (CPU, mmoire, etc.). Rechercher lquilibre appropri, voil
tout lart de la conception de rseau.
Dun point de vue technique, on peut dire que les protocoles de routage sadaptent bien lorsque leur
consommation en ressources ne crot pas proportionnellement au dveloppement du rseau. Trois
ressources essentielles sont exploites par les protocoles de routage : mmoire, processeur et bande
passante.
Mmoire
Les protocoles de routage utilisent la mmoire pour y stocker des tables de routage et des informations
sur la topologie. La synthse de routage permet tous ces protocoles de raliser des conomies de
mmoire. Maintenir des zones de petit taille permet de rduire la consommation de mmoire dans le
cas de protocoles de routage hirarchiques.
Processeur
Lutilisation du processeur est dpendante du protocole. Les protocoles de routage exploitent les
cycles processeur pour calculer les routes. Le fait de limiter au minimum les informations de
routage au moyen de la synthse de routage permet de rduire cette consommation, car les effets
dun changement de topologie ont une porte limite et le nombre de routes devant tre recalcules
aprs un changement est plus faible.
Chapitre 3
73
Bande passante
Le moment o les informations de routage sont envoyes. Des mises jour priodiques sont
mises intervalles rguliers. Les mises jour flash ne sont transmises que lorsquun changement a eu lieu.
Les informations de routage elles-mmes. Les mises jour compltes contiennent toutes les
informations de routage. Les mises jour partielles ne contiennent que les informations modifies.
La destination des informations de routage. Les mises jour par inondation sont envoyes
tous les routeurs. Les mises jour lies ne sont transmises quaux routeurs qui sont concerns
par un changement.
NOTE
Les trois facteurs prcits affectent galement lutilisation des ressources du processeur.
Les protocoles par vecteur de distance tels que RIP (Routing Information Protocol) et IGRP (Interior Gateway Routing Protocol) diffusent de faon priodique la totalit de leur table de routage en
mode broadcast, indpendamment du fait quelle ait chang ou non. Lintervalle dannonce varie
entre 10 secondes pour RIP et 90 secondes pour IGRP. Lorsque le rseau est stable, les protocoles
par vecteur de distance fonctionnent bien, mais gchent de la bande passante en raison de leurs
annonces priodiques. Lorsquune dfaillance se produit sur un lien du rseau, ils ne provoquent
pas une charge supplmentaire excessive sur le rseau, mais sont longs converger vers un nouvel
itinraire ou liminer le lien dfectueux.
Les protocoles de routage par tat de lien tels que OSPF, IS-IS et NLSP (NetWare Link Services
Protocol) ont t conus pour apporter une solution aux limitations des protocoles par vecteur de
distance (convergence lente et utilisation inutile de la bande passante). Ils sont plus complexes et
exploitent davantage les ressources processeur et la mmoire. Cette surcharge additionnelle dtermine le nombre de voisins quun routeur peut supporter et qui peuvent se trouver dans une zone. Ce
nombre varie dun rseau un autre et dpend de variables comme la puissance du processeur, le
nombre de routes et la stabilit des liens.
Lorsque le rseau est stable, les protocoles par tat de lien minimisent lexploitation de la bande
passante en transmettant des mises jour uniquement dans le cas de changements. Un mcanisme
de signalisation Hello vrifie laccessibilit des voisins. Lorsquune panne se produit sur le rseau,
ce type de protocole inonde la zone concerne avec des annonces dtat de lien LSA (Link-State
Advertisement). Dans ce cas, tous les routeurs au sein de la zone dfaillante doivent recalculer leurs
itinraires. Le fait que les annonces doivent tre envoyes par inondation sur la totalit de la zone et
que tous les routeurs doivent mettre jour leur table de routage limite le nombre des voisins
pouvant se trouver dans une zone.
EIGRP est un protocole par vecteur de distance avanc qui possde certaines des proprits des
protocoles par tat de lien. Il apporte une solution aux limitations vues plus haut relatives aux protocoles plus conventionnels de sa catgorie. Lorsque le rseau est stable, il envoie des mises jour
74
Partie I
Architecture de rseaux
uniquement en cas de changement sur le rseau. A linstar des protocoles par tat de lien, il utilise
un mcanisme de signalisation Hello pour dterminer laccessibilit de ses voisins. En cas de
dysfonctionnement, il recherche de nouveaux successeurs lorsquil nen existe aucun de disponible
dans sa table topologique, en envoyant des messages ses voisins. Cette recherche de nouveaux
successeurs peut engendrer un fort trafic (mises jour, requtes et rponses) avant daboutir une
convergence. Un tel comportement limite le nombre de voisins possibles.
Sur les rseaux tendus, la question de la bande passante est capitale. Par exemple, la technologie
Frame Relay, qui multiplexe de faon statistique de nombreuses connexions logiques (circuits
virtuels) sur un seul lien physique, permet la cration de rseaux qui se partagent la bande passante.
Les rseaux publics intgrant cette technologie exploitent le partage de bande passante tous les
niveaux du rseau. Cest--dire quil peut tre mis en uvre aussi bien sur le rseau Frame Relay
dune entreprise quentre les rseaux de deux entreprises.
Deux facteurs influent considrablement sur la conception des rseaux publics Frame Relay :
m
Les utilisateurs sont facturs pour chaque circuit virtuel permanent (PVC, Permanent Virtual
Circuit), ce qui pousse les concepteurs de rseaux rduire le nombre de ces circuits.
Les rseaux des oprateurs publics incitent parfois les utilisateurs viter lutilisation des
circuits CIR (Committed Information Rate), qui reposent sur un contrat de dbit moyen que les
utilisateurs doivent respecter. Bien que les fournisseurs de services tentent de garantir une bande
passante suffisante, la perte de paquets reste possible.
En gnral, les paquets peuvent tre perdus sur les rseaux tendus en raison dune bande passante
insuffisante. Pour les rseaux Frame Relay, ce risque est aggrav, car il nexiste pas de service de
reproduction de diffusions broadcast. Aussi chaque paquet envoy en diffusion broadcast sur une
interface Frame Relay doit tre reproduit par le routeur au niveau de cette interface pour chaque
circuit virtuel permanent. Cette exigence limite le nombre de circuits pouvant tre grs efficacement par un routeur.
Outre le problme de la bande passante, les concepteurs doivent considrer la question de la taille
des tables de routage qui doivent tre propages. En clair, les considrations de conception pour une
interface comptant 50 voisins et 100 routes de propagation sont trs diffrentes de celles envisages
pour une interface avec 50 voisins et 10 000 routes.
Scurit
Le contrle de laccs aux ressources dun rseau est essentiel. Certains protocoles de routage fournissent des techniques pouvant tre exploites dans le cadre dune stratgie de scurit. Avec
certains protocoles, il est possible de placer un filtre pour que des itinraires spcifiques ne soient
pas annoncs dans certaines parties du rseau.
Certains protocoles de routage peuvent authentifier les routeurs qui utilisent le mme protocole. Les
mcanismes dauthentification sont spcifiques aux protocoles et gnralement insuffisants. Malgr
cela, il est nanmoins conseill de tirer profit des techniques qui existent. Lauthentification peut
amliorer la stabilit du rseau en empchant des routeurs ou des htes non autoriss de participer
au protocole de routage, que la tentative de participation soit accidentelle ou dlibre.
Chapitre 3
75
Adressage EIGRP ;
Convergence EIGRP ;
Bien que les informations de cette section sappliquent IP, IPX et AppleTalk EIGRP, il sera davantage question de IP. Reportez-vous au Chapitre 17 pour les tudes de cas sur la faon dintgrer EIGRP avec les rseaux
IP, IPX et AppleTalk et obtenir des exemples de configuration dtaills ainsi que des informations sur les
problmes spcifiques aux protocoles.
Le protocole EIGRP peut utiliser une topologie non hirarchique (ou linaire). Toutefois, pour
concevoir un rseau qui soit volutif, il faut disposer dun certain degr de hirarchie. EIGRP assure
la synthse automatique des routes de sous-rseaux de rseaux directement connects, rduisant les
informations de routage au niveau de ladresse de rseau (voir section "Synthse de routes EIGRP"
plus loin dans ce chapitre).
Adressage EIGRP
La premire tape dans la conception dun rseau EIGRP consiste dcider de la faon dont son
adressage doit tre ralis. Dans de nombreuses situations, une entreprise reoit une seule adresse
du NIC (Network Information Center), comme une adresse de Classe B, quelle doit allouer son
rseau. La division en sous-rseaux et les masques de sous-rseaux de longueur variable (VLSM)
servent optimiser lexploitation de lespace dadresse. EIGRP pour IP supporte lutilisation de
VLSM.
Imaginez un rseau sur lequel une adresse de Classe B a t divise en sous-rseaux, et supposez
que des groupes contigus de ces sous-rseaux aient t synthtiss par EIGRP. Un rseau de
Classe B 156.77.0.0 pourrait tre subdivis (voir Figure 3.5).
76
Partie I
Figure 3.5
Architecture de rseaux
156.77 .xxxx
yyyy.y
zzzzzzz
Dans la Figure 3.5, les lettres x, y et z reprsentent les bits des deux derniers octets du rseau de
Classe B :
m
Les sept bits z permettent dadresser jusqu 126 (128 2) htes par sous-rseau.
Avec ce protocole, les adresses des sous-rseaux de rseaux directement connects sont automatiquement ramenes aux limites de ladresse de rseau. De plus, un administrateur de rseau peut
configurer la synthse de routes sur une interface, au niveau de nimporte quelle limite binaire,
permettant aux plages dadresse de rseaux dtre rsumes de faon arbitraire.
Slection de route EIGRP
Les protocoles de routage comparent les mtriques de route pour slectionner le meilleur chemin
partir dun groupe ditinraires possibles. La comprhension des points suivants est importante pour
la conception dun rseau EIGRP. Ce protocole utilise le mme vecteur de mtriques que IGRP. Des
valeurs de mtriques distinctes sont assignes pour la bande passante, le dlai, la fiabilit et la
charge. Par dfaut, EIGRP calcule la mtrique dune route en utilisant la bande passante minimale
de chaque saut emprunt sur litinraire et en ajoutant un dlai spcifique au mdia pour chaque
saut. Voici les mtriques quil utilise :
m
Bande passante. La bande passante est dduite daprs le type dinterface. Elle peut tre modifie avec la commande bandwidth.
Dlai. Chaque type de mdia comporte un dlai de propagation qui lui est associ. Cette valeur
peut tre modifie avec la commande delay.
Fiabilit. La fiabilit est dfinie dynamiquement sous la forme dune moyenne pondre calcule sur 5 secondes.
Chapitre 3
77
Charge. La charge est dfinie dynamiquement sous la forme dune moyenne pondre calcule
sur 5 secondes.
Lorsque EIGRP synthtise un groupe de routes, il utilise la mtrique de la meilleure route incluse
dans la synthse comme mtrique pour la synthse.
Convergence EIGRP
Il dtermine lappartenance un ensemble V1. V1 reprsente tous les voisins dont la distance
annonce vers le rseau x est infrieure DP DP est la distance possible et est dfinie comme
tant la mtrique la plus intressante durant une transition dtat, actif vers passif.
Il calcule Dmin qui est le cot minimal calcul pour joindre le rseau x.
Il dtermine lappartenance V2. V2 est lensemble des voisins qui appartiennent V1 et qui
offrent un cot calcul vers le rseau x gal Dmin.
78
Partie I
Architecture de rseaux
Figure 3.6
Rseau 2
Rseau 7
(10)
Rseau 8
(20)
Routeur H
Routeur G
Rseau 3
Rseau 6
Anneau
double FDDI
Routeur B
Routeur C
Rseau 1
(1)
(10)
(10)
Routeur A
(10)
Rseau 5
Rseau 4
No.7 (31/21)
No.7 (230/220)
No.7 (40/30)
B
D
H
Routeur D
Routeur E
(100)
Routeur F
(100)
Si le routeur B devient indisponible, le routeur A ralise les trois tapes suivantes pour localiser un
successeur possible pour le rseau 7 :
1. Il dtermine quels sont les voisins qui ont annonc une distance vers le rseau 7 infrieure la
distance possible (DP) du routeur A, qui est gale 31. Comme le routeur H remplit cette condition, il est membre de V1.
2. Il calcule le cot minimal calcul vers le rseau 7. Le routeur H fournit un cot de 40, et le
routeur D un cot de 230. La valeur de Dmin est par consquent de 40.
3. Il dtermine lensemble des voisins appartenant V1 et qui offrent un cot calcul vers le
rseau 7 gal Dmin (40). Le routeur H satisfait cette condition.
Le successeur possible est le routeur H qui offre un accs de plus faible cot (40) vers le rseau 7
partir du routeur A. Si pour une raison quelconque il devenait galement inutilisable, le routeur A
procderait lvaluation suivante :
1. Il dtermine les voisins qui possdent une distance annonce vers le rseau 7 infrieure la
valeur de DP pour ce rseau. Comme les routeurs B et H ne sont plus accessibles, seul le routeur D
reste utilisable. Toutefois, le cot offert par ce routeur pour le rseau en question est de 220, une
valeur suprieure celle de DP (31) enregistre par A. Le routeur D ne peut donc pas tre un
membre de V1. DP reste 31, car sa valeur ne peut changer que durant une transition dtat,
actif vers passif, ce qui nest pas le cas ici. Le rseau 7 na connu aucune transition vers un tat actif,
une situation qui est dsigne par le terme calcul local.
2. Comme il nexiste aucun membre de V1, il ny a aucun successeur possible. Le routeur A passe
alors dans une phase de transition dtat, passif vers actif, pour le rseau 7 et interroge ses
voisins son sujet. Cette phase transitoire vers un tat actif est connue sous lappellation calcul
par diffusion.
Chapitre 3
79
NOTE
Reportez-vous lAnnexe H pour obtenir une liste de sources dinformations sur la convergence EIGRP.
Lexemple et les graphiques suivants illustrent la faon dont EIGRP supporte la convergence quasiment instantane dans un environnement de rseau changeant. Dans la Figure 3.7, tous les routeurs
communiquent entre eux et avec le rseau N. Le cot calcul pour atteindre les autres routeurs et le
rseau N est indiqu. Par exemple, le cot pour aller du routeur E au routeur B est 10 et le cot entre
le routeur E et le rseau N est 25 (cot calcul 10 + 10 + 5).
Figure 3.7
Rseau N
(5)
Routeur A
(10)
30
Routeur B
Routeur C
(15)
25
(10)
(15)
(15)
Routeur
Routeur
E E
Routeur D
40
Dans la Figure 3.8, la connexion entre les routeurs B et E est interrompue. Le routeur E envoie une
requte multidestinataire tous ses voisins et place le rseau N dans un tat actif.
Figure 3.8
Rseau N
Routeur B
Routeur C
Routeur E
Routeur D
E interroge
80
Partie I
Architecture de rseaux
Ensuite, comme illustr Figure 3.9, le routeur D dtermine un successeur possible. Il transfre la
succession du routeur E sur le routeur C et envoie une rponse au routeur E.
Figure 3.9
Rseau N
Routeur A
Routeur B
Routeur C
Routeur E
Routeur D
D rpond
Dans la Figure 3.10, le routeur E a reu les rponses de la part de ses voisins et fait passer le rseau N
dans un tat passif. Le routeur E place le rseau N dans sa table de routage avec une distance de 60.
Figure 3.10
Rseau N
30
Routeur B
Routeur C
45
Routeur E
Routeur D
60
NOTE
Les routeurs A, B et C nont pas t impliqus dans le calcul de route. Le routeur D a recalcul son chemin
vers le rseau N sans avoir obtenir de nouvelles informations de la part de ses voisins en aval.
Chapitre 3
81
Laptitude dun rseau voluer est limite par deux facteurs : les problmes fonctionnels et les
problmes techniques. Sur le plan fonctionnel, EIGRP est facile configurer. Sur le plan technique,
sa consommation des ressources naugmente pas proportionnellement avec le dveloppement du
rseau, sil est conu correctement. La notion de hirarchie, la fois logique et physique, est essentielle pour concevoir un rseau EIGRP volutif.
Mmoire
Un routeur excutant EIGRP stocke les routes annonces par ses voisins afin de pouvoir sadapter
rapidement tout changement de topologie et exploiter les itinraires alternatifs. Plus un routeur a
de voisins, plus il consomme de mmoire. La fonction dagrgation automatique de routes de
EIGRP limite de faon naturelle la taille de la table de routage. Une limitation supplmentaire est
possible avec une configuration manuelle de cette fonction.
Processeur
EIGRP utilise lalgorithme DUAL pour fournir une convergence rapide. Il ne recalcule que les routes
qui sont affectes par un changement de topologie. DUAL nentrane pas de calcul complexe, mais le
pourcentage dutilisation du processeur dpend de la stabilit du rseau, des limites des requtes et
de la fiabilit des liens.
Bande passante
EIGRP utilise des mises jour partielles. Elle ne sont gnres que lorsquun changement se
produit ; seules les informations modifies sont envoyes, et uniquement aux routeurs concerns par
le changement. En raison de ce comportement, ce protocole est trs efficace dans son utilisation de
la bande passante. Le protocole Hello de EIGRP induit une consommation supplmentaire de la
bande passante pour maintenir les informations dactivit des routeurs voisins.
Pour crer un rseau EIGRP volutif, il est conseill dimplmenter la synthse de routage. Pour
quun environnement soit capable de supporter cette fonction, limplmentation dun schma
dadressage hirarchique efficace est ncessaire. La raison est que les performances et lvolutivit
dun rseau EIGRP peuvent tre considrablement affectes par la structure dadressage mise en
uvre.
Scurit avec EIGRP
Le protocole EIGRP nest disponible que sur les routeurs Cisco. Cela prvient tout risque dinterruption de routage, accidentelle ou malveillante, pouvant tre provoque par un hte du rseau. De
plus, des filtres de route peuvent tre mis en place sur nimporte quelle interface pour empcher que
les informations de routage ne soient recueillies ou propages de faon inapproprie.
82
Partie I
Architecture de rseaux
(AS, Autonomous System). Un systme autonome est un groupe de routeurs qui changent des
informations de routage via un protocole de routage commun. OSPF sappuie sur un algorithme de
routage par le plus court chemin (SPF, Shortest Path First) ou par tat de lien.
Il a t dvelopp par le groupe de travail OSPF de lIETF (Internet Engineering Task Force). Il a
t conu expressment pour tre exploit dans un environnement IP, avec un support explicite des
sous-rseaux IP et du marquage des informations de routage provenant de lextrieur. La version 2
du protocole est documente dans le RFC 1247.
Si vous concevez un rseau OSPF en partant de rien ou faites migrer votre rseau existant vers
OSPF, les directives suivantes vous aideront mettre en uvre un environnement OSPF fiable et
volutif.
Limplmentation russie dun environnement OSPF implique deux phases importantes :
m
Une planification et une excution efficaces de ces deux phases garantiront le succs de votre implmentation. Elles sont dtailles dans les sections suivantes :
m
Convergence OSPF ;
Reportez-vous au Chapitre 16 pour travailler sur une tude de cas concernant la dfinition et la configuration de la redistribution OSPF.
Cest dans un environnement de routage hirarchique que le protocole OSPF fonctionne le mieux.
La premire dcision et la plus importante lors de la conception dun rseau OSPF consiste
dterminer les routeurs et les liens qui doivent faire partie de lpine dorsale et ceux qui doivent tre
inclus dans chaque zone. Voici plusieurs directives importantes considrer lors de la conception
dune topologie OSPF :
m
Le nombre de routeurs dans une zone. OSPF utilise un algorithme gourmand en ressources
processeur. Le nombre de calculs qui doivent tre excuts, tant donn un nombre n de paquets
dtat de lien, est proportionnel n log n. En consquence, plus la zone est grande et instable,
Chapitre 3
83
plus grandes sont les chances de rencontrer des problmes de performances lors des calculs du
protocole de routage. Le nombre de routeurs dans une zone dpend de leur processeur, de leur
mmoire et du nombre de liens dans la zone.
m
Le nombre de voisins pour chaque routeur. OSPF envoie par inondation tous les changements
dtat de lien tous les routeurs dune zone. Les routeurs dots de nombreux voisins ont le plus
de travail accomplir lorsque des modifications ont lieu. Le nombre de voisins par routeur
dpend du processeur de celui-ci, du nombre de liens dans une zone, du processeur des routeurs
voisins, et de la bande passante des liens menant vers les voisins.
Le nombre de zones supportes par chaque routeur. Un routeur doit excuter lalgorithme
LSA pour chaque changement dtat de lien qui intervient dans une zone laquelle il participe.
Chaque routeur interzones (Area Border Router) est impliqu dans au moins deux zones (celle
de lpine dorsale et celle quil connecte lpine dorsale).
Choix du routeur dsign. En gnral, le routeur dsign et le routeur dsign de secours sur
un LAN sont voisins de tous les autres routeurs. Ils sont chargs de gnrer les inondations LSA
sur les routes adjacentes et de dfinir ltat des liens pour le compte du rseau. Il est donc
conseill de choisir pour ces rles des routeurs qui ne sont pas dj fortement sollicits par des
activits consommatrices en ressources processeur.
Les explications qui suivent traitent des problmes de topologie en rapport avec lpine dorsale et
les zones.
Considrations lies lpine dorsale
84
Partie I
Architecture de rseaux
Une zone individuelle doit tre continue. Elle peut tre partitionne, mais cela nest pas recommand. Dans ce contexte, cela signifie quelle doit pouvoir prsenter un chemin continu reliant tous
les routeurs entre eux. Cela ne signifie pas que tous les routeurs doivent partager un mdia de rseau
commun. La conception de zones implique deux tches essentielles :
m
Les zones devraient possder un ensemble continu dadresses de rseaux ou de sous-rseaux. Sans un
espace dadressage continu, il nest pas possible dimplmenter la synthse de routes. Les routeurs qui
relient une zone lpine dorsale sont appels routeurs interzones (Area Border Router). Une zone
peut disposer dun ou de plusieurs de ces routeurs. En gnral, il est souhaitable den avoir plus dun
par zone pour rduire les risques de rupture de liaison avec lpine dorsale.
Lors de la cration dun rseau OSPF tendu, la dfinition des zones et lassignation des ressources
quelles contiennent doivent sappuyer sur une approche pragmatique du rseau. Les deux rgles
gnrales suivantes permettent de sassurer que le rseau reste souple et offre les performances
requises pour un accs fiable aux ressources :
m
Rduire la taille maximale des zones si les liaisons sont instables. Si votre rseau comprend
des liens instables, envisagez limplmentation de zones plus petites pour rduire les risques
dinstabilit de route. Lorsquune route est perdue ou, au contraire, entre en activit, chaque
zone affecte doit converger vers une nouvelle topologie. Lalgorithme Dykstra est excut sur
tous les routeurs concerns. En segmentant votre rseau en zones plus petites, vous isolez les
liens instables et fournissez un service global plus fiable.
Lassignation dadresses et la synthse de routes sont troitement lies lorsquil sagit de concevoir
un rseau OSPF. Pour crer un rseau OSPF volutif, implmentez la synthse de routes. Celle-ci
requiert la mise en uvre dune stratgie dadressage hirarchique efficace pour pouvoir tre
supporte par lenvironnement dvelopp. La structure de cet adressage peut avoir un impact
profond sur les performances et laptitude voluer de votre rseau. Les sections suivantes traitent
de la synthse de routes OSPF et de trois options dadressage :
m
adressage priv, avec une zone dmilitarise (DMZ, Demilitarized Zone) tampon vers lInternet.
Chapitre 3
85
NOTE
Maintenez une stratgie dadressage aussi simple que possible, mais veillez ne pas exagrer dans ce sens.
Bien que cette simplicit puisse vous faire gagner du temps lors de lexploitation ou du dpannage de votre
rseau, lutilisation de certains raccourcis peut avoir des consquences graves. Lors de llaboration dun
environnement dadressage volutif, adoptez une approche structure. Si ncessaire, utilisez des masques
de sous-rseaux binaires, mais assurez-vous que la synthse de routes peut tre accomplie par les routeurs
interzones.
Lutilisation de la synthse de routes est fortement recommande pour obtenir un rseau OSPF
fiable et volutif. Lefficacit de cette fonctionnalit et limplmentation de votre rseau OSPF en
gnral sappuient sur la stratgie dadressage que vous adoptez. Cette synthse se produit entre
chaque zone et la zone dpine dorsale. Elle doit tre configure manuellement avec OSPF. Lors de
la planification de votre rseau, examinez les points suivants :
m
Veillez ce que votre stratgie dadressage soit configure de telle sorte que la plage des adresses de sous-rseaux assignes au sein dune zone soit continue.
Crez un espace dadresse qui vous permette par la suite de diviser les zones plus facilement
lorsque le rseau stendra. Si possible, assignez les sous-rseaux en vous fondant sur des limites
simples au niveau octet. Si vous ne pouvez pas suivre des rgles de division simples et faciles
mmoriser, veillez disposer dune structure dadressage bien dtaille. Mieux vous connatrez
la rpartition de votre espace dadresse, mieux vous pourrez prvoir certains changements.
Prvoyez lajout de nouveaux routeurs dans votre environnement. Le moment venu, veillez les
installer de faon approprie comme routeurs intrazone, dpine dorsale, ou interzones. Ce type
de changements provoque la cration dune nouvelle topologie et, en consquence, des modifications ventuelles au niveau du routage (peut-tre aussi au niveau des performances) lorsque la
topologie OSPF est recalcule.
Lune des mthodes dallocation dadresses les plus simples avec OSPF consiste assigner une
adresse de rseau distincte chaque zone. Selon cette procdure, vous crez une pine dorsale et
plusieurs zones, et attribuez une adresse de rseau IP diffrente chacune des zones. La Figure 3.11
illustre ce type de stratgie.
Voici les principales tapes de la cration dun tel rseau :
1. Dfinissez votre structure (identifiez les zones et allouez leur des nuds).
2. Assignez des adresses aux rseaux, sous-rseaux et stations terminales.
Dans le rseau illustr Figure 3.11, chaque zone possde sa propre adresse unique. Il peut sagir dune
adresse de Classe A (lpine dorsale, voir Figure 3.11), de Classe B (zones 4 ou 6), ou de Classe C
(zone 5).
86
Partie I
Architecture de rseaux
Figure 3.11
Exemple dassignation
dadresses NIC.
Rseau fdrateur
82.0.0.0
Routeurs
inter-zones
Zone 6
Zone 5
131.108.0.0 195.22.56.0
Zone 4
150.98.0.0
Voici quelques avantages lis lattribution dune adresse unique chaque zone :
m
La configuration des routeurs est assez simple ce qui limite le risque derreur.
Lexploitation du rseau est simplifie, car chaque zone possde une adresse de rseau unique et
simple.
Dans lexemple illustr Figure 3.11, la configuration de la synthse de routes au niveau des routeurs
interzones est grandement simplifie. Les routes de la zone 4 qui convergent vers lpine dorsale
peuvent tre synthtises de la manire suivante : toutes les routes commenant avec 150.98 se
trouvent dans la zone 4.
Le principal inconvnient de cette approche est un gaspillage de lespace dadresse. Si vous adoptez
cette mesure, veillez ce que les routeurs interzones soient configurs pour assurer la synthse de
routes. Celle-ci doit tre explicitement dfinie.
Sous-rseaux avec masques binaires et VLSM
Les masques de sous-rseaux binaires et de longueur variable peuvent tre combins pour conomiser de lespace dadresse. Imaginez un rseau sur lequel une adresse de Classe B est divise au
moyen dun masque binaire pour tre rpartie sur seize zones. Elle pourrait tre subdivise comme
illustr Figure 3.12.
Figure 3.12
156.77 .xxxx
yyyy.y
zzzzzzz
Chapitre 3
87
Dans la Figure 3.12, les lettres x, y et z reprsentent les bits des deux derniers octets du rseau de
Classe B :
m
Les sept bits z permettent dadresser jusqu 126 (128 2) htes par sous-rseau.
La synthse de routes est une fonction particulirement importante dans un environnement OSPF,
car elle amliore la stabilit du rseau. Lorsquelle est utilise, les modifications qui portent sur des
routes au sein dune zone nont pas besoin dtre rpercutes au niveau de lpine dorsale ou des
autres zones. Cette fonctionnalit renvoie deux questions importantes concernant la distribution
dinformations de routage :
m
Quelles sont les informations que lpine dorsale doit connatre propos de chaque zone ? La
rponse implique les informations de routage transmises des zones vers lpine dorsale.
Quelles sont les informations que chaque zone doit connatre propos de lpine dorsale et des
autres zones ? La rponse concerne les informations de routage transitant de lpine dorsale vers
les zones.
88
Partie I
Architecture de rseaux
Figure 3.13
Connexion lInternet
partir dun rseau
avec adressage priv.
Environnement Internet
sous administration du NIC
Routeur A
Hte IP
Garp
OSPF supporte VLSM. Il est donc possible deffectuer une synthse de routes au niveau dun bit
dadresse de rseau ou de sous-rseau.
OSPF ncessite une configuration manuelle de la synthse. Lorsque vous concevez les zones,
vous devez dterminer la synthse appliquer sur chaque routeur interzones.
Par dfaut. Si une route explicite ne peut pas tre localise pour un rseau ou un sous-rseau IP
donn, le routeur transmet le paquet vers la destination spcifie en utilisant litinraire par dfaut.
Chapitre 3
89
Routes interzones. Une zone peut transporter des informations de routes explicites de rseaux
ou de sous-rseaux pour tous les rseaux ou les sous-rseaux qui font partie du systme autonome, mais pas de la zone.
Routes externes. Il sagit des routes dont les informations de routage sont changes par diffrents systmes autonomes.
En gnral, il est souhaitable de restreindre les informations de routage de nimporte quelle zone
lensemble minimal dont elle a besoin. Il existe trois types de zones dfinies conformment aux
informations de routage quelles utilisent en interne :
m
Zones non stub. Les zones non stub transportent une route par dfaut, ainsi que des routes statiques, intrazone, interzones et externes. Une zone doit tre non stub lorsquelle contient un
routeur qui utilise la fois OSPF et nimporte quel autre protocole, tel que RIP. Un tel routeur
est appel routeur intersystmes autonomes (ASBR, Autonomous System Border Router). Une
zone doit aussi tre non stub lorsquun lien virtuel est configur travers elle. Ce type de zone
consomme davantage de ressources compar aux autres.
Zones stub. Les zones stub transportent une route par dfaut, ainsi que des routes intrazone et
interzones, mais pas de routes externes. (Reportez-vous la section "Contrle du trafic interzones" plus loin dans ce chapitre pour plus de renseignements sur les compromis de conception de
zones avec plusieurs routeurs interzones). Lutilisation de zones stubs est soumise deux restrictions : les liens virtuels ne peuvent pas tre configurs travers elles et elles ne peuvent pas
comprendre de routeur intersystmes.
Zones stub sans synthse de routes. Les versions 9.1(11) et 9.21(2) de System Software ainsi
que les versions 10.0(1) et plus de Cisco IOS supportent les zones stub sans synthse de routes,
permettant de crer des zones qui ne transportent quune route par dfaut et des routes intrazone.
Les zones stub sans synthse ne transportent pas dinformations de routes interzones ou externes. Ce type de zone est recommand pour les configurations simples dans lesquelles un seul
routeur connecte une zone lpine dorsale.
Le Tableau 3.1 prsente les diffrents types de zones selon les informations de routage quelles utilisent :
Tableau 3.1 : Informations de routage utilises dans les zones OSPF
Type de zone
Routes intrazone
Routes interzones
Routes externes
Non stub
Oui
Oui
Oui
Oui
Stub
Oui
Oui
Oui
Non
Oui
Oui
Non
Non
90
Partie I
Architecture de rseaux
NOTE
Les zones stub sont configures au moyen de la commande de configuration de routeur : area id-zone
stub. Les routes sont synthtises au moyen de la commande de configuration de routeur : area idzone range masque_adresse. Reportez-vous aux manuels Router Products Configuration Guide et Router
Products Command Reference, pour plus dinformations concernant lutilisation de ces commandes.
Lors de la conception dun rseau OSPF, considrez les trois aspects importants suivants qui contribuent lobtention dune fonction de slection de route efficace :
m
La valeur par dfaut des mtriques utilises par OSPF se base sur la bande passante. Les caractristiques suivantes illustrent de quelle faon les mtriques sont gnres :
m
Chaque lien reoit une valeur de mtrique base sur sa bande passante. La valeur de mtrique
dun lien spcifique est linverse de celle de sa bande passante. La mtrique dun itinraire est la
somme des mtriques de tous les liens traverss.
Lorsque la synthse de route est active, OSPF utilise la mtrique du plus mauvais itinraire
dans la synthse.
Il existe deux formes de mtriques externes : type 1 et type 2. Lutilisation des mtriques de type 1
provoque lajout de la mtrique interne OSPF la mtrique de route externe. Les mtriques de
type 2 nont pas cet effet. La mtrique externe de type 1 est gnralement utilise de prfrence.
Si vous disposez de plus dune connexion externe, les deux mtriques peuvent affecter la faon
dont les chemins multiples sont utiliss.
Lorsquune zone ne possde quun seul routeur interzones, tout le trafic qui nappartient pas la
zone passe par lui. Dans les zones comprenant plusieurs routeurs interzones, deux options soffrent
au trafic qui doit quitter la zone :
m
Le routeur interzones le plus proche de lorigine du trafic est utilis (le trafic quitte la zone le
plus tt possible).
Le routeur interzones le plus proche de la destination du trafic est utilis (le trafic quitte la zone
le plus tard possible).
Si les routeurs interzones ninjectent que la route par dfaut, le trafic est transmis au routeur interzones qui est le plus proche de la source. Ce comportement est le plus souvent souhaitable, car lpine
dorsale possde gnralement des lignes disponibles avec une bande passante plus leve. Toutefois, pour que le trafic utilise le routeur interzones situ le plus prs de la destination (pour que le
Chapitre 3
91
trafic quitte la zone le plus tard possible), les routeurs interzones doivent injecter les synthses dans
la zone au lieu de ne lui transmettre que la route par dfaut.
La plupart des concepteurs de rseaux prfrent viter un routage asymtrique (cest--dire lutilisation dun chemin pour les paquets passant de A vers B diffrent de celui quempruntent les
paquets allant de B vers A). Il est important de comprendre de quelle faon le routage se produit
entre des zones pour viter un routage asymtrique.
Equilibrage de charge sur un rseau OSPF
Les topologies de rseau sont gnralement conues pour fournir des routes redondantes afin
dviter un morcellement du rseau. La redondance permet aussi de bnficier dune bande
passante supplmentaire dans les zones fort trafic. Sil existe des chemins de cot gal en direction dune destination, les routeurs Cisco quilibrent automatiquement la charge dans un environnement OSPF.
Les routeurs Cisco utilisent jusqu quatre chemins de cot gal pour une destination donne. Le
trafic est distribu par rapport la destination (avec la commutation rapide) ou par rapport aux
paquets. Lquilibrage de charge par destination reprsente le comportement par dfaut.
Convergence OSPF
Lune des fonctionnalits les plus attrayantes de OSPF est sa capacit sadapter rapidement aux
changements de topologie. Deux composantes du protocole participent la convergence des informations de routage :
m
Dtection des changements de topologie. OSPF utilise deux mcanismes pour dtecter les
changements qui interviennent au niveau de la topologie. La surveillance des changements
dtat dinterface (tels quun problme de porteuse sur une ligne srie) constitue le premier
mcanisme. Le second mcanisme est la surveillance de lchec de rception dun paquet Hello
de la part du voisin au sein dune fentre de temporisation appele temporisateur dinactivit.
Aprs expiration du temporisateur, le routeur suppose que le routeur voisin est inactif. Le temporisateur est configur au moyen de la commande de configuration dinterface ip ospf deadinterval. La valeur par dfaut de ce temporisateur est de quatre fois la valeur de lintervalle
Hello. Cela nous donne une valeur par dfaut de 40 secondes pour les rseaux broadcast et de
deux minutes pour les rseaux non broadcast.
Calcul de routes. Aprs quun routeur a dtect une panne, il envoie un paquet dtat de lien
avec les informations de changement tous les routeurs situs dans la zone. Tous les routeurs
procdent un nouveau calcul des itinraires au moyen de lalgorithme Dykstra (ou SPF). Le
temps requis pour lexcution de lalgorithme dpend dune combinaison qui prend en compte
la taille de la zone et le nombre de routes dans la base de donnes.
92
Partie I
Architecture de rseaux
capacit de votre rseau voluer. Cette adaptabilit est affecte par des considrations fonctionnelles et techniques :
m
Sur un plan fonctionnel, un rseau OSPF devrait tre conu de manire que les zones naient pas
besoin dtre divises pour sadapter sa croissance. Lespace dadresse devrait tre rserv
pour autoriser lajout de nouvelles zones.
Sur le plan technique, ladaptabilit est conditionne par lutilisation de trois ressources :
mmoire, processeur et bande passante. Ces trois lments sont traits ci-dessous.
Mmoire
Un routeur OSPF conserve tous les tats de liens pour toutes les zones dans lesquelles il se trouve.
De plus, il stocke galement les synthses et les routes externes. Un emploi prudent de la synthse
de routes et des zones stub permet de rduire de faon substantielle lutilisation de la mmoire.
Processeur
Un routeur OSPF utilise les cycles du processeur chaque fois quun changement dtat de lien se
produit. Le maintien de zones de petite taille et lemploi de la synthse de routes rduit de faon
considrable lutilisation des ressources processeur et permet dobtenir un environnement plus
stable.
Bande passante
OSPF envoie des mises jour partielles chaque fois quun changement dtat de lien intervient. Les
mises jour sont envoyes par inondation vers tous les routeurs de la zone. Sur un rseau stable,
OSPF est stable lui aussi. Sur un rseau changeant frquemment, le protocole minimise la quantit
de bande passante utilise.
Scurit avec OSPF
Contrle des routeurs qui participent un rseau OSPF. OSPF contient un champ dauthentification optionnel. Tous les routeurs au sein dune zone doivent saccorder sur la valeur de ce
champ. Comme OSPF est un protocole standard disponible sur de nombreuses plates-formes, y
compris sur certains htes, lemploi du champ dauthentification empche le dmarrage accidentel de OSPF sur une plate-forme non contrle de votre rseau et rduit le potentiel dinstabilit.
Contrle des informations de routage changes par les routeurs. Tous les routeurs doivent
dtenir les mmes donnes au sein dune zone OSPF. En consquence, il nest pas possible
dutiliser des filtres de routes sur un rseau OSPF pour en assurer la scurit.
Avant NSSA (Not-So-Stubby Area), il fallait dfinir une zone comme zone stub pour lui viter de
recevoir des annonces dtat de lien (LSA, Link-State Advertisement) externes (Type 5). Les
routeurs interzones (ABR, Area Border Router) qui connectent des zones stub ne les inondent pas
avec les informations de routes externes quils reoivent. Pour renvoyer des paquets vers des destinations en dehors de la zone stub, une route par dfaut passant par le routeur interzones est utilise.
Chapitre 3
93
La RFC 1587 dfinit une zone hybride appele NSSA. Une telle zone est semblable une zone
stub, mais autorise les fonctionnalits suivantes :
m
importation (redistribution) de routes externes en tant quannonces LSA Type 7 dans les zones
NSSA par les routeurs intersystmes autonomes (ASBR) de ces zones ;
traduction dannonces de routes spcifiques LSA Type 7 en LSA Type 5 par les routeurs interzones NSSA.
Utilisez les zones NSSA de OSPF pour synthtiser ou filtrer les annonces LSA Type 5 avant
quelles ne soient transmises dans une zone OSPF. La spcification de OSPF (RFC 1583) interdit la
synthse ou le filtrage des annonces LSA Type 5. Cest une exigence de OSPF que les annonces de
Type 5 soient toujours transmises par inondation travers le domaine de routage. Lorsque vous
dfinissez une zone NSSA, importez-y des informations de routes externes spcifiques en tant
quannonces de Type 7. De plus, lors de la traduction des annonces de Type 7 devant tre importes
dans des zones non stub, synthtisez-les ou filtrez-les avant leur exportation en tant quannonces de
Type 5.
Dans la Figure 3.14, le site central et la succursale sont interconnects par lintermdiaire dune
liaison WAN lente. Le site central utilise OSPF, mais pas la succursale. Au lieu de dfinir un
domaine RIP pour connecter les deux sites, dfinissez une zone NSSA.
Figure 3.14
NSSA 1
Exploitation de zones
NSSA de OSPF.
10.10.0.0/16
10.11.0.0/16
20.0.0.0/8
10.10.0.0/16
10.11.0.0/16
20.0.0.0/8
Type 5
Type 7
1
RIP ou EIGRP
10.10.0.0/16
10.11.0.0/16
20.0.0.0/8
Succursale
B
A
Zone 0 d'pine
dorsale
172.19.89.0/24
19.2 Kbit/s
172.19.92.0
Site central
Dans ce scnario, le routeur A est dfini en tant que routeur intersystmes autonomes. Il est configur pour redistribuer toutes les routes du domaine RIP/EIGRP vers la zone NSSA. Lorsque la zone
entre les deux routeurs de connexion est dfinie en tant que zone NSSA, voici ce qui se produit :
1. Le routeur A reoit les informations de routes pour RIP ou EIGRP pour les rseaux 10.10.0.0/16,
10.11.0.0/16 et 10.0.0.0/8.
94
Partie I
Architecture de rseaux
2. Comme le routeur A est aussi connect une zone NSSA, il redistribue les routes RIP ou EIGRP
en tant quannonces LSA Type 7 vers la zone NSSA.
3. Le routeur B, un routeur interzones entre la zone NSSA et la zone 0 dpine dorsale, reoit les
annonces LSA Type 7.
4. Aprs le calcul SPF, le routeur B traduit les annonces Type 7 en annonces Type 5 et les envoie
par inondation travers la zone 0 dpine dorsale. A cette tape, le routeur B synthtise les
routes 10.10.0.0/16 et 10.11.0.0/16 en tant que 10.0.0.0/8 ou filtre les informations dune ou
plusieurs routes.
Caractristiques des annonces dtat de lien LSA Type 7
Elles ne sont mises que par les routeurs intersystmes connects entre la zone NSSA et le
domaine du systme autonome.
Elles incluent un champ dadresse de transmission. Ce champ est retenu lorsquune annonce de
Type 7 est traduite en Type 5.
Elles ne sont pas envoyes par inondation au-del dune zone NSSA. Le routeur interzones qui
est connect une autre zone non stub, reconvertit les annonces de Type 7 en annonces de Type 5
avant de les envoyer.
Les routeurs interzones NSSA peuvent tre configurs pour synthtiser ou filtrer les annonces de
Type 7 et les convertir en annonces de Type 5.
Les routeurs interzones NSSA transmettent des annonces Type 7 de route par dfaut dans la zone
NSSA.
Les annonces Type 7 possdent une priorit infrieure celle des annonces Type 5. Aussi, lorsque des informations de route sont recueillies par des annonces Type 5 et Type 7, la route dfinie
dans lannonce Type 5 est slectionne en premier.
Chapitre 3
Figure 3.15
Configuration
de NSSA de OSPF.
95
router ospf 1
summaryaddress 10.0.0.0 255.0.0.0 tag 8
network 172.19.89.0 0.0.0.255 area 0
network 172.19.92.0 0.0.0.255 area 1
area 1 nssa
!
router ospf 1
redistribute rip subnets
network 172.19.92.0 0.0.0.255 area 1
area 1 nssa
!
172.19.92.0/24
NSSA 1
RIP ou EIGRP
10.10.0.0/16
10.11.0.0/16
20.0.0.0/8
B
A
200.0.0.63
ID Routeur
19.2 Kbit/s
Zone 0 d'pine
dorsale
172.19.88.0/24
200.0.0.62
ID Routeur
Veillez examiner ces considrations avant dimplmenter NSSA. Dfinissez une annonce Type 7
de route par dfaut qui peut tre utilise pour atteindre les destinations externes (voir Figure 3.15).
Pour cela, la commande mettre est :
router(config)#area id-zone nssa [defaultinformation-originate]
Lorsquil est configur, le routeur gnre une annonce Type 7 de route par dfaut dans la zone NSSA
via le routeur interzones NSSA. Tous les routeurs dune mme zone doivent accepter la zone
NSSA, sinon ils ne seront pas capables de communiquer entre eux.
Si possible, vitez une redistribution explicite sur le routeur interzones NSSA, car vous pourriez ne
plus distinguer quels sont les paquets traduits par tel ou tel routeur.
OSPF On-Demand Circuit
OSPF On-Demand Circuit (ODC) est une amlioration du protocole OSPF qui est efficace sur les
circuits la demande tels que RNIS, les circuits virtuels commuts (SVC, Switched Virtual Circuit) de
X.25 et les lignes commutes. Cette fonctionnalit supporte les spcifications du RFC 1793, Extending OSPF to Support On-Demand Circuits. Ce RFC est utile pour en comprendre le fonctionnement.
Il contient de bons exemples et explique lexploitation de OSPF dans ce type denvironnement.
Avant lintroduction de OSPF ODC, des messages Hello et LSA priodiques taient changs entre
des routeurs qui connectaient une ligne la demande mme lorsque aucun changement navait lieu.
Avec OSPF ODC, les messages Hello priodiques sont supprims et les mises jour dannonces
LSA ninondent plus les circuits la demande. Ces paquets provoquent louverture des lignes
uniquement lorsquil sont changs la premire fois ou lorsquil y a une modification dans les informations quils contiennent, permettant ainsi de librer la connexion au niveau de la couche liaison
96
Partie I
Architecture de rseaux
de donnes sous-jacente, lorsque la topologie de rseau est stable, et de maintenir des cots minimaux pour un circuit la demande.
OSPF ODC est un mcanisme fond sur des standards semblables la fonction Snapshot de Cisco
utilise pour les protocoles vecteur de distance tels que RIP.
Pourquoi utiliser OSPF On-Demand Circuit ?
Cette fonction est utile pour disposer dune pine dorsale OSPF sur un site central et permettre
des succursales ou des travailleurs distants de sy connecter. Dans ce cas, ODC permet de tirer
profit des avantages de OSPF sur lintgralit du domaine sans entraner de cots de connexion
excessifs. Les mises jour priodiques Hello et LSA, ou autres surcharges de protocole, ne sont pas
autorises dclencher lactivation dun circuit la demande lorsquil ny a pas de vritables
donnes transmettre.
Les protocoles gnrant des surcharges, du genre paquets Hello et LSA, sont transmis sur le circuit
la demande uniquement lors du dmarrage initial et lorsquils refltent un changement dans la
topologie. Cela signifie que les modifications essentielles qui ncessitent de nouveaux calculs SPF
sont transmises afin de permettre la maintenance de lintgrit du rseau, mais les mises jour
priodiques qui nincluent pas de modifications ne sont pas envoyes sur la ligne.
Fonctionnement de OSPF On-Demand Circuit
La Figure 3.16 illustre le rseau qui servira de base pour la description du fonctionnement gnral
de OSPF sur les circuits la demande.
Figure 3.16
Zone OSPF
Zone OSPF.
Routeur A
Succursale
Chapitre 3
97
cas, il met jour les entres LSA existantes, mais ne transmet pas les informations au routeur B.
Par consquent, les deux routeurs ont les mmes entres, mais leurs numros de squence
dentres peuvent ne pas tre identiques.
3. Lorsque le routeur A reoit une annonce LSA pour une nouvelle route, ou qui contient des
donnes modifies, il met jour sa base de donnes LSA, tablit le circuit la demande et envoie
les informations vers le routeur B. A cette tape, les deux routeurs possdent des numros de
squence identiques pour cette entre LSA.
4. Lorsquil ny a pas de donnes transfrer alors que la ligne est ouverte pour des mises jour,
elle est libre.
5. Lorsquun hte dun ct ou de lautre doit transfrer des donnes un autre hte sur le site
distant, la ligne est tablie.
Configuration de OSPF On-Demand Circuit
Si le routeur fait partie dune topologie point--point, seule une extrmit du circuit la demande
doit tre configure avec cette commande, mais les deux routeurs doivent avoir la fonctionnalit
charge. Tous les routeurs qui font partie dune topologie point-multipoint doivent tre configurs
avec cette commande.
Considrations dimplmentation pour OSPF On-Demand Circuit
98
Partie I
Architecture de rseaux
3. Nactivez pas cette fonction sur une topologie de rseau broadcast, car les messages Hello ne
peuvent pas tre supprims de faon efficace, ce qui signifie que la ligne sera toujours active.
OSPF sur les rseaux non broadcast
Les rseaux NBMA (Non Broadcast Multiple Access) supportent de nombreux routeurs, mais ils ne
disposent pas de fonctions broadcast. Sur ce type de rseau, les routeurs voisins sont dtermins au
moyen du protocole Hello de OSPF. Toutefois, en raison de cette absence de fonctions broadcast,
certaines informations de configuration pourraient se rvler ncessaires pour permettre la
dcouverte des voisins. Les paquets du protocole OSPF qui sont normalement multidestinataires
doivent tre envoys tour tour vers chaque routeur voisin. Un rseau de donnes public X.25 est
un exemple de rseau non broadcast. Notez les points suivants :
m
OSPF sexcute dans un des deux modes disponibles sur un rseau non broadcast. Le
premier mode, appel accs multiple non broadcast (sans diffusion) ou NBMA, simule le fonctionnement de OSPF sur un rseau broadcast. Le second mode, appel point-multipoint, gre le
rseau non broadcast comme un ensemble de liens point--point. Les rseaux non broadcast sont
donc appels rseaux NBMA ou rseaux point-multipoint, selon le mode OSPF exploit.
En mode NBMA, OSPF mule le fonctionnement dun rseau broadcast. Un routeur dsign
est lu et gnre une annonce LSA pour le rseau. La reprsentation graphique pour les rseaux
broadcast et les rseaux non broadcast est identique.
Mode NBMA
Le mode NBMA reprsente la mthode la plus efficace dexploitation de OSPF sur un rseau non
broadcast, aussi bien en termes de taille de base de donnes dtat de liens quen termes de quantit
de trafic gnr par le protocole de routage. Toutefois, ce mode souffre dune restriction significative ; il ncessite que tous les routeurs soient connects au rseau NBMA pour pouvoir communiquer entre eux. Bien que cette restriction peut tre rencontre sur certains rseaux non broadcast tels
quun sous-rseau ATM utilisant des circuits virtuels commuts (SVC), on ne la rencontre pas
souvent sur les rseaux Frame Relay circuits virtuels permanents (PVC).
Sur les rseaux non broadcast, les routeurs ne communiquent pas tous directement. Pour permettre
une communication directe, divisez le rseau en sous-rseaux logiques. Chaque sous-rseau peut
ensuite tre exploit comme rseau NBMA ou point--point si chaque circuit virtuel est dfini en
tant que sous-rseau logique spar. Cette configuration entrane toutefois une certaine surcharge
administrative, et est propice aux erreurs de configuration. Il est probablement prfrable dexploiter un tel rseau non broadcast en mode point-multipoint.
Mode point-multipoint
Chapitre 3
99
par son adresse IP. Comme aucun routeur dsign nest lu, lligibilit des routeurs voisins configurs est indfinie.
Alternativement, des voisins peuvent tre dynamiquement dcouverts par des protocoles dun
niveau infrieur comme ARP inverse. A la diffrence des rseaux NBMA, les rseaux point-multipoint prsentent les caractristiques suivantes :
1. Des dpendances sont tablies entre tous les routeurs voisins. Il ny a pas de routeur dsign ou
de routeur dsign de secours. Aucune annonce LSA nest gnre pour le rseau. La priorit de
routage nest pas configure pour les interfaces, ni pour les voisins.
2. Lors de la gnration dune annonce LSA de routeur, linterface point-multipoint est prsente
comme un ensemble de "liens point--point" vers linterface de tous ses voisins adjacents, et possdant en mme temps un seul lien stub annonant ladresse IP de linterface avec un cot de 0.
3. Lors dune inondation sur une interface non broadcast (en mode NBMA ou point-multipoint), le
paquet de mise jour ou dacquittement dtat de lien doit tre reproduit afin dtre envoy
chacun des voisins de linterface.
Voici un exemple de configuration de rseau point-multipoint sur un rseau NBMA (Frame Relay
dans ce cas). La table de routage rsultante et les informations dtat de lien de routeur, ainsi que
dautres donnes pertinentes suivent galement :
interface Ethernet0
ip address 130.10.6.1 255.255.255.0
!
interface Serial0
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 multipoint
ip address 130.10.10.3 255.255.255.0
ip ospf network point-to-multipoint
ip ospf priority 10
frame-relay map ip 130.10.10.1 140 broadcast
frame-relay map ip 130.10.10.2 150 broadcast
!
router ospf 2
network 130.10.10.0 0.0.0.255 area 0
network 130.10.6.0 0.0.0.255 area 1
R6#sh ip ospf int s 0.1
Serial0.1 is up, line protocol is up
Internet Address 130.10.10.3/24, Area 0
Process ID 2, Router ID 140.10.1.1, Network Type POINT_TO_MULTIPOINT,
Cost: 6,
Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5
Hello due in 00:00:18
Neighbor Count is 2, Adjacent neighbor count is 2
Adjacent with neighbor 130.10.10.2
Adjacent with neighbor 130.10.5.129
R6#sh ip ospf ne
Neighbor ID
130.10.10.2
Pri
0
State
FULL/
Dead Time
00:01:37
Address
130.10.10.2
Interface
Serial0.1
100
Partie I
130.10.5.129
R6#
Architecture de rseaux
FULL/
-00:01:53
130.10.10.1
Serial0.1
R6#sh ip ro
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route
Gateway of last resort is not set
130.10.0.0/16 is variably subnetted, 9 subnets, 3 masks
O
130.10.10.2/32 [110/64] via 130.10.10.2, 00:03:28, Serial0.1
C
130.10.10.0/24 is directly connected, Serial0.1
O
130.10.10.1/32 [110/64] via 130.10.10.1, 00:03:28, Serial0.1
O IA 130.10.0.0/22 [110/74] via 130.10.10.1, 00:03:28, Serial0.1
O
130.10.4.0/24 [110/74] via 130.10.10.2, 00:03:28, Serial0.1
C
130.10.6.0/24 is directly connected, Ethernet0
R6#sh ip ospf data router 140.10.1.1
OSPF Router with ID (140.10.1.1) (Process ID 2)
Router Link States (Area 0)
LS age: 806
Options: (No TOS-capability)
LS Type: Router Links
Link State ID: 140.10.1.1
Advertising Router: 140.10.1.1
LS Seq Number: 80000009
Checksum: 0x42C1
Length: 60
Area Border Router
Number of Links: 3
Link connected to: another Router (point-to-point)
(Link ID) Neighboring Router ID: 130.10.10.2
(Link Data) Router Interface address: 130.10.10.3
Number of TOS metrics: 0
TOS 0 Metrics: 64
Link connected to: another Router (point-to-point)
(Link ID) Neighboring Router ID: 130.10.5.129
(Link Data) Router Interface address: 130.10.10.3
Number of TOS metrics: 0
TOS 0 Metrics: 64
Link connected to: a Stub Network
(Link ID) Network/subnet number: 130.10.10.3
(Link Data) Network Mask: 255.255.255.255
Number of TOS metrics: 0
TOS 0 Metrics: 0
Chapitre 3
101
Aucune configuration nest ncessaire sur les routeurs distants, car CDP est activ par dfaut.
Avec la technologie Frame Relay, une configuration de sous-interface point--point peut tre utilise sur le nuage Frame Relay, car les routeurs distants sont configurs avec des routes statiques
pointant de lautre ct du nuage, cest--dire vers ladresse IP du routeur hub. Lorsque le circuit
virtuel permanent entre le routeur distant et le routeur hub devient inactif, la sous-interface point-point nest plus exploitable et la route statique par dfaut nest plus valide. Si une configuration
point-multipoint est utilise, linterface sur le nuage reste accessible lorsquun circuit virtuel
permanent est inactif et la route statique par dfaut reste valide.
Avantages de ODR
ODR est un mcanisme qui permet de router IP avec une surchage minimale au niveau des sites
stub. La surchage lie un protocole de routage dynamique typique est ainsi vite, sans pour
autant entraner une surchage additionnelle due la configuration et la gestion du routage statique.
ODR simplifie limplmentation de rseaux stub IP puisque les routeurs hub maintiennent dynamiquement des routes vers ces rseaux. Pour cela, il nest pas ncessaire de configurer un protocole de routage pour IP sur les routeurs stub. Avec ODR, le routeur stub annonce les prfixes IP
102
Partie I
Architecture de rseaux
correspondant aux rseaux IP configurs sur les interfaces qui lui sont directement connectes.
Comme ODR annonce les prfixes IP la place des adresses de rseau IP, il peut transporter des
informations de masques de sous-rseaux de longueur variable (VLSM).
m
ODR limite la surchage de configuration et de bande passante lie une connectivit de routage
totale. De plus, il limine le besoin de configurer un protocole de routage pour IP sur les routeurs
stub.
ODR propage les routes entre les routeurs au moyen du protocole CDP. Par consquent, ODR
est partiellement contrl par la configuration de CDP. Si CDP est dsactiv, la propagation des
informations de routage par ODR cesse.
Par dfaut, CDP envoie des mises jour toutes les 60 secondes. Cet intervalle nest parfois pas
assez court pour permettre une convergence rapide, auquel cas il faut envisager de modifier sa
valeur.
Au moment de lcriture de cet ouvrage, CDP ntait pas support sur les rseaux ATM.
Rsum
Nous avons vu dans ce chapitre que les implications de lutilisation des protocoles EIGRP et OSPF
pour la conception de rseaux IP tendus portent sur les aspects suivants :
m
topologie de rseau ;
slection de route ;
convergence ;
volutivit du rseau ;
scurit.
4
Conception de rseaux IP
tendus avec BGP
Par Atif Khan
Le protocole BGP (Border Gateway Protocol) est un protocole de routage intersystme autonome
(AS, Autonomous System). La principale fonction dun systme qui utilise ce protocole est dchanger des informations daccessibilit de rseau avec dautres systmes BGP. Ces informations
incluent la liste des systmes autonomes quelles traversent. BGP 4 fournit un ensemble de
mcanismes permettant de supporter le routage interdomaine sans distinction de classe ou CIDR
(Classless InterDomain Routing). Ces mcanismes comprennent la gestion dannonce de prfixe IP
et liminent le concept de classe de rseau au sein de BGP. BGP 4 introduit aussi des fonctionnalits qui permettent la formation dagrgats de routes, incluant les agrgats de chemins dAS. Ces
changements permettent de supporter la stratgie de super-rseau propose. Ce chapitre dcrit le
fonctionnement de BGP et la faon dont il peut tre utilis pour participer au processus de routage
avec dautres rseaux qui lexploitent galement. Les sujets suivants seront abords :
m
fonctionnement de BGP ;
attributs de BGP ;
Fonctionnement de BGP
A travers les sujets suivants, cette section prsente les informations de base relatives BGP :
m
104
Partie I
Architecture de rseaux
annonces de rseaux.
Les routeurs qui appartiennent au mme systme autonome et qui changent des mises jour BGP
excutent le protocole BGP interne (IBGP, Internal BGP) et ceux qui appartiennent des systmes
autonomes diffrents et qui changent galement des mises jour BGP excutent le protocole BGP
externe (EBGP, External BGP).
A lexception de la commande de voisin ebgp-multihop, les commandes de configuration de
EBGP et IBGP sont identiques. Ce chapitre utilise les termes EBGP et IBGP pour rappeler que,
dans un contexte particulier, les mises jour sont changes entre plusieurs AS (EBGP) ou lintrieur dun mme AS (IBGP). La Figure 4.1 prsente un rseau qui illustre la diffrence entre ces
deux protocoles.
Figure 4.1
EBGP, IBGP et
plusieurs systmes
autonomes.
AS 100
AS 300
Routeur A
Routeur D
129.213.1.2
192.208.10.1
EBGP
EBGP
129.213.11
192.208.102.
IBGP
Routeur B
175.220.212.1
Routeur C
175.220.12
AS 200
Avant dchanger des informations avec un AS externe, BGP sassure que les rseaux quil inclut sont
accessibles. Pour cela, il sappuie sur le peering des routeurs IBGP au sein de lAS et sur la redistribution des informations de routage BGP vers les protocoles de routeurs internes (IGP, Interior Gateway
Protocol) qui sexcutent au sein de lAS, tels que IGRP (Interior Gateway Routing Protocol), IS-IS
(Intermediate System-to-Intermediate System), RIP (Routing Information Protocol), et OSPF (Open
Shortest Path First).
BGP utilise TCP (Transmission Control Protocol) comme protocole de transport (plus prcisment,
le port 179). Deux routeurs ayant tabli une connexion TCP afin dchanger des informations de
Chapitre 4
105
routage sont dsigns par le terme homologues (peer) ou voisins (neighbor). Dans le cas de la
Figure 4.1, les routeurs A et B sont des homologues BGP, de mme que les routeurs B et C, ou C
et D. Les informations de routage consistent en une srie de numros de AS qui dcrivent le chemin
complet vers le rseau de destination. BGP les exploite pour construire une carte exempte de boucle
de AS. Notez que, au sein dun AS, les homologues BGP nont pas besoin dtre directement
connects.
Les homologues BGP changent au dpart leurs tables de routage BGP compltes. Ensuite, seules
les mises jour diffrentielles sont envoyes. Ils changent aussi des messages keepalive pour
vrifier lactivit des lignes ainsi que des messages de notification en rponse des erreurs ou des
conditions spciales.
NOTE
A la Figure 4.1, les routeurs A et B excutent EBGP et les routeurs B et C utilisent IBGP. Notez que les homologues EBGP sont directement connects, mais pas les homologues IBGP. Ds lors quun protocole IGP est
excut, permettant ainsi deux voisins de communiquer, les homologues IBGP nont pas besoin dtre
directement connects.
Tous les nuds supportant BGP au sein dun AS doivent tablir une relation dhomologues entre
eux, cest--dire quils doivent tre totalement maills logiquement. Pour cela, BGP 4 fournit deux
mthodes : les confdrations et les rflecteurs de routes. Pour plus dinformations sur ces sujets,
reportez-vous aux sections "Confdrations" et "Rflecteurs de routes" de ce chapitre.
LAS 200 est un systme autonome de transit pour les AS 100 et 300. Il sert en fait transfrer des
paquets entre ces deux derniers.
BGP interne (IBGP)
Le protocole IBGP est une forme de BGP qui change des mises jour BGP au sein dun AS. Au
lieu de passer par IBGP, les informations de routes recueillies via EBGP pourraient tre redistribues vers IGP dans lAS puis nouveau redistribues dans un autre AS. Mais IBGP est plus souple
et volutif et fournit davantage de mcanismes pour contrler efficacement lchange dinformations dans lAS. Il prsente aussi une vue cohrente de lAS aux voisins externes. Par exemple, il
fournit des mthodes pour contrler le point de sortie dun AS. La Figure 4.2 prsente une topologie
qui illustre le fonctionnement de ce protocole.
Lorsquun routeur BGP reoit une mise jour de la part dautres routeurs BGP de son propre AS
(cest--dire via IBGP), il utilise EBGP pour la transmettre aux routeurs BGP externes seulement.
Ce comportement de IBGP justifie la ncessit dun maillage total des routeurs BGP au sein dun
mme AS.
Par exemple, examinez la Figure 4.2. Sil nexistait pas de session IBGP entre les routeurs B et D,
le routeur A enverrait les mises jour provenant du routeur B vers le routeur E, mais pas vers le
routeur D. Pour que D reoive les mises jour en provenance de B, ce dernier doit tre configur
pour reconnatre D comme homologue BGP.
106
Partie I
Architecture de rseaux
Figure 4.2
190.10.30.1
Exemple dexploitation
de IBGP.
AS 100.....
EBGP
Routeur D
IBGP
150.10.30.1
Routeur A
190.10.50.1
Routeur B
IGBP
170.10.20.1
175.10.40.2
170.10.20.2
175.10.40.1
Routeur E
Routeur C
AS 300
170.10.0.0
AS 500
AS 400
175.10.0.0
Les interfaces de bouclage sont souvent utilises par les homologues IBGP. Lavantage de ces interfaces est quelles permettent dliminer une dpendance qui, sinon, pourrait se produire lorsque
vous employez ladresse IP dune interface physique pour configurer BGP. La Figure 4.3 illustre un
rseau dans lequel lutilisation dune interface de bouclage est avantageuse.
Figure 4.3
Interface de bouclage 0.150.212.1.1
Lemploi dinterfaces
de bouclage.
E0 192.208.102.
E1
IBGP
190.225.11.1
Routeur A
Routeur B
E3
E2
AS 100
Dans le cas de la Figure 4.3, les routeurs A et B excutent IBGP dans lAS 100. Si le routeur A
devait spcifier ladresse IP de linterface Ethernet 0, 1, 2, ou 3 dans la commande neighbor
remote-as, et que linterface en question ne soit pas disponible, le routeur A ne serait pas en mesure
dtablir une connexion TCP avec le routeur B. Au lieu de cela, A spcifie ladresse IP de linterface
de bouclage dfinie par B. Lorsque linterface de bouclage est utilise, BGP na pas besoin de
sappuyer sur la disponibilit dune interface particulire pour tablir des connexions TCP.
Chapitre 4
107
NOTE
Les interfaces de bouclage sont rarement utilises entre des homologues EBGP, car ils sont gnralement
directement connects et dpendent par consquent dune interface spcifique pour la connectivit.
Lorsque deux routeurs BGP situs dans des systmes autonomes diffrents changent des informations de routage BGP, ils utilisent EBGP.
Synchronisation
Lorsquun AS assure un service de transit pour dautres AS alors que ses routeurs ne supportent pas
BGP, le trafic de transit risque dtre ignor, si ces routeurs intermdiaires nont pas pris connaissance ditinraires praticables pour ce trafic via un protocole IGP. La rgle de synchronisation de
BGP stipule que, si un AS fournit un service de transit un autre AS, BGP ne devrait pas annoncer
de route tant que tous les routeurs au sein de lAS de transit nont pas pris connaissance de la route
via un protocole IGP. La topologie de la Figure 4.4 illustre cette rgle de synchronisation.
A la Figure 4.4, le routeur C envoie des mises jour concernant le rseau 170.10.0.0 au routeur A.
Les routeurs A et B excutent IBGP, aussi B peut recevoir des mises jour propos du rseau en
question via IBGP. Si le routeur B souhaite atteindre ce rseau, il envoie le trafic au rseau E. Si A
ne redistribuait pas les informations concernant ce rseau via un protocole IGP, le routeur E naurait
aucun moyen de connatre lexistence du rseau et ignorerait par consquent les paquets.
Figure 4.4
Rgle de
synchronisation
EBGP.
AS 100
150.10.0.0
Routeur E
IGP
Routeur A
IGP
IBGP
Routeur B
2.2.2.2
2.2.2.1
Routeur C
AS 300
170.10.0.0
Routeur D
AS 400
108
Partie I
Architecture de rseaux
Si le routeur B annonce au systme autonome 400 quil peut atteindre le rseau 170.10.0.0 avant
que le routeur E nen prenne connaissance via IGP, le trafic en provenance de D vers B destination
170.10.0.0 circulera vers E et sera ignor.
La situation est gre par la rgle de synchronisation de BGP dcrite prcdemment. Dans le cas de
notre figure, comme lAS 100 est le systme autonome de transit, le routeur B doit attendre de recevoir des informations concernant le rseau 170.10.0.0 via un IGP avant denvoyer une mise jour
au routeur D.
Dsactivation de la synchronisation
Dans certains cas, vous pourriez avoir besoin de dsactiver la synchronisation. Cette action permet
au protocole BGP de converger plus rapidement, mais peut galement entraner la perte de paquets
en transit. Vous pouvez la dsactiver dans lune des situations suivantes :
m
Les cartes de routage sont utilises avec le protocole BGP pour contrler et modifier les informations de routage et pour dfinir les conditions suivant lesquelles les routes sont redistribues entre
les domaines de routage. La configuration dune carte de routage implique la syntaxe suivante :
route-map nom-carte [[permit | deny] | [numro-squence]
Largument nom-carte est un nom qui identifie la carte de routage et largument numro-squence
indique la position quune instance de carte de routage doit avoir par rapport aux autres instances de
la mme carte, les instances tant ordonnes squentiellement. Par exemple, vous pouvez utiliser
les commandes suivantes pour dfinir une carte de routage nomme MACARTE :
route-map MACARTE permit 10
! Place du premier ensemble de conditions.
route-map MACARTE permit 20
! Place du second ensemble de conditions.
Lorsque BGP applique MACARTE aux mises jour de routage, il applique dabord la premire
instance (dans ce cas, linstance 10). Si le premier ensemble de conditions nest pas satisfait, le
deuxime est appliqu, et ainsi de suite jusqu ce quun ensemble de conditions soit satisfait ou
quil ny en ait plus appliquer.
Les commandes de configuration match et set route map servent dfinir la portion conditionnelle
de la carte. La commande match spcifie un critre pour lequel une correspondance doit tre trouve,
et la commande set spcifie une action qui doit tre excute si la mise jour de routage satisfait aux
conditions dfinies par la commande match. Voici un exemple de configuration dune carte de routage
simple :
route-map MACARTE permit 10
match ip address 1.1.1.1
set metric 5
Si une mise jour correspond ladresse 1.1.1.1, BGP dfinit la mtrique de la mise jour 5,
transmet cette dernire (en raison du mot cl permit), puis interrompt lvaluation des instances de
la liste. Comme indiqu prcdemment, le protocole BGP applique les instances les unes aprs les
Chapitre 4
109
autres jusqu ce quune action soit entreprise ou quil ny ait plus dinstances de carte de routage
appliquer. Si la mise jour ne correspond aucun critre, elle nest ni redistribue ni contrle.
Quand une mise jour satisfait une condition et que la carte de routage spcifie le mot cl deny,
BGP interrompt lvaluation de la liste dinstances et la mise jour nest ni redistribue ni contrle. La Figure 4.5 prsente une topologie qui illustre lutilisation dune carte de routage.
Figure 4.5
Exemple de carte
de routage.
3.3.3.3
RIP
Routeur A
AS 100
150.10.0.0
2.2.2.2
3.3.3.4
Routeur B
EBGP
2.2.2.3.
Routeur C
AS 300
170.10.0.0
A la Figure 4.5, 1es routeurs A et B communiquent via RIP et les routeurs A et C via BGP. Si vous
voulez que le routeur A redistribue les routes du rseau 170.10.0.0 avec une mtrique de 2, et toutes
les autres routes avec une mtrique de 5, utilisez les commandes suivantes sur le routeur A :
!Routeur A
router rip
network 3.0.0.0
network 2.0.0.0
network 150.10.0.0
passive-interface serial 0
redistribute bgp 100 route-map SETMETRIC
!
router bgp 100
neighbor 2.2.2.3 remote-as 300
network 150.10.0.0
!
route-map SETMETRIC permit 10
match ip-address 1
set metric 2
!
route-map SETMETRIC permit 20
set metric 5
!
access-list 1 permit 170.10.0.0 0.0.255.255
Lorsquune route correspond ladresse IP 170.10.0.0, elle est redistribue avec une mtrique
de 2. Lorsquil ny a pas de correspondance, sa mtrique est dfinie 5 et la route est redistribue.
110
Partie I
Architecture de rseaux
Supposez que vous vouliez dfinir 300 lattribut de communaut des mises jour sortantes
concernant le rseau 170.10.0.0 sur le routeur C. Les commandes suivantes appliquent une carte de
routage aux mises jour sortantes sur le routeur C :
!Routeur C
router bgp 300
network 170.10.0.0
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 1
set community 300
!
access-list 1 permit 0.0.0.0 255.255.255.255
La liste daccs 1 rejette toutes les mises jour pour le rseau 170.10.0.0 et les autorise pour tout
autre rseau.
Annonces de rseaux
Un rseau situ sur un systme autonome est dit originaire de ce rseau. Pour informer les autres AS
de lexistence de ses rseaux, un AS les annonce. Pour cela, BGP offre trois mthodes :
m
Cette section utilise la topologie illustre Figure 4.6 pour dmontrer de quelle faon les rseaux
originaires dun systme autonome peuvent tre annoncs.
Redistribution de routes statiques
Une faon dannoncer quun rseau ou un sous-rseau est originaire dun AS est de redistribuer les
routes statiques dans BGP. La seule diffrence entre lannonce dune route statique et celle dune
route dynamique se situe au niveau de la redistribution. Dans le cas dune route statique, BGP
dfinit lattribut dorigine des mises jour pour cette route avec la valeur Incomplete (pour plus
dinformations sur les autres valeurs qui peuvent tre assignes un attribut dorigine, reportezvous la section "Attribut dorigine" de ce chapitre). Pour configurer le routeur C de la Figure 4.6
afin dannoncer lorigine du rseau 175.220.0.0 dans BGP, utilisez les commandes suivantes :
!Routeur C
router bgp 200
neighbor 1.1.1.1 remote-as 300
redistribute static
!
ip route 175.220.0.0 0.0.255.255 null 0
La commande redistribute et le mot cl static provoquent la redistribution de toutes les routes statiques dans BGP. La commande ip route tablit une route statique pour le rseau 175.220.0.0. En thorie, la spcification de linterface null 0 entranerait la suppression dun paquet destination du rseau
175.220.0.0. Dans la pratique, il y aurait une correspondance plus spcifique pour le paquet que cette
adresse et le routeur lenverrait sur linterface approprie. La redistribution dune route statique est la
meilleure mthode pour annoncer lorigine dun rseau, car elle prvient linstabilit de route.
Chapitre 4
Figure 4.6
111
AS 300
Exemple 1 dannonce
de rseau.
Routeur D
1.1.1.1
1.1.1.2
2.2.2.2
129.213.1.0
Routeur A
AS 100
Routeur B
IBGP
175.220.0.0.
Routeur C
AS 200
NOTE
En dpit du type de route (statique ou dynamique), la commande redistribute est la seule mthode permettant dinjecter les informations de route BGP dans un IGP.
Une autre mthode permettant dannoncer des rseaux consiste redistribuer des routes dynamiques. Gnralement, vous redistribuez des routes IGP (telles que les routes EIGRP, IGRP, IS-IS,
OSPF, et RIP) dans BGP. Comme certaines des informations de routes IGP peuvent avoir t reues
de BGP, vous devez utiliser des listes daccs pour empcher la redistribution en amont vers la
source BGP. Dans le cas de la Figure 4.6, supposez que les routeurs B et C excutent IBGP, que le
routeur C prenne connaissance du rseau 129.213.1.0 via BGP et que le routeur B redistribue en
amont dans EIGRP les informations concernant le rseau 129.213.1.0. Les commandes suivantes
configurent le routeur C :
!Routeur C
router eigrp 10
network 175.220.0.0
redistribute bgp 200
redistributed connected
default-metric 1000 100 250 100 1500
!
router bgp 200
neighbor 1.1.1.1 remote-as 300
neighbor 2.2.2.2 remote-as 200
112
Partie I
Architecture de rseaux
La commande redistribute avec le mot cl eigrp redistribue les routes EIGRP pour lidentifiant de
processus 10 dans BGP (normalement, la distribution de BGP dans IGP devrait tre vite, car trop
dinformations de routes seraient injectes dans le systme autonome). La commande neighbor
distribute-list applique la liste daccs 1 aux annonces sortantes en direction du voisin dont
ladresse IP est 1.1.1.1 (cest--dire, le routeur D). La liste daccs 1 spcifie que le rseau
175.220.0.0 doit tre annonc. Tous les autres rseaux, comme celui dadresse 129.213.1.0, sont
empchs implicitement dtre annoncs. La liste daccs empche ainsi le rseau 129.213.1.0
dtre rinject en amont dans BGP comme sil provenait de lAS 200 et permet BGP dannoncer
le rseau 175.220.0.0 comme tant originaire de cet AS.
Utilisation de la commande network
Une autre mthode dannonce des rseaux consiste utiliser la commande network. Lorsquelle est
utilise avec BGP, elle spcifie les rseaux originaires du systme autonome. En comparaison,
lorsquelle est employe avec un protocole de routage interne (IGP), comme RIP, elle permet
didentifier les interfaces sur lesquelles le protocole IGP doit tre excut. Cette commande fonctionne pour les rseaux dont les informations sont acquises dynamiquement par le routeur ou qui
sont configurs sous forme de routes statiques. Lattribut dorigine des routes qui sont injectes
dans BGP au moyen de cette commande est dfini avec la valeur IGP. Les commandes suivantes
configurent le routeur C pour annoncer le rseau 175.220.0.0 :
!Routeur C
router bgp 200
neighbor 1.1.1.1 remote-as 300
network 175.220.0.0
Avec la commande network, le routeur C gnre une entre pour le rseau 175.220.0.0 dans la table
de routage BGP. La Figure 4.7 prsente une autre topologie qui illustre les effets de cette commande.
Figure 4.7
Exemple 2 dannonce
de rseau.
AS 200
160.10.0.0
AS 100
150.10.0.0
Routeur A
Routeur B
160.10.20.1
150.10.20.1
150.10.20.2
160.10.20.2
Routeur C
AS 300
170.10.0.0
Chapitre 4
113
La commande network est utilise ici pour configurer les routeurs prsents la Figure 4.7 :
!Routeur A
router bgp 100
neighbor 150.10.20.2
network 150.10.0.0
!Routeur B
router bgp 200
neighbor 160.10.20.2
network 160.10.0.0
!Routeur C
router bgp 300
neighbor 150.10.20.1
neighbor 160.10.20.1
network 170.10.0.0
remote-as 300
remote-as 300
remote-as 100
remote-as 200
Pour garantir une topologie interdomaine exempte de boucle, BGP naccepte pas les mises jour
qui proviennent de son propre AS. Par exemple, la Figure 4.7, si le routeur A gnre une mise
jour pour le rseau 150.10.0.0 avec comme origine lAS 100 et lenvoie au routeur C, celui-ci la
transmettra au routeur B avec la mme origine. Le routeur B enverra la mise jour, toujours avec
la mme origine, vers le routeur A, qui reconnatra son propre AS et lignorera.
Attributs de BGP
Lorsquun routeur BGP reoit des mises jour en provenance de plusieurs systmes autonomes qui
dcrivent diffrents chemins vers une mme destination, il doit choisir le meilleur et unique itinraire pour latteindre, puis le propager vers ses voisins. La dcision est fonde sur la valeur des attributs (comme le prochain saut, les poids administratifs, la prfrence locale, lorigine de la route et
la longueur du chemin) que la mise jour contient, ainsi que sur dautres facteurs configurables par
BGP. Cette section dcrit les attributs et les facteurs que ce protocole utilise dans son processus de
prise de dcision :
m
Chaque fois quune mise jour transite par un AS, BGP y ajoute son numro dAS. Lattribut
AS_path de la mise jour reprsente une liste des numros de tous les AS quelle a traverss pour
atteindre une destination. Un AS-SET est un ensemble mathmatique de tous les AS qui ont t
traverss. Observez cela sur le rseau illustr Figure 4.8.
114
Partie I
Architecture de rseaux
Figure 4.8
AS 200
190.10.0.0
Attribut
de cheminement
AS_path.
Routeur A
Routeur B
AS 100
170.10.0.0
Routeur C
AS 300
180.10.10.0
Cet attribut donne des informations sur lorigine de la route. Il peut prendre lune des valeurs suivantes :
m
IGP. La route se trouve au sein de lAS dorigine. Cette valeur est dfinie lorsque la commande
network est utilise pour injecter la route dans BGP. Le type dorigine IGP est reprsent par la
lettre i dans la sortie de la commande EXEC show ip bgp.
EGP. La route est apprise via le protocole de routage externe EGP. Le type dorigine EGP est
reprsent par la lettre e dans la sortie de la commande EXEC show ip bgp.
Incomplete. Lorigine de la route est inconnue ou apprise dune manire quelconque. Cette
valeur est utilise lorsquune route est redistribue dans BGP. Le type dorigine Incomplete est
reprsent par le symbole ? dans la sortie de la commande EXEC show ip bgp.
Cet attribut stipule ladresse IP du prochain saut qui sera utilis pour atteindre une destination
donne. Pour EBGP, le prochain saut est gnralement ladresse IP du voisin spcifi par la
commande neighbor remote-as, sauf lorsque le prochain saut se trouve sur un mdia multiaccs.
Dans ce cas, le prochain saut pourrait tre ladresse IP du routeur sur le mme sous-rseau. Examinez le rseau illustr Figure 4.10.
A la Figure 4.10, le routeur C annonce le rseau 170.10.0.0 au routeur A avec un attribut de
prochain saut indiquant 170.10.20.2, et le routeur A annonce le rseau 150.10.0.0 au routeur C avec
un attribut de prochain saut de 170.10.20.1.
Chapitre 4
115
Figure 4.9
AS 100
Attribut dorigine.
150.10.30.1
175.10.40.2
190.10.50.1
IBGP
Routeur A
Routeur B
170.10.20.1
EBGP
170.10.20.2
Routeur E
AS 300
170.10.0.0
Figure 4.10
AS 100
150.10.0.0
Attribut de
prochain saut.
150.10.30.1
150.10.50.1
IBGP
Routeur A
Routeur B
170.10.20.1
EBGP
170.10.20.2
Routeur C
AS 300
170.10.0.0
BGP spcifie que le prochain saut vers une destination apprise via EBGP devrait tre achemin sans
modification dans IBGP. Selon cette rgle, le routeur A annonce le rseau 170.10.0.0 au routeur B,
son homologue IBGP, avec un attribut de prochain saut spcifiant 170.10.20.2. En consquence,
116
Partie I
Architecture de rseaux
selon le routeur B, le prochain saut pour atteindre ladresse 170.10.0.0 est 170.10.20.2, au lieu de
150.10.30.1. Pour cette raison, la configuration doit sassurer que le routeur B peut atteindre
170.10.20.2 via un IGP. Sinon, le routeur B ignorera les paquets destination de 170.10.0.0, car
ladresse de lattribut de prochain saut est inaccessible.
Par exemple, si le routeur B excute IGRP, le routeur A devrait excuter IGRP sur le rseau
170.10.0.0. Si vous le souhaitez, vous avez la possibilit de dsactiver IGRP sur le lien vers le
routeur C afin que seules les mises jour BGP soient changes.
Attribut de prochain saut et mdia multiaccs
BGP pourrait dfinir diffremment la valeur de lattribut de prochain saut sur un mdia multiaccs
tel quEthernet. Considrez le rseau illustr Figure 4.11.
Dans le cas de la Figure 4.11, les routeurs C et D dans lAS 300 excutent OSPF. Le routeur C communique avec le routeur A via BGP. C peut atteindre le rseau 180.20.0.0 via 170.10.20.3. Lorsque C
envoie une mise jour BGP A concernant le rseau 180.20.0.0, il spcifie 170.10.20.3 comme
attribut de prochain saut au lieu de sa propre adresse IP (170.10.20.2). La raison en est que les
routeurs A, B et C se trouvent dans le mme sous-rseau, et il semble plus logique que A utilise D
comme prochain saut plutt que de passer par un saut supplmentaire, savoir C.
Figure 4.11
Rseau avec mdia
multiaccs.
150.10.50.1
150.10.30.1
Routeur A
Routeur B
170.10.20.1
AS 100
150.10.0.0
170.10.20.2
Routeur C
170.10.20.3
Routeur D
180.20.0.0
AS 300
A la Figure 4.12, trois rseaux sont relis par un nuage NBMA (avec accs au mdia non broadcast), tel que le Frame Relay.
Chapitre 4
Figure 4.12
117
AS 100
150.10.0.0
Attribut de prochain
saut et accs au mdia
non broadcast.
150.10.50.1
Routeur B
150.10.30.1
Routeur A
150.10.50.1
170.10.20.1
PVC
PVC
170.10.20.2
Routeur C
AS 300
170.10.20.3
Routeur D
180.20.0.0
Si les routeurs A, C et D utilisent un mdia commun tel que le Frame Relay (ou nimporte quel
nuage NBMA), C annonce 180.20.0.0 A avec 170.10.20.3 comme prochain saut, comme il le
ferait si le mdia partag tait Ethernet. Le problme est que A ne dispose pas dune connexion
virtuelle permanente (PVC, Permanent Virtual Connection) vers le routeur D et ne peut donc pas
atteindre ladresse stipule par lattribut de prochain saut, ce qui se traduit par un chec de routage.
Pour remdier cette situation, utilisez la commande neighbor next-hop-self, comme illustr dans
la configuration suivante pour le routeur C :
!Routeur C
router bgp 300
neighbor 170.10.20.1 remote-as 100
neighbor 170.10.20.1 next-hop-self
Lattribut de poids est un attribut Cisco spcial qui est utilis dans le processus de slection de
chemin lorsquil existe plus dune route vers la mme destination. Cet attribut est local au routeur
sur lequel il est assign et nest pas propag dans les mises jour de routage. Par dfaut, sa valeur
est 32768 pour les chemins provenant du rseau du routeur et zro pour les autres chemins. Les
routes de poids plus lev emportent la prfrence lorsquil y a plusieurs chemins vers la mme
destination. Considrez le rseau illustr Figure 4.13.
118
Partie I
Figure 4.13
Exemple dattribut
de poids.
Architecture de rseaux
AS 400
175.10.0.0
AS 100
170.10.0.0
Routeur A
AS 200
190.10.0.0
Routeur D
1.1.1.1.
Routeur B
2.2.2.2
175.10.0.0
175.10.0.0
Routeur C
AS 300
A la Figure 4.13, les routeurs A et B prennent connaissance du rseau 175.10.0.0 du systme autonome 400 et propagent chacun la mise jour vers le routeur C. Ce dernier dispose donc de deux
routes pour atteindre 175.10.0.0 et doit dcider de celle emprunter. Si, sur C, le poids des mises
jour en provenance de A est suprieur celui des mises jour de B, C utilisera alors A comme
prochain saut pour atteindre le rseau 175.10.0.0. Il existe trois mthodes pour dfinir lattribut de
poids pour les mises jour provenant de A :
m
liste daccs ;
carte de routage ;
Les commandes suivantes sur le routeur C utilisent des listes daccs et la valeur de lattribut AS_path
pour assigner un poids aux mises jour de route :
!Routeur C
router bgp 300
neighbor 1.1.1.1 remote-as 100
neighbor 1.1.1.1 filter-list 5 weight 2000
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 filter-list 6 weight 1000
!
ip as-path access-list 5 permit ^100$
ip as-path access-list 6 permit ^200$
Dans cet exemple, 2000 est la valeur assigne lattribut de poids des mises jour provenant du
voisin situ ladresse IP 1.1.1.1, et qui sont autorises par la liste daccs 5. Celle-ci accepte les
mises jour dont lattribut de cheminement AS_path commence par 100 (comme spcifi par le
symbole ^) et se termine par 100 (comme spcifi par le symbole $). Ces deux symboles sont
utiliss pour former des expressions rgulires. Cet exemple assigne galement la valeur 1000
lattribut de poids des mises jour transmises par le voisin situ ladresse IP 2.2.2.2, et qui sont
Chapitre 4
119
acceptes par la liste daccs 6. Celle-ci accepte les mises jour dont lattribut de cheminement
commence par 200 et se termine par 200.
Dans la pratique, cette configuration assigne la valeur 2000 lattribut de poids de toutes les mises
jour de route reues de lAS 100, et la valeur 1000 lattribut de poids de toutes les mises jour
transmises par lAS 200.
Utilisation dune carte de routage pour dfinir lattribut de poids
Les commandes suivantes sur le routeur C utilisent une carte de routage pour assigner un poids
des mises jour de routage :
!Routeur C
router bgp 300
neighbor 1.1.1.1 remote-as 100
neighbor 1.1.1.1 route-map SETWEIGHTIN in
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 route-map SETWEIGHTIN in
!
ip as-path access-list 5 permit ^100$
!
route-map SETWEIGHTIN permit 10
match as-path 5
set weight 2000
route-map SETWEIGHTIN permit 20
set weight 1000
La premire instance de la carte de routage SETWEIGHTIN assigne 2000 nimporte quelle mise
jour de routage provenant de lAS 100 et la seconde instance de la carte de routage SETWEIGHTIN
assigne 1000 aux mises jour de nimporte quel autre AS.
Utilisation de la commande neighbor weight pour dfinir lattribut de poids
remote-as 100
weight 2000
remote-as 200
weight 1000
Cette configuration dfinit un poids de 2000 pour toutes les mises jour de routage provenant de
lAS 100 et un poids de 1000 pour toutes celles provenant de lAS 200. Etant donn le poids plus
lev assign aux mises jour provenant de lAS 100, C envoie donc tout le trafic par lintermdiaire de A.
Attribut de prfrence locale (Local Preference)
Lorsquil existe plusieurs chemins vers une mme destination, lattribut de prfrence locale permet
dindiquer litinraire prfr. Le chemin comprenant la valeur de prfrence la plus haute est choisi
(la valeur par dfaut de lattribut tant 100). A la diffrence de lattribut de poids, qui nest pertinent
que pour le routeur local, lattribut de prfrence locale fait partie des informations de mises jour de
routage et est chang entre les routeurs dun mme systme autonome. Le rseau de la Figure 4.14
en illustre lemploi.
120
Partie I
Architecture de rseaux
Figure 4.14
170.10.0.0
Exemple demploi
de lattribut de
prfrence locale.
AS 300
AS 100
Routeur A
Routeur B
1.1.1.1.
3.3.3.4
1.1.1.2.
3.3.3.3
129.213.11.1
Routeur C
129.213.11.2
IBGP
Routeur D
AS 34
AS 256
A la Figure 4.14, lAS 256 reoit des mises jour de route pour le rseau 170.10.0.0 de la part des
AS 100 et 300. Il existe deux faons de dfinir lattribut de prfrence locale :
m
carte de routage.
Les configurations suivantes utilisent cette commande pour dfinir lattribut de prfrence locale
sur les routeurs C et D :
!Routeur C
router bgp 256
neighbor 1.1.1.1 remote-as 100
neighbor 128.213.11.2 remote-as 256
bgp default local-preference 150
!Routeur D
router bgp 256
neighbor 3.3.3.4 remote-as 300
neighbor 128.213.11.1 remote-as 256
bgp default local-preference 200
La configuration du routeur C assigne une prfrence locale de 150 pour toutes les mises jour
provenant de lAS 100 et la configuration du routeur D assigne une prfrence locale de 200 pour
toutes les mises jour transmises par lAS 300. Comme les informations de prfrence locale sont
changes au sein de lAS, les routeurs C et D dterminent que les mises jour concernant le rseau
170.10.0.0 possdent une valeur de prfrence locale plus intressante lorsquelles transitent par
lAS 300. Rsultat : tout le trafic dans lAS 256 destination du rseau 170.10.0.0 est envoy vers
le routeur D comme point de sortie.
Chapitre 4
121
Les cartes de routage offrent davantage de souplesse que la commande bgp default local-preference. Lorsque cette commande est utilise sur le routeur D de la Figure 4.14, lattribut de prfrence
locale de toutes les mises jour quil reoit, y compris celles provenant de lAS 34, est dfini avec
la valeur 200.
La configuration suivante utilise une carte de routage dfinissant cet attribut sur le routeur D, spcifiquement pour les donnes de routage provenant de lAS 300 :
!Routeur D
router bgp 256
neighbor 3.3.3.4 remote-as 300
route-map SETLOCALIN in
neighbor 128.213.11.1 remote-as 256
!
ip as-path 7 permit ^300$
route-map SETLOCALIN permit 10
match as-path 7
set local-preference 200
!
route-map SETLOCALIN permit 20
Avec cette configuration, nimporte quelle mise jour provenant de lAS 300 reoit une valeur de
prfrence locale de 200. Linstance 20 de la carte de routage SETLOCALIN accepte toutes les
autres routes.
Attribut de prfrence daccs AS (Multi-Exit Discriminator)
Lattribut MED (Multi-Exit Discriminator) est une indication lattention des routeurs voisins
externes concernant le chemin prfr vers un AS lorsquil prsente plusieurs points dentre. Une
valeur MED faible reoit la prfrence par rapport une valeur MED plus leve. La valeur par
dfaut de lattribut MED est 0.
NOTE
Dans la version 4 de BGP, lattribut MED est connu sous lappellation Inter-AS_Metric.
A la diffrence de lattribut de prfrence locale, lattribut MED est chang entre les AS et, une
fois arriv dans un AS, il nest pas retransmis. Lorsquune mise jour pntre dans un AS avec
une certaine valeur dattribut MED, cette dernire est utilise pour effectuer les prises de dcision
au sein de lAS. Lorsque BGP renvoie cette mise jour un autre AS, lattribut est rinitialis avec
la valeur 0.
Sauf sil est explicitement configur, le routeur dun AS compare les attributs MED des itinraires
provenant de voisins externes situs dans un mme AS. Si vous voulez forcer la comparaison des
attributs MED de voisins dAS diffrents, vous devez configurer le routeur avec la commande bgp
always-compare-med. Le rseau de la Figure 4.15 illustre lemploi de lattribut MED.
122
Partie I
Figure 4.15
Exemple demploi
de lattribut MED.
Architecture de rseaux
180.10.0.0
MED =.50
AS 100
170.10.0.0
Routeur A
4.4.4.4
3.3.3.2
AS 400
4.4.4.3
Routeur B
5.5.5.5..
2.2.2.2
180.10.0.0
MED =.120
2.2.2.1
180.10.0.0
MED =.200
5.5.5.4
3.3.3.3
Routeur C
1.1.1.1
1.1.1.2
Routeur D
AS 300
180.10.0.0
A la Figure 4.15, lAS 100 reoit des mises jour concernant le rseau 180.10.0.0 de la part des
routeurs B, C et D. C et D se trouvent dans lAS 300 et B dans lAS 400. Les commandes suivantes
permettent de configurer les routeurs A, B, C et D :
!Routeur A
router bgp 100
neighbor 2.2.2.1 remote-as 300
neighbor 3.3.3.3 remote-as 300
neighbor 4.4.4.3 remote-as 400
!Routeur B
router bgp 400
neighbor 4.4.4.4 remote-as
neighbor 4.4.4.4 route-map
neighbor 5.5.5.4 remote-as
!
route-map SETMEDOUT permit
set metric 50
!Routeur C
router bgp 300
neighbor 2.2.2.2 remote-as
neighbor 2.2.2.2 route-map
neighbor 1.1.1.2 remote-as
!
route-map SETMEDOUT permit
set metric 120
!Routeur D
router bgp 300
neighbor 3.3.3.2 remote-as
neighbor 3.3.3.2 route map
neighbor 5.5.5.5 remote-as
neighbor 1.1.1.1 remote-as
route-map SETMEDOUT permit
set metric 200
100
SETMEDOUT out
300
10
100
SETMEDOUT out
300
10
100
SETMEDOUT out
400
300
10
Chapitre 4
123
Par dfaut, BGP compare les attributs MED des routes provenant de voisins situs dans un mme
AS externe (tel que lAS 300 la Figure 4.15). Le routeur A peut comparer uniquement les attributs
MED provenant des routeurs C (120) et D (200), mme si la mise jour transmise par le routeur B
possde la valeur MED la plus faible.
Le routeur A choisira le routeur C comme meilleur chemin pour atteindre le rseau 180.10.0.0.
Pour obliger le routeur A inclure dans cette comparaison les mises jour achemines par B pour
le mme rseau, utilisez la commande bgp always-compare-med, comme dans lexemple suivant
de configuration modifie pour le routeur A :
!Routeur A
router bgp 100
neighbor 2.2.2.1 remote-as 300
neighbor 3.3.3.3 remote-as 300
neighbor 4.4.4.3 remote-as 400
bgp always-compare-med
Le routeur A choisira le routeur B comme le meilleur prochain saut pour atteindre le rseau
180.10.0.0 (en supposant que tous les autres attributs soient rests identiques).
Vous pouvez aussi dfinir lattribut MED lorsque vous configurez la redistribution de routes dans
BGP. Sur le routeur B, vous pouvez par exemple injecter dans BGP une route statique avec un attribut MED de 50, comme dans lexemple de configuration suivant :
!Routeur B
router bgp 400
redistribute static
default-metric 50
!
ip route 160.10.0.0 255.255.0.0 null 0
La configuration prcdente provoque lenvoi par le routeur B de mises jour pour le rseau 160.10.0.0
avec un attribut MED de 50.
Attribut de communaut (Community)
Lattribut de communaut reprsente un moyen de grouper des destinations (appeles communauts) auxquelles des dcisions de routage (telles que lacceptation, la prfrence et la redistribution)
peuvent tre appliques. Les cartes de routage sont utilises pour dfinir un attribut de communaut.
Le Tableau 4.1 prsente quelques communauts prdfinies.
Tableau 4.1 : Communauts prdfinies
Communaut
Signification
no-export
no-advertise
internet
Annoncer cette route la communaut Internet ; tous les routeurs sur le rseau en font partie.
124
Partie I
Architecture de rseaux
Si vous spcifiez le mot cl additive, la valeur spcifie est ajoute la valeur existante de lattribut
de communaut. Autrement, la valeur de communaut spcifie remplace toute valeur dfinie prcdemment. Pour envoyer lattribut de communaut un voisin, vous devez utiliser la commande de
neighbor send-community, comme dans lexemple suivant :
router bgp 100
neighbor 3.3.3.3 remote-as 300
neighbor 3.3.3.3 send-community
neighbor 3.3.3.3 route-map setcommunity out
Chapitre 4
125
le filtrage BGP ;
les confdrations ;
Distances administratives
Normalement, les informations de routage peuvent tre communiques par plusieurs protocoles. La
distance administrative est utilise pour faire un choix entre les routes transmises par diffrents
protocoles. Celle qui comprend la distance administrative la plus faible est place dans la table de
routage IP. Par dfaut, BGP utilise les distances administratives illustres au Tableau 4.2.
Tableau 4.2. Distances administratives de BGP
Distance
Fonction
Externe
20
Interne
200
Locale
200
NOTE
La distance na aucun effet sur lalgorithme de slection de chemin BGP, mais elle influe sur la dcision de
placer ou non les routes communiques par BGP dans la table de routage.
Filtrage BGP
Vous pouvez contrler lenvoi et la rception des mises jour au moyen des mthodes de filtrage
suivantes :
m
filtrage de prfixe ;
filtrage de communaut.
Ces mthodes conduisent toutes au mme rsultat. Le choix de la mthode approprie dpend de
votre configuration de rseau spcifique.
126
Partie I
Architecture de rseaux
Filtrage de prfixe
Limplmentation dune liste de prfixes vise amliorer lefficacit du filtrage de route (actuellement seulement avec BGP). En comparaison avec lutilisation de listes daccs (tendues), une liste
de prfixes prsente les avantages suivants :
m
une amlioration significative des performances lors du chargement et du contrle de route dans
le cas de longues listes ;
Plusieurs fonctionnalits essentielles des listes daccs sont reprises par les listes de prfixes :
m
Toutefois, les listes de prfixes ne supportent pas lutilisation de masques non contigus.
La syntaxe complte pour configurer une liste de prfixes est la suivante :
ip prefix-list [seq] deny|permit prfixe le|ge valeur
La commande suivante peut tre utilise pour supprimer une liste de prfixes :
no ip prefix-list
Largument seq est optionnel et peut servir spcifier le numro de squence dune entre dans une
liste de prfixes.
Par dfaut, les entres dune liste de prfixes reoivent successivement les valeurs 5, 10, 15, etc.,
comme numros de squence. Si aucune valeur de squence nest spcifie, lentre reoit un
numro gal (Max_Actuel + 5).
Si un prfixe donn correspond plusieurs entres dans une liste de prfixes, celle possdant le
numro de squence le plus faible est considre comme correspondante.
Les instructions deny ou permit spcifient laction excuter lorsquune correspondance est trouve.
Plusieurs stratgies (correspondance exacte ou de plage) avec diffrents numros de squence
peuvent tre configures pour un mme prfixe.
Lattribut ge signifie suprieur ou gal et le signifie infrieur ou gal . Ces deux attributs sont
optionnels et peuvent tre utiliss pour spcifier la plage de prfixes value pour trouver une
correspondance. En labsence de ces attributs, une correspondance exacte est prsume.
La plage est cense stendre de ge valeur 32, mais seulement si lattribut ge est spcifi. La plage
est cense stendre de longueur le valeur, mais seulement si lattribut le est spcifi.
A linstar des listes daccs, une liste de prfixes se termine par une instruction implicite de rejet de
tout le trafic.
Voici deux exemples de configuration pour une correspondance de prfixe exacte :
ip prefix-list aaa deny 0.0.0.0/0
ip prefix-list aaa permit 35.0.0.0/8
Chapitre 4
127
La liste suivante prsente des commandes de configuration pour une correspondance de plages de
prfixes :
Dans 192/8, accepter jusqu /24 :
ip prefix-list aaa permit 192.0.0.0/8 le 24
Accepter tout :
ip prefix-list aaa permit 0.0.0.0/0 le 32
Les mises jour incrmentielles sont supportes par les listes de prfixes. Contrairement aux listes
daccs normales dans lesquelles la commande no efface la liste complte, une liste de prfixes peut
tre progressivement modifie. Par exemple, pour adapter la liste de prfixes du routeur A pour le
routeur B, il suffit de changer les points de divergence :
Depuis A :
ip
ip
ip
ip
prefix-list
prefix-list
prefix-list
prefix-list
aaa
aaa
aaa
aaa
deny 0.0.0.0/0 le 7
deny 0.0.0.0/0 ge 25
permit 35.0.0.0/8
permit 204.70.0.0/15
prefix-list
prefix-list
prefix-list
prefix-list
aaa
aaa
aaa
aaa
deny 0.0.0.0/0 le 7
deny 0.0.0.0/0 ge 25
permit 35.0.0.0/8
permit 198.0.0.0/8
Vers B :
ip
ip
ip
ip
Vous pouvez spcifier une liste daccs pour les mises jour entrantes et sortantes base sur la
valeur de lattribut AS_path. Le rseau de la Figure 4.16 illustre lutilit dun tel filtre :
!Routeur C
neighbor 3.3.3.3 remote-as 200
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 filter-list 1 out
!
ip as-path access-list 1 deny ^200$
ip as-path access-list 1 permit .*
128
Partie I
Architecture de rseaux
Figure 4.16
Filtrage dattribut
AS_path.
AS 200
160.10.0.0
AS 100
150.10.0.0
AS 400
Routeur A
Routeur B
3.3.3.3
2.2.2.2.
160.10.0.0
160.10.0.0
3.3.3.1
2.2.2.1
Routeur C
AS 300
170.10.0.0
Dans cet exemple, la liste daccs 1 rejette toutes les mises jour dont lattribut AS_path commence
par 200 (comme spcifi par le symbole ^) et se termine par 200 (comme spcifi par le symbole $).
Comme le routeur B envoie des mises jour concernant le rseau 160.10.0.0 dont les attributs
AS_path correspondent aux valeurs stipules dans la liste daccs, elles seront dtectes et rejetes.
En spcifiant que la mise jour doit aussi se terminer par 200, la liste daccs autorise les mises
jour de lAS 400 (dont lattribut AS_path est 200,400). Si elle spcifiait ^200 comme expression,
les informations de lAS 400 seraient aussi rejetes.
Dans la seconde instruction de la liste daccs, le point (.) dsigne nimporte quel caractre et
lastrisque (*) signifie une rptition de ce caractre. Combins (.*), ces caractres correspondent
nimporte quelle valeur de lattribut AS_path qui, en pratique, autorise toute mise jour qui
naura pas t rejete par linstruction prcdente de la liste daccs. Si vous voulez vrifier que vos
expressions fonctionnent comme prvu, utilisez la commande EXEC suivante :
show ip bgp regexp expression-rgulire
Le routeur affiche tous les chemins qui correspondent lexpression rgulire spcifie.
Filtrage par carte de routage
La commande neighbor route-map peut tre utilise pour appliquer une carte de routage aux informations de mise jour entrantes et sortantes. Le rseau de la Figure 4.17 illustre lutilisation des
cartes de routage pour filtrer les mises jour BGP.
A la Figure 4.17, supposez que vous vouliez que le routeur C prenne connaissance des rseaux qui
sont locaux par rapport lAS 200 seulement : autrement dit, vous ne voulez pas quil recueille des
informations sur les AS 100, 400 ou 600 de la part de lAS 200. De plus, vous voudriez dfinir un
attribut de poids 20 pour les routes pour lesquelles le routeur C accepte des informations de la part
de lAS 200.
Chapitre 4
129
Figure 4.17
Filtrage BGP par cartes
de routage.
AS 600
190.10.0.0
AS 400
AS 200
160.10.0.0
AS 100
150.10.0.0
Routeur A
Routeur B
3.3.3.3
2.2.2.2.
3.3.3.1
2.2.2.1
Routeur C
AS 300
170.10.0.0
Dans la configuration prcdente, la liste daccs 1 autorise toutes les mises jour dont lattribut
AS_path commence par 200 et se termine par 200 (cest--dire quelle autorise les mises jour
provenant de lAS 200). Lattribut de poids des mises jour autorises est dfini avec la valeur 20.
Toutes les autres informations de routage sont rejetes et supprimes.
Filtrage de communaut
130
Partie I
Figure 4.18
Filtrage de
communaut.
Architecture de rseaux
AS 200
160.10.0.0
AS 100
150.10.0.0
Routeur A
Routeur B
3.3.3.3
2.2.2.2.
2.2.2.1
3.3.3.1
Routeur C
AS 300
170.10.0.0
Vous pourriez raliser cela en dfinissant lattribut de communaut des mises jour que C reoit
de B, comme dans la configuration suivante pour le routeur B :
!Routeur B
router bgp 200
network 160.10.0.0
neighbor 3.3.3.1 remote-as 300
neighbor 3.3.3.1 send-community
neighbor 3.3.3.1 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 1
set community no-export
!
route-map SETCOMMUNITY permit 20
!
access list 1 permit 0.0.0.0 255.255.255.255
Pour les routes qui sont envoyes au voisin situ ladresse IP 3.3.3.1 (routeur C), le routeur B
applique la carte de routage nomme SETCOMMUNITY. Cette carte spcifie une valeur dattribut
de communaut no-export (au moyen de la liste daccs 1) pour toutes les mises jour destination de 3.3.3.1. La commande neighbor send-community est ncessaire pour inclure lattribut de
communaut dans les mises jour envoyes au voisin situ ladresse IP 3.3.3.1. Lorsque C reoit
des mises jour de routage de la part de B, il ne les propage pas vers A, car la valeur de lattribut de
communaut est no-export.
Une autre mthode de filtrage des mises jour base sur la valeur de lattribut de communaut
consiste utiliser la commande de configuration globale ip community-list. Supposez que le
routeur B ait t configur de la manire suivante :
!Routeur B
router bgp 200
Chapitre 4
131
network 160.10.0.0
neighbor 3.3.3.1 remote-as 300
neighbor 3.3.3.1 send-community
neighbor 3.3.3.1 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 2
set community 100 200 additive
route-map SETCOMMUNITY permit 20
!
access list 2 permit 0.0.0.0 255.255.255.255
Dans la configuration prcdente, toutes les routes dont lattribut de communaut est gal 100
correspondent la liste daccs 1 et reoivent 20 comme valeur de poids. Toutes celles dont la
valeur de communaut nest que de 200 (en raison du mot cl exact) correspondent la liste
daccs 2 et reoivent la valeur 10 comme attribut de poids. Dans la liste daccs de la dernire
communaut (liste 3), lemploi du mot cl internet autorise toutes les autres mises jour sans
modifier de valeur dattribut. Ce mot cl spcifie toutes les routes, car elles sont toutes membres de
la communaut Internet.
Groupes dhomologues BGP
Un groupe dhomologues BGP (peer group) est un groupe de voisins BGP qui partagent les mmes
stratgies de mises jour. Celles-ci sont gnralement dfinies au moyen de cartes de routage, de
listes de distributions et de listes de filtres. Au lieu de dfinir les mmes rgles pour chaque voisin,
il suffit de dfinir un nom de groupe dhomologues et dassigner des rgles ce groupe.
132
Partie I
Architecture de rseaux
Les membres dun groupe dhomologues hritent de toutes les options de configuration dfinies
pour le groupe, mais ils peuvent aussi tre configurs pour redfinir les options qui naffectent pas
les mises jour sortantes. Autrement dit, vous pouvez redfinir les options qui sont configures
uniquement pour les informations entrantes. Lemploi des groupes dhomologues BGP est illustr
la Figure 4.19.
Figure 4.19
Groupes
dhomologues BGP.
AS 100
150.10.0.0
AS 200
AS 600
Routeur A
Routeur H
Routeur B
1.1.1.2
4.4.4.2
2.2.2.2
3.3.3.2
2.2.2.1
Routeur E
1.1.1.1
5.5.5.2
Routeur C
Routeur F
5.5.5.1
6.6.6.1
6.6.6.2 Routeur G
AS 300
170.10.0.0
Les commandes suivantes configurent un groupe dhomologues BGP nomm INTERNALMAP sur
le routeur C et lappliquent aux autres routeurs dans lAS 300 :
!Routeur C
router bgp 300
neighbor INTERNALMAP peer-group
neighbor INTERNALMAP remote-as 300
neighbor INTERNALMAP route-map INTERNAL out
neighbor INTERNALMAP filter-list 1 out
neighbor INTERNALMAP filter-list 2 in
neighbor 5.5.5.2 peer-group INTERNALMAP
neighbor 6.6.6.2 peer-group INTERNALMAP
neighbor 3.3.3.2 peer-group INTERNALMAP
neighbor 3.3.3.2 filter-list 3 in
La configuration prcdente dfinit les stratgies suivantes pour le groupe dhomologues INTERNALMAP :
Une carte de routage nomme INTERNALMAP
Une liste de filtrage pour les mises jour sortantes (filter-list 1)
Une liste de filtrage pour les mises jour entrantes (filter-list 2)
La configuration applique le groupe dhomologues tous les voisins internes, cest--dire aux
routeurs E, F, et G. Elle dfinit aussi une liste de filtrage pour les mises jour entrantes reues du
voisin ladresse IP 3.3.3.2, le routeur E. Cette liste peut tre uniquement utilise pour redfinir les
options qui affectent les mises jour entrantes.
Chapitre 4
133
Dans la configuration prcdente, les commandes neighbor remote-as sont places en dehors des
commandes neighbor peer-group, car diffrents AS externes doivent tre dfinis. Notez galement
que cette configuration dfinit la liste de filtrage 3, qui peut tre utilise pour redfinir les options de
configuration pour les mises jour entrantes de la part du voisin ladresse IP 1.1.1.2 (routeur B).
CIDR et agrgats dadresses
BGP4 supporte le routage interdomaine sans classe (CIDR, Classless InterDomain Routing). La
fonctionnalit CIDR est une nouvelle approche de ladressage IP qui limine le concept de classe
(Classe A, Classe B, etc.). Par exemple, le rseau 192.213.0.0, qui reprsente une adresse de rseau
de Classe C illgale, est un super-rseau lgal lorsque cette adresse est exprime en notation CIDR
192.213.0.0/16. Le /16 indique que le masque de sous-rseau se compose de 16 bits (en comptant
partir de la gauche). Par consquent, 192.213.0.0/16 est semblable 192.213.0.0 255.255.0.0.
CIDR facilite la formation dagrgats de routes. Lagrgation est un processus qui combine
plusieurs itinraires diffrents de faon pouvoir les annoncer en une seule route, ce qui rduit la
taille des tables de routage. Examinez le rseau illustr Figure 4.20.
Figure 4.20
Exemple de formation
dagrgat.
AS 200
160.1.10.0
AS 100
150.10.0.0
Routeur A
2.2.2.2.
Routeur B
160.10.0.0
160.0.0.0
3.3.3.3
3.3.3.1
2.2.2.1
Routeur C
AS 300
160.10.0.0
134
Partie I
Architecture de rseaux
A la Figure 4.20, le routeur B dans lAS 200 annonce le rseau 160.11.0.0 au routeur C dans lAS
300. Pour configurer le routeur C afin quil propage lagrgat dadresse 160.0.0.0 vers le routeur A,
utilisez les commandes suivantes :
!Routeur C
router bgp 300
neighbor 3.3.3.3 remote-as 200
neighbor 2.2.2.2 remote-as 100
network 160.10.0.0
aggregate-address 160.0.0.0 255.0.0.0
Cette commande transmet le prfixe (160.0.0.0/8) et supprime toutes les routes plus spcifiques que
le routeur peut avoir dans sa table de routage BGP. Si vous voulez liminer des routes spcifiques
lors de la formation dagrgats de routes, vous pouvez dfinir une carte de routage et lappliquer
un agrgat. Par exemple, si vous voulez que le routeur C de la Figure 4.20 forme un agrgat
160.0.0.0 et supprime la route 160.20.0.0, mais propage la route 160.10.0.0, utilisez les commandes
suivantes :
!Routeur C
router bgp 300
neighbor 3.3.3.3 remote-as 200
neighbor 2.2.2.2 remote-as 100
network 160.10.0.0
aggregate-address 160.0.0.0 255.0.0.0 suppress-map CHECK
!
route-map CHECK permit 10
match ip address 1
!
access-list 1 deny 160.20.0.0 0.0.255.255
access-list 1 permit 0.0.0.0 255.255.255.255
Si vous souhaitez que le routeur dfinisse la valeur dun attribut lorsquil distribue lagrgat de
routes, utilisez une carte dattribut comme lillustrent les instructions suivantes :
route-map SETORIGIN permit 10
set origin igp
!
aggregate-address 160.0.0.0 255.0.0.0 attribute-map SETORIGIN
NOTE
Lorsque des agrgats sont gnrs partir de routes plus spcifiques, leurs attributs AS_path sont combins
pour former un ensemble appel AS-SET. Il est utile pour prvenir les boucles de routage.
Confdrations
Une confdration est une technique permettant de rduire un maillage IBGP au sein dun AS.
Examinez le rseau illustr Figure 4.21.
Chapitre 4
135
LAS 500 consiste en neuf routeurs BGP (bien quil puisse y en avoir dautres non configurs pour
BGP). En labsence de confdration, BGP exigerait que les routeurs de lAS 500 soient totalement
maills. Ce qui signifie que chaque routeur devrait communiquer avec les huit autres via IBGP, tre
connect un AS externe et excuter EBGP. Ce qui donnerait un total de neuf homologues pour
chaque routeur.
Figure 4.21
AS 100
Exemple de
confdrations.
AS 600
Routeur A
5.5.5.5
6.6.6.6
ASG 5070
5.5.5.4
129.210.1.1.1
Routeur C
129.213.301
ASG 5050
Routeur D
135.212.14.1
ASG 5060
129.213.10.1
129.210.302
129.213.20.1
AS 500
Les confdrations rduisent le nombre dhomologues au sein dun AS, comme le montre la
Figure 4.21. Elles servent diviser un AS en plusieurs mini-AS et assigner ces derniers une
confdration. Chaque mini-AS est totalement maill et ses membres utilisent IBGP pour communiquer entre eux. Tous les mini-AS possdent une connexion vers les autres mini-AS dans le cadre
de la confdration. Mme si ces mini-AS comprennent des homologues EBGP relis des AS au
sein mme de la confdration, ils changent des mises jour de routage comme sils utilisaient
IBGP. Autrement dit, les informations dattributs de prochain saut, MED et de prfrence locale
sont prserves. Pour le monde extrieur, la confdration apparat comme un seul AS. Les
commandes suivantes configurent le routeur C :
!Routeur C
router bgp 65050
bgp confederation identifier 500
bgp confederation peers 65060 65070
neighbor 128.213.10.1 remote-as 65050
136
Partie I
neighbor
neighbor
neighbor
neighbor
Architecture de rseaux
La commande router bgp spcifie que le routeur D appartient lAS 65060. La commande bgp
confederation identifier indique que le routeur D appartient la confdration 500.
La premire commande neighbor remote-as tablit une connexion IBGP vers lautre routeur au
sein de lAS 65060. Les deux commandes neighbor remote-as suivantes tablissent les connexions
BGP avec les homologues 65050 et 65070. La dernire commande neighbor remote-as tablit une
connexion EBGP avec lAS 600. Les commandes suivantes configurent le routeur A :
!Routeur A
router bgp 100
neighbor 5.5.5.4 remote-as 500
La commande neighbor remote-as tablit une connexion EBGP avec le routeur C. Le routeur A
na pas connaissance des AS 65050, 65060, et 65070 et ne connat que lAS 500.
Rflecteurs de route
Les rflecteurs de route (route reflector) reprsentent une autre solution permettant de limiter le
peering de routeurs IBGP dans un systme autonome. Comme dcrit plus haut la section
"Synchronisation", un routeur BGP ne fait pas lannonce dune route vers un routeur IBGP sil en a
pris connaissance par lintermdiaire dun autre routeur IBGP. Les rflecteurs de route attnuent
cette limitation et autorisent un routeur annoncer (reflter) les routes reues via IBGP vers
dautres routeurs IBGP, rduisant du mme coup le nombre dhomologues IBGP au sein dun AS.
La Figure 4.22 illustre le fonctionnement des rflecteurs de route.
En labsence de rflecteur de route, le rseau de cette figure ncessiterait un rseau IBGP totalement
maill : le routeur A devrait aussi tre homologue du routeur B. Si le routeur C est configur en tant
que rflecteur de route, le peering IBGP entre A et B nest pas ncessaire, car C refltera vers B les
mises jour reues de la part de A.
Chapitre 4
137
Figure 4.22
Exemple de rflecteur
de route.
AS 100
Routeur C
Routeur A
Rflecteur de route
1.1.1.1
2.2.2.2
Routeur B
remote-as 100
route-reflector-client
remote-as 100
route-reflector-client
138
Partie I
Architecture de rseaux
La fonctionnalit de contrle dinstabilit de route (Route Flap Dampening), introduite avec Cisco
IOS 11.0, est un mcanisme qui permet de rduire les variations du rseau provoques par une ligne
instable. Les termes suivants sont utiliss pour dcrire le contrle dinstabilit :
m
Penalty (pnalit). Une valeur numrique qui est assigne une route instable.
Half-life time (demi-dure de vie). Une valeur numrique configurable qui spcifie le temps
ncessaire pour rduire la pnalit de moiti.
Suppress limit (limite de suppression). Une valeur numrique qui est compare avec celle de
pnalit. Si celle de pnalit est suprieure la limite de suppression, la route est supprime.
Suppressed (supprime). Une route qui ne fait pas lobjet dune annonce, mme si elle est
active. Une route est supprime si la pnalit est suprieure la limite de suppression.
Reuse limit (limite de rutilisation). Une valeur numrique configurable qui est compare avec
celle de pnalit. Si celle de pnalit est infrieure la limite de rutilisation, une route supprime active est replace en activit.
History entry (entre dhistorique). Une entre qui est utilise pour stocker des informations
dinstabilit sur une route inutilisable.
Une route qui est instable reoit une pnalit de 1000 pour chaque variation dtat. Lorsque la pnalit cumule atteint une limite configurable, BGP nen fait plus lannonce, mme si elle est active.
La pnalit cumule est diminue par la valeur du paramtre Half-life time. Lorsque la pnalit
cumule est infrieure la limite de rutilisation, la route est nouveau annonce (si elle est
toujours active).
Rsum
La fonction principale dun systme BGP est dautoriser lchange dinformations daccessibilit
avec dautres systmes BGP. Ces informations sont utilises pour laborer une reprsentation de la
connectivit de systme autonome (SA) partir de laquelle les boucles sont limines et permettent
lapplication des dcisions stratgiques au niveau SA. BGP fournit un certain nombre de techniques
pour contrler le flux des mises jour, telles que le filtrage de route ou de communaut. Il offre
aussi des fonctionnalits de regroupement dinformations de routage telles que les agrgats dadresses CIDR, les confdrations et les rflecteurs de route. BGP est un outil puissant de routage interdomaine permettant dviter les boucles au sein dun AS ou entre plusieurs AS.
5
Conception de rseaux ATM
Par Ron McCarty
Ce chapitre dcrit la technologie ATM (Asynchronous Transfer Mode, mode de transfert asynchrone) actuelle sur laquelle les concepteurs peuvent sappuyer pour construire leurs rseaux, mais
aborde galement son futur. Il couvre aussi les considrations dimplmentation pour une exploitation optimale des produits Cisco lors du dploiement de solutions ATM dans des environnements
LAN et WAN existants.
Prsentation dATM
ATM est une technologie arrive maturit, mais nanmoins en constante volution, conue pour
assurer un transport rentable de la voix, de la vido et des donnes sur des rseaux publics et privs.
Elle est le rsultat des travaux du groupe dtude XVIII de lUIT-T (Union internationale des tlcommunications, section normalisation), anciennement CCITT (Consultative Committee for International Telegraph and Telephone, Comit consultatif international pour la tlgraphie et la
tlphonie) et de lANSI (American National Standards Institute, Institut national de standards
amricain), visant appliquer la technologie VLSI (Very Large Scale Integration, intgration trs
grande chelle) au transfert de donnes sur les rseaux publics.
Les efforts actuels pour porter ATM vers les rseaux privs et favoriser une interoprabilit entre
ces rseaux et les rseaux publics sont luvre du Forum ATM, fond conjointement par Cisco
Systems, NET/ADAPTIVE, Northern Telecom et Sprint, en 1991. Le Forum ATM compte actuellement plus de 600 organisations membres uvrant pour la promotion de cette technologie et de solutions adaptes. Parmi ses membres figurent des fabricants de systmes dexploitation de rseau, des
140
Partie I
Architecture de rseaux
adressage ATM ;
mdias ATM ;
rseaux multiservice.
Chapitre 5
141
De mme que le modle de rfrence OSI (Open System Interconnection, interconnexion de systmes
ouverts) dcrit comment deux ordinateurs communiquent par lintermdiaire dun rseau, le modle
de protocole ATM dcrit de quelle faon deux systmes terminaux communiquent par lintermdiaire de
commutateurs ATM. Ce modle se compose des trois couches fonctionnelles suivantes :
m
couche ATM ;
Comme lillustre la Figure 5.1, ces trois couches correspondent approximativement la couche 1 et
une partie de la couche 2 (par exemple le contrle derreur et la dlimitation des trames de
donnes) du modle de rfrence OSI.
Figure 5.1
Application
Rseau
Couches
d'adaptation ATM
Liaison de
donnes
Couche ATM
Couche physique
ATM
Couches
ATM
Physique
Couches OSI
Couche physique
La couche physique ATM contrle la transmission et la rception des bits sur le mdia physique.
Elle se charge galement du suivi des limites des cellules ATM et les empaquette dans le type de
trame appropri pour le support physique utilis. Cette couche se dcompose en deux parties :
m
142
Partie I
Architecture de rseaux
inclut uniquement des fonctions dpendantes du mdia physique, sa spcification dpend donc du
support physique utilis. Parmi les standards qui transportent les cellules ATM figurent le cblage
en cuivre de catgorie 5, SONET/SDH (Synchronous Optical Network/Synchronous Digital Hierarchy),
DS-3/E3, la fibre locale 100 Mbit/s (FDDI, Fiber Distributed Data Interface) et la fibre locale
155 Mbit/s (Fiber Channel).
Sous-couche de convergence de transmission
La sous-couche de convergence de transmission est responsable des fonctions suivantes :
m
Dcouplage de dbit de cellules. Insre ou supprime des cellules idle (non assignes) pour
adapter le dbit des cellules valides la capacit accepte par le systme de transmission.
Adaptation de trames de transmission. Empaquette les cellules dans des trames acceptables
pour limplmentation spcifique de la couche physique.
Couche ATM
La couche ATM tablit des connexions virtuelles et transmet les cellules par lintermdiaire du
rseau ATM. Pour cela, elle utilise les informations contenues dans len-tte de chaque cellule. Cette
couche est responsable de lexcution des fonctions suivantes :
m
Multiplexage et dmultiplexage des cellules de diffrentes connexions virtuelles, celles-ci tant identifies par les valeurs des champs VCI (Virtual Channel Identifier) et VPI (Virtual Path Identifier).
Identification des cellules afin de dterminer leur type et leur niveau de priorit.
Cette couche est complexe pour les concepteurs de rseau habitus dautres principes essentiels
de gestion de rseau. Cette complexit provient de problmes de qualit de service gnralement
rencontrs avec les commutateurs de tlcommunication uniquement, et a tendance saccentuer en
raison du niveau de granularit ncessaire pour supporter les diffrents besoins QoS (allant des plus
stricts une absence de qualit de service).
La qualit de service est fonde sur des paramtres de performances initialement dfinis par le
Forum ATM. Les paramtres suivants peuvent tre ngocis durant linitialisation de session :
m
peak-to-peak CDV (peak-to-peak Cell Delay Variation, cart de dlais de transfert de cellules
entre pointes). La diffrence entre le dlai de transfert de cellules le plus lev et le plus faible.
Le plus faible est reprsent par une valeur prdfinie base sur une probabilit.
Chapitre 5
143
CLR (Cell Loss Ratio, pourcentage de perte de cellules). Le pourcentage de perte de cellules
sur le total des cellules. Un paramtre CLR peut tre ngoci pour chaque classe de cellules (priorit leve ou faible) ou pour toutes les cellules.
Outre ces paramtres ngociables, il en existe dautres, fonds sur des donnes statistiques, et non
ngociables :
m
CER (Cell Error Ratio, pourcentage derreurs de cellules). Le pourcentage derreurs de cellules sur le total de cellules.
CMR (Cell Misinsertion Rate, pourcentage derreurs dinsertion de cellules). Le pourcentage de cellules mal insres. Il sagit du nombre de cellules reues, mais qui auraient d tre
transmises un autre quipement ATM.
SECBR (Severely Errored Cell Block Ratio, pourcentage de blocs de cellules trs altrs). Le
pourcentage de blocs de cellules qui contiennent de nombreuses erreurs sur le total des blocs de
cellules.
La couche dadaptation ATM, ou couche AAL (ATM Adaptation Layer), est responsable de la
segmentation et du rassemblage des donnes de couche suprieure. Elle doit fournir une charge
utile de 48 octets la couche ATM. Elle assure galement des services spcifiques pour les couches
suprieures. LUIT-T recommande quatre classes de services : Classe A, Classe B, Classe C et
Classe D. Ces classes se basent sur les caractristiques de la session demande :
m
Classe A. Session oriente connexion, avec dbit constant, sensible aux dlai et au temps.
Classe B. Session oriente connexion, avec dbit variable, sensible aux dlais et au temps.
Classe C. Session oriente connexion, avec dbit variable, non sensible aux dlais et au temps.
Classe D. Session sans connexion, avec dbit variable, non sensible aux dlais et au temps.
Pour implmenter ces quatre types de services, quatre couches AAL (protocoles) ont t spcifies.
Le Tableau 5.1 rsume les caractristiques de chacune.
Tableau 5.1 : Couches dadaptation ATM
Caractristiques
AAL1
AAL2
AAL3/4
AAL5
Requiert la synchronisation
entre la source et la destination
Oui
Oui
Non
Non
Dbit de donnes
Constant
Variable
Variable
Variable
Mode de connexion
Orient
Orient
Orient
Orient
Types de trafic
Voix et mulation
de circuit
Voix
(qualit tlphone)
Donnes
Donnes
144
Partie I
Architecture de rseaux
AAL1
La couche AAL1 convient pour transporter le trafic tlphonique et vido non compress. Comme
elle ncessite une synchronisation entre la source et la destination, elle est dpendante dun mdia
qui supporte la temporisation, tel que SONET. Le rtablissement de la synchronisation est ralis
par le rcepteur, au moyen du bit correspondant de len-tte.
AAL1 utilise les bits de la charge utile pour dfinir des champs supplmentaires. Les donnes de la
charge utile consistent en un chantillon synchrone (par exemple, un octet de donnes gnr un
taux dchantillonnage de 125 microsecondes), un champ de numro de squence (SN, Sequence
Number) et des champs de protection de numro de squence (SNP, Sequence Number Protection)
qui fournissent les informations ncessaires la couche AAL1 de destination, afin deffectuer un
rassemblage correct des donnes. Un contrle de redondance cyclique (CRC, Cyclic Redondancy
Check) sur 3 bits assure galement la dtection derreur et la rcupration.
AAL2
La couche AAL2 offre des services pour des applications faible dbit et sensibles aux dlais, telles
que des services de voix avec qualit tlphone. Puisque les paquets sont de longueur variable avec
ces types dapplications, les sous-couches de contrle LLC (Logical Link Control) ont t conues
pour fournir des connexions virtuelles point--point qui utilisent le champ LLC et le champ de
longueur afin dassembler les paquets de longueur variable de plus petite taille en des cellules ATM.
AAL3/4
La couche AAL3/4 est ddie aux fournisseurs de services de rseau et saligne troitement sur les
caractristiques de SMDS (Switched Multimegabit Data Service, service de donnes multimgabit
commut). Elle est utilise pour transmettre des paquets SMDS sur un rseau ATM. Cette couche
utilise quatre identifiants de champs :
m
Numro de squence. Dtermine lordre dans lequel les cellules devraient tre rassembles.
Chapitre 5
Figure 5.2
145
Trame
Sous-couche de
convergence
PDU CS
PDU SAR
PDU SAR
Sous-couche SAR
PDU SAR
PDU SAR
Cellule ATM En-tte
Donnes
Donnes
Figure 5.3
Prparation
dune cellule par
la couche AAL5.
Trame
Trame de
donnes
Sous-couche
de convergence
PDU CS
PDU SAR
AAL5
PDU SAR
Sous-couche SAR
PDU SAR
PDU SAR
Cellule
ATM
Couche
ATM
Donnes
Cellule
ATM
Donnes
Cellule
ATM
Donnes
Cellule
ATM
Donnes
146
Partie I
Architecture de rseaux
Dans la dernire cellule, le champ PT est mis 1. Lorsque la cellule arrive destination, la couche
ATM extrait le champ de donnes de la cellule, la sous-couche SAR (Segmentation And Reassembly) rassemble la PDU CS, puis la sous-couche CS utilise les champs CRC et de longueur afin de
vrifier que la trame a t transmise et rassemble correctement.
La couche AAL5 est la couche dadaptation utilise pour transfrer la plupart des donnes non
SMDS, comme dans le cas de IP sur ATM et de lmulation LAN (LANE).
Adressage ATM
Ladressage ATM utilise la couche ATM. A linverse dun nud IP, cet adressage requiert que le
nud dextrmit ATM connaisse le chemin complet vers la destination, ce qui vite la surcharge
associe aux dcisions de routage en cours de transmission. Toutefois, les quipements ATM, ou
tout au moins les commutateurs ATM de frontire (edge switch), doivent assurer un adressage logique de niveau 3.
Plusieurs formats dadresses ATM ont t dvelopps. Les rseaux ATM publics utilisent gnralement des adresses E.164, qui sont aussi utilises par les rseaux RNIS bande troite.
La Figure 5.4 illustre le format des adresses ATM de rseau priv. Les trois formats sont DCC (Data
Country Code, code de pays), ICD (International Code Designator, dsignation de code international)
et des adresses E.164 encapsules NSAP (Network Service Access Point, point daccs au service de
rseau).
Figure 5.4
Formats dadresses
ATM.
20 octets
AFI
Format d'adresse DCC (39) DCC DFI
AFI
Format d'adresse ICD (47) ICD
AFI
(45)
DFI
AA
Rserv
RD Zone
ESI
Sel
AA
Rserv
RD Zone
ESI
Sel
RD Zone
ESI
Sel
E.164
AFI (Authority and Format Identifier). Un octet pour lidentifiant dautorit et de format. Ce
champ identifie le type dadresse. Les valeurs dfinies sont 45, 47 et 39, respectivement pour les
adresses E.164, ICD, et DCC.
DCC (Data Country Code). Deux octets pour les donnes de code pays.
DFI (DSP Format Identifier). Un octet pour lidentifiant de format DSP (Domain Specific Part,
partie spcifique de domaine).
Chapitre 5
147
ESI (End-System Identifier). Six octets pour lidentifiant de systme terminal, ce qui reprsente
une adresse MAC (Media Access Control, contrle daccs au mdia) IEEE 802.
ICD (International Code Designator). Deux octets pour la dsignation de code international.
Les formats dadresse ATM sont bass sur les adresses ISO NSAP, mais identifient les adresses
SNPA (Subnetwork Point of Attachment, point dattachement de sous-rseau). Lincorporation de
ladresse MAC dans ladresse ATM facilite la mise en correspondance des adresses ATM avec les
rseaux LAN existants.
Mdias ATM
Le Forum ATM a dfini plusieurs standards pour encoder ATM sur divers types de mdias. Le
Tableau 5.2 fournit le type de dlimitation de trames et le dbit pour diffrents mdias, y compris le
cble paire torsade non blind (UTP, Unshielded Twisted Pair) support par les produits Cisco.
Tableau 5.2 : Dbits physiques ATM
Mdia
Dlimitation de trames
Dbit
(Mbit/s)
Fibre
multimode
Fibre
monomode
Cble
coaxial
DS-1
1,544
E1
2,048
DS-3
45
E3
34
STS-1
51
SONET STS3c
155
622
TAXI 4B/5B
100
8B/10B
155
UTP-3
UTP-5
STP
SDH STM1
SONET STS12c
SDH STM4
(Fiber Channel)
Il existe deux standards qui permettent dexploiter ATM sur du cble de cuivre : la catgorie 3 et la
catgorie 5. La catgorie 5 supporte 155 Mbit/s avec lencodage NRZI ; la catgorie 3 supporte
51 Mbit/s avec lencodage CAP-16, qui est plus difficile implmenter. Par consquent, bien que la
148
Partie I
Architecture de rseaux
pose de cble UTP-3 puisse sembler moins coteuse, les cartes de station de travail conues pour du
cble UTP-3 bas sur CAP-16 peuvent tre plus chres et offrir moins de bande passante.
Le support ATM de la fibre et du cble de cuivre facilitera la migration future des entreprises ayant
largement investi dans ces mdias.
Rseaux multiservices
ATM est apparu comme lune des technologies dintgration de services et de fourniture de services
WAN pour la connexion de rseaux LAN. ATM est galement un LAN, mais son utilisation en tant
que tel nest pas largement rpandue en raison de lvolution continue dEthernet vers des dbits
atteignant des centaines de mgabits, voire de gigabits. ATM supporte divers types de trafics sur des
flux spars ou mixtes, ainsi que le trafic sensible ou non aux dlais (voir Figure 5.5).
Figure 5.5
PBX
Circuit
Flux
Commutation de cellules
FEP
SNA
Trames
Paquet
LAN
Cellules
Cellules
ATM
ATM supporte galement diffrentes vitesses, allant de 1,54 Mbit/s 622 Mbit/s. Ce standard a
t adopt par les constructeurs dquipements industriels, du LAN au PBX (Private Branch
Exchange, autocommutateur priv), en passant par les oprateurs internationaux. Grce ATM, aux
commutateurs ATM de Cisco et aux commutateurs ATM de frontire, les concepteurs de rseaux
peuvent intgrer des services, fournir une connectivit LAN-WAN et mettre en uvre un support
rentable pour les applications mergentes des entreprises.
Solutions intgres
La tendance de conception de rseaux est de fournir aux concepteurs une plus grande souplesse
dans la rsolution des problmes de mise en rseau, sans avoir crer plusieurs rseaux ou perdre
les investissements existants en matire de communication de donnes. Les routeurs peuvent fournir un rseau fiable et scuris, et servir de protection contre les temptes de broadcast accidentelles
sur les rseaux locaux. Les commutateurs (que lon peut diviser en deux catgories principales :
Chapitre 5
149
LAN et WAN) peuvent tre dploys aux niveaux groupe de travail, pine dorsale de campus ou WAN
(voir Figure 5.6).
Figure 5.6
LightStream 1010
Le rle des
commutateurs ATM
sur un rseau.
LightStream 1010
Commutateurs
LAN Catalyst
LightStream
1010
LightStream
1010
StrataCom
ATM Campus
Multiplexeur de service
LightStream
1010
ATM Entreprise
routeurs Cisco
ATM Accs multiservice
WAN
StrataCom
Le support et lintgration de tous les produits Cisco sont grs par le systme IOS (Internetworking Operating System, systme dinterconnexion de rseaux) de Cisco. Il permet dintgrer des
groupes disparates, des quipements divers et de nombreux protocoles, afin de former un rseau trs
fiable et volutif.
redondance ;
De mme quil existe des routeurs et des commutateurs LAN qui prsentent des caractristiques
varies en termes de prix, de performances et de fonctionnalits, il existe plusieurs configurations
150
Partie I
Architecture de rseaux
de commutateurs ATM qui permettent de supporter lintgration de la technologie ATM avec des
groupes de travail, des campus et des entreprises.
Commutateurs ATM de groupe de travail et de campus
Les commutateurs ATM de groupe de travail sont souvent caractriss par le fait quils possdent
des ports de commutation Ethernet et une liaison montante (uplink) ATM pour se connecter un
commutateur ATM de campus. La srie de Catalyst 5000 est un exemple de ce type de commutateurs. Toutefois, en raison de la popularit de lEthernet commut 100 Mbit/s, les commutateurs
ATM de campus et dentreprise supportent galement des ports Ethernet.
Le commutateur Catalyst 5500 assure une commutation hautement performante dans les environnements de groupe de travail et de campus. Il dispose dun chssis 13 connecteurs. Le connecteur 1
est rserv au module de moteur superviseur (Supervisor Engine) qui assure la commutation,
ladministration locale et distante, et qui fournit les liaisons montantes doubles Fast Ethernet. Le
connecteur 2 est prvu pour pouvoir accepter un second moteur superviseur, ou nimporte lequel
des autres modules grs. Les connecteurs 3 12 supportent des modules Ethernet, Fast Ethernet,
Gigabit Ethernet, FDDI, CDDI (Copper Distributed Data Interface) et ATM. Si un module ASP est
prsent sur le connecteur 13, les connecteurs 9 12 supportent nimporte lequel des modules PAM
(Port Adapter Module) du commutateur ATM LightStream 1010 standard.
Le Catalyst 5500 dispose dun circuit de commutation 3,6 Gbit/s indpendant du mdia et dun
circuit de commutation de cellules 5 Gbit/s. La plaque de connexion arrire permet de connecter
les blocs dalimentation, le moteur superviseur, les modules dinterface et le module dpine
dorsale. Le circuit indpendant du mdia 3,6 Gbit/s supporte des modules Ethernet, Fast Ethernet,
FDDI/CDDI, LANE ATM et RSM. La structure de commutation de cellules 5 Gbit/s supporte un
module ASP et les modules PAM ATM du LightStream 1010.
Les commutateurs ATM de campus sont gnralement utiliss sur de petites pines dorsales ATM (par
exemple, pour relier des routeurs ATM ou des commutateurs LAN), ce qui permet de soulager les
situations actuelles de congestion dpine dorsale tout en autorisant le dploiement de LAN virtuels
(VLAN). Les commutateurs de campus doivent supporter une grande varit de types dpines dorsales locales et de WAN, mais galement tre optimiss au plan prix/performances pour la fonction
dpine dorsale locale. Dans cette catgorie de commutateurs, les fonctionnalits de routage ATM qui
autorisent plusieurs commutateurs tre relis ensemble sont trs importantes, de mme que les
mcanismes de contrle de congestion qui visent optimiser les performances de lpine dorsale.
Lextension de la gamme de commutateurs ATM de campus inclut la famille de produits Catalyst 8500.
Le Catalyst 8540 supporte les performances dun circuit de commutation non bloquant 40 Gbit/s.
Les trois premiers connecteurs sont rservs aux modules processeur. Deux modules sont obligatoires ; le troisime module redondant peut tre utilis sur le troisime connecteur. Les dix ports
restants supportent Ethernet, Fast Ethernet, Gigabit Ethernet, ainsi quATM OC-3c (155 Mbit/s) et
OC-12c (622 Mbit/s). Pour obtenir plus dinformations sur le dploiement de commutateurs ATM
de groupe de travail et de campus, reportez-vous au Chapitre 12.
Chapitre 5
151
Les commutateurs ATM dentreprise sont des quipements sophistiqus multiservices, multimdias
et multiprotocoles conus pour former lpine dorsale centrale de grands rseaux dentreprise. Ils
viennent complter, et dans certains cas remplacer, la fonction des routeurs multiprotocoles haut de
gamme actuels. Ces commutateurs ATM dentreprise sont utiliss pour interconnecter des commutateurs ATM de campus. Outre leur rle dpines dorsales ATM, ils font aussi office de point unique
dintgration pour tous les services et technologies disparates que lon rencontre aujourdhui sur les
rseaux fdrateurs dentreprise. En intgrant tous ces services sur une plate-forme et une infrastructure de transport ATM communes, les concepteurs de rseaux peuvent amliorer ladministration de lensemble, sans avoir recourir la superposition de plusieurs rseaux.
Le LightStream 1010 ATM de Cisco est un commutateur de campus et dentreprise pouvant supporter une pine dorsale dentreprise ou assurer des services ATM de frontire pour lentreprise. Il
possde un chssis modulaire avec cinq connecteurs, qui accepte des alimentations doubles, assurant tolrance aux pannes et quilibrage de la charge. Le processeur est situ au niveau du connecteur central, et le circuit de commutation gre des vitesses allant jusqu 5 Gbit/s. Il autorise
galement le support de plusieurs segments ATM, avec un maximum de 32 ports ATM OC-3
commuts dans un rack standard de 48 centimtres.
Le commutateur Cisco BPX 8600 est un puissant commutateur ATM de frontire large bande, conu
pour rpondre aux besoins en fort trafic de grandes entreprises prives ou de fournisseurs de services
publics. Ce commutateur possde 15 connecteurs, dont deux supportent les cartes de contrle large
bande redondantes constitues du circuit de commutation et du systme de contrle. Un connecteur
supplmentaire est utilis par le moniteur dtat. Les 12 connecteurs restants peuvent tre exploits
pour supporter des interfaces BPX, IGX, MGX ou ATM UNI (User-to-Network Interface, interface
utilisateur-rseau) et NNI (Network-to-Network Interface, interface rseau-rseau). Les performances
du commutateur peuvent tre optimises au moyen de tampons de commutation en entre et en sortie.
Les rseaux IP requirent des performances de routeur leves, ainsi que des services de commutation ATM. La famille de routeurs 7500 de Cisco intgre des fonctions de commutation distribue
qui permettent aux concepteurs de rseaux de mettre en uvre le routage hautement performant
ncessaire pour supporter des rseaux qui exploitent les technologies ATM, de commutation LAN
multicouche, ELAN (Emulated LAN) et VLAN (Virtual LAN).
La famille de routeurs Cisco 7500 offre un support tendu des interfaces ATM et WAN haute
vitesse. Sa grande densit de ports permet de grer facilement le grand nombre dinterfaces requis
pour une connectivit de site distant. Les concepteurs de rseaux peuvent dployer ces routeurs
dans un environnement WAN, afin de bnficier des nombreux types doffres de services des oprateurs, incluant les pines dorsales ATM. Ces routeurs offrent un dbit de 2,1 Gbit/s.
En tant que routeurs haut de gamme, les routeurs de la srie Cisco 7500 fournissent des alimentations redondantes, mais aussi un processeur de commutation de route (RSP, Route Switch Processor) redondant, et assurent un quilibrage de charge pour IP (dautres protocoles sont prvus)
lorsque ce processeur est prsent. Le Cisco 7500 a t reconnu comme le routeur dentreprise par
excellence. Il peut galement jouer le rle de routeur ATM de frontire pour un campus ou une
entreprise, grce son support de la technologie ATM.
152
Partie I
Architecture de rseaux
Commutateurs doprateur
Au-del des rseaux privs, les plates-formes ATM sont aussi largement dployes par les fournisseurs de services, la fois au niveau de lquipement de tlcommunication du client (CPE, Customer
Premises Equipment) et au sein de rseaux publics. Un tel quipement supporte plusieurs services
WAN, incluant la commutation Frame Relay, les services fonds sur IP, linterconnexion ATM NNI et
les services ATM publics qui exploitent une infrastructure ATM commune. Ces commutateurs ATM
dentreprise haut de gamme, appels galement commutateurs doprateur, seront souvent utiliss
pour ces applications de rseaux publics en raison de leurs grandes disponibilit et redondance, leur
support de nombreuses interfaces et leur facult intgrer la voix et les donnes. Le Cisco
BPX 8600, mentionn plus haut, est un exemple de commutateur ATM doprateur. Avec le dveloppement de lindustrie des tlcommunications, plus particulirement en Europe, la demande
pour ce type de commutateurs va augmenter.
Figure 5.7
Composants
dun rseau ATM.
UNI
NNI
La connexion UNI est constitue dun quipement dextrmit et dun commutateur ATM priv ou
public. Les premiers dveloppeurs de la technologie ATM taient principalement confronts cette
interface lors de la conception de produits pour le march. Quant la connexion NNI, elle est
tablie entre deux commutateurs ATM. Ces deux interfaces peuvent tre supportes par des
connexions physiques diffrentes.
Outre les protocoles UNI et NNI, le Forum ATM a dfini un ensemble de protocoles pour supporter
lmulation LAN, appel LANE (LAN Emulation). LANE est une technologie de rseau employe
Chapitre 5
153
par les concepteurs afin de connecter des rseaux locaux existants, tels quEthernet ou Token Ring,
au moyen dquipements relis ATM. La principale demande du march en ce qui concerne les
commutateurs ATM de frontire est ne du besoin de relier des rseaux Ethernet et Token Ring
des rseaux ATM. Les premiers dveloppeurs dATM pensaient quEthernet et Token Ring seraient
remplacs par ATM au fur et mesure que cette technologie gagnerait en popularit, mais les technologies Ethernet commut 100 Mbit/s et Gigabit Ethernet ont assur la continuit de ces rseaux.
Fonctionnement dun rseau ATM
Sur un rseau ATM, une connexion doit avoir t tablie entre deux points dextrmit pour quun
transfert de donnes puisse avoir lieu. Cette connexion est ralise au moyen dun protocole de
signalisation (voir Figure 5.8).
Figure 5.8
Etablissement
dune connexion
sur un rseau ATM.
Commutateur
Commutateur
ATM 1
ATM 2
Connexion vers B ?
Connexion vers B ?
Routeur A
Oui
Oui
Oui
Connexion vers B ?
Connexion vers B ?
Commutateur
ATM 3
Oui
Routeur B
Comme le montre la Figure 5.8, les tapes suivantes doivent tre accomplies afin que le routeur A
puisse se connecter au routeur B :
1. Le routeur A envoie un paquet de requte de signalisation vers le commutateur ATM auquel il
est directement connect (commutateur ATM 1).
Cette requte contient ladresse ATM du routeur B, ainsi que tout paramtre de qualit de service
(QoS) requis pour la connexion.
2. Le commutateur ATM 1 rassemble le paquet de signalisation du routeur A et lexamine.
3. Si le commutateur ATM 1 dispose dune entre pour ladresse ATM du routeur B dans sa table
de commutation et quil peut grer la qualit de service demande pour la connexion, il tablit la
connexion virtuelle et transmet la requte au commutateur suivant (commutateur ATM 2) sur le
chemin.
4. Chaque commutateur le long de litinraire vers le routeur B rassemble et examine le paquet
de signalisation avant de le transmettre au commutateur suivant si les paramtres de qualit de
service peuvent tre grs. Chaque commutateur tablit galement la connexion virtuelle lorsque
le paquet de signalisation est transmis.
154
Partie I
Architecture de rseaux
Si lun des commutateurs sur le chemin ne peut pas grer les paramtres de qualit de service
demands, la requte est rejete et un message est renvoy vers le routeur A, proposant une
qualit de service disponible plus faible.
5. Lorsque le paquet de signalisation arrive sur le routeur B, celui-ci le rassemble et lvalue. Sil
peut grer la qualit de service requise, il rpond avec un message dacceptation. Au fur et
mesure que ce message est retransmis vers le routeur A, les commutateurs tablissent un circuit
virtuel.
NOTE
Un canal virtuel est lquivalent dun circuit virtuel. Il dsigne une connexion logique entre les deux extrmits dune connexion. Un chemin virtuel est un groupement logique de circuits virtuels, qui permet un
commutateur ATM deffectuer des oprations sur des groupes de circuits virtuels.
6. Le routeur A reoit le message dacceptation de la part du commutateur ATM auquel il est directement connect (commutateur ATM 1), ainsi que les valeurs didentifiant de chemin virtuel
(VPI, Virtual Path Idendifier) et didentifiant de canal virtuel (VCI, Virtual Channel Identifier)
qui doivent tre utilises avec les cellules envoyes vers le routeur B.
NOTE
Les cellules ATM se composent de 5 octets dinformations den-tte et de 48 octets de donnes utiles. Les
champs VPI et VCI dans len-tte sont utiliss pour router les cellules travers les rseaux ATM. Ils permettent didentifier le prochain segment de rseau quune cellule doit emprunter, en direction de sa destination finale.
Rle de LANE
Le Forum ATM a dfini un standard pour lmulation LAN : LANE (LAN Emulation). Comme
mentionn prcdemment, LANE est une technologie que les concepteurs de rseaux peuvent
dployer afin de relier des rseaux locaux Ethernet et Token Ring existants des rseaux ATM. Elle
utilise lencapsulation MAC (couche 2 du modle OSI) pour supporter le plus grand nombre possible de protocoles de couche 3 OSI. Le rsultat final est que tous les quipements connects un
LAN mul (ELAN, Emulated LAN) semblent situs sur un seul segment pont. De cette manire,
AppleTalk, IPX, IP et dautres protocoles peuvent prsenter des caractristiques de performances
semblables celle dun environnement pont traditionnel qui utilise le mme mdia. Toutefois, les
communications entre rseaux ELAN impliquent toujours lutilisation de routeurs de niveau 3,
ajoutant une latence inutile sur le rseau ATM qui naurait normalement jamais besoin des services
de niveau 3, sauf pour supporter des rseaux LAN Ethernet et Token Ring existants. En rponse ce
problme, le Forum ATM a dfini la spcification MPOA (Multiprotocol over ATM).
La Figure 5.9 illustre un exemple de rseau LANE ATM qui utilise des routeurs pour les communications inter-ELAN.
Chapitre 5
Figure 5.9
Composants dun rseau
LANE ATM.
155
Services
d'mulation LAN
Services
de couche 3
Catalyst
5000
Client d''mulation
LAN
LECS, LES,
BUS
Serveurs d'entreprises
et de dpartements
Rseau
principal ATM
Clients
d'mulation LAN
Catalyst
3000
Catalyst
5000
Catalyst
5000
Lorsque MPOA est utilis, les stations ATM ont limpression que les communications inter-ELAN
mettent en uvre un raccourci direct vers la station de destination, ce qui vite le phnomne de
latence qui se produit sur la topologie illustre.
Composants LANE
Client dmulation LAN (LEC, LAN Emulation Client). Systmes ATM qui supportent la
fois les rseaux LAN, comme Ethernet et Token Ring, et les rseaux LANE ATM. Parmi eux figurent la famille de commutateurs Catalyst et les sries de routeurs Cisco 7500, 7000, 4500 et 4000,
qui acceptent les connexions ATM. Le LEC mule une interface vers un LAN existant pour les
protocoles de plus haut niveau, et assure la rsolution dadresse, la transmission de donnes et
lenregistrement dadresses MAC auprs du serveur LANE (LES). Il communique avec dautres
LEC, via des connexions de canaux virtuels (VCC, Virtual Channel Connection) ATM.
Serveur dmulation LAN (LES, LAN Emulation Server). Le LES fournit un point de
contrle central pour tous les LEC. Les LEC maintiennent une connexion VCC Control Direct
vers le LES afin de transmettre les informations denregistrement et de contrle. Le LES maintient une connexion VCC point-multipoint, connue sous lappellation Control Distribute, vers
156
Partie I
Architecture de rseaux
tous les LEC. Cette connexion est utilise uniquement pour transmettre des informations de
contrle. Lorsque de nouveaux LEC rejoignent le ELAN ATM, ils sont ajouts en tant que
feuilles larbre Control Distribute.
m
Serveur BUS (Broadcast and Unknown Server). Le serveur BUS agit comme point central
pour la distribution des diffusions broadcast (diffusions gnrales) et multicast (diffusions
restreintes). ATM est une technologie point--point, sans support pour la communication broadcast. LANE rsout ce problme en centralisant le support de la diffusion broadcast sur le BUS.
Chaque LEC doit dfinir une connexion VCC Multicast Send vers le BUS. Celui-ci ajoute
ensuite le LEC en tant que feuille sa connexion VCC point-multipoint, galement appele VCC
Multicast Forward.
Le BUS agit galement comme serveur multicast. LANE est dfini au niveau de la couche
dadaptation ATM ALL5, qui spcifie un suffixe simple devant tre ajout une trame avant de
la diviser en cellules ATM. Le problme est quil nexiste aucun moyen de distinguer les cellules
qui proviennent de diffrents metteurs lorsquelles sont multiplexes sur un canal virtuel. Puisque lon suppose que les cellules sont reues en squences, lorsque la cellule de fin de message
(EOM, End Of Message) arrive, toutes les cellules dj arrives devraient simplement tre
rassembles.
Le BUS prlve les squences de cellules sur chaque VCC Multicast Send et les rorganise en
trames. Lorsquune trame complte est reue, elle est place en file dattente afin dtre envoye
vers tous les clients LEC de la connexion VCC Multicast Forward. De cette manire, toutes les
cellules dune trame de donnes spcifique sont assures dtre transmises dans lordre, et non
intercales avec des cellules dautres trames sur la connexion VCC point-multipoint.
Etant donn que LANE est dfini au niveau de la couche 2 du modle OSI, le serveur LECS est le
seul point de contrle de scurit disponible. Lorsquil sait o est situ le LES et quil a russi
joindre le rseau ELAN, le LEC est libre denvoyer nimporte quel trafic (malveillant ou non) sur
le ELAN pont. Des filtres de scurit de niveau 3 peuvent tre implments uniquement sur le
routeur qui assure le routage de lELAN en question vers dautres ELAN. Mais, une fois que
MPOA a tabli un raccourci pour contourner le routeur, cette scurit nest plus effective. Par
consquent, plus le ELAN est grand, plus il est expos aux risques de violation de la scurit.
Fonctionnement de LANE
Un ELAN fournit une communication de niveau 2 entre tous ses utilisateurs. Un ou plusieurs
rseaux ELAN peuvent tre excuts sur le mme rseau ATM. Toutefois, chaque ELAN est indpendant des autres, et leurs utilisateurs respectifs ne peuvent communiquer directement. Comme
mentionn prcdemment, la communication entre rseaux ELAN nest possible que par lintermdiaire de MPOA ou de routeurs.
Un ELAN fournit une communication de niveau 2, il peut donc tre assimil un domaine de broadcast. De plus, les sous-rseaux IP et les rseaux IPX qui sont dfinis sur des quipements de niveau 3,
tels que des routeurs, sont frquemment mis en correspondance avec des domaines de broadcast (
lexception de ladressage secondaire). Cela permet dassigner un sous-rseau IP ou un rseau IP
un ELAN.
Chapitre 5
157
Un ELAN est contrl par un seul couple de serveurs LES/BUS, et lassignation de ladresse ATM
de son serveur dmulation LES est dfinie dans la base de donnes LECS. Un ELAN se compose de
plusieurs LEC ; il peut sagir dun rseau Ethernet ou Token Ring, mais non des deux la fois.
Afin quun ELAN puisse fonctionner correctement, ses clients LEC doivent tre oprationnels.
Chaque LEC doit passer par une squence dinitialisation, dcrite dans les sections suivantes.
Mise en uvre de LANE
Dans le cadre du fonctionnement normal de la technologie LANE, le LEC doit dabord localiser le
LECS afin de dcouvrir le rseau ELAN auquel il doit se joindre. Le LEC recherche spcifiquement
ladresse ATM du LECS qui sert le ELAN en question.
Recherche du serveur LECS
Pour rsoudre ladresse ATM du LECS, le LEC suit la procdure suivante :
1. Le LEC interroge le commutateur ATM, via linterface ILMI (Interim Local Management Interface). Le commutateur dispose dune variable MIB, dfinie avec ladresse ATM du LECS. Le
LEC peut ensuite utiliser la signalisation UNI pour contacter le LECS.
2. Le LEC recherche une adresse ATM permanente, spcifie en tant quadresse ATM LECS par le
Forum ATM.
3. Le LEC accde au circuit virtuel permanent (PVC, Private Virtual Circuit) 0/17, un PVC
"connu".
Interrogation du LECS
Le LEC cre un paquet de signalisation avec ladresse ATM du LECS. Il signale une connexion VCC
Configure Direct et met une requte LE_CONFIGURE_REQUEST sur cette connexion. Les informations contenues dans cette requte sont compares celles de la base de donnes du LECS.
Ladresse ATM source est plus couramment utilise pour placer un LEC dans un ELAN spcifique.
Si une entre correspondante est localise, une rponse LE_CONFIGURE_RESPONSE est
renvoye avec ladresse ATM du serveur LES qui sert le rseau ELAN recherch.
Configuration de la base de donnes LECS
Vous pouvez configurer la base de donnes LECS laide de lune des trois mthodes suivantes :
m
Configurer les noms ELAN sur le LEC. Dans cette configuration, tous les clients LEC sont
configurs avec un nom de ELAN quils peuvent ajouter leurs requtes LE_CONFIGURE
_REQUEST. Cest la forme la plus basique de la base de donnes LECS : il faut seulement
quelle contienne la liste des rseaux ELAN, avec ladresse ATM de leurs serveurs LES correspondants. Dans une telle configuration, tous les clients LEC qui demandent spcifiquement
joindre un ELAN donn reoivent ladresse ATM du LES correspondant. Un LEC qui ne sait pas
quel ELAN joindre peut tre assign un ELAN par dfaut, si un tel rseau est configur dans
la base de donnes LECS.
Voici un exemple dassignation LEC-ELAN sur un LEC :
lane database test-1
name finance server-atm-address 47.0091.8100.0000.0800.200c.1001.
158
Partie I
Architecture de rseaux
0800.200c.1001.01
name marketing server-atm-address 47.0091.8100.0000.0800.200c.1001.
0800.200c.1001.02
default-name finance
Configurer une assignation LEC-ELAN dans la base de donnes LECS. Dans cette configuration, toutes les informations sont centralises dans la base de donnes LECS. Les clients LEC
nont pas de manipulations faire et peuvent simplement interroger le LECS pour dterminer
quel ELAN joindre. Bien quil sagisse dune configuration plus coteuse en temps, elle permet
dassurer un meilleur contrle sur tous les rseaux ELAN. Par consquent, elle peut tre utile
pour renforcer la scurit.
Avec cette mthode, les clients LEC sont identifis par leur adresse ATM ou leur adresse MAC.
Puisque lemploi de prfixes dadresse ATM avec caractres de substitution est support, il peut
tre utile de prvoir des relations du type : "Pour tout LEC qui se joint, assigner un prfixe A
lELAN X". Voici un exemple dassignation LEC-ELAN dans la base de donnes LECS :
lane database test-2
name finance server-atm-address 47.0091.8100.0000.0800.200c.1001.
0800.200c.1001.01
name marketing server-atm-address 47.0091.8100.0000.0800.200c.1001.
0800.200c.1001.02
default-name finance
client-atm-address
client-atm-address
47.0091.8100.0000.08
47.0091.8100.0000.09
name finance
name marketing
Combinaison hybride. Vous pouvez configurer une combinaison des deux mthodes prcdentes.
Chapitre 5
Figure 5.10
Serveur
d'mulation
LAN (LES)
Connexions LES.
159
AIP
Connexions BUS.
AIP
VCC Multicast
Forward de BUS
(point-multipoint)
VCC Multicast
Send de BUS
(unidirectionnelle)
160
Partie I
Architecture de rseaux
Rsolution dadresse
Le rel intrt de LANE se situe au niveau du chemin de transmission ATM quil fournit pour le
trafic dirig (unicast) entre clients LEC. Lorsquun client LEC possde un paquet de donnes
envoyer vers une destination inconnue, il met une requte LE_ARP_REQUEST vers le LES sur la
connexion VCC Control Direct. Le LES transmet la requte sur la connexion VCC Control Distribute afin que toutes les stations LEC en prennent connaissance. En parallle, les paquets de donnes
unicast sont envoys vers le BUS pour tre transmis vers tous les points terminaux. Cette inondation
ne reprsente pas un chemin optimal pour le trafic dirig, et son dbit est limit 10 paquets par
seconde (selon le standard LANE). Les paquets unicast continuent dutiliser le serveur BUS,
jusqu ce que la requte LE_ARP_REQUEST soit rsolue.
Si un quipement tel un pont ou un commutateur excutant le client LEC participe au rseau
ELAN, il traduit et transmet le protocole ARP sur son interface LAN. Lun des LEC devrait mettre
une rponse LE_ARP_RESPONSE et lenvoyer vers le LES, qui le transmettrait sur la connexion
VCC Control Distribute afin que tous les clients LEC prennent connaissance de la nouvelle association dadresse MAC-ATM. Linondation raison de 10 paquets par seconde peut ensuite cesser.
Lorsque le LEC demandeur reoit la rponse la requte ARP, il possde ladresse ATM du LEC
qui reprsente ladresse MAC recherche. Il doit alors se signaler directement auprs de lautre
LEC et dfinir une connexion VCC Data Direct utiliser ensuite pour le trafic dirig entre les LEC.
En attendant la rponse de rsolution sa requte ARP, le LEC transmet le trafic unicast vers le
BUS. En revanche, aprs rsolution de la requte, un nouveau chemin optimal devient disponible.
Mais si le LEC converge immdiatement vers ce nouveau chemin, les paquets risquent darriver
dans le dsordre. Pour prvenir une telle situation, le standard LANE prvoit un paquet de terminaison (flush).
Figure 5.12
Rseau ELAN entirement reli.
Sous-interfaces AIP
LES
BUS
Chapitre 5
161
Lorsque la connexion VCC Data Direct devient disponible, le LEC gnre un paquet flush et
lenvoie au serveur BUS. Lorsque le LEC reoit son propre paquet flush sur la connexion VCC
Multicast Forward, il en dduit que tous les paquets unicast prcdemment envoys ont dj t
transmis. Le nouveau chemin, via la connexion VCC Data Direct, peut alors tre emprunt en toute
scurit. La Figure 5.12 prsente un exemple de rseau ELAN entirement reli.
Implmentation de LANE
Comme le montre le Tableau 5.3, les fonctionnalits de LANE (LECS, LEC, LES et BUS) peuvent
tre implmentes sur diffrents quipements Cisco.
Tableau 5.3 : Implmentation Cisco de LANE
Produits Cisco
Srie de commutateurs
Catalyst 5000
Srie de commutateurs
Catalyst 3000
Ces fonctions seront dfinies sur les interfaces et sous-interfaces ATM. Une sous-interface est une
interface logique qui fait partie dune interface physique, comme la fibre optique Optical Carrier 3
(OC-3). Les interfaces ATM sur les routeurs Cisco et le module ATM sur le commutateur Catalyst
5000 peuvent tre diviss logiquement en un maximum de 255 sous-interfaces logiques.
Cette section aborde donc limplmentation de rseaux LANE ATM. Elle couvre les sujets suivants :
m
redondance LANE.
LAIP (ATM Interface Processor) sert dinterface au circuit de commutation ATM pour transmettre et recevoir des donnes. Le dbit est dtermin par le module dinterface de la couche
physique PLIM (Physical Layer Interface Module).
Chaque rseau ELAN est constitu dun couple de serveurs LES/BUS et dun certain nombre de
clients LEC.
162
Partie I
Architecture de rseaux
Les fonctionnalits LES et BUS doivent tre dfinies sur la mme sous-interface et ne peuvent
tre spares.
Il ne peut y avoir quun seul couple de serveurs LES/BUS actif par sous-interface.
Il ne peut y avoir quun seul couple de serveurs LES/BUS actif par ELAN.
Les dispositifs LECS et LES/BUS peuvent tre reprsents par diffrents routeurs, ponts ou stations
de travail.
Les connexions VCC peuvent tre, soit des circuits virtuels commuts (SVC), soit des circuits
virtuels permanents (PVC), sachant que la configuration et la complexit de conception dun PVC
peuvent transformer un petit rseau en un environnement complexe et difficile administrer.
Si un LEC sur une sous-interface de routeur reoit une adresse IP, IPX ou AppleTalk, le protocole en question est routable par lintermdiaire de ce LEC. Sil y a plusieurs LEC sur un routeur
et quils reoivent des adresses de protocoles, le routage interviendra entre les ELAN. Pour que
le routage entre rseaux ELAN fonctionne correctement, un ELAN ne devrait se trouver
que dans un seul sous-rseau pour un protocole particulier.
PNNI prsente certaines fonctionnalits qui peuvent permettre de faire voluer les rseaux LANE,
parmi lesquelles :
m
support de lquilibrage de charge des demandes de connexion sur plusieurs chemins situs entre
deux stations terminales ;
La Figure 5.13 illustre la faon dont le commutateur LightStream 1010 supporte lquilibrage de charge.
Chapitre 5
Figure 5.13
Equilibrage de charge
des demandes de
connexion sur
plusieurs chemins
et liaisons.
163
LEC
LEC
LightStream
1010
LEC
Rseau
principal ATM
LEC
LightStream
1010
LEC
Rseau
principal ATM
Comme le montre la Figure 5.13, lquilibrage de charge des appels est activ par dfaut sur le
commutateur LightStream 1010, linverse du routage darrire-plan. Ce type de routage peut-tre
vu comme lacheminement des demandes via un chemin choisi partir dune base ditinraires
calculs au pralable. Le processus de routage darrire-plan tablit une liste de tous les itinraires
possibles vers toutes les destinations, par le biais de toutes les catgories de service, par exemple
CBR (Constant Bit Rate), VBR-RT (Virtual Bit Rate-Real Time), VBR-NRT (Virtual Bit Rate-Non
Real Time) et ABR-UBR (Available Bit Rate-Unspecified Bit Rate).
Lorsquun appel a lieu depuis un point A vers un point B, le protocole PNNI choisit une route en cache
partir de la table de routage darrire-plan, au lieu de calculer une route la demande. Ce procd
allge la charge du processeur et permet un traitement plus rapide des demandes de connexion.
Le routage darrire-plan peut tre utile sur les rseaux qui possdent une topologie stable quant la
qualit de service (QoS). Il nest cependant pas efficace sur les rseaux dont la topologie change
rapidement, tels les rseaux de fournisseurs de services Internet ou les rseaux doprateurs. Les
rseaux LANE de campus peuvent exploiter efficacement cette fonctionnalit, car tous les SVC
appartiennent aux catgories UBR ou ABR. Pour activer cette fonctionnalit, excutez la commande
suivante :
atm router pnni
node 1 level 56
bg-routes
Limplmentation actuelle de PNNI sur le commutateur LightStream 1010 est totalement conforme
la spcification PNNI version 1 du Forum ATM. La licence dimage PNNI par dfaut du LightStream supporte un seul niveau de hirarchie, dans lequel plusieurs groupes dhomologues peuvent
tre interconnects par lintermdiaire de IISP ou dautres commutateurs grant la hirarchie PNNI.
164
Partie I
Architecture de rseaux
Des licences dimage PNNI supplmentaires permettent de supporter plusieurs niveaux de hirarchie de routage.
Les protocoles PNNI ont t conus pour pouvoir sadapter diffrentes tailles de rseaux ATM,
depuis les petits rseaux de campus qui comprennent quelques commutateurs jusqu lensemble
du rseau Internet et ses millions de commutateurs. Ce degr dvolutivit, suprieur celui de
nimporte quel protocole de routage existant, induit une trs grande complexit au niveau du protocole PNNI.
Plus particulirement, il exige le support de plusieurs niveaux de hirarchie de routage bas sur
lemploi de prfixes de lespace dadresse ATM de 20 octets. Le niveau le plus bas de la hirarchie
consiste en un seul groupe dhomologues, au sein duquel tous les commutateurs se communiquent
lensemble des mtriques daccessibilit et de qualit de service (QoS). Cette situation est analogue, par exemple, une seule zone du protocole OSPF.
Ensuite, plusieurs groupes dhomologues un certain niveau de la hirarchie sont rassembls en des
groupes dhomologues de niveau suprieur, au sein desquels chaque groupe de niveau infrieur est
reprsent par un seul leader de groupe dhomologues. Toute la hirarchie PNNI est ainsi forme
par itrations de ce processus de rassemblement de groupes. Chaque niveau de la hirarchie est
identifi par un prfixe de lespace dadresse ATM, ce qui signifie que PNNI pourrait en thorie
contenir plus de 100 niveaux de hirarchie de routage. Toutefois, quelques niveaux suffisent pour la
plupart des rseaux. Afin de bnficier dune telle volutivit, il faut implmenter des mcanismes
trs complexes afin de supporter et mettre en uvre les nombreux niveaux de hirarchie, et dlire
les leaders de groupes dhomologues, au sein de chaque groupe, chaque niveau.
Evolution dun ELAN : problmes engendrs par le protocole par arbre recouvrant
Le protocole par arbre recouvrant (Spanning Tree) est un protocole de niveau 2, support par les
commutateurs et les ponts afin dviter les risques dapparition de boucles temporaires sur les rseaux
qui comprennent des liaisons redondantes. Etant donn quun LEC ponte le trafic Ethernet/Token
Ring au-dessus dune pine dorsale ATM, les units de donnes du protocole de pontage par arbre
recouvrant (BPDU, Bridge Protocol Data Units) sont transmises sur la totalit de lELAN. Le rseau
ATM apparat comme un rseau Ethernet/Token Ring partag pour le processus darbre recouvrant
la frontire des commutateurs de niveau 2.
La topologie darbre recouvrant dun rseau fond sur la technologie LANE est beaucoup plus
simple que celle dun rseau commutation de trames pur qui emploie le protocole Spanning Tree.
Il sensuit que les temps de convergence avec un arbre recouvrant, qui peuvent constituer un
problme majeur sur de grands rseaux commutation de trames, ne prsentent pratiquement
aucune difficult sur des rseaux LANE. Notez que le protocole Spanning Tree doit effectuer une
reconvergence en cas de dfaillance au niveau des dispositifs de frontire ou lintrieur du rseau
ATM. Sil se rvle ncessaire doptimiser le temps de convergence avec une valeur infrieure ou
suprieure, le paramtre de dlai de transmission peut tre utilis.
Redondance LANE
Bien que la technologie LANE permette aux concepteurs de connecter leurs rseaux locaux existants un rseau ATM, la version 1.02 de LANE ne dfinit pas de mcanismes pour implmenter la
redondance et la tolrance aux pannes au niveau des services LANE. En consquence, ces services
Chapitre 5
165
peuvent reprsenter une source de pannes. De plus, la redondance de routeurs et des cheminsliaisons est galement un facteur prendre en compte.
Les concepteurs peuvent employer diffrentes techniques pour implmenter des rseaux LANE
fiables et tolrants envers les pannes :
m
Le protocole SSRP (Simple Server Replication Protocol) assure une redondance des services
LANE avec Cisco et tout LEC dun fabricant tiers.
Le protocole HSRP (Hot Standby Router Protocol) sur LANE assure la redondance du routeur
par dfaut configur sur les stations terminales IP.
Nous allons examiner ces diffrentes techniques, ainsi que les rgles de conception et les problmes
considrer lors de limplmentation de rseaux LANE redondants. Nous commencerons par le
protocole SSRP, qui a t dvelopp pour fournir des services LANE redondants.
Bien que de nombreux fabricants proposent des implmentations de services LANE redondants
depuis un certain temps, aucune ne respecte la spcification LANE 1.0. Elles ne peuvent donc pas
interoprer avec dautres implmentations tierces. Le protocole SSRP, qui respecte cette spcification, peut assurer linteraction avec des implmentations tierces, garantissant ainsi linteroprabilit
des rseaux ATM.
Problmes sur un rseau LANE
Le principal problme rencontr avec un rseau LANE 1.0 tient au fait quun LEC ne peut accder
tout moment qu un seul ensemble de composants de services LANE. Il en rsulte les limitations
suivantes :
m
Une panne sur nimporte lequel de ces composants de service affecte le fonctionnement du rseau
de la faon suivante :
m
Panne de LECS. La panne dun serveur LECS affecte tous les ELAN sous son contrle, car il
reprsente leur point de contrle daccs. Bien que les rseaux LANE existants puissent continuer fonctionner normalement (en supposant la prsence de clients LEC Cisco uniquement),
aucun nouveau LEC ne peut joindre un ELAN situ sous le contrle du LECS en panne. De plus,
il est impossible pour un LEC de rejoindre son ELAN ou de modifier son appartenance, car le
serveur LES ne peut procder la vrification du LEC.
Panne de LES/BUS. Le couple de serveurs LES/BUS est ncessaire au bon fonctionnement dun
rseau ELAN. Le LES fournit le service LE_ARP pour les correspondances dadresses ATMMAC, tandis que le BUS fournit les services de diffusion broadcast et dadresse inconnue pour un
ELAN donn. Par consquent, une panne sur lun de ces deux serveurs affecte immdiatement la
communication sur lELAN. Toutefois, seul lELAN servi par le couple de serveurs est touch.
Il est vident que ces problmes peuvent constituer une limitation sur les rseaux qui requirent
rsistance et fiabilit. Ils peuvent reprsenter un facteur dterminant dans le choix dimplmenter des
166
Partie I
Architecture de rseaux
rseaux ATM bass sur la technologie LANE. De plus, dautres considrations peuvent avoir des
implications sur lensemble de la rsistance dun environnement LANE, comme le placement
des composants de services LANE au sein du rseau ATM.
Rsistance des rseaux LANE
Avec SSRP, plusieurs adresses LECS sont configures sur les commutateurs ATM. Un LEC qui
demande ladresse LECS dun commutateur ATM obtient en rponse la table entire des adresses
LECS. Le LEC doit ensuite tenter de se connecter ladresse de plus haut rang. En cas dchec, il
doit essayer ladresse suivante dans la liste, et ainsi de suite jusqu la russite de la connexion avec
le serveur LECS.
Alors que le LEC tente toujours de se connecter au LECS de plus haut rang disponible, le protocole
SSRP sassure quun seul serveur principal rpond aux requtes de configuration provenant dun
LEC. Ltablissement dun serveur LECS principal et dautres serveurs de secours est la fonction
essentielle du protocole SSRP. Voyons comment procde SSRP pour tablir un serveur LECS principal. A linitialisation, un serveur LECS obtient la table dadresses LECS auprs de son commutateur. Il tente ensuite de se connecter tous les autres serveurs LECS dont le rang est infrieur au
sien. Le rang est fonction de la valeur dindex dans la table dadresses LECS.
Si un serveur LECS dispose dune connexion de circuit virtuel (VCC) en provenance dun LECS
dont le rang est suprieur au sien, il est dans le mode de secours. Aucun LECS provenant dun rang
suprieur nest connect au LECS de plus haut rang, lequel joue le rle de serveur LECS principal.
La Figure 5.14 illustre la procdure de secours utilise en cas de dfaillance dun serveur LECS
principal. Le rseau LANE donn en exemple possde quatre serveurs LECS : A, B, C et D. Tous
les commutateurs ATM du rseau sont configurs avec la mme table dadresses LECS. Aprs le
Chapitre 5
167
dmarrage, le LECS A obtient la table dadresses auprs du commutateur ATM qui lui est connect,
dcouvre quil possde trois serveurs LECS de rang infrieur et tente par consquent de se connecter aux LECS B, C et D. Le serveur B se connecte aux serveurs C et D, et le serveur C au serveur D.
Les connexions VCC sont tablies vers le bas. Puisque le serveur A ne possde pas de connexion en
provenance dun serveur de rang suprieur, il devient le serveur LECS principal.
Figure 5.14
Redondance LECS.
(a)
Etape 1
Le LECS A perd sa
connectivit avec le
rseau.
X
B
(b)
Au cours du fonctionnement normal du rseau, le serveur A rpond toutes les requtes de configuration, alors que les serveurs de secours, B, C et D, ne rpondent aucune requte. Si, pour une
raison quelconque, le serveur principal tombe en panne, le serveur B perd sa connexion VCC avec
le serveur A, et il en va de mme pour les autres serveurs.
Dans ce cas, le serveur LECS B ne possde plus aucune connexion VCC en provenance dun
serveur de rang suprieur et devient donc le serveur LECS de plus haut rang disponible sur le
rseau, cest--dire le serveur principal. Les deux autres serveurs LECS, C et D, possdent toujours
des connexions en provenance de serveurs LECS de rang suprieur et continuent fonctionner dans
le mode de secours (voir ltape 2b de la Figure 5.14).
Redondance LES/BUS
La partie du protocole SSRP qui assure la redondance du couple de serveurs LES/BUS supporte la
configuration de plusieurs couples LES/BUS fonctionnant selon un modle principal-secondaire.
Toutefois, les mcanismes utiliss ici diffrent de ceux qui servent la redondance des serveurs
LECS, dcrite dans la section prcdente.
Plusieurs couples de serveurs LES/BUS pour un ELAN donn sont dabord configurs dans la base
de donnes LECS. Chaque couple reoit une priorit. Aprs linitialisation, chaque couple tablit
une connexion VCC avec le LECS principal, au moyen du mcanisme de dcouverte dadresse
LECS. Le couple LES/BUS qui possde la priorit la plus haute et dispose dune connexion VCC
ouverte vers le LECS est dsign comme couple principal par le LECS principal.
168
Partie I
Architecture de rseaux
Il ny a, en thorie, aucune limite relative au nombre de serveurs LECS qui peuvent tre configurs
au moyen du protocole SSRP. Cependant, il est recommand den configurer deux (un serveur principal et un serveur de secours) ou trois (un serveur principal et deux serveurs de secours). Une
redondance suprieure ne devrait tre envisage quaprs une srieuse analyse, car elle rendrait le
rseau beaucoup plus complexe, engendrant une augmentation substantielle du temps ncessaire
son administration et son dpannage.
Directives de configuration de SSRP
Pour supporter la stratgie de redondance de serveurs LECS, vous devez respecter les rgles de
configuration suivantes, sous peine de provoquer un dysfonctionnement du protocole et du rseau :
m
Chaque LECS doit maintenir la mme base de donnes de rseaux ELAN. Par consquent, vous
devez maintenir la mme base de donnes sur tous les serveurs LECS.
Vous devez configurer les adresses de serveurs LECS dans la table dadressage LECS, en respectant le mme ordre sur chaque commutateur ATM du rseau.
Lors de lutilisation du protocole SSRP avec ladresse par dfaut (Well Known Address), ne
placez pas deux serveurs LECS sur le mme commutateur ATM. Sinon, seul un serveur pourra
enregistrer ladresse par dfaut auprs du commutateur (par lintermdiaire de ILMI), ce qui
pourrait entraner des problmes lors de linitialisation.
Chapitre 5
169
Le code PNNI situ sur le commutateur LightStream 1010 se charge de lannonce de la nouvelle
route vers ladresse par dfaut lorsquintervient un changement de LECS en tant que serveur principal. Par consquent, un LEC dun fabricant tiers qui utilise uniquement ladresse par dfaut peut
galement interoprer avec SSRP. Ce protocole est la seule technique de redondance qui puisse tre
utilise avec presque nimporte quel LEC commercialis.
Pour implmenter SSRP avec ladresse par dfaut, utilisez la procdure suivante :
1. Configurez le LECS pour quil coute sur ladresse autoconfigure (ou, si vous le souhaitez, une
adresse ATM distincte que vous aurez dtermine au pralable). Cette adresse devrait tre
programme sur les commutateurs ATM pour le mcanisme de dcouverte dadresse du LECS.
2. Configurez chaque LECS au moyen de la commande lane config fixed-config-atm-address
pour quil coute sur ladresse par dfaut. Aprs avoir dtermin le LECS principal au moyen de
la procdure de redondance, celui-ci enregistre ladresse par dfaut auprs des commutateurs
ATM.
NOTE
Lemploi du protocole SSRP avec ladresse par dfaut (Well Known Address) ne donne pas de bons rsultats
dans certaines situations (lors dune dfaillance, par exemple) si deux LECS sont connects au mme commutateur ATM. La raison en est quun enregistrement dadresse peut tre dupliqu sur le mme commutateur,
ce qui nest pas autoris avec ILMI. Assurez-vous que chaque LECS soit situ sur un commutateur ATM spar.
Dans lventualit dun morcellement du rseau en deux nuages ATM spars, suite une panne de
liaison ou de commutateur dinterconnexion, chaque nuage devrait pouvoir disposer de son propre
ensemble de services LANE si SSRP est configur pour grer les partitions de rseau.
Lors de la configuration de SSRP, aidez-vous des directives suivantes pour prparer le rseau un
ventuel partitionnement :
m
Configurez chaque partition avec son propre ensemble de services LANE pouvant devenir actif
en cas de morcellement du rseau. Par exemple, si vous voulez connecter deux sites ou campus
par lintermdiaire dun rseau mtropolitain (MAN) et souhaitez disposer du mme rseau
ELAN sur chaque site, configurez chacun deux avec son propre ensemble de services LANE.
HSRP est un protocole que les concepteurs peuvent employer pour prvenir les pannes de routeurs
sur le rseau. Ce protocole est chang entre deux routeurs, dont lun est lu pour assurer le rle
170
Partie I
Architecture de rseaux
dinterface de routage principale (ou sous-interface) pour un sous-rseau donn. Lautre routeur
joue le rle de routeur de secours dynamique (hot standby). Avec HSRP, une adresse IP par dfaut
et une adresse MAC virtuelle par dfaut sont partages par les deux routeurs qui schangent le
protocole. Toutes les stations terminales IP utilisent cette adresse IP comme passerelle par dfaut
pour communiquer avec dautres stations situes en dehors de leur sous-rseau immdiat. Par
consquent, en cas de panne du routeur principal, le routeur de secours prend en charge ladresse de
passerelle par dfaut ainsi que ladresse MAC, afin que la communication puisse se poursuivre avec
les stations situes en dehors du sous-rseau.
Etant donn que HSRP est un protocole de niveau 2 qui ncessite un rseau de niveau 2 bas sur des
adresses MAC, il est possible dimplmenter une rcupration de type HSRP sur LANE. Les
mcanismes employs sont identiques ceux dune interface Ethernet et peuvent tre configurs au
niveau sous-interface.
Modules redondants pour commutateurs ATM de Cisco
Une autre faon de rpondre aux besoins dun rseau physique en matire de redondance est dajouter des modules redondants sur les commutateurs ATM. Ceux de Cisco supportent des alimentations
redondantes, ainsi que des modules redondants de commutation et dinterface.
Rsum
Ce chapitre a dcrit la technologie ATM, les rseaux ATM et lintgration dATM des rseaux
existants.
ATM possde trois couches fonctionnelles : la couche physique ATM, la couche ATM, et la couche
dadaptation ATM. ATM supporte de nombreux mdias au niveau de la couche physique. La
couche ATM est responsable de la livraison de la charge utile, des connexions virtuelles et de
lidentification des cellules. La qualit de service est gre au niveau de la couche dadaptation
ATM ; cette dernire offre quatre classes de trafic (AAL1, AAL2, AAL3/4 et AAL5) qui influent sur
les dcisions QoS.
Outre la technologie ATM, des considrations de conception concernant LANE ont t abordes,
ainsi que loffre ATM de Cisco.
6
Conception de rseaux
commutation de paquets
et de rseaux Frame Relay
Par Christopher Beveridge
Ce chapitre traite de manire gnrale de la commutation de paquets et des rseaux Frame Relay.
La technologie Frame Relay a t choisie ici, car elle illustre clairement les implications de linterconnexion de services de commutation de paquets. Les informations fournies dans ce chapitre sont
organises autour des thmes suivants :
m
172
Partie I
Architecture de rseaux
commutation de paquets, mais ne se traduit pas forcment par le choix de la combinaison de services la moins coteuse. Une implmentation russie repose sur deux rgles essentielles :
m
Lorsque vous implmentez une solution commutation de paquets, veillez valuer les conomies potentielles, grce aux interconnexions PSDN, en tenant compte des performances requises
par votre communaut informatique.
Crez un environnement qui soit facile grer, et qui puisse sadapter au fur et mesure que
dautres liaisons WAN se rvleront ncessaires.
Ces rgles reviendront en tant que thmes sous-jacents dans les sections suivantes.
Conception hirarchique
Lobjectif dune conception hirarchique est de rendre les lments dun grand rseau modulaires,
grce une implmentation en couches. Le modle global de cette organisation hirarchique est
dcrit au Chapitre 2. Les couches fonctionnelles essentielles de ce modle sont la couche daccs
local, la couche de distribution et la couche centrale (pine dorsale). Une approche hirarchique
tend essentiellement diviser un rseau en sous-rseaux, afin de faciliter la gestion du trafic et des
nuds. Une telle conception facilite galement lvolutivit des rseaux, car elle permet dintgrer
de nouveaux modules de sous-rseaux, ainsi que de nouvelles technologies de connexion la structure globale, sans pour autant perturber lpine dorsale existante. La Figure 6.1 illustre lapproche
de base dune conception hirarchique.
Figure 6.1
Interconnexion
hirarchique avec
commutation de paquets.
Etoile-1
Rseau
commutation
de paquets
Etoile-2
Routeur
Routeur
Routeur
Routeur
Trois avantages majeurs font pencher les dcisions de conception en faveur dune solution hirarchique :
m
volutivit ;
facilit de gestion ;
Chapitre 6
173
Lvolutivit est lun des principaux avantages qui justifient ladoption dune approche hirarchique
pour les connexions de services de paquets. Les rseaux hirarchiques sont plus volutifs, car ils
supportent lajout de modules supplmentaires, ce qui repousse les limites qui apparaissent rapidement sur des structures linaires, non hirarchiques.
Nanmoins, ils ont certains inconvnients quil faut prendre en compte : le cot des circuits virtuels,
la complexit inhrente une conception hirarchique (particulirement lorsquelle est intgre
une topologie maille), ainsi que les interfaces de routeur supplmentaires, ncessaires pour sparer
les couches de votre hirarchie.
Pour pouvoir tirer parti dune conception hirarchique, vous devez associer votre hirarchie de
rseaux une approche complmentaire au niveau de vos topologies rgionales. Les dtails de conception dpendent des services de paquets implments, ainsi que de vos exigences en termes de tolrance
aux pannes, de cot et de performances globales.
Facilit de gestion des rseaux hirarchiques
Simplicit de connexion. Le fait dopter pour une solution hirarchique rduit la complexit
globale dun rseau, car, dans ce cas, il est scind en units plus petites. Cette subdivision facilite
le dpannage, tout en offrant une protection contre la propagation de temptes de broadcast,
boucles de routage et autres problmes potentiels.
Souplesse de conception. Les rseaux hirarchiques offrent une plus grande souplesse dutilisation des services de paquets WAN. La plupart dentre eux gagnent exploiter une approche
hybride dans leur structure densemble. Dans la majorit des cas, des liaisons loues peuvent
tre implmentes au niveau de lpine dorsale avec des services de commutation de paquets
excuts au niveau des rseaux daccs et de distribution.
Les effets des diffusions broadcast (diffusions gnrales) sur les rseaux de services de paquets
(voir la section "Problmes lis la diffusion broadcast", plus loin dans ce chapitre) requirent
limplmentation de groupes de routeurs plus petits. Des exemples types de trafic broadcast sont les
mises jour de routage et les mises jour SAP (Service Advertisement Protocol) de Novell, qui
sont changes entre routeurs sur des rseaux PSDN. Un nombre excessif de routeurs dans
nimporte quelle zone ou couche dun rseau peut gnrer des goulets dtranglement, en raison de
la duplication des diffusions broadcast. Une organisation hirarchique permet de limiter ltendue
de ces diffusions entre rgions et au sein de lpine dorsale.
Choix dune topologie
Aprs avoir dfini votre structure de rseau, vous devez dfinir une approche de gestion de linterconnexion de sites au sein dune mme zone ou rgion administrative. Lors de la conception dun
174
Partie I
Architecture de rseaux
rseau tendu (WAN) chelle rgionale, que ce rseau repose sur des services de commutation de
paquets ou sur des connexions point--point, vous disposez de trois approches de base :
m
topologie en toile ;
Les sections suivantes traitent des possibilits dapplication de ces topologies pour des services de
commutation de paquets spcifiques.
Les illustrations de ce chapitre utilisent des lignes, afin de reprsenter linterconnexion de routeurs
spcifiques sur le rseau PSDN. Il sagit de connexions virtuelles, mises en uvre par une association de fonctionnalits sur les routeurs. Les connexions physiques relles sont gnralement implmentes au niveau de commutateurs sur le rseau PSDN.
Topologie en toile
Une topologie en toile inclut un seul hub dinterconnexion, ou routeur central, qui fournit un accs
lpine dorsale pour les rseaux feuilles, ainsi quun accs ces derniers uniquement par son
intermdiaire. La Figure 6.2 illustre la topologie en toile dun rseau rgional commutation de
paquets.
Figure 6.2
Topologie en toile
dun rseau rgional.
Feuille 1
Feuille 2
Routeur
Routeur
Connexion vers
l'pine dorsale
Routeur
central
Rseau rgional
commutation de paquets
Routeur
Routeur
Feuille 3
Routeur
Feuille 4
Feuille 5
Une topologie en toile offre les avantages dune gestion simplifie et dune rduction maximale
des cots. Nanmoins, elle prsente aussi des inconvnients non ngligeables. Tout dabord, le
routeur central constitue une source de panne potentielle. Ensuite, ce routeur limite les performances globales daccs aux ressources de lpine dorsale, car le trafic qui circule dans cette direction
(ou vers les autres routeurs rgionaux) doit passer par ce seul canal. Enfin, cette topologie nest pas
volutive.
Chapitre 6
175
Une topologie totalement maille implique un chemin direct entre chaque nud de routage situ en
priphrie dun rseau commutation de paquets et tous les autres nuds situs au sein du nuage.
La Figure 6.3 illustre ce type dorganisation.
Figure 6.3
Topologie totalement
maille.
Routeur
Routeur
Rseau
commutation
de paquets
Routeur
Routeur
Routeur
Routeur
Lobjectif dun environnement totalement maill est de fournir un haut niveau de redondance. Bien
quune telle topologie facilite le support de tous les protocoles de rseau, elle nest pas rentable
pour de grands rseaux commutation de paquets. Les principaux problmes qui se posent concernent le nombre important de circuits virtuels ncessaires (un pour chaque connexion entre
routeurs), la duplication intensive de paquets et de diffusions broadcast, ainsi que la complexit de
configuration des routeurs, en labsence de support du mode multicast dans des environnements non
broadcast.
En combinant une topologie totalement maille et une topologie en toile, de faon former un
environnement partiellement maill, on amliore le degr de tolrance aux pannes, sans rencontrer
pour autant les problmes de performances et de gestion associs une approche totalement
maille.
Topologie partiellement maille
Une topologie partiellement maille limite, dans une rgion, le nombre de routeurs qui possdent
une connexion directe vers tous les autres nuds ; les nuds ne sont pas tous connects entre eux.
Pour quun nud non maill puisse communiquer avec un autre nud non maill, il doit envoyer le
trafic via lun des routeurs qui fait office de point de collecte (voir Figure 6.4).
Il existe de nombreuses variantes de cette topologie. Elle offre gnralement le meilleur quilibre en
termes de nombre de circuits virtuels, redondance et performances, pour les topologies rgionales.
176
Partie I
Architecture de rseaux
Figure 6.4
Topologie partiellement
maille.
Etoile-1
Rseau
commutation
de paquets
Etoile-2
Routeur
Routeur
Routeur
Routeur
Le trafic broadcast peut poser des problmes lorsquil est introduit sur des rseaux de services de
paquets. Une station doit exploiter la diffusion broadcast lorsquelle souhaite envoyer un paquet
plusieurs stations dont elle ignore ladresse. Le Tableau 6.1 liste les protocoles de rseau courants et
leur niveau gnral de trafic broadcast, dans le cas dun grand rseau qui comprend de nombreux
nuds de routage.
Tableau 6.1 : Niveaux de trafic broadcast sur des rseaux tendus
Niveau de trafic
broadcast
Protocole de rseau
Protocole de routage
AppleTalk
Elev
Faible
Elev
Elev
Faible
IP (Internet Protocol)
RIP
IGRP (Interior Gateway Routing Protocol)
OSPF (Open Shortest Path First)
IS-IS (Intermediate System-to-Intermediate System)
Enhanced IGRP
BGP (Border Gateway Protocol)
EGP (Exterior Gateway Protocol)
Elev
Elev
Faible
Faible
Faible
Aucun
Aucun
DECnet Phase IV
DECnet Routing
Elev
DECnet Phase V
IS-IS
Faible
Chapitre 6
177
Tableau 6.1 : Niveaux de trafic broadcast sur des rseaux tendus (suite)
Protocole de rseau
Protocole de routage
Niveau de trafic
broadcast
ISO (International
Organization
for Standardization)
CLNS (Connectionless
Network Service)
IS-IS
ISO-IGRP
Faible
Elev
RIP
Elev
Elev
Faible
Les valeurs relatives Elev et Faible du Tableau 6.1 donnent une ide gnrale des niveaux de broadcast pour les protocoles rpertoris. La densit du trafic broadcast sera dtermine par vos situation
et implmentation spcifiques. Par exemple, le niveau de trafic broadcast gnr dans un environnement AppleTalk/Enhanced IGRP dpend de la valeur de lintervalle du temporisateur Hello IGRP. La
taille du rseau peut galement poser problme. Sur un rseau de petite chelle, le niveau de trafic
broadcast gnr par les nuds Enhanced IGRP peut tre plus lev que celui dun rseau bas
RTMP. Cependant, sur de grands rseaux, les nuds Enhanced IGRP gnrent beaucoup moins de
trafic broadcast que les nuds RTMP.
La gestion de la duplication de paquets est un facteur de conception important, qui doit tre pris en
compte lors de lintgration de rseaux locaux de type broadcast (tel Ethernet) avec des services de
paquets non broadcast (tel X.25). Les connexions des environnements de commutation de paquets
se caractrisent par un nombre important de circuits virtuels. Par consquent, les routeurs doivent
reproduire les diffusions broadcast pour chaque circuit sur une liaison physique donne.
Dans des environnements fortement maills, la duplication des diffusions broadcast peut se rvler
coteuse en termes de bande passante et de cycles processeur. En dpit des avantages quoffrent les
topologies mailles, celles-ci ne conviennent gnralement pas pour de grands rseaux commutation de paquets. Toutefois, un certain niveau de maillage de circuits est essentiel, afin de garantir
une tolrance aux pannes. La solution consiste donc trouver un compromis entre les performances
et les exigences en matire de redondance de circuits.
Gestion des performances
Lors de la conception dun rseau tendu bas sur un type de service de paquets spcifique, vous
devez prendre en considration les caractristiques des circuits virtuels. Par exemple, dans certaines
situations, les performances dpendront de la capacit dun circuit virtuel donn sadapter un
trafic multiprotocole. Selon la manire dont ce trafic est plac en file dattente et circule dun nud
lautre, certains protocoles peuvent ncessiter une gestion particulire. On pourrait envisager
dassigner certains circuits virtuels certains types de protocoles. Les performances des services de
commutation de paquets dpendent du dbit contractuel, ou CIR (Committed Information Rate)
le CIR correspond au dbit moyen maximal autoris par connexion, cest--dire par PVC, pour
178
Partie I
Architecture de rseaux
une priode donne , sur les rseaux Frame Relay, et des limitations de taille de fentre sur les
rseaux X.25.
conception hirarchique ;
topologies rgionales ;
Les recommandations et suggestions suivantes ont pour objectif de jeter les bases de la conception
de rseaux Frame Relay volutifs, qui prsentent un rapport quilibr entre les performances, la
tolrance aux pannes et le cot.
Conception hirarchique
En rgle gnrale, les arguments en faveur dune conception hirarchique pour les rseaux
commutation de paquets, prsents plus haut dans ce chapitre, sappliquent galement la conception hirarchique de rseaux Frame Relay. Ils sont au nombre de trois :
m
volutivit ;
facilit de gestion ;
De nombreux fournisseurs Frame Relay facturent leurs services en se fondant sur lidentifiant
de connexion de liaison de donnes (DLCI, Data Link Connection Identifier), qui caractrise une
connexion virtuelle permanente Frame Relay. Une telle connexion est quivalente un circuit virtuel
permanent X.25 qui, dans la terminologie X.25, est identifi par un numro de canal logique (LCN,
Logical Channel Number). Lidentifiant DLCI dfinit linterconnexion dquipements Frame Relay.
Quelle que soit limplmentation dun rseau, le nombre de connexions virtuelles permanentes
Frame Relay dpend troitement des protocoles utiliss, ainsi que des modles de trafics existants.
Le nombre de DLCI configurables par port srie dpend du niveau de trafic. Vous pouvez les utiliser
tous (environ 1 000), mais 200 300 suffisent gnralement pour une utilisation courante. Si vous
envoyez des diffusions broadcast sur les DLCI, 30 50 DLCI sont des quantits plus ralistes, eu
gard la surcharge de services gnre au niveau du processeur. Il est difficile de fournir des
recommandations spcifiques, car cette surcharge varie en fonction de la configuration. Nanmoins,
sur des quipements bas de gamme, larchitecture est limite par la quantit de mmoire dentresortie disponible. Le nombre de DLCI dpend de plusieurs facteurs, qui devraient tre pris en
compte conjointement :
Chapitre 6
179
Protocoles routs. Nimporte quel protocole qui utilise les diffusions broadcast de faon intensive limite le nombre de DLCI pouvant tre assigns. Par exemple, AppleTalk est un protocole
qui se caractrise par lutilisation de huit niveaux de surcharge en diffusion broadcast. Un autre
exemple est le protocole Novell IPX, qui envoie la fois des mises jour de routage et des mises
jour de service, ce qui entrane une surcharge de trafic broadcast suprieure au niveau de la
bande passante. A linverse, IGRP utilise moins la diffusion broadcast, car il envoie moins
frquemment des mises jour de routage (toutes les 90 secondes, par dfaut). Cependant, si ses
temporisateurs sont modifis, afin que les mises jour soient envoyes une frquence plus
leve, il se mettra lui aussi exploiter intensivement ce mode de diffusion.
Trafic broadcast. Les diffusions broadcast, telles les mises jour de routage, reprsentent le
facteur le plus important prendre en compte lors de la dtermination du nombre de DLCI
pouvant tre dfinis. La quantit et le type de trafic broadcast requis vous guideront dans lassignation des DLCI, tout en demeurant dans la plage gnrale recommande. Revoyez le
Tableau 6.1, plus haut dans ce chapitre, pour obtenir une liste des niveaux relatifs de trafic broadcast pour des protocoles courants.
Vitesse des lignes. Si le niveau de trafic broadcast doit tre lev, vous devriez envisager lutilisation de lignes plus rapides, ainsi que de DLCI dotes de valeurs suprieures pour les limites de
CIR, et de salves en excs (Be, excess burst). Vous devriez galement implmenter un nombre
moindre de DLCI.
Routes statiques. Si le routage statique est implment, vous pouvez utiliser un plus grand
nombre de DLCI par ligne, ce qui permet de rduire le niveau de diffusion broadcast.
Taille des mises jour de protocoles de routage et des mises jour SAP. Plus le rseau est
grand, plus la taille de ces mises jour augmente. Plus les mises jour sont importantes, plus le
nombre de DLCI pouvant tre assigns est limit.
Ces deux approches prsentent la fois des avantages et des inconvnients, mis en vidence dans
les sections suivantes.
Rseaux Frame Relay maills hirarchiques
Lobjectif de limplmentation dun maillage hirarchique pour des rseaux Frame Relay est
dviter la dfinition dun nombre excessif de DLCI, et de fournir un environnement segment
facile grer. Un tel environnement prsente un maillage total au niveau du rseau PSDN central et
de tous les rseaux priphriques. La hirarchie est cre en plaant les routeurs de faon stratgique entre les lments du rseau.
La Figure 6.5 illustre un maillage hirarchique simple. Le rseau donn en exemple comprend une
pine dorsale totalement maille, ainsi que des rseaux rgionaux et des rseaux broadcast maills,
situs en priphrie extrieure.
180
Partie I
Architecture de rseaux
Figure 6.5
A1
Environnement Frame
Relay hirarchique
totalement maill.
A2
Routeur
Rgion
maille A
Routeur
B1
Routeur
Routeur
Epine dorsale
Frame Relay
maille
Routeur
Routeur
Rgion
maille B
Routeur
Routeur
B2
Routeur
C1
Routeur
Rgion
maille C
Routeur
C2
Les deux principaux avantages dun maillage hirarchique sont quil est relativement volutif et
quil permet disoler le trafic. En plaant des routeurs entre des portions totalement mailles du
rseau, vous limitez le nombre de DLCI par interface physique, segmentez votre rseau, et en facilitez
la gestion. Toutefois, deux problmes peuvent se prsenter :
m
Limportance conomique et stratgique des environnements dpine dorsale oblige souvent les
concepteurs implmenter une structure maille hybride pour les rseaux WAN. Un rseau maill
Chapitre 6
181
hybride comprend des liaisons loues mailles et redondantes au niveau de lpine dorsale WAN,
ainsi que des rseaux PSDN Frame Relay partiellement (ou totalement) maills en priphrie. Des
routeurs sparent lpine dorsale des rseaux PSDN (voir Figure 6.6).
Figure 6.6
Rseau Frame Relay
hirarchique hybride.
A1
Rseaux d'accs A1 et A2
prsentent aussi des
topologies partiellement
mailles
Routeur
Interrseau rgional
partiellement maill
interconnect via un
PSDN Frame Relay
Routeur
Routeur
Routeur
Routeur
Routeur
Rseau rgional
Frame Relay
Routeur
Routeur
Routeur
Epine dorsale
point point
Routeur
A2
Routeur
Routeur
Les maillages hybrides hirarchiques ont pour avantages de fournir un niveau de performances
suprieur sur lpine dorsale, disoler le trafic et de simplifier lvolution des rseaux. De plus, ce
type de rseau, associ au Frame Relay, reprsente une solution intressante, car il autorise un
meilleur contrle du trafic sur lpine dorsale, et permet celle-ci dtre constitue de liaisons
ddies, do une plus grande fiabilit.
Les inconvnients de ces maillages sont, entre autres, des cots levs associs aux liaisons loues,
ainsi quune duplication de diffusions broadcast et de paquets, qui peut tre intensive sur les
rseaux daccs.
Topologies rgionales
Vous pouvez adopter lune des trois approches de conception suivantes, pour un rseau rgional de
services de paquets fond sur le Frame Relay :
m
topologie en toile ;
Ces trois approches sont prsentes dans les prochaines sections. En rgle gnrale, laccent est
plac sur les topologies partiellement mailles intgres un environnement hirarchique. Les
topologies en toile et totalement mailles sont examines pour leur contexte structurel.
182
Partie I
Architecture de rseaux
Topologie en toile
La structure gnrale dune topologie en toile a t dcrite plus haut dans ce chapitre. Elle est intressante, car elle rduit au maximum le nombre de DLCI ncessaires, et reprsente une solution peu
coteuse. Toutefois, elle est limite en matire de bande passante. Considrons un environnement
dans lequel un routeur dpine dorsale est reli un nuage Frame Relay une vitesse de 256 Kbit/s,
alors que les sites distants sont relis 56 Kbit/s. Une telle topologie ralentirait le trafic qui circule
depuis lpine dorsale jusquaux sites distants.
Nous lavons vu, une topologie en toile stricte noffre pas le niveau de tolrance aux pannes requis
dans de nombreuses situations. Si la liaison entre un routeur hub et un routeur feuille spcifique est
perdue, cest toute la connectivit vers ce dernier qui est perdue.
Topologie totalement maille
Une topologie totalement maille implique que chaque nud de routage connect un rseau
Frame Relay soit logiquement reli, via un DLCI assign, tous les autres nuds du nuage. Cette
topologie ne convient pas pour les rseaux Frame Relay plus grands, et ce pour plusieurs raisons :
m
Les grands rseaux Frame Relay totalement maills requirent de nombreux DLCI, un pour
chaque liaison logique entre les nuds. Comme illustr la Figure 6.7, une topologie entirement connecte ncessite lassignation de [n(n 1)]/2 DLCI, o n est le nombre de routeurs qui
doivent tre directement connects.
Figure 6.7
Rseau Frame Relay totalement maill.
Routeur
Routeur
DLCIs
Routeur
Routeur
La duplication de diffusions broadcast provoque des congestions sur les grands rseaux Frame
Relay maills. Les routeurs considrent le Frame Relay comme tant un mdia de type broadcast. Chaque fois quun routeur envoie une trame multicast (une mise jour de routage, une mise
jour darbre recouvrant ou une mise jour SAP), il doit la copier sur chaque DLCI pour cette
interface Frame Relay.
Ces problmes combins rendent les topologies totalement mailles inadaptes pour la quasi totalit des implmentations de Frame Relay, lexception de celles de petite taille.
Topologie partiellement maille
La combinaison dune topologie en toile et dune topologie totalement maille reprsente une
topologie partiellement maille. Cette solution est habituellement recommande pour des environnements Frame Relay rgionaux, car elle offre un niveau suprieur de tolrance aux pannes (par le
Chapitre 6
183
biais dtoiles redondantes) et se rvle moins coteuse quun environnement totalement maill. En
rgle gnrale, vous devriez implmenter un maillage minimal, afin dliminer les risques de sources de pannes.
La Figure 6.8 illustre une topologie partiellement maille, deux toiles. Cette organisation est
supporte sur les rseaux Frame Relay qui excutent IP, ISO CLNS, DECnet, Novell IPX, AppleTalk, ainsi que le pontage.
Figure 6.8
Rseau Frame Relay partiellement
maill, deux toiles.
Etoile2
Etoile1
Routeur
Rseau
Frame
Relay
Routeur
Routeur
Routeur
Une fonctionnalit connue sous lappellation interfaces virtuelles (introduite avec la version 9.21
de System Software) permet de crer des rseaux, laide des topologies Frame Relay partiellement mailles (voir Figure 6.8).
Pour crer ce type de rseau, des interfaces physiques individuelles sont divises en plusieurs interfaces virtuelles (logiques). En ce qui concerne le Frame Relay, cela signifie que les DLCI peuvent
tre regroups ou spars, pour une exploitation optimale. Par exemple, des petits nuages totalement maills de routeurs connects Frame Relay peuvent transiter au-dessus dun groupe de quatre
DLCI concentrs sur une seule interface virtuelle, alors quun cinquime DLCI sur une autre interface virtuelle assure la connectivit vers un rseau compltement spar. Toute cette connectivit a
lieu au-dessus dune seule interface physique connecte au service Frame Relay.
Dans la version 9.21 de System Software, les interfaces virtuelles ntaient pas disponibles, et les
topologies partiellement mailles pouvaient poser des problmes selon les protocoles de rseau
utiliss. Examinez la topologie illustre la Figure 6.9.
Eu gard une configuration de routeur standard et un logiciel de routeur antrieur la version 9.21
de System Software, la connectivit disponible pour le rseau illustr la Figure 6.9 peut tre caractrise comme suit :
m
184
Partie I
Architecture de rseaux
Figure 6.9
Rseau Frame Relay
partiellement maill.
Central A
Central Z
Rseau
Frame
Relay
B distant
DLCIs
C distant
D distant
En ce qui concerne les implmentations Frame Relay qui excutent une version de System Software
antrieure la version 9.21, le seul moyen de mettre en uvre une connectivit entre tous ces
routeurs est dutiliser un protocole par vecteur de distance, qui puisse dsactiver la fonctionnalit
dhorizon clat (split horizon), tels RIP ou IGRP pour IP. Tout autre protocole de rseau (AppleTalk ou ISO CLNS) ne sera pas oprationnel. Le code suivant illustre une configuration IGRP
prvue pour supporter une organisation partiellement maille :
router igrp 20
network 45.0.0.0
!
interface serial 3
encapsulation frame-relay
ip address 45.1.2.3 255.255.255.0
no ip split-horizon
Cette topologie fonctionne uniquement avec des protocoles de routage par vecteur de distance en
supposant que souhaitiez tablir une connectivit entre les routeurs distants B, C et D et les routeurs
centraux A et Z uniquement , sans ncessiter de liaison directe entre les routeurs distants. Cette
topologie ne fonctionne pas avec des protocoles de routage par informations dtat de lien, car le
routeur nest pas en mesure de vrifier la contigut de ses routeurs voisins. Notez que les routes et
les services des nuds feuilles qui ne peuvent pas tre joints sont visibles.
Problmes lis la diffusion broadcast
Nous lavons vu, les routeurs considrent le Frame Relay comme tant un mdia de type broadcast.
Par consquent, chaque fois quun routeur envoie une trame multicast (une mise jour de routage,
une mise jour darbre recouvrant ou une mise jour SAP), il doit la copier sur chaque DLCI pour
linterface Frame Relay. La reproduction de trame entrane une surcharge importante aux niveaux
du routeur et de linterface physique.
Prenons, par exemple, un environnement Novell IPX qui comprend plusieurs DLCI configurs sur une
seule interface physique. Chaque fois quune mise jour SAP est dtecte ce qui se produit toutes
les 60 secondes , le routeur doit la reproduire, puis lenvoyer sur linterface virtuelle associe
Chapitre 6
185
chaque DLCI. Chaque trame SAP contient jusqu sept entres de service, et chaque mise jour
comprend 64 octets. La Figure 6.10 illustre cet exemple.
NOTE
Lune des mthodes de rduction des diffusions broadcast consiste implmenter des protocoles de
routage plus efficaces, tel Ehanced IGRP, et dajuster les intervalles des temporisateurs sur les services Frame
Relay faible vitesse.
Figure 6.10
Duplication SAP dans
un environnement
Frame Relay avec
interfaces virtuelles.
DLCI 21
E0
Routeur A
DLCI 22
S0
DLCI 23
Broadcast
SAP
Les trs grands rseaux Frame Relay peuvent rencontrer des problmes de performances lorsque de
nombreux DLCI se terminent sur un seul routeur, ou serveur daccs, qui doit reproduire les mises
jour de routage ainsi que les mises jour dannonces de service sur chaque DLCI. Les mises jour
peuvent consommer la bande passante de la liaison daccs et provoquer des variations importantes
dans les dlais de transport du trafic utilisateur. Elles peuvent galement exploiter largement les
tampons dinterface, ce qui entrane une augmentation des pertes de paquets pour les donnes utilisateur aussi bien que pour les mises jour de routage.
Afin dviter cela, vous pouvez crer une file broadcast spcifique pour une interface, file qui sera
gre indpendamment de la file dinterface normale. Cette file disposera de ses propres tampons ;
sa taille et son dbit de service pourront tre configurs.
Une file broadcast se voit assigner une limite maximale de dbit de transmission, exprime la fois
en octets par seconde et en paquets par seconde. Elle est servie, de faon garantir que cette limite
ne sera pas dpasse. Elle est prioritaire lorsquelle transmet des donnes un dbit infrieur au
maximum configur, et dispose donc dune allocation minimale de bande passante garantie. Les
deux limites de dbit de transmission sont prvues afin dviter dinonder une interface avec des
diffusions broadcast. La vritable limite est la premire (celle exprime en octets ou celle exprime
en paquets) atteinte nimporte quel moment.
186
Partie I
Architecture de rseaux
Deux facteurs importants relatifs aux performances doivent tre pris en compte lors de limplmentation dun rseau Frame Relay :
m
Chacun de ces facteurs doit tre examin au cours du processus de planification du rseau. Les
sections suivantes traitent brivement de leffet quils peuvent produire sur les performances Frame
Relay globales.
Mtriques de cot des fournisseurs de services de commutation de paquets
Lorsque vous passez un contrat avec un fournisseur de services de commutation de paquets Frame
Relay, afin de bnficier de certaines fonctionnalits, le CIR (dbit contract), mesur en bits par
seconde, est lune des mtriques de cot ngocies essentielles. Le CIR reprsente le niveau de
trafic maximal autoris par loprateur sur un DLCI spcifique dans lenvironnement de commutation de paquets. Ce dbit garanti peut tre quivalent ou infrieur la capacit physique maximale
de la ligne de connexion.
Dautres mtriques essentielles sont reprsentes par les salves garanties (Bc, committed burst) et
les salves en excs (Be, excess burst). Les salves garanties reprsentent le nombre de bits que le
rseau est cens accepter et transmettre au dbit CIR. Les salves en excs dfinissent la limite absolue, en bits, dun DLCI. Il sagit du nombre de bits que le rseau Frame Relay tentera de transmettre
une fois la mtrique Bc dfinie. Be dtermine une pointe, ou dbit maximal, Frame Relay (MaxR),
o MaxR = (BC + Be)/Bc CIR, exprim en bits par seconde.
Examinez lexemple de la Figure 6.11. Dans cet environnement, les DLCI 21, 22 et 23 se voient
assigner des CIR de 56 Kbit/s. Supposez que le MaxR pour chaque ligne soit de 112 Kbit/s (le
double du CIR). La ligne srie laquelle le routeur A est connect est une ligne T1, capable de
fournir un dbit total de 1 544 Mbit/s. Etant donn que le trafic envoy sur le rseau Frame Relay
est gnr par des transferts de fichiers FTP, il est fort probable que le routeur tentera de transmettre
un dbit suprieur au MaxR. Si cela se produit, le trafic risque dtre supprim sans notification, en
cas de dbordement des tampons Be (allous au commutateur Frame Relay).
Malheureusement, il existe assez peu de techniques qui permettent dviter systmatiquement que
le trafic sur une ligne ne dpasse le MaxR. Bien que le Frame Relay emploie les protocoles FECN
(Forward Explicit Congestion Notification, notification de congestion explicite en aval) et BECN
(Backward Explicit Congestion Notification, notification de congestion explicite en amont) pour
contrler le trafic sur un rseau Frame Relay, il nexiste aucun standard de mise en correspondance
entre le niveau Frame Relay (liaison) et la plupart des protocoles de couches suprieures. Aussi,
lorsquun bit FECN est dtect par un routeur, il est associ loctet de notification de congestion
pour le protocole DECnet Phase IV ou ISO CLNS. Aucun autre protocole nest support.
Chapitre 6
Figure 6.11
187
DLCI 21
E0
Routeur A
Transferts
FTP
Station de travail TCP/IP
fournit un service FTP
aux clients distants sur
le rseau Frame Relay
Station de
travail TCP/IP
DLCI 22
S0
DLCI 23
Les consquences relles du dpassement du CIR spcifi et des paramtres MaxR associs
dpendent du type des applications qui sont excutes sur le rseau. Par exemple, lalgorithme
de temporisation (back-off) de TCP/IP interprtera les paquets supprims en tant quindicateur de
congestion ; les htes metteurs pourront alors rduire lmission de trafic. Nanmoins, tant donn
que NFS ne possde aucun algorithme de ce type, les paquets supprims rsulteront en des
connexions perdues. Lorsque vous dterminez les mtriques CIR, Bc et Be pour une connexion
Frame Relay, vous devez prendre en compte la vitesse de liaison ainsi que les applications relles
qui doivent tre supportes.
La plupart des oprateurs Frame Relay fournissent un niveau appropri de mise en mmoire tampon,
afin de pouvoir grer les situations o le trafic excde le CIR pour un DLCI donn. Ces tampons
permettent aux paquets en excs dtre traits avec le dbit CIR, et de limiter leur perte, dans le cas
dun protocole de transport robuste, tel que TCP. Nanmoins, il peut arriver que ces tampons
dbordent. Souvenez-vous que les routeurs sont capables de grer la priorit du trafic, linverse des
commutateurs Frame Relay. Vous pouvez spcifier quels sont les paquets Frame Relay de plus faible
priorit ou le moins sensibles aux dlais de livraison ; ils seront supprims en priorit si un commutateur Frame Relay est congestionn. Le mcanisme qui permet un commutateur Frame Relay
didentifier ces paquets est le bit DE (Discard Eligibility).
Cette fonctionnalit ncessite que le rseau Frame Relay soit en mesure dinterprter le bit DE.
Certains rseaux nexcutent aucune action lorsque ce bit est activ. Dautres lutilisent afin de
dterminer quels paquets supprimer. La meilleure approche consiste utiliser ce bit afin de dterminer quels paquets doivent tre supprims en priorit, mais galement quels sont les paquets le
moins sensibles aux dlais de livraison. Vous pouvez dfinir une liste de bits DE afin didentifier les
caractristiques des paquets qui peuvent tre supprims, et galement spcifier des groupes de bits
DE, afin didentifier le DLCI qui est affect.
188
Partie I
Architecture de rseaux
Vous pouvez tablir des listes de DE en vous fondant sur le protocole ou linterface, ainsi que sur
certaines caractristiques : la fragmentation du paquet, un port TCP ou UDP (User Datagram
Protocol) spcifique, un numro de liste daccs ou une taille de paquet.
NOTE
Pour viter de perdre des paquets, implmentez des protocoles dapplication non acquitts, limage de la
vido empaquete (packetized video). Soyez prudent, ces protocoles accroissent le risque de dpassement
de capacit des tampons.
Lorsque plusieurs protocoles sont transmis sur un rseau Frame Relay par le biais dune seule interface physique, il peut tre utile de rpartir le trafic sur diffrents DLCI, en fonction du type de
protocole. Pour diviser le trafic de cette manire, vous devez assigner des protocoles spcifiques
des DLCI spcifiques. Pour cela, vous pouvez spcifier une correspondance statique sur la base de
chaque interface virtuelle ou seulement dfinir des types dencapsulation pour certaines interfaces
virtuelles.
La Figure 6.12 illustre lutilisation dinterfaces virtuelles (assignes au moyen de commandes de configuration de sous-interface) afin dattribuer le trafic diffrents DLCI. Dans ce cas, le trafic de
chaque protocole configur est envoy vers le DLCI qui lui est associ, et isol sur un circuit. De
plus, chaque protocole peut se voir assigner un CIR ainsi quun niveau de mise en mmoire tampon,
spars par le fournisseur de services Frame Relay.
Figure 6.12
Protocoles
assigns
des interfaces
virtuelles.
E0
Routeur C
DLCI 21
DLCI 22
S0
DLCI 23
Trafic IPX envoy sur le
rseau Frame Relay via
DLCI 23 uniquement
Station de
travail TCP/IP
Serveur Novell
Chapitre 6
189
interface Ethernet 0
ip address 192.198.78-9 255.255.255.0
ipx network AC
denet cost 4
no mcp enabled
!
interface Serial0
no ip address
encapsulation framerealy
!
interface Serial0.1 pointtopoint
ip address 131.108.3.12.255.255.255.0
framerelay interfacedlci 21 broadcast
no framerelay inversearp IP 21
no framerelay inversearp NOVELL 21
no framerelay inversearp APPLETALK 21
no framerelay inversearp INS 21
!
interface Serial0.2 pointtopoint
no ip address
decnet cost 10
framerelay interfacedlci 22 broadcast
no framerelay inversearp IP 22
no framerelay inversearp NOVELL 22
no framerelay inversearp APPLETALK 22
no framerelay inversearp INS 22
!
interface Serial0.3 pointtopoint
no ip address
ipx network A3
framerelay interfacedlci 23 broadcast
no framerelay inversearp IP 23
no framerelay inversearp NOVELL 23
no framerelay inversearp APPLETALK 23
no framerelay inversearp INS 23
!
router igrp 109
network 192.198.78.0
!
ip nameserver 255.255.255.255
!
snmpserver community
!
line oon 0
line aux 0
line vty 0 4
end
Commandes de configuration
de sous-interface dfinissant
les DLCI Frame Relay et leur
assignant des protocoles
190
Partie I
Architecture de rseaux
Vous pouvez utiliser les commandes suivantes de System Software 9.1 afin de raliser une configuration semblable celle prsente la Figure 6.13 :
Version 9.1
interface serial 0
ip address 131.108.3.12 255.255.255.0
decnet cost 10
novell network A3
frame-relay map IP 131.108.3.62 21 broadcast
frame-relay map DECNET 10.3 22 broadcast
frame-relay map NOVELL C09845 23 broadcast
Imposition dun dbit par circuit virtuel. Le dbit du trafic de pointe sortant peut tre configur afin dutiliser le dbit CIR ou un autre dbit configurable par lutilisateur.
Ralentissement dynamique du trafic par circuit virtuel. Lorsque les paquets BECN signalent
une congestion sur le rseau, le dbit du trafic sortant est automatiquement rduit. Lorsque la
congestion cesse, il est rtabli. Cette fonction est active par dfaut.
Gestion avance de file dattente par circuit virtuel. La gestion de file dattente personnalise,
ou de file dattente de priorit, peut tre configure au niveau de circuits virtuels individuels.
En dfinissant des circuits virtuels distincts pour diffrents types de trafics, et en spcifiant une file
dattente ainsi quun dbit de trafic sortant pour chaque circuit virtuel, vous pouvez offrir une bande
passante garantie pour chaque type de trafic. En spcifiant diffrents dbits de trafic pour diffrents
circuits virtuels pour une mme priode, vous pouvez raliser un multiplexage temporel virtuel. En
ralentissant le trafic sortant de lignes haute vitesse au niveau des bureaux centraux en direction
des lignes faible vitesse de sites distants, vous pouvez rduire les risques de congestion et de perte
de donnes sur le rseau. La gestion avance de file dattente permet galement de prvenir les
pertes de donnes dues aux congestions. Les fonctions dadaptation de trafic sappliquent la fois
au circuit virtuel permanent et au circuit virtuel commut.
Chapitre 6
191
La communication orale implique une certaine quantit dinformations redondantes, qui sont
ncessaires au bon droulement dune conversation entre des personnes regroupes dans une salle ;
ce nest pas le cas sur un rseau. En rgle gnrale, seulement 20 % dune conversation consistent
en des composants du langage essentiels la comprhension, le reste tant form de pauses, de
bruits de fond, et de modles rptitifs.
On peut aujourdhui transporter la voix par paquets, avec une exploitation efficace de la bande
passante, en analysant et en traitant uniquement les composants essentiels de lchantillon de voix,
au lieu de tenter une numrisation de lchantillon tout entier (avec toutes les pauses et modles
rptitifs associs). Les technologies actuelles de traitement des signaux vocaux vont beaucoup plus
loin dans le processus de numrisation de la voix que les mthodes de codage conventionnelles.
Suppression des rptitions dans des conversations orales
Les sons rptitifs font partie intgrante de la communication orale et peuvent tre facilement
compresss. Dans une conversation courante, la moiti seulement de ce qui est formul atteint
loreille de celui qui coute. Sur un rseau de communication classique, tout le contenu de la
conversation est cod et transmis. Nanmoins, une transmission exacte des sons nest pas ncessaire, et la suppression des sons rptitifs peut permettre daugmenter lefficacit de la bande
passante.
Suppression des silences dans des conversations orales
Quelquun qui parle nmet pas un flot continu de paroles. Son discours est ponctu de pauses entre
les mots et les phrases ; des temps morts peuvent galement apparatre dans le cas o un tiers doit
pendre la parole sa suite. Ces silences peuvent tre supprims, afin doptimiser lefficacit de la
bande passante. Les pauses peuvent tre reprsentes sous une forme compresse, puis tre rgnres sur la destination, afin de retranscrire la qualit naturelle de la communication orale.
Formation et fragmentation des trames de voix
Une fois que les modles rptitifs ainsi que les silences ont t supprims, les informations restantes peuvent tre numrises, puis places dans des paquets de voix adapts la transmission de
la voix sur les rseaux Frame Relay. Ces paquets ou trames ont tendance tre plus petits que la
moyenne des trames de donnes. La taille de ces trames ainsi que les algorithmes de compression
utiliss sont dfinis dans les spcifications du forum Frame Relay FRF.11 et FRF.12 (voir
Figure 6.14).
La taille de trame est code au moyen de lalgorithme de codage et de compression du standard UIT
G.729, CS-CELP (Conjugate-Structure-Algebraic Code-Excited-Linear-Predictive). Ensuite, la
trame est fragmente afin de supprimer les composants de dlai variable importants. Lutilisation de
paquets plus petits permet de rduire les dlais et les variations de dlai de transmission sur le
rseau Frame Relay ; lalgorithme de compression limite les exigences globales en bande passante.
192
Partie I
Architecture de rseaux
Figure 6.14
Spcifications
FRF.11 et FRF.12.
VFRAD
VFRAD
En-tte de fragmentation
En-tte Frame Relay
Charge utile (fragment)
FRF.12 UNI fragmente uniquement sur l'interface UNI et les trames sont
rassembles l'entre du rseau.
FRF.12
End-to-End
(bout en bout)
VFRAD
FCS
VFRAD
En-tte de fragmentation
En-tte Frame Relay
Charge utile (fragment)
FCS
VFRAD
V
En-tte de fragmentation
En-tte de sous-trame
(subframe)
En-tte Frame Relay
Charge utile (fragment)
Chapitre 6
193
dernier, tout en assurant la mme qualit voix. Le Tableau 6.2 prsente diffrents algorithmes de
compression, ainsi que leurs exigences en bande passante, extraites de la srie de spcifications G
de lUIT.
Tableau 6.2 : Algorithmes de compression
Codage/compression UIT
Dbit
G.711 PCM
64 Kbit/s (DS0)
A-Law/Mu-Law
G.726 ADPCM
G.729 CS-ACELP
8 Kbit/s
G.728 LD-CELP
16 Kbit/s
G.723.1 CELP
Afin de rduire au maximum les exigences en bande passante pour la parole, tout en prservant une
bonne qualit voix grce lutilisation de codeurs de parole et de codeurs hybrides, des algorithmes
de compression avance sont ncessaires. Pour pouvoir tre exploits, ces algorithmes ont besoin de
processeurs de signaux numriques (DSP, Digital Signal Processor). Un DSP est un microprocesseur conu spcialement pour traiter les signaux numriques, tels ceux des applications de voix.
Des avances significatives dans la conception de ces microprocesseurs ont permis de dvelopper
des algorithmes de compression de la voix trs faibles dbits. Par exemple, le codeur hybride
G.729 de lUIT rduit considrablement la quantit dinformations ncessaires la compression et
la reproduction de la parole. Il parvient gnrer un flux de 8 Kbit/s, partir dun flux PCM initial
de 64 Kbit/s, ce qui donne un taux de compression 8:1. Dautres algorithmes, tel G.723 de lUIT,
offrent une compression qui atteint les 5,3 Kbit/s.
Au fur et mesure que les dbits disponibles passent de 64, 32, 16, puis 8 Kbit/s, voire en de,
les processeurs DSP et autres algorithmes de compression avance permettent dimplmenter la
compression de la voix des dbits de plus en plus faibles, sur des quipements qui supportent le
Frame Relay.
Echo et annulation dcho
Lcho est un phnomne que lon rencontre sur les rseaux qui transportent la voix, et qui se manifeste par la rflexion dun signal vocal vers sa source. Cette rflexion du signal vocal se produit en
gnral au niveau dun quipement appel coupleur, qui convertit une paire de fils de cuivre de
boucle locale en une interface quatre fils, pour une transmission longue distance. Lorsquune nonconcordance de limpdance se produit entre linterface deux fils et celle quatre fils, les signaux
qui ne peuvent pas tre envoys sur le chemin de transmission sont renvoys vers la source (voir
Figure 6.15).
194
Partie I
Figure 6.15
Phnomne dcho.
Architecture de rseaux
Central
tlphonique
Central
Sens de la tlphonique
transmission
Coupleur
2fils/4fils
Coupleur
2fils/4fils
Sens de la
rcption
Signal
rflchi
Sur des rseaux qui transportent la voix, les oprateurs utilisent des quipements qui supportent
lannulation dcho, appels annulateurs dcho (echo canceler), lorsque les dlais de transmission
de la voix sur des conversations de bout en bout viennent amplifier lcho. La Figure 6.16 indique
que lcho dpend des niveaux de dlai et de puissance.
Figure 6.16
Lcho dpend des niveaux
de dlai et de puissance.
Perte de puissance
du chemin d'cho
(Echo Path Loss)
(dB)
Plus la distance parcourir est longue, plus le dlai est allong, par consquent, plus lcho
augmente. La voix transmise sur un rseau Frame Relay doit galement faire face des dlais de
propagation. Au fur et mesure que le dlai de bout en bout augmente, lcho devient perceptible
pour lutilisateur final sil nest pas annul (voir Figure 6.17).
Problmes de dlai et de variation de dlai
La nature morcele du trafic Frame Relay, ainsi que la taille variable des trames transportes,
peuvent engendrer des variations de dlai de livraison entre les paquets dun mme flux. Cette
variation est appele gigue (jitter).
Chapitre 6
Figure 6.17
195
Central tlphonique
Annulation dcho.
A/E
+
Structure de
l'annulateur
d'cho
Filtre
adaptatif
La voix transporte sur les rseaux Frame Relay rsiste habituellement mieux que les donnes des
pertes accidentelles de paquets. Si un paquet de voix sur Frame Relay est perdu, lutilisateur ne sen
rendra probablement pas compte. En revanche, des pertes de trames excessives seront inacceptables, pour la voix aussi bien que pour les donnes. Il arrive que des paquets soient perdus lors du
dbordement dune file dattente, ou lorsque le mcanisme CRC (Cyclic Redundancy Check)
dtecte des erreurs de bits, introduites dans une trame sur le chemin de transmission. Dans les deux
cas, la transmission de la voix peut tre suffisamment dgrade pour devenir inexploitable.
Support pour fax et modem
Un rseau voix sur Frame Relay doit fournir des services de modem fax et donnes. Les signaux de
modem fax et donnes sur bande voix peuvent tre dmoduls, et transmis sous forme de donnes
numriques au format paquet. Cette technique est gnralement appele relais de fax (fax relay) ;
elle permet damliorer globalement lefficacit de la gestion du trafic fax sur un rseau de donnes,
sans impliquer de modulation/dmodulation sur un canal de voix 64 Kbit/s.
Il est cependant difficile de compresser de faon fiable les signaux de modem fax et donnes sur des
canaux rservs la voix, afin datteindre la faible utilisation de bande passante souvent essentielle
pour une intgration efficace avec le Frame Relay. Les interfaces de commutateurs Frame Relay
196
Partie I
Architecture de rseaux
classiques mettent en uvre une technique dans laquelle la voix est compresse un faible dbit.
Ds quun signal de fax est dtect, la bande passante est ralloue pour un dbit de 64 Kbit/s, afin
de pouvoir grer une transmission de fax plus rapide. Pour cela, un canal de 64 Kbit/s (qui supporte
fax groupe 3, 14,4 Kbit/s) est gnralement ncessaire. Si lquipement supporte le relais de fax,
le dbit demeure 14,4 Kbit/s tout le long du chemin de transmission.
Priorit de trafic sur le rseau Frame Relay
La voix, le fax, ainsi que certains types de donnes, sont sensibles aux dlais de transmission. Cela
signifie que, lorsque le dlai ou les variations de dlai de bout en bout excdent une limite prdfinie, le niveau de service sen trouve affect. De nombreux mcanismes et techniques permettent de
limiter les risques de dgradation des performances de service.
Pour rduire les dlais de transmission de la voix, des mcanismes qui favorisent le trafic sensible
aux dlais peuvent tre mis en uvre. Des quipements capables dintgrer la voix sur Frame Relay
peuvent fournir une varit de mcanismes propritaires, afin dquilibrer les exigences de transmission de la voix et des donnes, parmi lesquels on trouve des fonctionnalits de file dattente
(personnalise, de priorit et quitable pondre). Ces mcanismes peuvent parfois diffrer dans
leur implmentation, mais le concept sous-jacent demeure le mme. Par exemple, chaque type de
trafic en entre peut tre configur afin dtre dirig vers une ou plusieurs files dattente de priorit.
Le trafic de type voix et fax peut tre plac dans la file dattente de priorit la plus haute, alors que
le trafic moins sensible aux dlais est plac dans une file de priorit plus faible, en attendant que les
paquets de voix et de donnes soient transmis.
La gestion de priorit permet de traiter le trafic sensible aux dlais, tel que la voix, avant les transmissions de donnes de moindre priorit.
Contrle de dlai laide de la fragmentation de trame
La fragmentation permet de diviser des paquets de donnes en trames plus petites, donc plus faciles
grer. Elle tente de maintenir un flux continu de trames de voix sur le rseau, en limitant autant
que possible les dlais (voir Figure 6.14). Cette technique garantit que le trafic hautement prioritaire
naura pas subir dattente avant dtre envoy. Afin dassurer une bonne qualit voix, la fragmentation affecte souvent toutes les donnes sur le rseau. En effet, mme lorsque les informations de
type voix sont fragmentes, une trame de voix peut tre retarde par une trame de donnes plus
grande, sur le chemin de transmission. En fragmentant galement les paquets de donnes, il est
possible dassurer un transport des paquets de fax et de voix, sans avoir subir de retards inacceptables. De plus, la fragmentation rduit la gigue, car les paquets de voix peuvent tre changs de
faon plus rgulire. Combine aux techniques de gestion de priorit, la fragmentation offre toute
lefficacit requise. Lobjectif de la fragmentation est de permettre aux rseaux voix sur Frame
Relay de fournir des services qui approchent la qualit dune ligne interurbaine, tout en autorisant la
transmission de donnes, afin dexploiter au mieux la bande passante.
Suppression des silences a laide de linterpolation de la parole numrique (DSI)
La communication orale inclut des pauses entre les mots et entre les phrases. Les algorithmes de
compression fonds sur la fonctionnalit de dtection dactivit vocale (VAD, Voice Activity Detection)
galement connue sous le nom dinterpolation de la parole numrique (DSI, Digital Speech
Chapitre 6
197
Bande passante
conomise
Activit
vocale
(niveau de
puissance)
Temporisateur
Hang
Aucun trafic
voix envoy
Tampon SID
SID
- 54 dbm
Bruit aigu
Pointe vocale
Temps
Silence
Certains fabricants proposent des quipements daccs FRAD (Frame Relay Access Device) pour la
voix sur Frame Relay, qui utilisent diffrentes techniques de multiplexage, afin doptimiser
lexploitation de la bande passante. Parmi ces techniques, on trouve le multiplexage de liaison logique et le multiplexage de sous-canal. Le premier autorise des trames de voix et de donnes partager le mme circuit virtuel permanent (PVC), ce qui permet de rduire les cots doprateur, et
damliorer le niveau dutilisation du circuit PVC.
Le multiplexage de sous-canal est une technique employe pour combiner les informations qui proviennent de plusieurs conversations de type voix dans une mme trame. La transmission de plusieurs charges utiles dans une mme trame de voix entrane une rduction de la surcharge de paquets, et une
amlioration des performances sur des liaisons lentes. Cette technique permet des connexions lentes
de transporter efficacement des petits paquets de voix sur un rseau Frame Relay.
Rsum
Ce chapitre a dcrit limplmentation de services de commutation de paquets. Nous avons trait des
sujets tels que la conception de rseaux hirarchiques, le choix dune topologie, ainsi que les
problmes de diffusion broadcast et de performances. Nous avons galement abord les aspects lis
la conception de rseaux Frame Relay et voix sur Frame Relay.
7
Conception de rseaux APPN
Par Nicole Park
Larchitecture APPN (Advanced Peer-to-Peer Networking) est vue comme une version de seconde
gnration de larchitecture SNA (Systems Network Architecture) dIBM. Son objectif a t de faire
passer SNA, un environnement centralis autour dun hte, un environnement dhomologues, le
peer-to-peer. Elle apporte des fonctionnalits identiques celles des protocoles de rseaux locaux,
comme la dfinition dynamique des ressources ou la dcouverte ditinraires dacheminement du
trafic.
Ce chapitre tudie le dveloppement dun trac de rseau existant et la planification de projets de
migration vers APPN. Il traite des sujets suivants :
m
volution de SNA ;
intgration dAPPN ;
prsentation dAPPN ;
problmes dvolutivit ;
gestion de rseau ;
exemples de configuration.
200
Partie I
Architecture de rseaux
Bien que ce chapitre traite aussi de lexploitation dAPPN avec DLSw+, vous obtiendrez davantage
dinformations sur lemploi de DLSw+ en vous reportant au Chapitre 8.
Evolution de SNA
Introduit en 1974, le concept de sous-zone SNA a permis un mainframe excutant un dispositif
ACF/VTAM (Advanced Communications Function/Virtual Telecommunication Access Method)
dassurer le rle de hub du rseau. Le mainframe tait responsable de ltablissement de toutes les
sessions (une connexion entre deux ressources, travers laquelle les donnes pouvaient tre
envoyes), ainsi que de lactivation et de la dsactivation des ressources. Lobjectif des sous-zones
SNA tait de permettre la livraison fiable dinformations sur des lignes analogiques faible vitesse.
Les ressources taient clairement prdfinies, ce qui liminait le besoin de recourir la diffusion
broadcast et minimisait la surcharge lie la gestion den-ttes.
De nombreuses entreprises maintiennent aujourdhui deux rseaux : un rseau traditionnel hirarchique de sous-zones SNA et un rseau de plusieurs LAN interconnects, bas sur des protocoles
dynamiques sans connexion. Lavantage du rseau de sous-zones est quil est maniable et fournit un
temps de rponse prvisible. Linconvnient est quil ncessite une dfinition tendue de lorganisation du systme et ne tire pas profit des capacits dquipements plus intelligents, comme les PC et
les stations de travail.
Rle dAPPN
Les deux types de rseaux prcits, sous-zones SNA et LAN interconnects, ont pu tre intgrs au
moyen dAPPN, car ce protocole possde de nombreuses caractristiques propres aux rseaux LAN
et offre en mme temps les avantages de SNA. Ses principaux avantages sont :
m
la possibilit dtablir des connexions entre homologues (peer-to-peer), ce qui permet un utilisateur final dinitier une connexion avec nimporte quel autre utilisateur final sans lintervention
du mainframe (VTAM) ;
la fourniture dun protocole de routage efficace pour permettre un trafic SNA natif de circuler
en mme temps que dautres protocoles sur un mme rseau ;
A mesure que SNA a volu, une fonctionnalit est reste cruciale pour bon nombre dutilisateurs :
la classe de service ou CoS (Class of Service). Elle permet une gestion de la priorit du trafic par
session SNA sur lpine dorsale. Cela permet en retour un utilisateur de bnficier de sessions
avec plusieurs applications, chacune avec une classe de service diffrente. Avec APPN, cette fonctionnalit offre davantage de granularit et tend ses services jusquaux nuds dextrmit au lieu
de sarrter aux contrleurs de communication (FEP).
Chapitre 7
201
Un rseau APPN possde les 3 types de nuds suivants, dcrits au Tableau 7.1 : le nud de niveau
infrieur ou LEN (Low Entry Node), le nud dextrmit ou EN (End Node) et le nud de rseau
ou NN (Network Node), comme illustr Figure 7.1.
Le Tableau 7.1 dcrit ces diffrents types de nuds. Le point de contrle ou CP (Control Point), qui
est responsable de la gestion des ressources dun nud et de sa communication avec un nud adjacent, est un lment essentiel dun nud APPN. Il est lquivalent du SSCP (System Services
Control Point) sur un hte SNA.
Figure 7.1
Diffrents types
de nuds APPN.
NN
NN
NN
EN
APPN
NN
NN
EN
EN
session entre points
de contrle (CP)
noeud LEN
EN = noeud d'extrmit
NN = noeud de rseau
LEN = noeud infrieur
Vous obtiendrez davantage dinformations sur APPN dans la section "Prsentation dAPPN" de ce
chapitre.
202
Partie I
Architecture de rseaux
Description
Ce nud de niveau infrieur, antrieur APPN, est un nud de type homologue (peer-to-peer). Il peut participer sur un rseau APPN en utilisant les services fournis par un nud de rseau adjacent (NN). Le point de contrle (CP) du
nud LEN gre les ressources locales, mais ntablit pas de session CP-CP
avec un nud adjacent. Les partenaires dune session doivent tre prdfinis au
niveau du nud LEN et celui-ci doit tre prdfini au niveau du nud de rseau
adjacent. Le nud LEN est galement appel nud SNA type 2.1, unit physique (PU) type 2.1 ou PU2.1.
EN (End Node)
NN (Network Node)
*NdT : On associe parfois dans la littrature la signification Local Entry Networking Node ce sigle.
APPN, comme TCP/IP (Transmission Control Protocol/Internet Protocol), est un protocole routable, dont les dcisions de routage sont prises au niveau des nuds de rseau (NN). Bien que seul le
nud de rseau adjacent linitiateur de la session slectionne le chemin de la session, tous les
autres nuds de rseau contribuent au processus de routage en se tenant informs de la topologie du
rseau. Le nud de rseau contigu la destination y participe aussi en fournissant des donnes
dtailles sur la destination. Seuls les routeurs fonctionnant en tant que nuds de rseau APPN
peuvent prendre des dcisions de routage.
Les nuds LEN et EN reprsentent toujours les points terminaux de sessions. Ils sappuient sur les
nuds NN en ce qui concerne les dcisions de routage, lesquels calculent les meilleurs itinraires
pour ltablissement des sessions.
Chapitre 7
203
Pour que les dcisions de routage soient possibles (par exemple, choisir un centre de donnes ou un
itinraire), APPN doit tre implment. La Figure 7.2 prsente les critres sur lesquels se fonder
pour savoir si APPN doit tre utilis ou non sur un rseau.
Figure 7.2
Choix du niveau
dintgration dAPPN.
Centres de
donnes
Token
Ring
Token
Ring
Epine dorsale
Succursales
A la Figure 7.2, un seul lien connecte chaque succursale lpine dorsale. Par consquent, aucune
dcision de routage nest ncessaire leur niveau et un nud de rseau APPN nest donc pas utile
sur ces sites.
Comme il y a nanmoins deux centres de donnes, une dcision de routage doit pouvoir tre prise
pour dterminer vers quel centre diriger le trafic. Cette dcision peut avoir lieu au niveau des routeurs
des centres de donnes ou de ceux de lpine dorsale. Si vous souhaitez que le routage soit dcid au
niveau des centres, tout le trafic doit tre expdi vers un seul dentre eux, via DLSw+ par exemple,
pour tre ensuite rout vers le centre appropri, et ce en utilisant APPN uniquement au niveau des
routeurs du centre voulu. Si, en revanche, vous voulez que les dcisions dacheminement aient lieu
au niveau des routeurs de lpine dorsale, placez les nuds APPN sur ces derniers. Les dcisions
ditinraire seront alors effectues en dehors des centres de donnes. Dans cet exemple, la seconde
option est prfrable, car elle permet de limiter la fonction des routeurs de centre de donnes la
connexion avec le canal, de rduire le nombre de sauts vers le second centre de donnes et de fournir
un chemin vers un centre de secours en cas de sinistre.
Comme APPN ncessite davantage de ressources mmoire et logicielles, cette solution est gnralement plus coteuse. Les avantages du routage direct APPN et de la classe de service compensent
toutefois souvent les frais supplmentaires engags. Dans notre exemple, les cots impliqus dans
une solution de routage APPN au niveau de lpine dorsale ou des centres de donnes seraient justifis, alors quils ne le seraient pas pour une stratgie de routage au niveau des succursales.
204
Partie I
Architecture de rseaux
Deux situations justifient lajout dun nud de rseau chaque site distant de succursale :
m
Comme la classe de service (CoS) implique que lutilisateur accde plusieurs applications, elle
doit permettre lattribution dune priorit au trafic un niveau application. Bien que dautres stratgies, comme la gestion par file dattente personnalise, puissent assigner une priorit au niveau
utilisateur, elles ne la grent pas entre plusieurs applications dun mme utilisateur. Si vous deviez
absolument disposer de cette fonctionnalit, les nuds de rseau APPN devraient alors tre placs
au niveau des sites de succursales pour consolider le trafic provenant de plusieurs utilisateurs utilisant la classe de service. Celle-ci pourrait, par exemple, garantir quune procdure de vrification de
cartes de crdit obtienne toujours une priorit suprieure celle dune procdure de rception par
un site central des lots dune entreprise de dtail.
Il est important de comprendre o la classe de service est utilise sur le rseau aujourdhui. Sil
sagit dun rseau SNA de sous-zones, la classe de service nest exploite quentre dispositifs FEP
et ACF/VTAM, ou entre dispositifs ACF/VTAM, ou entre contrleurs FEP. A moins quil ny ait
dj un FEP sur le site dune succursale, aucune priorit nest attribue partir de la succursale,
encore que ce ne serait quen sortie de FEP. Dans ce cas, lajout dun nud de rseau APPN sur le
site de la succursale pourrait assurer une priorit en amont pour le trafic destination dun centre de
donnes, au lieu dattendre quil atteigne le FEP.
Impratif de routage entre succursales
Si maintenant le trafic doit aussi circuler entre les succursales, vous pouvez envoyer tout le trafic
vers un site central et laisser ses nuds de rseau APPN se charger de lacheminement en direction
des sites appropris. Cest la solution la plus vidente lorsquil faut pouvoir grer un trafic vers un
centre de donnes et entre des succursales et que chacune de celles-ci nest relie lpine dorsale
que par un seul lien. Toutefois, si le cot associ la mise en place dune liaison directe entre deux
succursales est justifiable, router toutes les informations vers un centre de donnes est inacceptable.
Dans cette nouvelle configuration, il est utile que les dcisions de routage soient prises au niveau
succursale. Avec lajout de nuds de rseau APPN aux endroits stratgiques, le trafic se destinant
aux centres de donnes serait ainsi transmis sur une liaison vers le centre appropri et celui intersuccursales pourrait tre expdi via un lien direct.
A lexemple de la Figure 7.3, chaque succursale possde deux liaisons en direction des routeurs
alternatifs des centres de donnes. Cest une situation dans laquelle des nuds de rseau APPN
peuvent tre ncessaires au niveau des succursales afin que les liaisons appropries puissent tre
slectionnes. Cela pourrait aussi tre le trac prvu pour le routage dun trafic inter-succursales,
avec lajout dun seul saut (hop) plutt que la cration de tout un maillage. Le routage obtenu est
plus direct que sil fallait dabord envoyer tout le trafic vers un centre de donnes dcisionnaire.
Chapitre 7
205
Figure 7.3
Exemple de rseau sur
lequel un routage de
trafic inter-succursales
est ncessaire.
Centres de
donnes
Token
Ring
Token
Ring
Epine dorsale
Succursales
Comme vous lapprendrez plus loin, il vaut mieux maintenir un nombre de nuds de rseau aussi
faible que possible pour des questions dvolutivit. Savoir discerner quand le routage natif et la classe
de service sont ncessaires est essentiel pour pouvoir minimiser le nombre de nuds de rseau.
En rsum, pour dterminer les points dimplmentation dAPPN, il faut valuer certains critres
comme le cot, lvolution possible et les endroits o le routage natif et la classe de service sont
requis. Intgrer APPN sur lensemble du rseau pourrait sembler tre la solution vidente, mme si
cela ntait pas ncessaire. Il faut bien comprendre quun tel dploiement serait probablement plus
coteux par rapport ce que les besoins rels entraneraient et pourrait ventuellement, dans le
futur, tre une source dobstacles lvolution du rseau. En consquence, installez APPN l o ses
fonctionnalits sont rellement requises.
206
Partie I
Architecture de rseaux
Le protocole DLSw+ permet dencapsuler SNA en plaant lintgralit du message APPN dans le
champ "donnes" du message TCP/IP. Les 40 octets supplmentaires den-tte associs TCP/IP
provoquent bien quelques inquitudes. Toutefois, comme Cisco offre dautres solutions telles que
Data Link Switching Lite, Fast Sequenced Transport (FST) et Direct Transport, qui utilisent des
en-ttes plus courts, cette partie du message ne sera pas considre comme problmatique dans le
cadre de notre discussion.
DSLw+ est une solution intressante pour les rseaux sur lesquels les stations et le centre de
donnes sont implments avec SNA, mais o lpine dorsale exploite TCP/IP. Cela permet davoir
un seul protocole sur toute lpine dorsale, tout en maintenant laccs toutes les applications SNA.
DLSw+ ne fournit ni routage APPN natif, ni classe de service. Par consquent, il est prfrable
demployer DLSw+ sur des rseaux pour lesquels le cot est un facteur essentiel et possdant les
caractristiques suivantes :
m
En gnral, DLSw+ offre une solution de moindre cot, qui ncessite moins de mmoire et de logiciels. Dans la grande majorit des rseaux, DLSw+ est combin avec APPN, et ce dernier est utilis
uniquement l o les dcisions de routage sont cruciales. Avec lencapsulation TCP/IP, la couche
TCP fournit une livraison aussi fiable que SNA/APPN, sans le routage natif et la classe de service.
TN3270 transporte les flots de donnes 3270 lintrieur dun paquet TCP/IP sans les en-ttes SNA.
Par consquent, cette solution suppose que la station terminale ne dispose que dune pile de protocoles TCP/IP et daucune pile SNA. TN3270 nest donc pas une solution de remplacement APPN, car
celui-ci requiert que la station destinataire possde une pile SNA. A linstar de DLSw+, APPN peut
tre utile sur le rseau pour assurer le routage entre des serveurs TN3270 et plusieurs mainframes ou
centres de donnes.
En rsum, APPN sera frquemment utilis avec DLSW+ sur des rseaux lorsquun seul protocole
est accept sur lpine dorsale. La solution BAN/BNN fournit une connectivit directe vers le FEP,
mais il lui manque les fonctionnalits des autres solutions. TN3270 nest utilis que pour les
stations finales TCP/IP.
Prsentation dAPPN
Cette section introduit larchitecture dAPPN et traite des sujets suivants :
m
dfinition de nuds ;
Dfinition de nuds
Les nuds, comme ACF/VTAM, OS/400 et Communication Server/2 (CS/2), peuvent tre dfinis
en tant que nud de rseau (NN) ou nud dextrmit (EN). Si vous devez faire un choix, aidezvous des points suivants :
Chapitre 7
207
Taille du rseau. Dterminez la taille du rseau. La conception de rseaux APPN tendus peut
parfois tre une source dobstacles pour une volution future. Rduire le nombre de nuds de
rseau pourra apporter une solution ce problme. Pour plus dinformations sur la rduction du
nombre de nuds de rseau, voyez la section "Rduction du nombre de nuds de rseau"de ce
chapitre.
Rle du nud. Interrogez-vous sur les fonctions du nud, savoir sil doit assurer des fonctions
de routage en mme temps que de traitement dapplications. Des nuds de rseau distincts
contribuent une rduction des cycles de traitement et des exigences en termes de mmoire sur
un contrleur dapplications.
Gnralement, vous devez dfinir un nud de rseau partout o une dcision de routage doit tre
prise.
Identificateurs de nuds APPN
Un nud APPN est identifi par son nom de rseau CP qualifi, qui suit le format netid.nom. La
portion netid est un nom de huit caractres qui identifie le rseau ou le sous-rseau sur lequel la
ressource est situe. Lidentifiant de rseau et le nom doivent tre reprsents sous forme dune
combinaison de lettres majuscules (A Z), de chiffres (0 9) et de caractres spciaux ($, # ou @),
o la premire position ne doit pas tre un chiffre.
Etablissement de sessions APPN
208
Partie I
Architecture de rseaux
5. Le nud EN source est alors responsable de linitiation de la session. Un message BIND est
envoy du nud EN source vers le nud EN de destination, en demandant une session. Le destinataire rpond au message BIND et le trafic de la session peut commencer circuler.
Routage intermdiaire de session
Des connecteurs de session sont utiliss la place de tables de routage avec APPN. Les identifiants
uniques de session et ports respectifs de chacun des nuds participant une connexion sont mis en
correspondance. Lorsque le trafic passe travers un nud, lidentifiant de session dans len-tte est
remplac par lidentifiant de sortie et envoy sur le port appropri (voir Figure 7.4).
Figure 7.4
Connecteur
de session
SID
245
Connecteur
de session
SID
321
SID
321
NN 1
SID
548
NN 4
EN B
EN A
SID 245
SID 321
SID 548
Phase de
session 1
Phase de
session 2
Phase de
session 3
Cet algorithme de routage est appel ISR (Intermediate Session Routing). Il offre un support pour la
dfinition de route et incorpore les fonctionnalits traditionnelles suivantes :
m
Traitement derreur et contrle du flux aux nuds dextrmit. Cette fonction reflte la
mthode de commutation de paquets des annes 70, qui provoquait de nombreuses erreurs de
ligne, imposant de ce fait le contrle derreur et de flux sur chaque nud. Etant donn la haute
qualit des services numriques qui existent actuellement en de nombreux endroits, ce traitement
redondant se rvle inutile et rduit de faon significative le dbit entre les nuds dextrmit
dune communication. Le traitement de bout en bout fournit de meilleures performances tout en
assurant le degr de fiabilit ncessaire.
Comme ces fonctionnalits sont aujourdhui inacceptables sur la plupart des rseaux grande
vitesse, un nouvel algorithme de routage, HPR (High Performance Routing), a t ajout APPN
afin de supporter le reroutage sans interruption pour contourner les pannes, ainsi que le contrle
derreur, le contrle de flux et la segmentation de bout en bout. Les routeurs Cisco grent ISR et
HPR.
Chapitre 7
209
La gestion des DLUR/DLUS (Dependent Logical Unit Requester/Server) est une fonctionnalit
APPN qui autorise le trafic de terminaux anciens circuler sur un rseau APPN. Avant lintroduction de cette fonctionnalit, larchitecture APPN supposait que tous les nuds sur un rseau
pouvaient initier un trafic peer-to-peer (par exemple, lenvoi du message BIND pour dbuter la
session). De nombreux terminaux anciens, auxquels on se rfre par le terme DLU, ou units logiques dpendantes, ne le peuvent pas et ont besoin que VTAM avertisse lapplication, qui envoie
ensuite le message BIND.
Pour que des sessions entre dispositifs anciens puissent tre inities, une relation client/serveur doit
exister entre le ACF/VTAM (serveur de LU dpendant ou DLUS) et le routeur Cisco (demandeur de
LU dpendant ou DLUR). Une paire de sessions LU type 6.2 est alors tablie entre le DLUR et le
DLUS (une session est tablie par chaque point dextrmit). Ces sessions servent transporter les
anciens messages de contrle qui doivent circuler pour activer les anciennes ressources et initier
leurs sessions LU-LU. Une session LU-LU est la connexion qui est initie lorsque les cinq tapes
dcrites plus haut la section "Etablissement de sessions APPN" sont ralises.
Par exemple, pour activer une ancienne LU, un message dactivation dunit logique (ACTLU,
Activate Logical Unit) doit lui tre envoy. Comme ce message nest pas reconnu dans un environnement APPN, il est transport par encapsulation sur la session 6.2. Le DLUR le dsencapsule la
rception et le passe lancienne LU. De la mme manire, la requte de session DLU est transmise
au DLUS de lACF/VTAM o elle est traite en tant que trafic hrit. Le DLUS envoie ensuite un
message lhte dapplications qui est responsable de lenvoi du message BIND. Aprs ltablissement de la session LU-LU, les donnes peuvent circuler en natif avec le trafic APPN, comme illustr Figure 7.5.
Figure 7.5
Traitement de session DLU.
Hte
d'applications
Rseau APPN
DLUR
Donnes
de session
Donnes de session
"Tubes" LU 6.2
Units LU
dpendantes
210
Partie I
Architecture de rseaux
APPN peut utiliser DLSw+ ou RSRB en tant que mcanisme de transport de rseau pour tre
support sur un rseau TCP/IP natif.
APPN peut tre utilis avec un dispositif de concentration en aval dunits physiques (DSPU,
Downstream Physical Unit) afin de rduire le nombre de PU en aval visibles pour VTAM. Cela
limite la dfinition de VTAM et le nombre de redmarrages du systme.
Avec la classe de service (CoS), les fonctionnalits de mise en files dattente de priorit, personnalise et quitable pondre, peuvent tre utilises afin dassurer la gestion de priorit et/ou la
rservation de bande passante entre protocoles.
Les options de gestion du rseau sont supportes et comprennent les services de gestion SNA
natifs utilisant NSP (Native Service Point) sur les routeurs Cisco, et SNMP (Simple Network
Management Protocol) par lintermdiaire des applications Cisco Works Blue.
Avec lemploi dun CIP (Channel Interface Processor) ou dun CPA (Channel Port Adapter), le
nud APPN peut sinterfacer directement avec lACF/VTAM travers le canal. VTAM peut tre
dfini en tant que nud EN ou nud NN.
Problmes dvolutivit
En tant quarchitecture dtat des liens dun rseau, la topologie est mise jour chaque fois que des
changements ont lieu. Il en rsulte un trafic de rseau considrable en cas dinstabilit et une
consommation importante des ressources mmoire et des cycles de traitement en vue de maintenir
les grandes bases de donnes topologiques et les tables CoS. De la mme manire, la dcouverte
dynamique des ressources sur les rseaux tendus peut aussi tre consommatrice en bande passante
et en ressources de traitement. Pour toutes ces raisons, lvolutivit devient un problme mesure
que la taille du rseau augmente. Les facteurs suivants influent sur la charge des nuds :
m
quantit du trafic ;
stabilit du rseau ;
nombre de techniques (dcrites dans cette section) utilises pour contrler le trafic et le traitement.
Fondamentalement, pour permettre aux rseaux APPN de stendre, la conception doit se focaliser
sur la rduction du nombre des mises jour de bases de donnes topologiques (TDU, Topology
Database Update) et des requtes de recherche LOCATE.
Chapitre 7
211
APPN est un protocole qui se base sur un algorithme de routage par tat de lien. A linstar des
autres algorithmes de ce type, il maintient une base de donnes dinformations sur lensemble de la
topologie du rseau. Chaque nud de rseau APPN envoie des paquets TDU, qui dcrivent ltat
actuel de tous ses liens vers les nuds de rseau adjacents. Un paquet TDU contient des informations qui identifient les lments suivants :
m
les caractristiques du nud et des liaisons vers les diverses ressources sur son rseau ;
le numro de squence de la mise jour la plus rcente pour chaque ressource dcrite.
Un nud de rseau qui reoit un paquet TDU propage les informations quil contient vers les
nuds de rseau qui lui sont adjacents en utilisant une technique de rduction de flux. Chaque nud
de rseau maintient des informations compltes sur le rseau et la faon dont ses liens sont interconnects. Lorsquun nud de rseau dtecte un changement (au niveau de la ligne ou du nud), il
inonde le rseau de paquets TDU pour assurer une convergence rapide. Si un lien instable existe sur
le rseau, il reprsente une source potentielle dimportantes diffusions de TDU.
A mesure que le nombre de nuds de rseau et de liaisons augmente, le nombre de paquets TDU
augmente aussi. Ce type de distribution dinformations de topologie peut se rvler trs consommateur en cycles de traitement, en mmoire et en bande passante. La maintenance des itinraires et
dun grand sous-rseau de communication complet peut ncessiter une importante quantit de
mmoire dynamique.
Vous pouvez utiliser les techniques suivantes pour diminuer la quantit de paquets TDU qui circulent sur le rseau :
m
La premire mthode de limitation de la quantit de paquets TDU transitant sur le rseau consiste
rduire le nombre de liens du rseau. Dans certaines configurations, il est parfois possible de recourir au concept de rseau de connexion pour diminuer le nombre de liens prdfinis. Comme les
nuds de rseau changent des informations sur leurs liaisons, moins vous aurez de liaisons et
moins ils gnreront de paquets TDU.
La Figure 7.6 illustre le trac physique dun rseau APPN. Les nuds NN1, NN2 et NN3 reprsentent des routeurs connects un rseau local FDDI.
212
Partie I
Architecture de rseaux
Figure 7.6
NNS
EN1
CIP
NN1
EN2
WAN
Anneau FDDI
NN2
NN3
Les htes des nuds NNS (Network Node Server), EN1 et EN2 sont connects au mme rseau
local FDDI via un routeur CIP ou un contrleur de cluster. Ces nuds sur le rseau FDDI sont relis
par une connectivit any-to-any. Pour reflter cette connectivit avec APPN, le nud NN1 doit dfinir une liaison vers les nuds NN2, NN3, NNS (hte VTAM), EN1 (hte de donnes VTAM) et
EN2 (hte de donnes EN). Les groupes de transmission interconnectant les nuds de rseau sont
contenus dans la base de donnes de topologie du rseau. Des paquets TDU sont diffuss pour
chaque liaison qui est dfinie vers le nud de rseau.
La Figure 7.7 illustre la vue logique du rseau APPN prsent la Figure 7.6. Lorsque le nud
NN1 rejoint le rseau pour la premire fois, il active les liaisons vers NN2, NN3, NNS, EN1 et
EN2. Des sessions CP-CP sont tablies avec les nuds de rseau adjacents. Chaque nud de rseau
adjacent envoie une copie de la base de donnes de topologie actuelle NN1.
Figure 7.7
Vue logique dun rseau
APPN sans dploiement
dun rseau de connexions.
NNS
NN1
EN1
NN2
EN2
NN3
Chapitre 7
213
De la mme manire, ce dernier cre un paquet TDU avec des informations le concernant ainsi que
ses liens avec les autres nuds et lenvoie vers les nuds NN2, NN3 et NNS par lintermdiaire des
sessions CP-CP. Lorsque NN2 reoit le TDU de NN1, il le retransmet vers ses nuds de rseau
adjacents, qui sont NN3 et NNS. Selon le mme processus, ces derniers renvoient le TDU de NN1
vers leurs nuds adjacents. Le rsultat est que plusieurs copies du mme TDU sont reues par
chaque nud du rseau.
Les groupes de transmission qui interconnectent les nuds dextrmit ne sont pas contenus dans la
base de donnes de topologie du rseau. En consquence, aucun paquet TDU nest diffus pour les
deux liaisons vers les nuds EN1 et EN2.
Si le nombre de groupes de transmission reliant les nuds de rseau pouvait tre rduit, celui des
paquets TDU le serait galement. En utilisant le concept de rseau de connexions, vous pouvez
liminer les dfinitions de groupes de transmission et, par consquent, limiter le trafic de paquets
TDU. Un rseau de connexions est un nud de routage virtuel unique (VRN, Virtual Routing Node)
qui assure une connectivit any-to-any pour chacun de ses nuds connects. Le VRN nest pas un
nud physique, mais une entit logique qui indique que les nuds utilisent un rseau de
connexions et quun itinraire de routage direct peut tre choisi.
Figure 7.8
NNS
EN1
NN1
VRN
EN2
NN2
NN3
Les nuds NN1, NN2 et NN3 possdent chacun une liaison vers le serveur nud de rseau (NNS)
et une liaison vers le VRN. Lorsque la liaison entre NN1 et NNS est active, NNS envoie une copie
de la base de donnes de topologie actuelle vers NN1. Ce dernier cre un TDU avec des renseignements le concernant et concernant ses liens vers NNS et le VRN, puis lenvoie vers NNS. Comme
NN1 ne possde pas de liaison dfinie vers NN2 et NN3, il ne leur envoie aucun paquet TDU. Lorsque NNS reoit le TDU de NN1, il lenvoie vers NN2 et NN3 qui ne le retransmettent pas, car ils
possdent seulement une liaison vers NNS. Cette configuration rduit de faon considrable le
nombre de paquets TDU qui circulent sur le rseau.
Lorsquune session est active entre des ressources situes sur le rseau de connexions, le serveur
nud de rseau reconnat quil sagit dun rseau de connexions et slectionne un chemin direct au
lieu deffectuer un routage au moyen de ses propres nuds de rseau. Cisco recommande de mettre
en uvre le concept de rseau de connexions lorsque cela est possible, car il permet non seulement
de diminuer le nombre de TDU transitant sur le rseau, mais aussi de rduire grandement les dfinitions de systme.
214
Partie I
Architecture de rseaux
Comme illustr par lexemple, un LAN (Ethernet, Token Ring ou FDDI) peut tre dfini en tant que
rseau de connexions. Grce aux services LANE (LAN Emulation, mulation LAN) dATM, vous
pouvez interconnecter des rseaux ATM avec des rseaux locaux traditionnels. Pour APPN, comme
un LAN mul via ATM nest rien dautre quun LAN de plus, le concept de rseau de connexions
peut tre appliqu. Ce concept est aussi exploitable sur les rseaux X.25, Frame Relay et ATM. Il
faut galement noter que des technologies comme RSRB et DLSw sont vues comme des LAN pour
APPN. Vous pouvez donc utiliser un rseau de connexions dans ces environnements. Lutilisation
combine dAPPN et des technologies RSRB et DLSw offre une synergie entre le routage et le
pontage du trafic SNA.
Rduction du nombre de sessions CP-CP
La deuxime technique de limitation des paquets TDU sur le rseau consiste rduire le nombre de
sessions CP-CP sur le rseau. Les nuds de rseau changent des mises jour de topologie au
moyen de ces sessions. Leur nombre a donc un effet direct sur celui des TDU gnrs.
Par exemple, la Figure 7.9, les nuds NN2, NN3, NN4 et NN5 font partie dun rseau totalement
maill. Chaque nud tablit des sessions CP-CP avec ses nuds de rseau adjacents. Cela signifie
que NN2 met en place des sessions CP-CP avec NN3, NN4 et NN5. De la mme faon, NN3 tablit
des sessions CP-CP avec NN2, NN4, NN5, etc.
Figure 7.9
NN3
NN2
NN4
sessions CP-CP
NN5
Si la liaison est interrompue entre NN1 et NN2, des mises jour par TDU sont diffuses de NN2
vers NN3, NN4 et NN5. Lorsque NN3 reoit le TDU, il le renvoie vers NN4 et NN5. De la mme
manire, lorsque NN5 le reoit, il le retransmet vers NN3 et NN4. Cela signifie que NN4 recueille
trois fois les mmes renseignements. Vous devriez maintenir un nombre minimal de sessions CP-CP
pour ne pas provoquer de duplication des informations de TDU.
A la Figure 7.10, des sessions CP-CP nexistent quentre NN2 et NN3, NN2 et NN4, et NN2 et
NN5. Il ny a aucune autre session CP-CP. Si la liaison est interrompue entre NN1 et NN2, ce
Chapitre 7
215
dernier diffuse des mises jour de groupe de transmission vers NN3, NN4 et NN5. Aucun de ces
trois nuds ne retransmet ces informations au reste du rseau, car il nexiste pas dautre session
CP-CP. Bien que cette disposition permette de rduire le nombre de TDU, si la liaison entre NN2 et
NN3 est interrompue, le rseau APPN se retrouve divis et le nud NN3 est isol.
Figure 7.10
NN3
NN1
NN2
NN4
sessions CP-CP
NN5
La Figure 7.11 illustre une conception plus efficace qui fournit galement une redondance. Chaque
nud de rseau possde des sessions CP-CP avec ses deux nuds adjacents. NN2 possde des
sessions CP-CP avec NN3 et NN5. Si la liaison entre NN2 et NN3 est interrompue, les TDU de
mises jour seront envoys via NN5 et NN4.
Figure 7.11
NN3
NN1
sessions CP-CP
NN2
NN4
NN5
A des fins de redondance, chaque nud de rseau devrait disposer, si possible, de sessions CP-CP
vers deux autres nuds.
216
Partie I
Architecture de rseaux
La troisime technique permettant de rduire la quantit de paquets TDU circulant sur le rseau
consiste diminuer le nombre de nuds de rseau en dfinissant des nuds APPN uniquement aux
frontires du rseau. Cela permet galement de limiter ltendue de la topologie sous-jacente. Les
technologies suivantes permettent datteindre cet objectif :
m
NN
EN
EN
DLSw+
Token
Ring
DLSw+
Token
Ring
EN
VTAM agit en tant que serveur nud de rseau pour plusieurs stations nuds dextrmit. Sil
existe plusieurs VTAM ou centres de donnes sur un rseau, limplmentation dAPPN sur le
Chapitre 7
217
routeur (ou les routeurs) connect via un canal lhte ou sur les autres routeurs dans le centre de
donnes peut permettre de dcharger VTAM en offrant des fonctionnalits de routage SNA, comme
illustr la Figure 7.13.
Figure 7.13
EN
NN
Token
Ring
EN
Token
Ring
DLSw+
DLSw+
EN
DLSw+ permet aussi un routage sans interruption en cas de panne sur le rseau tendu. Lutiliser
comme systme de transport rduit le nombre de nuds sur le rseau. Un inconvnient est que les
stations nuds dextrmit ncessitent des connexions WAN pour accder aux services du NNS.
Un autre inconvnient est que, sans APPN sur les routeurs, la priorit de transmission APPN est
perdue lorsque le trafic arrive sur le rseau DLSw+.
Pour plus dinformations sur DLSw et DLSw+, reportez-vous au Chapitre 8.
APPN sur FRAS BNN/BAN
Si le rseau APPN sappuie sur un rseau Frame Relay, une option consiste employer la fonction
FRAS BNN/BAN pour accder lhte. Ces deux fonctions, BNN et BAN, permettent un
routeur Cisco dtre connect directement un FEP. Lorsque FRAS BNN est utilis, cela suppose
que le rseau Frame Relay assure la commutation et que le routage natif nest pas utilis au sein du
rseau. Pour obtenir un exemple sur la faon dont APPN peut tre utilis avec FRAS BNN/BAN
lors de la conception dun rseau, voyez la section "APPN avec FRAS BNN".
APPN sur RSRB
Au moyen de RSRB, le trafic SNA peut tre transmis partir dun site distant vers un centre de
donnes via un pont. Lutilisation dun pont distant routage par la source peut rduire de faon
significative le nombre total de nuds du rseau et, du mme coup, le nombre de paquets TDU
devant y circuler. Un autre avantage li lemploi de cette technique est quelle offre un routage
sans interruption en cas de dfaillance dun lien.
Rduction des recherches LOCATE
Cette section dcrit le trafic de diffusion sur un rseau APPN et prcise en quoi les demandes de
recherche LOCATE peuvent constituer un obstacle lvolutivit dun tel rseau, sachant que leur
218
Partie I
Architecture de rseaux
impact peut varier dun rseau un autre. Elle identifie certaines des causes qui sont lorigine
dun nombre excessif de requtes LOCATE et prsente quatre techniques permettant dy remdier :
m
Un nud de rseau APPN autorise une localisation dynamique des ressources du rseau. Chaque
nud maintient dynamiquement des informations de ressources dans sa propre base de donnes
dannuaire. La base de donnes dannuaire distribue contient une liste de toutes les ressources du
rseau. La requte de localisation LOCATE permet un nud de rseau deffectuer une recherche
dans la base de donnes dannuaire de tous les autres nuds de rseau.
Lorsquune ressource nud dextrmit demande ltablissement dune session avec une autre
ressource dont elle na pas connaissance, elle utilise les capacits de recherche de son serveur nud
de rseau pour localiser la ressource cible. Si le nud de rseau ne possde aucune information sur
la cible, il transmet une requte de localisation LOCATE tous les nuds de rseau qui lui sont
adjacents en leur demandant daider le serveur nud de rseau identifier la ressource. Ces nuds
propagent leur tour des requtes de recherche vers leurs nuds contigus. Ce processus de recherche est appel recherche par broadcast.
Bien quil existe plusieurs mcanismes visant rduire la quantit de recherches par diffusion
(comme lenregistrement ou la mise en cache de ressources), il peut nanmoins subsister une quantit excessive de flots de requtes de localisation sur un rseau, en raison de ressources qui nexistent
plus, dune combinaison de rseaux de sous-zones et de rseaux APPN, ou bien de ressources indisponibles temporairement.
Stockage scuris de cache dannuaire
La premire technique que vous pouvez employer pour rduire la quantit de requtes de localisation sur un rseau APPN est la fonction de stockage scuris de cache dannuaire, qui est supporte
par limplmentation Cisco du nud de rseau. Les entres en cache dans la base de donnes
dannuaire dun nud de rseau peuvent tre priodiquement crites sur un support de stockage
permanent : un hte tftp. Ce processus permet dacclrer le rtablissement en cas de dfaillance
dun nud de rseau. Les ressources nont pas besoin dtre redcouvertes par lintermdiaire de
requtes de localisation. Cette fonctionnalit permet de rduire les pics de diffusion qui peuvent se
produire lorsque le rseau APPN est remis en route.
Entres dannuaire partielles
La deuxime technique que vous pouvez utiliser pour limiter les requtes de localisation sur un
rseau APPN consiste dfinir les ressources dans la base de donnes dannuaire locale en identifiant le nud dextrmit ou le nud de rseau lorsquune ressource particulire est repre.
Voici un exemple de configuration :
appn partner-lu-location CISCO.LU21
owning-cp CISCO.CP2
complete
Chapitre 7
219
Lexemple prcdent dfinit lemplacement dune LU nomme CISCO.LU21, qui est situe au
niveau du nud dextrmit ou du nud de rseau CISCO.CP2. Cette commande amliore les
performances du rseau en offrant la possibilit deffectuer des recherches diriges au lieu de
recourir une diffusion broadcast. Linconvnient est quil faut crer des dfinitions. Pour contourner ce problme, il est possible dutiliser des noms partiellement spcifis pour dfinir plusieurs
ressources.
Voici un exemple de configuration :
appn partner-lu-location CISCO.LU
owning-cp CISCO.CP2
wildcard
complete
Lexemple prcdent dfinit lemplacement de toutes les units LU comprenant un prfixe LU.
Lobservation dune convention dattribution de noms est videmment essentielle la russite de ce
type de dfinition de nud.
Serveur et client dannuaire central
La troisime technique sur laquelle vous pouvez vous appuyer pour minimiser les flots de requtes
de localisation sur un rseau APPN est la fonction de serveur/client dannuaire central (CDS,
Central Directory Server/Client). Larchitecture APPN prvoit une fonction de serveur dannuaire
central qui permet un nud de rseau dsign dagir en tant que point de centralisation servant
identifier les ressources du rseau. Sur les rseaux APPN actuels, chaque nud de rseau est une
source potentielle de diffusion de requtes de localisation de ressources. La raison en est que la base
de donnes des services dannuaire nest pas reproduite sur chaque nud de rseau.
La fonction CDS permet un nud de rseau, associ un logiciel client dannuaire central,
denvoyer une requte dirige vers un CDS. Si ce dernier na aucune connaissance de la ressource,
il met une requte en diffusion pour la localiser. Une fois quelle a t identifie, le CDS place les
informations correspondantes dans son cache dannuaire. Par la suite, le CDS pourra indiquer
lemplacement de la ressource aux autres nuds de rseau sans avoir effectuer de recherche en
diffusion. Limplmentation du nud de rseau par Cisco supporte la fonction de client dannuaire
central. Le dispositif VTAM est actuellement le seul produit qui implmente la fonction CDS.
Cette fonction implique un maximum dune seule requte en diffusion gnrale pour chaque
ressource de rseau. Elle rduit donc de faon significative la quantit de trafic li la recherche
dentits. Vous pouvez dfinir plusieurs CDS sur un rseau APPN. Un nud de rseau apprend
lexistence dun CDS par lchange de TDU. Sil en existe plusieurs, celui qui se trouve le plus prs
(en fonction du nombre de sauts ncessaires pour latteindre) est utilis. Sil est inaccessible,
litinraire vers le serveur alternatif le plus proche est calcul automatiquement.
Enregistrement central de ressources
La quatrime technique permettant de diminuer les flots de requtes de localisation est la fonction
denregistrement central de ressources. Un nud dextrmit enregistre ses ressources locales
auprs de son serveur nud de rseau. Si chaque ressource est ainsi enregistre, tous les nuds de
rseau peuvent interroger le serveur dannuaire central, ce qui limine le besoin de gnrer des
requtes en mode broadcast.
220
Partie I
Architecture de rseaux
une liaison WAN secondaire en tant que lien de secours pour une liaison WAN principale ;
des liaisons WAN doubles et des routeurs doubles assurant une redondance complte ;
le support de secours de la fonctionnalit DLUR dAPPN au moyen dun routeur CIP Cisco.
Ligne de secours
La premire technique de secours que vous pouvez utiliser sur un rseau APPN est lutilisation
dune liaison WAN secondaire en tant que solution de secours pour une liaison WAN principale.
Grce au concept dauto-activation la demande, vous pouvez assurer le soutien dune liaison principale au moyen de nimporte quel protocole support par exemple, PPP (Point-to-Point Protocol),
SMDS (Switched Multimegabit Data Service), ou X.25 comme illustr la Figure 7.14.
Figure 7.14
Ligne de secours.
NNB
Liaison
Frame
Relay
principale
Liaison
secondaire
PPP/RNIS
NNA
A la Figure 7.14, la liaison Frame Relay reprsente la liaison principale et la liaison RNIS reprsente la ligne de secours. La liaison RNIS doit tre en mesure de fournir un soutien instantan de la
liaison principale, mais doit demeurer inactive jusqu ce que cette dernire soit dfaillante. Aucune
intervention manuelle nest ncessaire. Pour supporter cela, NNA doit dfinir deux groupes de
transmission parallles vers NNB.
Chapitre 7
221
Dans ce cas, la liaison principale bnficiera dun cot ditinraire infrieur, car la valeur par dfaut
pour le paramtre est zro. Elle reprsentera donc un chemin prfrable par rapport la liaison
secondaire. Lors du rtablissement de la liaison principale, aucun mcanisme ne permet de rtablir
automatiquement les sessions sur cette liaison. Une intervention manuelle est ncessaire.
Redondance totale
La seconde technique de secours que vous pouvez utiliser sur un rseau APPN est lemploi de
liaisons WAN doubles et de routeurs doubles afin dobtenir une redondance complte. Dans certaines situations, une tolrance aux pannes totale est requise pour le transport de donnes cruciales.
Une telle configuration permettra de parer tous types de pannes de communication.
La Figure 7.15 illustre de quelle faon vous pouvez utiliser des adresses MAC virtuelles dupliques
via RSRB afin doffrir une redondance totale et un quilibrage de charge.
222
Partie I
Architecture de rseaux
Figure 7.15
Redondance totale.
NNA
NNB
NNC
NND
Token
Ring
Anneau 100
Les deux nuds NNC et NND dfinissent un port RSRB avec la mme adresse virtuelle MAC.
Chaque station dfinira ladresse MAC virtuelle RSRB comme adresse MAC de destination pour le
serveur nud de rseau. Une station peut donc en pratique utiliser NNC ou NND comme serveur
Chapitre 7
223
nud de rseau, selon le nud qui rpondra en premier au paquet dexploration. La route vers NNC
comprend les informations suivantes :
Ring 100 -> Bridge 1 -> Ring 200 -> Bridge 2 -> Ring 50
Lorsque NND tombe en panne, les sessions auxquelles il participe peuvent tre rtablies instantanment sur NNC. Ce processus est analogue au support du coupleur dinterface Token Ring (TIC,
Token Ring Interface Coupler) dupliqu sur le FEP, except quaucun quipement matriel nest
requis. Dans limplmentation RSRB de Cisco (voir Figure 7.15), le segment 20 et le pont 1 ainsi
que le segment 30 et le pont 2 sont virtuels. Ladressage MAC dupliqu peut tre support sans
recourir au matriel en place.
Prise en charge SSCP
224
Partie I
Figure 7.16
Architecture de rseaux
VTAMA/DLUS
NNA DLUR
Token
Ring
Token
Ring
VTAMB
LUA
DLUS de secours
session LU-LU
sessions SSCP-PU/LU
Tube de communication
LU6.2 DLUS-DLUR
VTAMC APPL
VTAMA/DLUS
CIP CSNA
NNA DLUR
Token
Ring
Token
Ring
VTAMB
LUA
DLUS de
secours
session LU-LU
sessions SSCP-PU/LU
Tube de communication
LU6.2 DLUS-DLUR
lencapsulation ;
Chapitre 7
225
Voici quelques fonctions Cisco de gestion de bande passante et de file dattente qui peuvent amliorer les performances globales du rseau :
m
Vitesse daccs au mdia. Il sagit du temps ncessaire une trame pour tre transmise sur une
liaison. Les exigences doivent tre bien cernes en ce qui concerne la capacit du rseau. Cette
caractristique est primordiale et une insuffisance de capacit serait une des principales causes
de dgradation des performances. Que vous disposiez dun rseau supportant un seul protocole
ou dun rseau multiprotocole, il est primordial que la quantit de bande passante soit suffisante.
Contrle de congestion. Le routeur doit possder un tampon de capacit suffisante pour pouvoir
grer les rafales instantanes de donnes. Pour supporter un environnement multiprotocole, la
gestion du tampon est un facteur important, car elle doit pouvoir garantir quun seul protocole
ne monopolise pas toute la mmoire tampon.
Temps de latence sur les routeurs intermdiaires. Ce temps inclut celui le traitement des
paquets lorsquils traversent un routeur et le dlai de stationnement en file dattente. Le temps de
traitement ne reprsente quune faible partie du temps total tandis que le dlai dattente reprsente la part la plus importante, car le trafic client/serveur est gnr en rafales.
Gnralement, le trafic SNA de sous-zone est hautement prvisible et peu exigeant en bande
passante. Compar ce trafic, celui des applications client/serveur a tendance tre mis en rafales
et requiert davantage de bande passante. A moins de disposer dun mcanisme protgeant le trafic
SNA provenant dapplications cruciales, les performances du rseau peuvent en tre affectes.
226
Partie I
Architecture de rseaux
Cisco fournit aux entreprises de nombreuses solutions de connexion de rseaux en permettant ces
deux types de trafic, de caractristiques diffrentes, de coexister et de partager une mme bande
passante, tout en assurant une protection des donnes SNA critiques par rapport aux donnes client/
serveur qui sont moins sensibles aux dlais de livraison. Cette gestion est ralise par lintermdiaire de mcanismes de mise en file dattente de priorit ou de rservation de bande passante.
La mise en file dattente de priorit de sortie dinterface fournit une mthode permettant de grer la
priorit des paquets transmis par rapport aux interfaces. Les quatre files dattente possibles associes cette gestion sont : haute priorit, priorit moyenne, priorit normale et basse priorit,
comme illustr Figure 7.17. Les niveaux de priorit peuvent tre accords selon le type de protocole, linterface, ladresse SDLC, etc.
Figure 7.17
Les quatre files
dattente de la fonction
de gestion de priorit.
Trafic
SNA
Trafic
TCP/IP
Haute
Moyenne
Normale
Basse
T
Trafic
NetBIOS
Trafic
divers
A la Figure 7.18, le trafic SNA, TCP/IP, NetBIOS et dautres donnes diverses se partagent le
mdia. Le trafic SNA est prioritaire sur tous les autres trafics, suivi par celui de TCP/IP, de NetBIOS
et finalement celui de divers autres protocoles. Il nexiste aucun algorithme de calcul danciennet
des donnes associ ce type de gestion de file dattente. Les paquets placs dans la file dattente de
haute priorit sont toujours traits avant ceux de la file de moyenne priorit, qui sont eux-mmes
servis avant ceux de la file de priorit normale, etc.
La gestion de priorit introduit nanmoins un problme dquit en ce sens que les paquets classs
dans les files dattente de faible priorit peuvent ne pas tre servis temps, ou ne pas tre traits du
tout. La gestion de file dattente personnalise a t prvue pour pallier ce problme, car elle offre
une meilleure granularit. En fait, elle est couramment utilise dans les environnements de rseaux
supportant plusieurs protocoles de couches suprieures. Cette gestion de file dattente peut rserver
de la bande passante pour un protocole spcifique, ce qui permet de garantir un trafic transportant
des donnes critiques une quantit minimale de bande passante nimporte quel moment.
Le but est de rserver de la bande passante pour des types de trafic particuliers. Par exemple, la
Figure 7.18, SNA dispose de 40 % de la bande passante, TCP/IP de 20 %, NetBIOS de 20 % et
lensemble des protocoles restants de 20 %. Le protocole APPN intgre un concept de classe de
service (CoS, Class of Service) pour dterminer le degr de priorit de chaque message. Il en dfinit
la priorit avant de lenvoyer sur la file dattente de transmission DLC.
Chapitre 7
Figure 7.18
227
Exemple de file
dattente
personnalise.
R H
M
H
R = Priorit du rseau
H = Priorit haute
M = Priorit moyenne
F = Priorit faible
S = Trafic SNA
S
S
S
Trafic
APPN
Trafic
TCP/IP
20%
Trafic
NetBIOS
20%
20%
Trafic
divers
40%
La mise en file dattente personnalise permet de dfinir la priorit dun trafic multiprotocole et
autorise un maximum de 16 files dattente. Chaque file est servie de faon squentielle jusqu ce
que le nombre doctets envoys dpasse le compte doctets configurable ou que la file soit vide. Un
aspect important de cette fonctionnalit est la rallocation de la bande passante restante en cas de
non-utilisation. Par exemple, si SNA nexploite que 20 % de la quantit qui lui a t octroye, les
autres protocoles peuvent alors se partager les 20 % restants.
Cette fonctionnalit est prvue pour des environnements dans lesquels un niveau de service minimal doit tre assur pour chaque protocole. Dans les environnements multiprotocoles actuels, elle
permet des protocoles possdant des caractristiques diffrentes de partager le mme mdia. Pour
une prsentation dautres types de gestion de files dattente permettant plusieurs protocoles de
cohabiter sur un mme routeur, revoyez le Chapitre 2.
228
Partie I
Architecture de rseaux
Les exigences en mmoire pour le support dAPPN sont nettement plus leves que pour celui des
autres protocoles en raison de ses grandes tables de classes de service, de ses bases de donnes de
topologie et de ses bases de donnes dannuaire. Pour assurer une bonne cohabitation dAPPN avec
dautres protocoles dans un environnement multiprotocole, les utilisateurs peuvent dfinir la quantit
maximale de mmoire mise disposition dAPPN. Voici un exemple de commande de configuration :
appn control-point CISCONET.EARTH
maximum-memory 16
complete
La mmoire qui est ddie APPN nest pas disponible pour dautres traitements. Utilisez donc
cette commande avec prudence.
Bien que la mmoire dtermine des facteurs comme le nombre de sessions pouvant tre supportes
par APPN, la mmoire tampon est ncessaire pour rguler le trafic chang avec le routeur. Pour
garantir quAPPN dispose de suffisamment de mmoire tampon pour pouvoir supporter les flots de
trafic, vous pouvez dfinir le pourcentage qui lui sera rserv. Cela lempchera de monopoliser la
mmoire tampon disponible sur le routeur.
Voici un exemple de commande de configuration :
appn control-point CISCONET.EARTH
buffer-percent 60
complete
Le protocole APPN emploie un algorithme de gestion par statistiques pour contrler lutilisation du
tampon. Lorsque la mmoire tampon est limite, il utilise divers mcanismes de contrle de flux
pour se protger de situations svres de congestion ou de blocage (deadlock) qui pourraient tre
provoques par un espace tampon insuffisant.
Gestion de rseau
A mesure que les rseaux augmentent en taille et en complexit, de nombreuses mthodes apparaissent pour permettre aux entreprises de grer leur rseau. Le Tableau 7.2 rsume les produits de
gestion de rseau proposs par Cisco.
Chapitre 7
229
Tableau 7.2 : Outils de gestion de rseau disponibles pour des rseaux APPN
Application
Description
Commandes daffichage
Sur les rseaux APPN, la comprhension de la topologie et de ltat des ressources du rseau relve du dfi. Les commandes daffichage tirent profit du
fait que tous les nuds de rseau ou de sous-rseau disposent dune base de
donnes complte de la topologie du rseau. Un seul nud de rseau suffit
obtenir une vue du sous-rseau APPN ; peu importe le nud choisi. Afin
dobtenir des informations plus dtailles, par exemple sur les nuds dextrmit (EN), les nuds de niveau infrieur (LEN), les ports locaux ou les stations
connectes, dautres nuds de rseau doivent tre interrogs. Le routeur Cisco
supporte RFC1593, APPN, MIB, qui sont utiliss par le routeur IBM 6611.
Aussi peut-il tre utilis comme agent pour les applications APPN SNMP. La
plupart des nuds APPN peuvent afficher une grande partie de ces informations sous forme tabulaire. Sur le routeur Cisco, la commande show appn topo
affiche la base donne de topologie sous forme dun tableau. La commande
show appn? rpertorie toutes les options disponibles.
Une application Cisco Works, qui affiche les cartes logiques des rseaux
APPN, RSRB et DLSw+. Elle sexcute sur les systmes dexploitation HP/
UX, SunOS et AIX. La carte APPN est un gestionnaire pour les agents APPN
SNMP qui permet dafficher un rseau APPN. Lapplication ne peut grer
quun seul agent de topologie de rseau. Sil existe plusieurs sous-rseaux, elle
peut tre dmarre plusieurs fois.
NSP
(Native Service Point)
Sous SNA, une session entre un SSCP et une PU est appele une session
SSCP-PU. Les SSCP utilisent ces sessions pour envoyer des requtes et recevoir des informations dtat de la part de nuds individuels. Ces informations
sont ensuite utilises pour contrler la configuration du rseau. Un point de service NSP sur le routeur peut tre utilis pour envoyer des alertes et rpondre
aux questions de NetView sur le mainframe. Un point de service permet cette
application dtablir une session vers un routeur laide des applications Cisco
qui sexcutent sur NetView. Ces applications provoquent lenvoi des commandes vers le routeur, auxquelles celui-ci rpond. Ce processus nest actuellement
support que sur une session SSCP-PU, mais la fonctionnalit DLUR peut tre
utilise pour accomplir cela sur un rseau APPN.
Alertes et interceptions
230
Partie I
Architecture de rseaux
Exemples de configuration
Cette section fournit des exemples de configuration de rseau APPN :
m
Vous trouverez galement des exemples de lutilisation dAPPN lors de la conception dun rseau :
m
Comme le montrent les exemples suivants, la configuration minimale dun nud APPN inclut une
instruction de point de contrle APPN pour le nud et une instruction de port pour chaque interface.
Configuration dun rseau APPN simple
La Figure 7.19 illustre un exemple de rseau APPN simple qui se compose de quatre nuds de
rseau, les routeurs A, B, C et D. Le routeur A est responsable de linitiation des connexions vers les
routeurs B, C et D. En consquence, il doit dfinir les liens logiques APPN en spcifiant ladresse
FDDI du routeur C, ladresse ATM du routeur D, et ainsi de suite. En ce qui concerne les routeurs B,
C et D, ils peuvent dynamiquement crer les dfinitions de stations de liaison lorsque le routeur A se
connecte.
Figure 7.19
Exemple dune
configuration de
rseau APPN simple.
CISCONET.ROUTERB
Routeur B
S1
PPP
CISCONET.ROUTERC
S0
CISCONET.ROUTERA Routeur A
F0
A0
A0
Routeur D
CISCONET.ROUTERD
Anneau FDDI
F0
Routeur C
Chapitre 7
231
Exemples de configuration
Cette section fournit des exemples de configuration pour chacun des quatre nuds de rseau
(routeurs A, B, C et D) illustrs Figure 7.19.
Configuration du routeur A
Dans cet exemple de configuration, notez que toutes les stations de liaison sont dfinies sur le
routeur A (commande appn link-station) et dcouvertes dynamiquement par les autres routeurs.
Une station de liaison connecte deux ressources et doit tre dfinie avec ladresse de destination sur
lune des ressources :
!
hostname routera
!
interface Serial0
ip address 10.11.1.1 255.255.255.0
encapsulation ppp
no keepalive
no fair-queue
clockrate 4000000
!
interface Fddi0
no ip address
no keepalive
!
interface ATM0
no ip address
atm clock INTERNAL
atm pvc 1 1 32 aal5nlpid
!
appn control-point CISCONET.ROUTERA
complete
!
appn port PPP Serial0
complete
!
appn port FDDI Fddi0
desired-max-send-btu-size 3849
max-rcv-btu-size 3849
complete
!
appn port ATM ATM0
complete
!
appn link-station LINKTOB
port PPP
complete
!
appn link-station LINKTOC
port FDDI
lan-dest-address 0000.6f85.a8a5
no connect-at-startup
retry-limit infinite 5
complete
!
appn link-station LINKTOD
port ATM
atm-dest-address 1
232
Partie I
no connect-at-startup
retry-limit infinite 5
complete
!
Configuration du routeur B
Voici un exemple de configuration pour le routeur B de la Figure 7.19 :
!
hostname routerb
!
interface Serial1
ip address 10.11.1.2 255.255.255.0
encapsulation ppp
no keepalive
no fair-queue
!
appn control-point CISCONET.ROUTERB
complete
!
appn port PPP Serial1
complete
!
appn routing
!
end
Configuration du routeur C
Voici un exemple de configuration pour le routeur C de la Figure 7.19 :
!
hostname routerc
!
interface Fddi0
no ip address
no keepalive
!
appn control-point CISCONET.ROUTERC
complete
!
appn port FDDI Fddi0
desired-max-send-btu-size 3849
max-rcv-btu-size 3849
complete
!
appn routing
!
end
Configuration du routeur D
Voici un exemple de configuration pour le routeur D de la Figure 7.19 :
!
hostname routerd
!
interface ATM0
ip address 100.39.15.3 255.255.255.0
atm pvc 1 1 32 aal5nlpid
Architecture de rseaux
Chapitre 7
233
!
appn control-point CISCONET.ROUTERD
complete
!
appn port ATM ATM0
complete
!
appn routing
!
end
La Figure 7.20 illustre un exemple de rseau APPN comprenant des stations terminales. Sur le site
distant, le routeur B initie la connexion APPN vers le routeur A sur le site du centre de donnes.
Figure 7.20
NN
CISCONET.NNVTAMA
Token
Ring
EN AS/400
T0
CISCONET.ENA400B
CISCONET.RouteurA
Routeur A
SDLC
S0
S1
S0
Frame Relay
T0
Routeur B
Token
Ring
CISCONET.RouteurB
S0
EN
Routeur C
CISCONET.RouteurC
CISCONET.ENCM2B
T0
Token
Ring
EN
CISCONET.ENCM2C
234
Partie I
Architecture de rseaux
Exemples de configuration
Cette section prsente des exemples de configuration pour les routeurs A, B et C illustrs Figure 7.20.
Configuration du routeur A
Voici un exemple de configuration pour le routeur A de la Figure 7.20, qui est responsable de
linitiation de la connexion APPN vers lhte VTAM :
hostname routera
!
interface TokenRing0
no ip address
mac-address 4000.1000.1000
ring-speed 16
!
interface Serial0
mtu 4096
encapsulation frame-relay IETF
keepalive 12
frame-relay lmi-type ansi
frame-relay map llc2 35
!
appn control-point CISCONET.ROUTERA
complete
!
appn port FR0 Serial0
complete
!
appn port TR0 TokenRing0
complete
!
appn link-station TOVTAM
port TR0
lan-dest-address 4000.3745.0000
complete
!
end
Configuration du routeur B
Voici un exemple de configuration pour le routeur B illustr Figure 7.20. Sur le site distant, il initie
la connexion APPN vers le routeur A sur le centre de donnes et le nud dextrmit EN AS/400.
Comme aucune station de liaison nest dfinie sur le routeur B pour CISCONET.ENCM2B, il faut
en dfinir une pour le routeur B sur ENCM2B :
!hostname routerb
!
interface TokenRing0
mac-address 4000.1000.2000
no ip address
ring-speed 16
!
interface Serial0
mtu 4096
encapsulation frame-relay IETF
keepalive 12
frame-relay lmi-type ansi
frame-relay map llc2 35
Chapitre 7
235
!
interface Serial1
no ip address
encapsulation sdlc
no keepalive
clockrate 19200
sdlc role prim-xid-poll
sdlc address 01
!
appn control-point CISCONET.ROUTERB
complete
!
appn port FR0 Serial0
complete
!
appn port SDLC Serial1
sdlc-sec-addr 1
complete
!
appn port TR0 TokenRing0
complete
!
appn link-station AS400
port SDLC
role primary
sdlc-dest-address 1
complete
!
appn link-station ROUTERA
port FR0
fr-dest-address 35
complete
!
end
Configuration du routeur C
Voici un exemple de configuration pour le routeur C illustr Figure 7.20. Il initie une connexion
APPN vers le routeur A. Comme il ny a pas de station de liaison dfinie pour CISCONET
.ENCMC2C, il faut en dfinir une pour le routeur C dans la configuration de ENCM2C :
hostname routerc
!
interface TokenRing0
mac-address 4000.1000.3000
no ip address
ring-speed 16
!
interface Serial0
mtu 4096
encapsulation frame-relay IETF
keepalive 12
frame-relay lmi-type ansi
frame-relay map llc2 36
!
appn control-point CISCONET.ROUTERC
complete
!
appn port FR0 Serial0
236
Partie I
Architecture de rseaux
complete
!
appn port TR0 TokenRing0
complete
!
appn link-station ROUTEURA
port FR0
fr-dest-address 36
complete
!
end
La Figure 7.21 illustre un exemple de rseau utilisant APPN avec DLSw+. Le routeur A est un
routeur DLSw+ sans fonction APPN alors que le routeur B excute DLSw+ et APPN.
Figure 7.21
Exemple dAPPN avec DLSW+.
Rseau DLSw+
DLSw+
CISCONET.ROUTERA
CISCONET.ROUTERB
T0
T0
Token
Ring
Segment 5
CISCONET.ENCM2A
Token
Ring
CISCONET.ENCM2B
La section suivante fournit des exemples de configuration pour les routeurs A et B et les deux
stations de travail illustres Figure 7.21.
Configuration DLSw+ du routeur A
Voici une configuration pour le routeur A illustr Figure 7.21 :
hostname routera
!
source-bridge ring-group 100
dlsw local-peer peer-id 10.4.21.3
dlsw remote-peer 0 tcp 10.4.21.1
!
interface Serial0
Chapitre 7
237
mtu 4096
ip address 10.4.21.3 255.255.255.0
encapsulation frame-relay IETF
keepalive 12
no fair-queue
frame-relay lmi-type ansi
frame-relay map llc2 56
!
interface TokenRing0
ip address 10.4.22.2 255.255.255.0
ring-speed 16
multiring all
source-bridge 5 1 100
!
FQ_CP_NAME(CISCONET.ENCM2A)
CP_ALIAS(ENCM2C)
NAU_ADDRESS(INDEPENDENT_LU)
NODE_TYPE(EN)
NODE_ID(X05D00000)
NW_FP_SUPPORT(NONE)
HOST_FP_SUPPORT(YES)
MAX_COMP_LEVEL(NONE)
MAX_COMP_TOKENS(0);
DEFINE_LOGICAL_LINK LINK_NAME(TORTRB)
ADJACENT_NODE_TYPE(LEARN)
PREFERRED_NN_SERVER(YES)
DLC_NAME(IBMTRNET)
ADAPTER_NUMBER(0)
DESTINATION_ADDRESS(X400010001112)
ETHERNET_FORMAT(NO)
CP_CP_SESSION_SUPPORT(YES)
SOLICIT_SSCP_SESSION(YES)
NODE_ID(X05D00000)
ACTIVATE_AT_STARTUP(YES)
USE_PUNAME_AS_CPNAME(NO)
LIMITED_RESOURCE(NO)
LINK_STATION_ROLE(USE_ADAPTER_DEFINITION)
MAX_ACTIVATION_ATTEMPTS(USE_ADAPTER_DEFINITION)
EFFECTIVE_CAPACITY(USE_ADAPTER_DEFINITION)
COST_PER_CONNECT_TIME(USE_ADAPTER_DEFINITION)
COST_PER_BYTE(USE_ADAPTER_DEFINITION)
SECURITY(USE_ADAPTER_DEFINITION)
PROPAGATION_DELAY(USE_ADAPTER_DEFINITION)
USER_DEFINED_1(USE_ADAPTER_DEFINITION)
USER_DEFINED_2(USE_ADAPTER_DEFINITION)
USER_DEFINED_3(USE_ADAPTER_DEFINITION);
DEFINE_DEFAULTS IMPLICIT_INBOUND_PLU_SUPPORT(YES)
DEFAULT_MODE_NAME(BLANK)
238
Partie I
Architecture de rseaux
MAX_MC_LL_SEND_SIZE(32767)
DIRECTORY_FOR_INBOUND_ATTACHES(*)
DEFAULT_TP_OPERATION(NONQUEUED_AM_STARTED)
DEFAULT_TP_PROGRAM_TYPE(BACKGROUND)
DEFAULT_TP_CONV_SECURITY_RQD(NO)
MAX_HELD_ALERTS(10);
START_ATTACH_MANAGER;
FQ_CP_NAME(CISCONET.ENCM2B)
CP_ALIAS(ENCM2C)
NAU_ADDRESS(INDEPENDENT_LU)
NODE_TYPE(EN)
NODE_ID(X05D00000)
NW_FP_SUPPORT(NONE)
HOST_FP_SUPPORT(YES)
MAX_COMP_LEVEL(NONE)
MAX_COMP_TOKENS(0);
Chapitre 7
239
DEFINE_LOGICAL_LINK
LINK_NAME(TORTRB)
ADJACENT_NODE_TYPE(LEARN)
PREFERRED_NN_SERVER(YES)
DLC_NAME(IBMTRNET)
ADAPTER_NUMBER(0)
DESTINATION_ADDRESS(X400050006000)
ETHERNET_FORMAT(NO)
CP_CP_SESSION_SUPPORT(YES)
SOLICIT_SSCP_SESSION(YES)
NODE_ID(X05D00000)
ACTIVATE_AT_STARTUP(YES)
USE_PUNAME_AS_CPNAME(NO)
LIMITED_RESOURCE(NO)
LINK_STATION_ROLE(USE_ADAPTER_DEFINITION)
MAX_ACTIVATION_ATTEMPTS(USE_ADAPTER_DEFINITION)
EFFECTIVE_CAPACITY(USE_ADAPTER_DEFINITION)
COST_PER_CONNECT_TIME(USE_ADAPTER_DEFINITION)
COST_PER_BYTE(USE_ADAPTER_DEFINITION)
SECURITY(USE_ADAPTER_DEFINITION)
PROPAGATION_DELAY(USE_ADAPTER_DEFINITION)
USER_DEFINED_1(USE_ADAPTER_DEFINITION)
USER_DEFINED_2(USE_ADAPTER_DEFINITION)
USER_DEFINED_3(USE_ADAPTER_DEFINITION);
DEFINE_DEFAULTS IMPLICIT_INBOUND_PLU_SUPPORT(YES)
DEFAULT_MODE_NAME(BLANK)
MAX_MC_LL_SEND_SIZE(32767)
DIRECTORY_FOR_INBOUND_ATTACHES(*)
DEFAULT_TP_OPERATION(NONQUEUED_AM_STARTED)
DEFAULT_TP_PROGRAM_TYPE(BACKGROUND)
DEFAULT_TP_CONV_SECURITY_RQD(NO)
MAX_HELD_ALERTS(10);
START_ATTACH_MANAGER;
Cette section prsente limplmentation et la conversion dune sous-zone de rseau SNA base sur
un FEP en un rseau APPN reposant sur des routeurs. Elle explore lutilisation de DLSw+ en tant
que technologie de migration et prsente les tapes raliser. Le scnario met en scne une grande
compagnie dassurance situe en Europe. Lentreprise projette de remplacer les FEP par des
routeurs Cisco et de migrer leur sous-zone vers un environnement de routage APPN.
La Figure 7.22 illustre le rseau SNA actuel de lentreprise. Il se compose de deux sites avec mainframe excutant quatre images VTAM avec un hte CMC (Communication Management Complex)
dans chaque centre de donnes, comme illustr Figure 7.22. Chaque centre de donnes possde
aussi quatre FEP NCR Comten (compatibles IBM 3745) qui supportent le trafic provenant de
plusieurs sites rgionaux et deux FEP NCR Comten qui assurent la gestion de SNI (SNA Network
Interconnect).
240
Partie I
Figure 7.22
Rseau SNA bas sur
lemploi de FEP.
Architecture de rseaux
Centre de
donnes 1
Bureaux
rgionaux
mac1
Centre de
donnes 2
X.25
mac2
Token
Ring
PU 2.0
mac1
mac2
Token
Ring
PU 2.0
Il existe 22 bureaux rgionaux travers le pays. Chaque site rgional possde deux FEP NCR
Comten, lun se connectant au centre de donnes 3 et lautre au centre de donnes 2. Les FEP
distants sont associs des rseaux Token Ring doubles connects par lintermdiaire dun pont ; le
support dadresse de coupleur TIC duplique est implment pour le secours et la redondance. Cela
signifie quune station PU2.0 peut accder lhte par lintermdiaire de nimporte lequel des deux
FEP, au cas o lun deux tomberait en panne.
Outre les dispositifs connects au Token Ring (environ 15 par bureau rgional), les deux FEP utilisent aussi NPSI (NCP Packet-Switching Interface) et supportent plus de 200 dispositifs connects
distance via le rseau public X.25. Le nombre total de LU supportes par bureau rgional est
denviron 1800, avec 1500 sessions LU-LU pouvant tre actives nimporte quel moment. Le dbit
du trafic est estim 15 transactions par seconde.
La premire tape de migration consiste implmenter un routeur CIP Cisco au niveau de lun des
centres de donnes, en remplaant les FEP relis par canaux. Un routeur Distant est ensuite install
sur lun des sites rgionaux. Les deux routeurs sont connects au moyen de DLSw+, comme illustr
Figure 7.23.
Chapitre 7
Figure 7.23
Centre de
donnes 1
Migration de sous-zone
vers APPN : phase 1.
241
Centre de
donnes 2
Token
Ring
DLSw+
mac 1
mac 2
mac 1
Token
Ring
mac 2
Token
Ring
DLSw+
Bureaux rgionaux
PU 2.0
PU 2.0
Comme le montre la Figure 7.23, les FEP sur le site rgional continuent assurer les fonctions de
liaison vers les dispositifs connects au Token Ring et via X.25. Les deux routeurs DLSw+ grent le
trafic entre le FEP du centre de donnes 1 et le FEP sur le site rgional. La classe de service SNA
est prserve dans cet environnement.
Aprs stre assur de la stabilit des routeurs, le concepteur du rseau passe la phase suivante.
Comme le montre la Figure 7.24, cette phase implique linstallation de deux autres routeurs, un sur
le centre de donnes 2 et un autre sur le site rgional. A ce point, les communications FEP-FEP
entre sites rgionaux et centres de donnes sont gres par les routeurs via DLSw+.
En poursuivant le plan de migration, ltape suivante du concepteur est dinstaller un routeur CIP
supplmentaire dans chaque centre de donnes pour grer le trafic entre les deux centres. Comme
illustr Figure 7.25, les liaisons qui connectent les FEP des centres de donnes 1 et 2 sont dplaces
une par une vers les routeurs.
APPN sera activ pour supporter le trafic entre les centres de donnes 1 et 2. Finalement, le rseau
bas sur FEP devient un rseau de routeurs. Les contrleurs NCR Comten deviennent obsoltes.
Deux dentre eux seront conservs pour assurer le support de SNI pour les organisations externes.
La Figure 7.26 illustre le nouveau rseau.
242
Partie I
Architecture de rseaux
Centre de
donnes 1
Figure 7.24
Migration de sous-zone
vers APPN : phase 2.
Centre de
donnes 2
Token
Ring
Token
Ring
DLSw+
DLSw+
mac1
mac1
mac2
Token
Ring
mac2
Token
Ring
DLSw+
DLSw+
Bureaux
rgionaux
PU 2.0
PU 2.0
Figure 7.25
Centre de
donnes 1
Migration de sous-zone
vers APPN : phase 3.
Centre de
donnes 2
NN
NN
Token
Ring
Token
Ring
DLSw+
DLSw+
mac1
mac2
mac1
Token
Ring
mac2
Token
Ring
DLSw+
DLSw+
Bureaux
rgionaux
PU 2.0
PU 2.0
Chapitre 7
Figure 7.26
Centre de
donnes 1
Migration de sous-zone
vers APPN : phase 4.
243
Centre de
donnes 2
NN
Token
Ring
NN
Token
Ring
DLSw+
DLSw+
mac1
mac2
mac1
Token
Ring
mac2
Token
Ring
DLSw+
DLSw+
Bureaux rgionaux
PU 2.0
PU 2.0
Les liens de communication qui connectaient prcdemment les FEP aux centres de donnes sont
maintenant dplacs vers les routeurs. Les FEP des centres de donnes peuvent tre limins. Ceux
sur les sites rgionaux jouent simplement le rle de frontire pour les dispositifs LU dpendants,
autorisant ainsi le maintien de la classe de service de SNA. La phase suivante consiste en la migration des fonctions de frontire SNA des FEP vers le routeur Distant sur le site rgional en activant
APPN et DLUR. Aprs cela, les FEP peuvent tre limins.
Ltape suivante consiste en la migration de DLSw+ vers APPN entre les routeurs de centres de
donnes et ceux des bureaux rgionaux. Cette phase est ralise rgion par rgion jusqu ce que la
stabilit du rseau soit garantie. Comme lillustre la Figure 7.27, le support DLUR est activ pour
grer les dispositifs PU dpendants sur les sites rgionaux. Les dispositifs PU2.0 dpendants
connects via X.25 qui taient prcdemment connects aux FEP par le biais de NPSI sont maintenant supports via QLLC (Qualified Logical Link Control) sur le routeur. Il sagit dun standard
pour lencapsulation de SNA sur X.25.
244
Partie I
Architecture de rseaux
Figure 7.27
Centre de
donnes 1
Migration de sous-zone
vers APPN : phase 5.
Centre de
donnes 2
NN
Token
Ring
NN
APPN
DLUR
NN
Token
Ring
APPN
DLUR
NN
X25
mac 1
mac 2
mac 1
Token
Ring
mac 2
Token
Ring
Bureaux rgionaux
PU 2.0
PU 2.0
PU 2.0
Cette section tudie APPN et les routeurs CIP au sein dun environnement Sysplex (System
Complex). Elle prsente cet environnement en relation avec APPN et dcrit de quelle faon utiliser
les trois approches suivantes pour implmenter lenvironnement Sysplex :
m
Cette section dcrit galement de quelle manire APPN peut offrir des fonctionnalits de tolrance
aux pannes et dquilibrage de charge au niveau des centres de donnes.
Prsentation de lenvironnement Sysplex
Chapitre 7
245
Un environnement Sysplex consiste en de nombreux processeurs CMOS 9672, chacun deux reprsentant un domaine VTAM. Le concept de multiprocesseur pose cependant un problme.
Aujourdhui, les utilisateurs sont habitus aux images uniques. Par exemple, le systme IMS (Information Management System) qui sexcute sur le mainframe peut servir la totalit de lorganisation
au moyen dune seule image hte. Avec le concept de multiprocesseur, vous nindiqueriez pas un
utilisateur dtablir une session avec IMS sur un systme donn et un autre utilisateur dtablir
aussi une session avec IMS sur un autre systme, car IMS pourrait tre en cours dexcution sur
chaque systme.
Pour rsoudre cela, une fonction appele ressource gnrique a t cre. Elle permet plusieurs
programmes qui fournissent la mme fonction dtre connus et utiliss au moyen dun seul nom
gnrique. Cela signifie quun utilisateur peut parfois accder IMS partir dun systme, et
parfois partir dun autre. Comme ces deux systmes ont accs aux mmes donnes partages dans
le Sysplex, cette commutation entre systmes est transparente pour les utilisateurs. VTAM est
responsable de la rsolution du nom gnrique et de lidentification du programme qui est utilis
pour tablir la session. Cette fonction permet VTAM dassurer un quilibrage de charge en distribuant
les initiations de sessions entrantes vers un certain nombre de programmes identiques excuts sur
diffrents processeurs.
La fonction de ressource gnrique ne sexcute que sur un VTAM avec support APPN. Afin
dassurer lquilibrage de charge de sessions sur diffrents processeurs, les utilisateurs doivent
procder la migration de VTAM partir dune sous-zone SNA vers APPN. Le reste de cette
section examine les trois options qui permettent de grer un environnement Sysplex.
Sysplex avec APPN avec le routage de sous-zone option 1
La premire option permettant de supporter lenvironnement Sysplex est de convertir lhte CMC en
nud de rseau composite (CNN, Composite Network Node). Traditionnellement, lhte CMC tait
reprsent par le VTAM qui possdait toutes les ressources SNA du rseau. Avec cette approche, le
nud de rseau composite est utilis pour dcrire la combinaison de VTAM et de NCP (Network
Control Program, programme de contrle de rseau). Cela signifie que VTAM et NCP fonctionnent
ensemble en tant que nud de rseau unique. La Figure 7.28 illustre lhte CMC et les FEP configurs en tant que nud de rseau composite.
Lhte CMC VTAM possde les FEP. Chaque FEP est connect aux processeurs CMOS 9672 par
lintermdiaire dun canal parallle. Chaque processeur CMOS 9672 est configur en tant quhte
de donnes de migration et entretient les deux aspects, celui dAPPN et celui de sous-zone.
Chaque hte de donnes de migration tablit des connexions de sous-zone vers les FEP au moyen
de la fonctionnalit de groupe de transmission de routes virtuelles, ou VRTG (Virtual Route Transmission Group), qui permet APPN dtre transport via un routage de sous-zone traditionnel. Les
sessions CP-CP entre lhte CMC et les htes de donnes de migration 9672 sont tablies au moyen
de VRTG. La fonction de ressource gnrique est excute au niveau dAPPN, mais tout le routage
est un routage de sous-zone. Il sagit l de la faon la plus conservatrice de migrer vers un environnement Sysplex.
246
Partie I
Architecture de rseaux
Figure 7.28
Dispositif de
couplage
Donnes de
migration
Hte A
CMOS
Donnes de
migration
Hte B
CMC
CMOS
CMOS
FID4
FID4
Linconvnient de cette approche est que lemploi du routage de sous-zone ne fournit pas limplmentation dynamique des changements de topologie sous APPN, qui est normalement disponible
avec les connexions APPN. Si vous devez ajouter un processeur CMOS, des modifications de
chemin de sous-zone (PATH) vers chaque nud de sous-zone sont ncessaires. Un autre inconvnient de cette approche est que lexcution dAPPN sur un routage de sous-zone introduit un certain
niveau de complexit sur le rseau.
Sysplex avec le routage de sous-zone/APPN option 2
Chapitre 7
Figure 7.29
247
Dispositif de
couplage
EN A
CMOS
CMC
EN B
CMOS
CMOS
FID2
FID2
FID4
EN A
CMC
EN B
CMOS
FID2
CMOS
Routeur
CMOS
FID2
Routeur
DLUR
Comme le montre cette figure, il sagit dun rseau APPN pur avec routage APPN. Chaque processeur CMOS de nud dextrmit est reli aux routeurs du DLUR par lintermdiaire dAPPN.
Notez que ceux-ci pourraient tre distants. Ils ne doivent pas obligatoirement se trouver proximit
des mainframes (il pourrait, par exemple, y avoir dautres routeurs intermdiaires).
248
Partie I
Architecture de rseaux
Cette approche sera choisie pour implmenter un environnement Sysplex dans notre exemple
dentreprise. La section suivante fournit davantage de dtails sur cette implmentation.
Rseau de lentreprise
Lentreprise examine dans cet exemple possde un trs grand rseau fdrateur IP ainsi quun
rseau SNA tendu. Aujourdhui, les rseaux multiprotocoles et SNA sont spars. Lobjectif de
lentreprise est de consolider le trafic travers linterrseau multiprotocole. Elle a donc port son
choix sur le protocole IP pour son rseau fdrateur stratgique et sur une encapsulation DLSw+
pour transporter le trafic SNA.
Pour son centre de donnes, la socit projette de grer cinq environnements Sysplex IBM diffrents.
Elle souhaite disposer du plus haut degr de redondance et de tolrance aux pannes. Les administrateurs ont donc dcid de ne pas excuter APPN travers le rseau multiprotocole existant, mais
plutt de limplmenter au niveau du centre de donnes pour fournir le niveau de redondance requis.
La Figure 7.31 prsente la configuration du centre de donnes de lentreprise. Le diagramme figurant dans le coin suprieur droit reprsente une vue logique de lenvironnement Sysplex et de la
faon dont il est connect au rseau multiprotocole par lintermdiaire des routeurs CIP/CSNA et
des routeurs APPN.
Figure 7.31
Sysplex 1
Sysplex
Sysplex 2
Exemple dintgration
dAPPN dans le centre
de donnes.
DLUS
ENA
ENB
9032
CIP/CSNA
Routeur
Routeur
NNA
NNB
9032
CIP/CSNA
FDDI
CIP1 CSNA
CIP2 CSNA
NN1 DLUR
NN2 DLUR
Routeur
Routeur
Routeur
Routeur APPN
NN/DLUR DLSw+
Routeur
Routeur
Routeur
Routeurs WAN
Interrseau
multiprotocole
Routeur
Token
Ring
Dispositifs anciens SNA
DLSw+
Chapitre 7
249
Chaque routeur CIP/CSNA possde deux cartes pour les canaux parallles vers chaque hte
Sysplex (Sysplex 1 et Sysplex 2) par lintermdiaire de directeurs ESCON spars. Pour satisfaire
aux exigences trs fortes de la socit en matire de disponibilit, cette configuration ne prsente
aucun lment unique pouvant immobiliser lensemble du systme (Single Point of Failure).
Dans chaque environnement Sysplex, au moins deux nuds de rseau agissent comme DLUS. Le
VTAM NNA est dsign comme nud DLUS principal et NNB est dsign comme DLUS de secours.
Les htes restants sont des htes de donnes configurs en tant que nuds dextrmit. Ils utilisent
NNA comme serveur nud de rseau.
Chaque environnement Sysplex est support par deux routeurs CIP et au moins deux routeurs
APPN excutant DLUR fournissent des fonctions de liaison de frontire pour servir les dispositifs
distants. Il est prvu que le trafic soit quilibr entre les deux routeurs CIP. Par consquent, APPN
fournit lquilibrage de charge et la redondance dans cet environnement.
Exemple de configuration
En ce qui concerne APPN, NNA la Figure 7.31 peut tre configur comme serveur DLUS principal, et NNB comme DLUS de secours. Voici un exemple de configuration pour NN1, sachant que
NN2 serait configur de la mme manire :
!
appn control-point CISCONET.NN1
dlus CISCONET.NNA
backup-dlus CISCONET.NNB
dlur
complete
Lorsque lhte DLUS principal est inaccessible, le nud DLUR en est dconnect. Le DLUR
essaye nouveau le tube DLUS/DLUR avec NNA. En cas dchec, il se tourne vers le DLUS de
secours.
Pour assurer lquilibrage de charge, chaque routeur DLUR dfinit deux groupes de transmission
APPN parallles, de poids gal pour chaque hte VTAM, en utilisant la configuration suivante :
!
! Lien vers VTAM ENA via routeur CIP 1
!
appn link-station LINK1ENA
port FDDI0
lan-dest-address 4000.3000.1001
complete
!
! Lien vers VTAM ENA via routeur CIP 2
!
appn link-station LINK2ENA
port FDDI0
lan-dest-address 4000.3000.2001
complete
!
! Lien vers VTAM ENB via routeur CIP 1
!
appn link-station LINK1ENB
port FDDI0
lan-dest-address 4000.3000.1002
complete
250
Partie I
Architecture de rseaux
!
! Lien vers VTAM ENB via routeur CIP 2
!
appn link-station LINK2ENB
port FDDI0
lan-dest-address 4000.3000.2002
complete
!
! Lien vers NNA DLUS principal via routeur CIP 1
!
appn link-station LINK1NNA
port FDDI0
lan-dest-address 4000.3000.1003
complete
!
! Lien vers NNA DLUS principal via routeur CIP 2
!
appn link-station LINK2NNA
port FDDI0
lan-dest-address 4000.3000.2003
complete
!
! Lien vers NNB DLUS de secours via routeur CIP 1
!
appn link-station LINK1NNB
port FDDI0
lan-dest-address 4000.3000.1004
complete
!
! Lien vers NNB DLUS de secours via routeur CIP 2
!
appn link-station LINK2NNB
port FDDI0
lan-dest-address 4000.3000.2004
complete
Comme illustr dans la configuration prcdente, NN1 dfinit deux groupes de transmission APPN
vers ENA, ENB, NNA et NNB. Il existe deux liens par canal vers chaque hte, chaque lien tant
connect un dispositif matriel distinct (par exemple, une carte CIP, un routeur CIP, un directeur
ESCON). La duplication du matriel sexplique en partie par la prvision dun risque ventuel de
perte dun composant physique. Dans notre cas, si cela se produisait, lhte serait toujours accessible par lautre chemin.
En ce qui concerne APPN, deux groupes de transmission connectent un routeur DLUR chaque
hte. Lun des deux groupes traverse le routeur CIP 1, et lautre traverse le routeur CIP 2. Lorsquun
chemin est impraticable, le groupe concern devient inoprant. Le second groupe fournit une autre
route pour permettre la connexion vers lhte par lintermdiaire de litinraire de secours.
Toutes les sessions SSCP/PU et SSCP/LU de sous-zone circulent sur lun des groupes de transmission entre le routeur DLUR et lhte DLUS principal. Comme pour les sessions LU-LU, les deux
routes possibles entre le routeur DLUR et un hte VTAM sont disponibles. Le routeur DLUR et un
hte VTAM slectionnent de faon alatoire lune de ces deux routes pour les sessions LU-LU. Ce
choix arbitraire provoque une certaine distribution de charge sur les deux routeurs CIP, bien quil ne
sagisse pas ncessairement dun quilibrage statistique.
Chapitre 7
251
De nombreux routeurs DLUR supportent les dispositifs SNA en aval. Voici un exemple de configuration pour le routeur DLUR NN1 :
source-bridge ring-group 100
dlsw local-peer peer-id 172.18.3.111 promiscuous
!
interface FDDI0
ip address 172.18.3.111 255.255.255.0
!
appn control-point CISCONET.NN1
dlus CISCONET.NNA
backup-dlus CISCONET.NNB
dlur
complete
!
appn port VDLC1 vdlc
vdlc 100 4000.1000.2000
complete
Chaque station de travail accde lhte par lintermdiaire du routeur DLUR et doit dfinir
4000.1000.2000 comme adresse MAC de destination dans le logiciel dmulation. Cette adresse
virtuelle est dfinie pour atteindre chaque routeur DLUR. Lors de linitiation dune connexion, une
station envoie en diffusion une trame TEST toutes routes vers ladresse MAC laquelle elle
souhaite se connecter. Le routeur DLSw+ distant envoie une trame dexploration ses homologues,
les nuds NN1 et NN2, qui rpondent par un message ICANREACH. Le routeur DLSw+ est configur pour utiliser lquilibrage de charge. Cela signifie quil place en cache NN1 et NN2 comme
homologues pouvant atteindre lhte. Les sessions dhte sont tablies en alternance via NN1 et
NN2. Cela permet lentreprise de rpartir le trafic SNA sur deux ou plusieurs routeurs DLUR. Si
NN1 devient indisponible, les sessions qui le traversent sont interrompues, mais elles peuvent tre
rtablies par lintermdiaire de NN2 avec un impact ngligeable.
Cette conception amliore la disponibilit gnrale du systme au moyen dun adressage MAC
virtuel dupliqu sur le routeur DLUR. Les chemins doubles donnent la possibilit demprunter un
chemin secondaire lorsque le chemin principal est interrompu. Un autre avantage de cette conception est quelle peut facilement voluer. Par exemple, lorsque le nombre de dispositifs SNA
augmente, la mmoire tampon peut devenir un facteur limitant au niveau des routeurs DLUR.
Lentreprise peut alors ajouter un routeur DLUR afin de supporter la charge des sessions supplmentaires. Cette modification de topologie nimplique aucune administration de rseau au niveau
des routeurs distants ou du centre de donnes.
252
Partie I
Architecture de rseaux
Cette section dcrit les lments prendre en compte lors de la conception dun grand rseau APPN
dentreprise. Elle rpertorie les techniques actuelles qui permettent sa ralisation. Chaque option y
est traite en dtail. Le systme FRAS BNN est choisi comme solution dvolutivit provisoire pour
rduire le nombre de nuds de rseau, ce qui permet au rseau de sadapter aux exigences dexpansion de la socit.
Dans cet exemple, une agence gouvernementale possde un rseau avec un centre de donnes et
environ 100 sites distants. Dans les prochaines annes, elle prvoit dtendre le rseau jusqu 500
sites distants.
La Figure 7.32 illustre une version simplifie du rseau APPN actuel de lagence.
Figure 7.32
NN/DLUS & EN
EN ou LEN
Socit A
Socit B
Socit C
IBM
FDDI
NN1
Router
Router
Frame Relay
session LU-LU
Router
Token
Ring
EN3A
EN3B
NN3
NN2
Chapitre 7
253
Le centre de donnes comprend 20 mainframes de chez IBM et dautres fabricants. Les mainframes
IBM tournent sur MVS et exploitent la technologie VTAM. Ils sont galement configurs en tant
que nud NN/DLUS et htes de donnes EN. Aucun protocole de sous-zone nexiste sur ce rseau.
Les autres mainframes non-IBM sont configurs en tant que nuds EN ou LEN.
La plate-forme utilisateur est OS/2 exploitant Communications Server sur tous les sites distants qui
ont des besoins de connectivit avec les mainframes du centre de donnes. Initialement, il nest pas
ncessaire de disposer dune connectivit any-to-any. Les applications supportes sont LU type 2 et
LU6.2.
APPN dans le centre de donnes
Les htes mainframes la Figure 7.32 sont connects au moyen dune carte de communication
externe (XCA, External Communication Adapter) par lintermdiaire des contrleurs dinterconnexion 3172. Les htes de donnes non-IBM (socits A, B et C) utilisent le mainframe IBM
VTAM en tant que serveur nud de rseau. Pour limiter au minimum les flots TDU, les sessions
CP-CP existent uniquement entre VTAM et les routeurs du centre de donnes, mais pas entre ces
derniers.
Pour bnficier dun calcul de routes optimal sans dfinir de faon explicite des connexions
mailles, tous les nuds dextrmit et de rseau sur le centre de donnes sont relis au mme
rseau de connexions. Cela permet une session dtre directement tablie entre deux ressources
de centre de donnes sans avoir traverser le nud de rseau VTAM. Comme le montre la
Figure 7.32, lorsquune session LU-LU est tablie entre des ressources de mainframe (entre EN3A
et la socit A), la route optimale passe directement par lanneau FDDI en direction de NN1 et
NN3.
Pour rduire le nombre de requtes de localisation en diffusion un minimum dune par ressource,
VTAM est configur en tant que CDS (serveur dannuaire central) pour ce rseau. La fonction CDS
est ici trs efficace, car les ressources sur le rseau ont seulement besoin daccder celles situes
sur les htes du centre de donnes. Ces mainframes htes enregistrent leurs ressources avec VTAM,
qui reprsente leur serveur nud de rseau. Par consquent, VTAM dispose toujours dinformations
de localisation sur chaque ressource du centre de donnes, ce qui veut dire quil na jamais besoin de
diffuser de requtes de localisation.
APPN sur le site distant
Le rseau illustr Figure 7.32 comprend environ 30 40 stations de travail CS/2 sur chaque site
distant. Chacune delles est configure en tant que nud dextrmit. Chacun de ces nuds
supporte huit sessions LU6.2 indpendantes et quatre sessions LU dpendantes. Un routeur Cisco
sur chaque site transmet le trafic vers le centre de donnes. La fonction de nud de rseau de ces
routeurs gre le routage intermdiaire pour les units LU indpendantes et la fonction DLUR gre
le routage pour les LU dpendantes.
Configuration future
Il est prvu que ce rseau stende pour comprendre jusqu 500 routeurs distants nud de rseau,
100 routeurs de centre de donnes et huit mainframes. Gnralement, un rseau APPN de 600 nuds
254
Partie I
Architecture de rseaux
rencontrera des problmes dvolutivit. La suite de cette section examine les deux options que vous
pouvez exploiter pour contourner ces problmes sur un rseau APPN :
m
EN ou LEN
Socit A
Socit B
Socit C
IBM
FDDI
NN1 Routeur
Routeur
Frame
Relay
Sous-rseau A
NN3
EN
NN2
Sous-rseau B
Routeur
Routeur
Token
Ring
Token
Ring
NN4
EN
Chapitre 7
255
Aucun change dinformations de topologie naurait lieu entre VTAM et les routeurs NN du centre
de donnes. Les huit mainframes seraient dans le mme sous-rseau. Chaque routeur de centre de
donnes supporterait plusieurs routeurs daccs et ils formeraient leur propre sous-rseau (chaque
sous-rseau tant limit un maximum de 100 nuds de rseau). Cette configuration empcherait
que des informations de topologie soient envoyes dun sous-rseau vers un autre et permettrait au
rseau dvoluer au-del des 600 nuds de rseau.
Bien que cette approche gre le problme des flots de paquets TDU, la configuration de VTAM en
tant que nud interzone dans cet environnement entrane une perte de fonctions trs importante.
Tout dabord, deux sous-rseaux APPN ne peuvent pas tre interconnects par lintermdiaire dun
rseau de connexions. Les sessions LU-LU entre les ressources situes sur lhte de la socit A et
celles de sites distants seraient tablies par lintermdiaire dun itinraire indirect passant par le
nud interzone VTAM. Cette route nest videmment pas optimale. Deuximement, la fonction de
serveur dannuaire central est perdue, car le nud interzone VTAM prsente une image de nud
dextrmit NN1. Cela empche NN1 de dcouvrir le serveur dannuaire central sur le rseau.
La section suivante tudie une autre approche mettant en uvre la technologie FRAS BNN pour
rduire le nombre de nuds de rseau.
Utilisation de FRAS BNN pour rduire le nombre de nuds de rseau
La Figure 7.34 illustre de quelle faon FRAS BNN peut tre utilis pour diminuer le nombre de
nuds du rseau de lentreprise. Toutes les applications serveur sont situes sur les mainframes et
les dispositifs de rseau ont uniquement besoin daccder lhte. Le routage APPN nest pas
essentiel pour cette entreprise.
Limplmentation de FRAS BNN la place dun nud de rseau APPN complet sur les routeurs
daccs diminue directement le nombre de nuds de rseau. Cela permet au rseau de sadapter
sans tre confront aux problmes de flots de TDU. Cette approche sest rvle viable pour lentreprise ce stade dvolution, car la connectivit LAN-LAN nest pas une exigence immdiate. Les
routeurs distants pourront faire lobjet dune migration pour supporter un nud interzone APPN
lorsquil sera disponible.
Dans cet environnement, les sessions CP-CP sont supportes sur le rseau Frame Relay. Le serveur
dannuaire central et le concept de rseau de connexions sont totalement supports. Les sessions
LU-LU peuvent tre tablies en utilisant la route directe sans traverser VTAM, comme lillustre la
Figure 7.34. La seule fonction qui est perdue avec FRAS BNN est celle de classe de service pour le
trafic circulant partir du routeur Distant FRAS BNN vers le centre de donnes.
256
Partie I
Architecture de rseaux
VTAM NN/CDS
Figure 7.34
EN ou LEN
Socit A
Socit B
Socit C
IBM
FDDI
NN1 Routeur
Routeur
NN2
Routeur
Routeur
FRAS BNN
Token
Ring
Token
Ring
Frame
Relay
session LU-LU
session CP-CP
FRAS BNN
EN
EN
Rsum
Ce chapitre a trait du dveloppement dun trac de rseau existant et de la planification dune
migration russie vers APPN. Les sujets suivants ont t tudis :
m
volution de SNA ;
intgration dAPPN ;
prsentation dAPPN ;
problmes dvolutivit ;
gestion de rseau ;
exemples de configuration.
8
Interrseaux DLSw+
Ce chapitre comporte les sections suivantes :
m
Introduction DLSw+
Introduction DLSw+
Cette section dcrit la technologie de commutation de liaison de donnes DLSw+ (Data Link Switching
Plus) et prsente des exemples de configuration permettant de concevoir et configurer rapidement
des rseaux DLSw+. Elle passe en revue les composants essentiels de cette technologie et dcrit les
extensions quelle propose par rapport au standard. Elle tudie galement les fonctionnalits
avances de DLSw+, leur contexte dutilisation, et donne des exemples de leur exploitation. Elle
aborde ensuite des thmes comme loptimisation, la conception hirarchique, la conception maille,
le dbogage et les directives de migration, pour finir par des recommandations sur la faon de
concevoir votre rseau. Cette section peut tre utilise comme un simple guide de rfrence (pour
les exemples de configuration), comme guide doptimisation, ou comme guide de conception dun
rseau DLSw+.
Dfinition de DLSw+
DLSw+ est un systme de transport pour le trafic SNA (Systems Network Architecture) et NetBIOS
sur un rseau de campus ou un rseau tendu (WAN). Les systmes terminaux peuvent se connecter
au rseau par lintermdiaire de technologies de rseau diverses telles que Token Ring, Ethernet,
SDLC (Synchronous Data Link Control), QLLC (Qualified Logical Link Control), ou FDDI (Fiber
Distributed Data Interface) FDDI nest support que sur la srie de routeurs Cisco 7000 et
requiert la version 11.2 ou ultrieure du systme Cisco IOS. DLSw+ opre une commutation entre
ces divers mdias et termine localement les liaisons de donnes, ce qui permet de maintenir la
surcharge lie aux messages dacquittement, au contrle dactivit (keepalive) et au sondage, en
dehors du rseau tendu. La terminaison locale des liaisons de donnes permet aussi dliminer les
dpassements de dlai au niveau du contrle de ces liaisons, qui peuvent se produire en cas de
258
Partie I
Architecture de rseaux
congestion du rseau ou de reroutage (lorsquil faut contourner une liaison inexploitable). Finalement, DLSw+ fournit un mcanisme de recherche dynamique des ressources SNA ou NetBIOS sur
le rseau et intgre des algorithmes de gestion de cache qui minimisent les diffusions gnrales.
Dans cet ouvrage, un routeur DLSw+ est dsign par le terme routeur homologue (routeur peer),
homologue (peer), ou partenaire (partner). La connexion entre deux routeurs DLSw+ est appele
connexion dhomologues. Un circuit DLSw+ offre un compromis de dnomination qui dsigne la
relation entretenue par la connexion de contrle de liaison de donnes entre le systme terminal et
le routeur Dorigine, la connexion entre les deux routeurs gnralement une connexion TCP
(Transport Control Protocol) , et la connexion de contrle de liaison de donnes entre le routeur
et le systme terminal de destination. Une seule connexion dhomologues peut transporter plusieurs
circuits.
DLSw+ gre les circuits entre les units physiques SNA (PU), ou entre les clients et les serveurs
NetBIOS. La connectivit de PU SNA supporte est PU 2.0/2.1 vers PU 4 (relie par nimporte
quel type de contrle de liaison de donnes support), PU 1 vers PU 4 (via SDLC seulement), PU 4
vers PU 4 (Token Ring seulement), et PU 2.1 vers PU 2.1 (nimporte quel contrle de liaison de
donnes support).
NOTE
La connectivit PU 4 vers PU 4 naccepte quun seul chemin entre les ordinateurs frontaux (FEP), car ils traitent
les chemins passant par un pont routage par la source dune faon particulire. De plus, le chargement
distant nest pas accept.
Standard DLSw
Le standard DLSw a t dfini par latelier AIW (APPN Implementers Workshop) du groupe dintrt travaillant sur DLSw. Au moment de la rdaction de cet ouvrage, ce standard en tait sa
version 1. Il a t document dans le RFC 1795, qui rend de fait obsolte le RFC 1434 dcrivant
limplmentation 6611 originale de DLSw par IBM.
Le standard DLSw dcrit le protocole SSP (Switch-to-Switch) utilis entre les routeurs (appels
commutateurs de liaison de donnes) pour tablir des connexions dhomologues DLSw, localiser
des ressources, transmettre des donnes, grer le contrle de flux, et assurer la reprise aprs erreur.
Le RFC 1795 stipule que les connexions de la couche liaison de donnes doivent se terminer au
niveau des routeurs homologues, cest--dire quelles doivent tre localement acquittes et, dans le
cas dun rseau Token Ring, que le champ dinformations de routage (RIF) doit se terminer au
niveau dun anneau virtuel sur le routeur homologue.
En terminant localement les connexions, le standard DLSw limine le besoin de faire traverser les
messages dacquittement et keepalive (de contrle dactivit de ligne) de la couche liaison de donnes
sur le rseau tendu. Par consquent, il ne devrait plus y avoir dexpiration de dlai de rponse au
niveau de cette couche. Il incombe aux routeurs DLSw de multiplexer le trafic de plusieurs liaisons de
donnes vers le tube TCP appropri et dassurer le transport fiable des donnes travers une pine
dorsale IP.
Chapitre 8
Interrseaux DLSw+
259
Avant que toute communication de systme terminal puisse avoir lieu sur DLSw, les actions suivantes doivent tre entreprises :
m
Pour que deux routeurs puissent grer la commutation dun trafic SNA ou NetBIOS, ils doivent au
pralable tablir deux connexions TCP entre eux. Le standard autorise labandon de lune de ces
connexions si elle nest pas ncessaire, ce que font les routeurs Cisco sauf sils doivent communiquer avec le routeur Dun autre fabricant qui requerrait deux connexions TCP. Le standard permet
galement ltablissement de connexions TCP supplmentaires pour pouvoir assurer diffrents
niveaux de priorit.
Echange dinformations de services
Aprs tablissement des connexions TCP, les routeurs changent des informations sur les services
quils assurent. Cet change inclut le numro de version de DLSw, les fentres initiales de
rgulation (taille de la fentre de rception), le support NetBIOS, la liste des points daccs aux
services de liaison supports (SAP), et le nombre de sessions TCP acceptes. Les listes dadresses
de la sous-couche MAC (Media Access Control, contrle daccs au mdia) et celles de noms
NetBIOS peuvent galement tre communiques durant cette phase. Si ncessaire, un partenaire
DLSw peut spcifier quil ne souhaite pas recevoir certains types de trames de recherche. Il est
possible de configurer les adresses MAC et les noms NetBIOS de toutes les ressources qui utiliseront DLSw de faon viter toute diffusion gnrale de requtes. Aprs cet change dinformations, les partenaires DLSw sont prts tablir des circuits entre les systmes terminaux SNA ou
NetBIOS.
Etablissement dun circuit
Ltablissement dun circuit entre une paire de systmes terminaux inclut la localisation de la
ressource cible (base sur ladresse MAC ou le nom NetBIOS de la destination) et ltablissement
des connexions de la liaison de donnes entre chaque systme terminal et son commutateur de
liaison de donnes (routeur local). SNA et NetBIOS sont grs diffremment. Un dispositif SNA
sur un LAN recherche un autre dispositif SNA en mettant une trame dexploration (une trame
TEST ou une trame dchange didentification XID) avec ladresse MAC du dispositif SNA cible.
Lorsquun routeur DLSw reoit une telle trame de recherche, il envoie une trame dinterrogation
CANUREACH vers chacun des partenaires DLSw. Si lun de ses partenaires dispose dun accs
vers ladresse spcifie, il lindique en renvoyant une trame de confirmation ICANREACH. La
squence spcifique comprend une trame CANUREACH ex (explorer) pour localiser la ressource et
une trame ICANREACH cs (circuit setup) qui dclenche ltablissement du circuit entre les
routeurs homologues.
A cette tape, les partenaires DLSw mettent en place un circuit qui comprend trois connexions : les
deux connexions de contrle de liaison de donnes entre chaque routeur et son systme terminal
260
Partie I
Architecture de rseaux
local, et la connexion TCP entre les partenaires DLSw. Ce circuit est identifi de faon unique par
des identifiants de circuit source et de destination qui sont transports dans toutes les trames de
donnes constantes la place des adresses de contrle de liaison, telles que les adresses MAC.
Chaque identifiant de circuit est dfini par les adresses MAC de destination et de source, les points
daccs aux services de liaison de destination et de source (LSAP), et un identifiant de port de
liaison de donnes. Le concept de circuit simplifie la gestion et a son importance dans le processus
de traitement des erreurs et de nettoyage. Une fois le circuit tabli, les trames dinformations
peuvent circuler.
La procdure dtablissement dun circuit NetBIOS est similaire, sauf quau lieu de transmettre une
trame CANUREACH qui spcifie une adresse MAC, les routeurs DLSw envoient une requte
de nom (NetBIOS NAME-QUERY) spcifiant un nom NetBIOS. De la mme manire, une trame de
nom reconnu (NetBIOS NAME-RECOGNIZED) est envoye en rponse au lieu dune trame
ICANREACH.
La plupart des implmentations DLSw placent en cache les informations recueillies au cours des
processus dexploration, afin que les recherches suivantes pour une mme ressource ne provoquent
pas lenvoi de trames dexploration supplmentaires.
Contrle de flux
Le standard DLSw dcrit un mcanisme de rgulation adaptable pour la transmission entre routeurs
homologues, mais nindique pas comment tablir une correspondance avec le contrle de flux natif
de la liaison de donnes aux extrmits. Le contrle de flux est spcifi par le standard sur la base
dun circuit et implique lutilisation de deux mcanismes indpendants de contrle de flux de
circuit unidirectionnel. Ce contrle est gr par un mcanisme de fentrage capable de sadapter
dynamiquement la disponibilit du tampon, la profondeur de la file dattente de transmission
TCP, et aux mcanismes de contrle de flux au niveau des stations terminales. Les fentres peuvent
tre augmentes, diminues, divises, ou rinitialises zro.
Les units accordes (le nombre dunits que lmetteur est autoris transmettre) sont augmentes
selon une indication de contrle de flux de la part du rcepteur (procdure similaire la rgulation
classique de niveau de session SNA). Les indicateurs de contrle de flux peuvent tre de lun des
types suivants :
m
Rinitialiser. Rduit la taille de la fentre zro et dfinit les units accordes zro pour mettre
fin toutes les transmissions dans une direction, jusqu ce quun indicateur dincrmentation
soit envoy.
Diminuer de moiti. Diminue de moiti la taille actuelle de la fentre et augmente les units
accordes de la valeur de la nouvelle taille de fentre.
Chapitre 8
Interrseaux DLSw+
261
Les indicateurs et les acquittements de contrle de flux peuvent tre annexs aux trames dinformations par piggybacking ou envoys en tant que messages de contrle de flux indpendants, alors que
les indicateurs de rinitialisation sont toujours transmis comme messages indpendants.
Fonctionnalits DLSw+
DLSw+ est limplmentation Cisco de DLSw. Elle va au-del du standard pour inclure la fonctionnalit avance de pont distant routage par la source de Cisco, dit RSRB (Remote Source Route
Bridge), ainsi que des fonctionnalits supplmentaires permettant daugmenter le niveau dadaptabilit gnrale de DLSw. DLSw+ offre une amlioration des caractristiques suivantes :
m
Evolutivit. Il permet dlaborer des interrseaux IBM de telle faon que la quantit de trafic
gnr par les diffusions gnrales sen trouve rduite, ce qui amliore par consquent leur
volutivit.
Modes dopration. Il dtecte dynamiquement les services du routeur homologue pour les
prendre en compte dans son fonctionnement.
Lun des principaux facteurs limitant la taille des interrseaux de LAN est la quantit de trafic
dexploration qui traverse le rseau tendu. DLSw+ comprend plusieurs mcanismes doptimisation permettant de le rduire.
Concept de groupes dhomologues
Lamlioration la plus importante dans DLSw+ est sans doute le concept de groupes dhomologues.
Il a t conu pour sattaquer au problme de reproduction des trames de diffusion sur les rseaux
totalement maills. Lorsquune communication any-to-any est ncessaire (par exemple, dans les
environnements NetBIOS ou APPN), les implmentations de RSRB ou du standard DLSw
ncessitent ltablissement de connexions dhomologues entre tous les routeurs pris deux deux.
De telles implmentations sont non seulement difficiles configurer, mais elles obligent les
routeurs daccs dagence reproduire les requtes de recherche pour chaque connexion dhomologues. Il en rsulte un gaspillage de la bande passante et des cycles de traitement des routeurs. Une
meilleure approche serait de grouper les routeurs en clusters et den dsigner un qui soit responsable de la reproduction des diffusions. Cette fonctionnalit est incluse dans DLSw+.
Avec DLSw+, un cluster de routeurs dans une rgion ou un dpartement dune entreprise peut tre
combin avec un groupe dhomologues. A lintrieur dun tel groupe, un ou plusieurs routeurs sont
dsigns en tant quhomologues interzones (border peer). Au lieu dassister une prolifration
dchanges de messages entre tous les routeurs pris deux deux, chaque routeur Dans un groupe
262
Partie I
Architecture de rseaux
met vers son homologue interzone ; les homologues interzones tablissent entre eux des
connexions dhomologues (voir Figure 8.1). Lorsquun routeur DLSw+ reoit une trame TEST ou
de requte de nom (NetBIOS NAME-QUERY), il envoie une seule trame dexploration son
homologue interzone. Celui-ci retransmet la trame de recherche au nom du membre du groupe
dhomologues. Cette configuration limine les trames dupliques sur les liaisons daccs et limite le
traitement ncessaire au niveau des routeurs daccs.
Figure 8.1
Le concept de groupes
dhomologues peut
tre utilis pour
simplifier et adapter
les rseaux any-to-any.
Lorsque le routeur De destination correct est trouv, une connexion dhomologues de bout en bout
(TCP ou IP) est tablie pour transporter le trafic entre systmes terminaux. Cette connexion
demeure active aussi longtemps que du trafic de systme terminal est transport et elle est dynamiquement libre lorsquelle nest plus utilise. Cela permet de bnficier dune communication anyto-any ponctuelle sans le souci de devoir spcifier par avance les connexions dhomologues. Cette
fonctionnalit permet galement le routage any-to-any sur de grands interrseaux, sur lesquels les
connexions TCP permanentes entre tous les routeurs pris deux deux ne seraient pas possibles.
Pare-feu dexploration
Afin de rduire davantage la quantit de trafic dexploration qui pntre sur le rseau tendu, un
certain nombre de techniques de filtrage et de pare-feu permettent de stopper ce trafic au niveau du
routeur DLSw+. Lune des techniques essentielles est le pare-feu dexploration.
Un pare-feu dexploration nautorise la traverse du rseau tendu qu une seule trame dexploration en direction dune adresse MAC de destination spcifique. Lorsquune trame dexploration est
en suspens et attend une rponse de la part de la destination, les trames suivantes pour cette mme
adresse ne sont pas propages. Une fois que le routeur DLSw+ dorigine a reu la rponse, toutes
les trames dexploration pour la mme destination reoivent une rponse au niveau local. Cela
limine les temptes de trames dexploration qui se produisent sur de nombreux rseaux en dbut
de journe.
Disponibilit amliore de DLSw+
DLSw+ offre une meilleure disponibilit grce la gestion dun cache daccessibilit contenant de
multiples chemins vers des adresses MAC ou vers des noms NetBIOS locaux et distants. Dans le
cas dune ressource distante, le chemin indique lhomologue utiliser pour pouvoir latteindre. Si la
ressource est locale, le chemin spcifie un numro de port. Lorsquil existe plusieurs itinraires
permettant datteindre une destination, le routeur marquera lun des chemins comme route prfre
et les autres comme routes possibles. Si le chemin prfr nest pas disponible, le chemin suivant
Chapitre 8
Interrseaux DLSw+
263
possible sera lu chemin prfr et la convergence sera immdiatement initie. La faon dont
DLSw+ gre plusieurs chemins possibles peut tre influence (mot cl bias) pour rpondre aux
besoins du rseau :
m
Tolrance aux pannes. Dans ce mode, un circuit est tabli sur un chemin prfr, mais
galement rapidement dirig sur un chemin alternatif actif en cas de perte de la liaison prfre.
Equilibrage de charge. Dans ce mode, ltablissement du circuit est rparti sur plusieurs homologues DLSw+ du rseau ou ports du routeur.
La configuration par dfaut de DLSw+ lui indique dutiliser le mode de tolrance aux pannes. Dans
cette configuration, lorsquun homologue DLSw+ reoit une trame TEST pour une ressource
distante, il consulte son cache. Sil trouve une entre correspondante et que celle-ci est rcente
(cest--dire quelle na pas t vrifie durant le dernier intervalle de vrification), il rpond immdiatement sans diffuser de trame dinterrogation CANUREACH sur le rseau. Si, en revanche,
lentre est obsolte, lhomologue DLSw+ dorigine envoie une trame CANUREACH directement
chaque homologue figurant dans son cache pour en valider les entres (ce processus est connu
sous le nom de vrification dirige). En labsence de rponse de la part dun homologue, celui-ci est
supprim de la liste. Cette procdure peut provoquer le rordonnancement des entres du cache. Le
paramtre configurable SNA-VERIFY-INTERVAL spcifie le dlai dattente observ par un routeur
avant de marquer une entre du cache comme tant obsolte. Le paramtre SNA-CACHETIMEOUT indique la dure de conservation des entres dans le cache avant leur suppression. La
valeur par dfaut est de 16 minutes et peut tre modifie.
Le routeur DLSw+ de destination suit une procdure lgrement diffrente en utilisant les entres du
cache local. Si lentre dans le cache est rcente, il envoie la rponse immdiatement. Si elle est
obsolte, il diffuse une seule trame TEST route unique sur tous les ports spcifis dans le cache. Si
une rponse positive est reue, il envoie une trame ICANREACH au routeur Dorigine. Les trames de
TEST sont envoyes toutes les 30 secondes (paramtre SNA-RETRY-INTERVAL) durant une priode
de 3 minutes (paramtre SNA-EXPLORER-TIMEOUT). Ces temporisateurs sont configurables.
Vous pouvez aussi configurer DLSw+ pour quil utilise lquilibrage de charge lorsquil existe
plusieurs itinraires permettant datteindre une destination. Dans ce cas, les nouvelles requtes
dtablissement de circuit utilisent tour de rle tous les homologues ou ports possibles lists.
Cette fonction est particulirement intressante sur les rseaux SNA. Une pratique trs courante
dans cet environnement hirarchique consiste assigner la mme adresse MAC diffrentes passerelles de canal de mainframe, comme des FEP ou des routeurs Cisco avec plusieurs CIP (Channel
Interface Processor). Si une passerelle de canal est indisponible, dautres sont dynamiquement
localises sans intervention de loprateur. Ladressage MAC dupliqu permet galement dassurer
lquilibrage de charge sur plusieurs passerelles ou cartes Token Ring actives.
DLSw+ garantit la localisation des adresses MAC dupliques, et peut placer en cache jusqu quatre
homologues DLSw+ ou ports dinterface pouvant tre utiliss pour trouver une adresse MAC. Cette
technique peut tre applique dans le cadre de la tolrance aux pannes et de lquilibrage de charge.
Dans le premier cas, elle facilite une reconnexion dans les temps suite une interruption de circuit,
et, dans le second, elle amliore les performances SNA globales en rpartissant le trafic sur plusieurs
composants actifs (routeurs, cartes Token Ring ou FDDI, ou passerelles de canal), comme illustr
Figure 8.2. Lquilibrage de charge amliore non seulement les performances, mais aussi la vitesse
264
Partie I
Architecture de rseaux
de rtablissement en cas de perte dun composant sur un itinraire, car seule une portion limite du
rseau est affecte.
Figure 8.2
Les techniques de mise
en cache de DLSw+
permettent dquilibrer
la charge sur plusieurs
routeurs de site central,
anneaux Token Ring et
passerelles de canal.
MAC 1 Homologue C
Homologue B
Homologue A
Homologue B
T1C1 Port 1
Port 2
Port 3
Homologue C
Token
Ring
Token
Token
Ring
Ring
Outre le support de plusieurs homologues actifs, DLSw+ supporte des homologues de secours qui
sont connects uniquement lorsque lhomologue principal est inaccessible.
Souplesse de transport de DLSw+
La connexion de transport entre les routeurs DLSw+ peut varier selon les besoins du rseau et nest
pas lie TCP/IP, contrairement au standard DLSw. Cisco supporte quatre protocoles de transport
sur les routeurs DLSw+ :
m
TCP/IP. Ce protocole transporte le trafic SNA et NetBIOS sur des liaisons WAN lorsque
lacquittement local est ncessaire pour minimiser le trafic inutile et empcher les expirations de
dlai du contrle de liaison de donnes, et lorsque le reroutage sans interruption permettant
de contourner une liaison dfaillante est crucial. Cette option de transport est requise lorsque
DLSw+ opre dans le mode DLSw standard.
FST/IP. Ce protocole transporte le trafic SNA et NetBIOS sur des liaisons WAN de topologie
quelconque. Cette solution autorise le reroutage pour contourner des liaisons impraticables,
mais un rtablissement peut tre source dinterruption selon le temps qui sera ncessaire
lidentification dun chemin alternatif. Cette option noffre pas le support de lacquittement local
des trames.
Directe. Ce protocole transporte le trafic SNA ou NetBIOS sur une connexion point--point ou
Frame Relay lorsque les avantages offerts par une topologie quelconque ne sont pas ncessaires
et que le reroutage sans interruption nest pas requis. Cette option noffre pas le support de
lacquittement local des trames.
DLSw Lite. Ce protocole transporte le trafic SNA et NetBIOS sur une connexion point--point
(actuellement, seule la technologie Frame Relay est accepte) lorsque lacquittement local et le
Chapitre 8
Interrseaux DLSw+
265
transport fiable sont requis, mais que le reroutage sans interruption nest pas une ncessit. Ce
protocole utilise lencapsulation de LLC2 (Logical Link Control type 2) dcrite dans le RFC 1490.
Modes de fonctionnement de DLSw+
Cisco commercialise depuis de nombreuses annes des produits dinterconnexion pour les rseaux
IBM. Il existe aujourdhui une base substantielle de routeurs Cisco exploitant RSRB. Par consquent, il est essentiel que DLSw+ et RSRB puissent cohabiter sur le mme rseau et sur le mme
routeur. De plus, comme DLSw+ est bas sur le nouveau standard DLSw, il doit aussi pouvoir interoprer avec les implmentations dautres fabricants qui se basent galement sur ce standard.
DLSw+ possde trois modes de fonctionnement :
m
Mode double. Un routeur Cisco peut communiquer avec certains homologues distants au
moyen de RSRB et avec dautres homologues au moyen de DLSw+, en fournissant un chemin
de transition sans difficults de RSRB vers DLSw+. En mode double, RSRB et DLSw+ peuvent
cohabiter sur la mme machine, lhomologue local devant tre configur pour les deux protocoles et les homologues distants soit pour RSRB soit pour DLSw+, mais pas pour les deux.
Mode conforme au standard. DLSw+ peut dtecter automatiquement (via le processus DLSw
dchange dinformations de services) que le routeur participant a t produit par un autre fabricant, et quil fonctionne par consquent en mode DLSw standard.
Mode tendu. DLSw+ peut dtecter automatiquement que le routeur participant est un autre
routeur DLSw+, et quil fonctionne par consquent en mode tendu, pouvant offrir aux systmes
terminaux SNA et NetBIOS toutes les fonctionnalits de DLSw+.
Certaines fonctions avances de DLSw+ sont galement disponibles lorsquun routeur Cisco interagit en mode standard avec le routeur Dun autre fabricant. En particulier, les amliorations que lon
retrouve sous forme doptions contrles localement au niveau dun routeur sont accessibles mme
si le routeur Distant nexcute pas DLSw+. Ces fonctions tendues incluent lquilibrage de charge,
lapprentissage local (la facult de dterminer si une destination se trouve sur un LAN avant
denvoyer des trames de recherche sur le rseau tendu), le pare-feu dexploration et la conversion
de mdia.
Comment procder
Si vous disposez dun rseau hirarchique simple ne traitant quun faible volume de trafic SNA,
lisez la section "Dbuter avec DLSw+" qui dcrit les commandes de configuration requises pour
toutes les implmentations de DLSw+ et donne des exemples de configuration pour SDLC, Token
Ring, Ethernet et QLLC. Une fois que vous laurez lue, vous pourrez tudier les fonctionnalits
avances, la personnalisation, et la gestion de la bande passante.
Ce chapitre dcrit de quelle faon utiliser DLSw+ avec des dispositifs de concentration en aval
(DSPU, Downstream Physical Unit), LAN Network Manager, APPN et larchitecture dinterface
client native (NCIA, Native Client Interface Architecture).
266
Partie I
Architecture de rseaux
La configuration de DLSw+ nest pas une opration difficile sur la plupart des rseaux. Chaque
routeur qui supporte ce protocole doit avoir t configur laide de la commande dlsw local-peer ;
les commandes dlsw remote-peer sont optionnelles mais, gnralement, au moins un ct de la
connexion dhomologues doit prvoir la configuration dun homologue distant. Si une configuration
dhomologue omet la commande dlsw remote-peer, la commande dlsw local-peer doit spcifier le
mot cl promiscuous. Les routeurs fonctionnant en mode transparent (promiscuous) accepteront
des requtes de connexion dhomologues de la part de routeurs qui ne sont pas prconfigurs. Cette
fonction permet de limiter les changements au niveau des routeurs de sites centraux lorsque des
bureaux rgionaux sont ajouts ou supprims. Elle permet galement de rduire les tches
ncessaires la coordination des configurations.
Si vous avez utilis RSRB par le pass, vous devez savoir ce qui ne doit pas tre configur. Avec
DLSw+, vous navez pas besoin dexplorateur proxy, de cache de noms NetBIOS, de conversion
SDLC vers LLC2 (SDLLC), ou de pont traducteur avec routage par la source (SR/TLB). Toutes ces
fonctions sont intgres dans DLSw+.
Dans la Figure 8.3, le routeur Dagence spcifie la fois la commande dlsw local-peer et la
commande dlsw remote-peer. Le routeur De sige ne spcifie que la commande dlsw local-peer,
mais prcise le mot cl promiscuous pour pouvoir accepter dynamiquement les connexions de la
part de routeurs dagences. Lidentifiant dhomologue spcifi avec cette commande est ladresse IP
du routeur. Il pourrait sagir dune adresse de bouclage configure via la commande interface loopback 0 ou de ladresse IP associe une interface LAN ou WAN spcifique. Toutefois, si vous utilisez une adresse IP de rseau local ou tendu, linterface doit tre active pour que DLSw puisse
fonctionner.
Figure 8.3
Exemple des
commandes dlsw
local-peer et dlsw
remote-peer.
Routeur d'agence
Routeur
de sige
Token
Ring
Configuration de
routeur d'agence
dlsw local-peer peer-id 10.2.24.2
dlsw remote-peer 0 tcp 10.2.17.1
Token
Ring
Configuration de
routeur de sige
dlsw local-peer peer-id 10.2
promiscuous
Chapitre 8
Interrseaux DLSw+
267
Ladresse qui suit la commande dlsw remote-peer est celle de la liste de lanneau. Comme les listes
danneaux reprsentent un sujet avanc, il vaut mieux pour linstant spcifier zro dans cet espace
pour indiquer quelles ne sont pas utilises. Il existe dautres options pour ces deux commandes,
mais elles ne sont pas ncessaires. Elles seront traites la section "Fonctionnalits avances de
DLSw+", plus loin dans ce chapitre.
Outre la spcification des homologues locaux et distants, vous devez tablir des correspondances
entre les types de contrles de liaison de donnes locaux suivants et DLSw :
m
SDLC. Dfinissez les dispositifs SDLC et tablissez une correspondance entre les adresses
SDLC et les adresses MAC virtuelles DLSw+.
QLLC. Dfinissez les dispositifs X.25 et tablissez une correspondance entre les adresses X.25
et les adresses MAC virtuelles DLSw+.
Le reste de cette section donne des exemples de configuration pour les environnements Token Ring,
Ethernet, SDLC et QLLC.
Token Ring
La Figure 8.4 illustre un exemple de configuration de DLSw+ pour Token Ring. Le trafic provenant
de Token Ring est achemin par le pont routage par la source de lanneau local, vers un groupe
danneaux avec pont routage par la source, pour tre ensuite pris en charge par DLSw+. Vous
devez inclure une commande source-bridge ring-group qui spcifie une adresse danneau virtuel,
ainsi quune commande source-bridge qui indique aux routeurs de transmettre le trafic par le pont
du rseau Token Ring physique vers lanneau virtuel.
DLSw+ supporte la terminaison du champ RIF, ce qui signifie que tous les dispositifs distants apparaissent comme tant connects lanneau virtuel spcifi dans la commande source-bridge. Dans
la Figure 8.4, tous les dispositifs connects au routeur A apparaissent lhte comme tant situs
sur lanneau virtuel 200. A linverse, le FEP apparat au site distant comme tant situ sur lanneau
virtuel 100. Comme illustr dans cette figure, les anneaux virtuels spcifis sur les routeurs homologues
nont pas besoin de correspondre. Si plusieurs routeurs sont connects au mme anneau physique,
comme cest le cas pour les routeurs B et C, vous pouvez empcher les paquets dexploration en
provenance du WAN de pntrer sur lanneau virtuel et dtre rinjects sur le WAN, en spcifiant
la mme adresse de groupe danneaux sur chacun des routeurs.
268
Partie I
Architecture de rseaux
Figure 8.4
Configuration
simple de DLSw+
pour Token Ring.
100
Token
Ring 25
200
Routeur B
Routeur A
Token
Ring 5
Routeur C
200
Configuration du routeur A
source-bridge ring-group 100
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
.
.
interface TokenRing0
ring-speed 16
source-bridge active 25 1 100
source-bridge spanning
Configuration du routeur B
source-bridge ring-group 200
dlsw remote-peer 0 tcp 10.2.24.2
promiscuous
.
.
interface TokenRing0
ring-speed 16
source-bridge active 5 1 100
source-bridge spanning
Ethernet
Le trafic qui provient dun rseau Ethernet est pris en charge partir du groupe de pont (bridge
group) Ethernet local et transport sur le rseau DLSw. DLSw transfre toujours les donnes dans
un format non canonique. Dans la Figure 8.5, vous navez pas besoin de configurer le routeur
gauche pour un pontage avec traduction ou de vous demander quel est le mdia situ de lautre ct
du WAN. DLSw procdera automatiquement la conversion dadresse MAC correcte pour le mdia
de destination. Lorsque DLSw+ reoit une adresse MAC de la part dun dispositif connect via
Ethernet, il suppose quil sagit dune adresse canonique et la convertit dans un format non canonique
pour le transport vers lhomologue distant. Sur ce dernier, ladresse est transmise telle quelle au
systme terminal connect via Token Ring, ou bien reconvertie dans un format canonique si le
mdia de destination est Ethernet. Lorsquune ressource SNA rside sur un rseau Ethernet, si vous
configurez une adresse SNA de destination sur ce dispositif vous devez utiliser un format canonique.
Par exemple, un dispositif 3174 connect via Ethernet doit spcifier ladresse MAC du FEP dans un
format canonique. Si le format Token Ring ou non canonique de ladresse MAC du FEP est
4000.3745.0001, le format canonique est 0200.4C12.0080.
Dans la Figure 8.5, les donnes sont transfres directement vers un routeur Cisco avec CIP, mais il
pourrait sagir de nimporte quel routeur compatible DLSw, et le systme terminal SNA en amont pourrait tre situ sur nimporte quel mdia support.
SDLC
La configuration de dispositifs SDLC est un peu plus complexe. Vous devez savoir sil sagit
dunits physiques PU 1, PU 2.0 ou PU 2.1. Pour un dispositif PU 2.0, vous devez connatre les
identifiants IDBLK et IDNUM qui ont t spcifis sur VTAM (Virtual Telecommunication Access
Method) pour le dispositif en question, car le routeur joue un rle plus important dans le traitement
XID lorsquune unit PU 2.0 SDLC est implique. Vous devez savoir si le routeur reprsente
lextrmit principale ou secondaire de la ligne SDLC. De plus, si le raccordement vers le dispositif
SNA en amont passe par un LAN, vous devez configurer ladresse MAC de ce dispositif. Dans tous
les cas, vous devez configurer une adresse MAC virtuelle qui sera mise en correspondance avec une
adresse de sondage (polling) SDLC.
Chapitre 8
Interrseaux DLSw+
269
Figure 8.5
Configuration
simple de DLSw+
pour Ethernet.
Routeur A
Dans la Figure 8.6, les dispositifs connects via SDLC reoivent chacun ladresse 4000.3174.0000
comme adresse MAC virtuelle de base. Le routeur remplacera les deux derniers chiffres de ladresse
par ladresse SDLC du dispositif. Le dispositif situ ladresse SDLC C1 prsente ladresse MAC
4000.3174.00C1, et le dispositif situ ladresse SDLC C2 prsente ladresse MAC 4000.3174.00C2.
Comme dans cet exemple il sagit de deux dispositifs PU 2.0, leur XID doit tre configur et correspondre aux identifiants IDBLK et IDNUM sur VTAM. De plus, le routeur assume toujours le rle
principal lorsquil est connect en amont des dispositifs PU 2.0.
Le routeur peut tre lextrmit secondaire dune ligne SDLC (par exemple, lorsquil se connecte un
FEP par lintermdiaire de SDLC). Dans ce cas, spcifiez le mot cl secondary dans la commande
sdlc role, et indiquez pour les dispositifs PU 2.1 le mot cl xid-passthru dans la commande sdlc
address. Dans la version 11.0 ou ultrieure du systme Cisco IOS, DLSw+ supporte les PU 2.0/2.1
multipoint. Dans la Figure 8.7, la configuration PU 2.0 multipoint inclut une commande sdlc xid pour
chaque dispositif PU 2.0.
Pour les lignes multipoint avec une combinaison de dispositifs PU 2.0 et 2.1, spcifiez le mot cl
primary dans la commande sdlc role. Pour les dispositifs PU 2.0, vous devez coder les rfrences
IDBLK et IDNUM dans la commande sdlc xid. Pour les dispositifs PU 2.1, vous pouvez omettre
cette commande. Toutefois, dans la commande sdlc address, vous devez spcifier xid-poll. Sinon,
lorsque tous les dispositifs sur une ligne sont de type PU 2.1, vous pouvez spcifier la commande
sdlc role prim-xid-poll, et dans ce cas vous navez pas besoin de spcifier xid-poll pour chaque
commande sdlc address.
270
Partie I
Architecture de rseaux
Figure 8.6
Configuration simple
de DLSw+ pour SDLC.
C1
Routeur A
C2
Configuration du routeur A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
Interface serial 0
encapsulation sdlc
sdlc role primary
sdlc vmac 4000.3174.0000
sdlc address c1
sdlc xid c1 01712345
sdlc partner 4000.3745.0001 c1
sdlc dlsw c1
Routeur B
Token
Ring
interface serial1
encapsulation sdlc
sdlc role primary
sdlc vmac 4000.3174.1000
sdlc address c2
sdlc xid c1 01767890
sdlc partner 4000.3745.0001 c2
sdlc dlsw c2
Figure 8.7
Configuration multipoint
de DLSw+ pour SDLC.
C1
MSD
C2
Routeur A
Configuration du routeur A
C1 et C2 sont deux units PU 2.0
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
Interface serial 0
mtu 4400
no ip address
encapsulation sdlc
no keepalive
clockrate 19200
sdlc role primary
sdlc vmac 4000.3174.0000
sdlc address c1
sdlc xid c1 01712345
sdlc partner 4000.3745.0001 c1
sdlc address c2
sdlc xid c1 01767890
sdlc partner 4000.3745.0001 c2
sdlc dlsw c1 c2
Routeur B
Token
Ring
Configuration du routeur A,
avec une combinaison de
PU 2.0 et 2.1
interface serial 0
QLLC
QLLC est le protocole de liaison de donnes utilis par les dispositifs SNA pour se connecter aux
rseaux X.25. Il sagit dun protocole ancien, qui a t dvelopp par IBM pour permettre au NCP
(Network Control Program, programme de contrle de rseau) de supporter les connexions distantes sur X.25. La fonction logicielle sur le NCP qui supporte ce protocole est appele Network
Packet Switching Interface. Ce protocole tire son nom du bit Q utilis dans len-tte X.25 pour
identifier ses primitives. QLLC mule essentiellement SDLC sur X.25. Ainsi, DLSw+ ralise la
conversion QLLC de faon semblable la conversion SDLC. Limplmentation Cisco de DLSw+ a
Chapitre 8
Interrseaux DLSw+
271
prvu un support pour QLLC dans le systme Cisco IOS version 11.0. Comme QLLC est plus
complexe que Token Ring, Ethernet ou SDLC, nous en tudierons trois exemples dans cette section.
La Figure 8.8 illustre lemploi de DLSw+ pour permettre aux dispositifs distants de se connecter
un rseau DLSw+ travers un rseau public de commutation de paquets X.25. Dans cet exemple,
tout le trafic QLLC est envoy ladresse de destination 4000.1161.1234, qui reprsente ladresse
MAC du FEP. Le dispositif 3174 distant connect via X.25 sest vu attribuer une adresse MAC
virtuelle 1000.0000.0001 qui a t associe ladresse X.121 du 3174 (31104150101) sur le
routeur connect au rseau X.25.
Figure 8.8
Configuration de
DSLw+ pour QLLC,
pour un seul
dispositif de LAN
en amont.
4000.1161.1234
1000.0000.0001
X.25
Routeur A
DLSw+
Token
Ring
3110212011
Configuration du routeur A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
Interface serial 0
encapsulation x25
x25 address 3110212011
x25 map qllc 1000.0000.0001 31104150101
qllc dlsw partner 4000.1161.1234
Dans la Figure 8.9, un seul 3174 doit pouvoir communiquer avec un AS/400 et un FEP. La sousadresse 150101 est associe au FEP, et la sous-adresse 150102 est associe lAS/400. Si un appel
X.25 arrive pour ladresse 33204150101, il est mis en correspondance avec le FEP et transmis
ladresse MAC 4000.1161.1234. Le 3174 apparat au FEP comme tant une ressource de rseau
Token-Ring possdant ladresse MAC 1000.0000.0001. Il utilise un SAP source de 04 lorsquil
communique avec le FEP.
Si un appel X.25 est reu pour ladresse 33204150102, il est associ lAS/400 et transmis en
direction de ladresse MAC 4000.2034.5678. Le 3174 apparat lAS/400 comme tant une
ressource Token Ring portant ladresse MAC 1000.0000.0001. Le 3174 utilise un SAP source 08
lorsquil communique avec lAS/400.
Dans la Figure 8.10, deux ressources X.25 souhaitent communiquer via leur rseau avec le mme
FEP. Sur le routeur connect au nuage X.25, chaque requte de connexion X.25 pour ladresse
X.121 31102150101 est dirige vers DLSw+. La commande qllc dlsw cre un pool de deux adresses MAC virtuelles, en commenant par 1000.0000.0001. Le premier circuit virtuel commut ou
CVC (SVC, Switched Virtual Circuit) tabli sera associ cette premire adresse MAC virtuelle, et
le second CVC sera mis en correspondance avec ladresse MAC virtuelle 1000.0000.0002.
272
Partie I
Architecture de rseaux
Figure 8.9
Configuration de
DLSw+ pour QLLC,
pour supporter
plusieurs dispositifs
de LAN en amont.
4000.1161.1234
Token
Ring
1000.0000.0001
33204
X.25
Routeur A
DLSw+
Token
Ring
31102
4000.2034.5678
Configuration du routeur A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
Interface serial 0
encapsulation x25
x25 address 31102
x25 map qllc 1000.0000.0001 33204
qllc dlsw subaddress 150101 partner 4000.1161.1234
sap 04 04
qllc dlsw subaddress 150102 partner 4000.2034.5678
sap 08 04
C1
33204
4000.1161.1234
X.25
C2
35765
AS/400
Routeur A
DLSw+
Token
Ring
31102
Configuration du routeur A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
Interface serial 0
encapsulation x25
x25 address 31102
x25 map qllc 33204
x25 map qllc 35765
qllc dlsw subaddress 150101 vmacaddr
1000.0000.0001 2 partner 4000.1161.1234
Figure 8.10
Configuration de DLSw+ pour QLLC offrant le support de plusieurs dispositifs en aval connects via X.25
et communiquant par lintermdiaire dun rseau DLSw+ en amont.
Chapitre 8
Interrseaux DLSw+
273
Pour comprendre lquilibrage de charge, il faut galement savoir de quelle faon les routeurs
homologues DLSw+ tablissent des connexions et recherchent des ressources. Lorsquun routeur
DLSw+ est activ, il tablit tout dabord une connexion avec chaque homologue distant configur
( moins que le mot cl passive nait t spcifi, auquel cas il attend que lhomologue distant initie
une connexion). Les routeurs homologues changent ensuite des informations sur les services quils
offrent. Ces services comprennent aussi toutes les ressources configures avec les commandes dlsw
icanreach ou dlsw icannotreach. Aprs cet change, les homologues DLSw+ demeurent inactifs
jusqu ce quun systme terminal envoie une trame dexploration une telle trame peut tre du
type SNA TEST ou XID, ou du type NetBIOS NAME-QUERY ou ADD NAME-QUERY. Cette
trame est ensuite retransmise vers tous les homologues actifs et les ports locaux ( lexception du
port par lequel la trame est arrive). Il est possible quun systme terminal puisse tre localis par
lintermdiaire de plusieurs homologues distants ou ports locaux. Le chemin slectionn pour un
circuit dpend de certaines options de configuration avances dcrites dans cette section.
Equilibrage de charge et redondance
Si vous disposez de plusieurs routeurs de site central supportant DLSw+ pour lquilibrage de
charge ou la redondance, cette section contient dimportantes informations ce sujet. Elle dcrit
de quelle faon quilibrer le trafic sur plusieurs routeurs de site central ou sur plusieurs ports dun
seul routeur. Cet quilibrage-ci ne se rfre pas une rpartition du trafic sur plusieurs liaisons
WAN ou chemins IP. Il est ralis par le protocole IP sous-jacent et est transparent pour DLSw+.
Si DLSw+ reoit plusieurs rponses positives suite une trame dexploration, il peut placer en
cache jusqu quatre homologues permettant datteindre un systme terminal distant et jusqu
quatre ports par lintermdiaire desquels un systme terminal local peut tre joint. Lutilisation de
ces entres en cache est influence par la commande dlsw duplicate-path-bias, qui spcifie si
lquilibrage de charge est ralis ou non. Si cest le cas, les chemins placs en cache (homologues
distants ou ports locaux) sont choisis tour de rle par le processus dtablissement de circuit.
Si lquilibrage de charge nest pas spcifi, lhomologue slectionne le premier chemin dans le
cache et tablit tous les circuits via cet itinraire, sauf sil est inaccessible. Le premier chemin dans
la liste du cache peut tre lun des suivants :
m
274
Partie I
Architecture de rseaux
Le cot peut tre spcifi au moyen de lune de ces deux commandes : dlsw local-peer ou dlsw
remote-peer. Lorsque la premire commande est utilise, le cot est communiqu aux homologues
distants lors du processus dchange des informations de services. Lexemple suivant illustre le
quelle faon cette information peut tre exploite pour contrler les chemins emprunts par les
sessions.
Dans la Figure 8.11, il y a deux passerelles de canal et trois cartes Token Ring qui peuvent tre utilises pour accder aux applications sur le mainframe. Les trois cartes ont reu la mme adresse
MAC. Lassignation dadresses dupliques est une technique courante permettant dassurer lquilibrage de charge et la redondance dans un environnement SRB. Elle fonctionne, car SRB suppose
quil existe trois chemins menant au mme dispositif et ne voit pas cela comme une duplication
dadresses de LAN. Par contre, cette technique ne fonctionne pas dans un environnement avec pont
transparent.
Figure 8.11
Exemple de
configuration
avec entres de cache
cres lorsque toutes
les passerelles de canal
possdent la mme
adresse MAC.
Token
Ring
Token
Ring
Token
Ring
MAC 1
Homologue C (p)
Homologue B (c)
Homologue B
Homologue A
Homologue C
Configuration de l'homologue A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
dlsw remote-peer 0 tcp 10.2.24.3
Token
Ring
Token
Ring
Configuration de l'homologue B
dlsw local-peer peer-id 10.2.24.3
promiscuous
Configuration de l'homologue C
dlsw local-peer peer-id 10.2.24.2
promiscuous
dlsw duplicate-path-bias load-balance
Dans cet exemple, lhomologue A est configur avec deux commandes dlsw remote-peer pour les
homologues B et C. Lhomologue B spcifie un cot de 4 dans sa commande dlsw local-peer et lhomologue C indique un cot de 2. Ces informations de cot sont changes avec A lors de lchange des
informations de services.
Chapitre 8
Interrseaux DLSw+
275
Lorsque le systme terminal SNA (cest--dire la PU) situ sur la gauche envoie un paquet dexploration, A le transmet B et C. Ces derniers le retransmettent sur leurs rseaux locaux respectifs. B
reoit une rponse positive, et renvoie donc une rponse positive A. C reoit deux rponses positives (provenant de chacun des deux ports) et transmet une rponse positive A. C prend note quil
possde deux ports quil peut utiliser pour atteindre ladresse MAC de la passerelle de canal, et A
prend note quil possde deux homologues quil peut utiliser pour atteindre ladresse MAC de la
passerelle de canal.
Lhomologue A transmet ensuite une rponse positive la PU SNA et tablit un circuit de bout en
bout en utilisant C. Ce dernier est slectionn parce quil possde le cot le plus faible. Lorsque la
prochaine unit PU demandera une connexion avec la mme adresse MAC, elle sera tablie avec C,
sil est disponible. Il sagit de la mthode utilise par dfaut pour grer les chemins dupliqus avec
DLSw+.
Sur lhomologue C, le premier circuit est tabli en utilisant le port 1, mais le circuit suivant empruntera le port 2, car lquilibrage de charge a t spcifi sur ce routeur laide de la commande dlsw
duplicate-path-bias. Chaque nouvelle PU SNA utilisera le chemin suivant dans la liste en cache.
La Figure 8.11 illustre la faon de privilgier un homologue par rapport un autre lors de ltablissement de connexions distantes ; cependant, le site central quilibre le trafic sur toutes les cartes
LAN dune passerelle de canal donne. Autrement, lquilibrage peut tre spcifi nimporte o
pour rpartir la charge sur tous les routeurs de site central, les passerelles de canal et les LAN.
Notez que cette fonction nexige pas que les systmes terminaux soient connects via Token Ring.
Ils pourraient se connecter par lintermdiaire de SDLC, Ethernet ou QLLC, et la fonctionnalit
serait toujours oprante. La passerelle de canal du site central doit tre connecte via un LAN (de
prfrence Token Ring). Les adresse MAC dupliques pour les passerelles de canal sur Ethernet
fonctionneront uniquement : 1) si vous disposez dun segment unique Ethernet avec pont et dun
seul routeur DLSw+ pour chaque adresse MAC duplique ; 2) si vous utilisez lquilibrage de
charge partir des sites distants. Ethernet ne disposant daucune fonctionnalit pour empcher les
bouclages, il faudra tre prudent lors de la construction de rseaux redondants avec des rseaux
locaux Ethernet. Les rseaux Token Ring peuvent sappuyer sur SRB pour viter les boucles.
Une autre mthode qui permet de spcifier le cot consiste utiliser la commande dlsw remotepeer, comme illustr Figure 8.12. Lutilisation du mot cl cost au niveau de cette commande autorise diffrentes rgions dun pays favoriser diverses passerelles de site central. De plus, vous
devez indiquer ce mot cl si vous souhaitez rpartir le trafic SNA sur plusieurs routeurs de site
central, mais chaque site distant ne possde quune seule PU SNA (toutes les sessions logiques
circulent sur le mme circuit que celui de la session PU). Dans la Figure 8.12, lhomologue A favorise toujours lhomologue B et lhomologue D favorise toujours lhomologue C.
276
Partie I
Architecture de rseaux
Figure 8.12
Configuration o le
cot est spcifi avec
la commande dlsw
remote-peer au lieu
de la commande dlsw
local-peer.
Token
Ring
Token
Ring
Token
Ring
Homologue A
Homologue B
Homologue D
Homologue C
Configuration de l'homologue A
Token
Ring
Token
Ring
Configuration de l'homologue B
dlsw local-peer peer-id 10.2.24.2
promiscuous
Configuration de l'homologue C
dlsw local-peer peer-id 10.2.24.3
promiscuous
dlsw duplicate-path-bias load-balance
Un homologue de cot plus lev peut tre utilis pour une connexion, mme lorsque celui de
moindre cot est actif, sil a rpondu avant lautre au paquet dexploration. Si votre configuration
de rseau dispose de cette possibilit, vous pouvez lempcher en dfinissant un temporisateur.
La spcification de la commande dlsw explorer-wait-time oblige DLSw+ attendre le dlai spcifi (par exemple, 1 seconde) avant de slectionner un homologue pour tablir les connexions. Ce
temporisateur peut tre dfini sur le systme Cisco IOS version 11.0, ou ultrieure. Avant cette
version, il nexistait pas.
Homologues de secours
Chapitre 8
Interrseaux DLSw+
277
Dans ce cas, utilisez la fonctionnalit dhomologue de secours (introduite avec Cisco IOS
version 10.3, mais tendue avec la version 11.1). La Figure 8.13 illustre de quelle faon configurer un
homologue de secours. Si vous souhaitez exploiter cette fonctionnalit, il faut employer la mthode
dencapsulation TCP ou FST (Fast-Sequenced Transport) pour accder lhomologue principal.
Cet exemple suppose lexistence de 400 sites distants. Tous les routeurs sur la cte est utilisent le
routeur A comme routeur principal, et tous les routeurs sur la cte ouest utilisent C comme routeur
principal. Dans les deux cas, le routeur De secours est B. La configuration illustre est celle du
routeur D, un des routeurs de la cte est. Ces derniers sont tous configurs avec les mmes
commandes dlsw remote-peer. Le routeur principal A et le routeur De secours B sont chacun configurs avec une commande dlsw remote-peer. B est configur uniquement en tant que routeur De
secours, et ladresse IP du routeur quil soutient est spcifie.
Dans lventualit dune panne au niveau du routeur A, toutes les sessions SNA sont termines,
puis rtablies par lintermdiaire du routeur B. Lorsque A redevient disponible, toutes les nouvelles
sessions sont tablies son niveau, mais celles dj existantes passant par B sont maintenues
jusqu ce que le temporisateur linger expire. Lomission du mot cl linger provoquera le maintien
de ces sessions sur le routeur B jusqu ce quelles se terminent delles-mmes. Ce mot cl peut tre
utilis pour minimiser les cots de liaison si le routeur De secours est accessible par lintermdiaire
dune ligne commute, mais laissera suffisamment de temps pour quun avertissement de loprateur puisse tre envoy tous les utilisateurs finaux SNA.
Figure 8.13
Comment utiliser
les homologues
de secours pour
amliorer la
disponibilit
dun grand rseau
DLSw+.
Est
A
Routeur D
B
Ouest
Configuration du routeur D
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2
dlsw remote-peer 0 tcp 10.2.24.3 backup-peer 10.2.24.2 linger 20
Token
Ring
278
Partie I
Architecture de rseaux
NOTE
Avant lintroduction de Cisco IOS version 11.1, lorsque lhomologue principal tait nouveau actif aprs
une dfaillance, toutes les sessions qui utilisaient le routeur De secours taient immdiatement termines,
puis rtablies sur le routeur principal. Si ce nest pas le comportement que vous souhaitez et que vous utilisiez une version du systme antrieure la version 11.1, envisagez la place lemploi dhomologues actifs
dupliqus (procdure dcrite dans la section prcdente).
Les homologues de secours et les homologues actifs multiples (avec un homologue dsign comme
routeur prfr et les autres comme routeurs possibles) reprsentent deux solutions de secours en
cas de panne dun routeur principal. Lune des principales diffrences de la solution dhomologues
de secours est que les connexions ne sont pas actives tant quelles ne sont pas ncessaires. Supposez
que vous ayez 1 000 bureaux dagence, et que vous souhaitiez concevoir un rseau pour un cot
minimal pouvant se rtablir dynamiquement en cas de dfaillance de nimporte quel routeur De site
central. Supposez aussi que quatre routeurs sur le site central soient suffisants pour traiter toute la
charge de travail. Vous pouvez donc les installer en tant que routeurs principaux sur le site central et
les dfinir pour quils communiquent chacun avec 250 agences.
Pour satisfaire aux besoins en matire de disponibilit, une solution serait de recourir plusieurs
connexions dhomologues actives simultanment. Dans ce cas, il faut configurer chaque routeur
Distant avec deux connexions dhomologues : lune vers un routeur prfr et lautre vers un
routeur possible. Le premier est celui qui est configur avec le cot le plus faible. Le second peut
tre le mme routeur pour tous les sites distants, mais il doit dans ce cas avoir 1 000 connexions
dhomologues. Le plus grand nombre de routeurs homologues quil nous a t donn de rencontrer
est 400, et il sagissait dun environnement o le trafic tait extrmement lent. Bien que 1 000
connexions dhomologues inactives soient envisageables, elles pourraient imposer une forte charge
sur le routeur Ds quil prend le relais dun autre routeur. Une autre solution serait de disposer de
plusieurs routeurs de site central comme routeurs possibles, mais ce ne serait pas la conception la
plus rentable.
En utilisant un homologue de secours sur chaque site distant la place dune paire de connexions
concurrentes vers deux routeurs, un routeur De secours sur un site central peut aisment soutenir
nimporte quel autre routeur De site central. Aucune charge ne pse sur le routeur De secours tant
quun routeur principal nest pas dfaillant.
Options dencapsulation
DLSw+ propose quatre options dencapsulation qui varient en termes de chemin de traitement
utilis, de surcharge sur le rseau tendu et de mdia support. Ces solutions dencapsulation sont
TCP, FST, lencapsulation directe et LLC2.
Encapsulation TCP
TCP est la mthode dencapsulation du standard DLSw. Cest la seule tre spcifie dans le RFC
1795 et offrir autant de fonctionnalits. Elle assure une livraison fiable des trames ainsi quun
acquittement local. Cest aussi la seule option qui propose un reroutage sans interruption aprs
Chapitre 8
Interrseaux DLSw+
279
panne. Vous pouvez tirer profit de la fonction douverture de ligne la demande qui permet dajouter dynamiquement de la bande passante si des liaisons principales atteignent un seuil de saturation
prconfigur. Cette mthode est recommande pour la plupart des environnements, car ses performances sont gnralement plus que suffisantes ; elle propose la plus haute disponibilit, et la
surcharge de service gnre na en principe aucun impact ngatif sur les temps de rponse ou le
dbit.
TCP est commut par processus et requiert donc plus de cycles de traitement que FST et que
lencapsulation directe. Un routeur Cisco 4700 excutant DLSw+ avec lencapsulation TCP peut
commuter jusqu 8 Mbit de donnes par seconde. Cette solution peut donc rpondre aux exigences
de traitement de la plupart des environnements SNA. Lorsquun dbit suprieur est requis, des
routeurs supplmentaires ou dautres options dencapsulation peuvent tre utiliss.
Lencapsulation TCP est la solution qui gnre le plus de surcharge de service au niveau de chaque
trame (20 octets pour TCP et 20 octets pour IP, en plus des 16 octets de len-tte DLSw). La
compression den-tte TCP ou de la zone de donnes (payload) peut tre utilise pour rduire la
quantit de bande passante requise, si ncessaire. Sur des liaisons 56 Kbit/s ou plus, les 40 octets
de surcharge rallongent de moins de 5,7 ms le dlai dun change aller-retour ; limpact est donc
ngligeable.
DLSw+ avec lencapsulation TCP fournit lacquittement local et le sondage local, et rduit
galement le trafic keepalive (contrle dactivit de ligne) sur le rseau tendu. Cette solution
supporte nimporte quel mdia de rseau local et tendu. Lquilibrage de charge sur plusieurs
liaisons WAN ou chemins IP est possible, car TCP rorganise le trafic avant de le transmettre.
Quand vous utilisez lencapsulation TCP, vous pouvez assigner diffrents types de trafic diffrents
ports afin de pouvoir grer de faon prcise la mise en file dattente. On peut distinguer le trafic
LLC2 en se basant sur les SAP (pour identifier le trafic NetBIOS et SNA), et les dispositifs SNA
peuvent recevoir une priorit sur la base des adresses LOCADDR ou MAC/SAP. Voici un exemple
de commande dlsw remote-peer spcifiant lencapsulation TCP :
dlsw remote-peer 0 tcp 10.2.24.3
Encapsulation FST
FST est une option hautement performante utilise sur les liaisons grande vitesse (256 Kbit/s ou
plus) lorsquun dbit lev est requis. Cette solution utilise un en-tte IP avec des numros de
squence pour garantir que toutes les trames sont livres dans lordre (les trames reues dans le
dsordre sont ignores et le systme terminal doit les retransmettre).
Cette solution utilise la commutation rapide et non celle par processus, ce qui permet DLSw+ de
traiter davantage de paquets par seconde quavec lencapsulation TCP. Comme FST nutilise pas
TCP, la taille de son en-tte est plus petite de 20 octets par rapport celui de TCP.
Cependant, FST noffre aucune fonctionnalit de livraison fiable des trames et dacquittement local.
Toutes les trames keepalive circulent de bout en bout. FST est support uniquement lorsque les
systmes terminaux se trouvent sur un rseau Token Ring. Deux homologues FST peuvent communiquer sur une liaison HDLC (High-Level Data Link), Ethernet, Token Ring, FDDI, ATM (Asynchronous Transfer Mode), ou Frame Relay. Certains mdias de transport ne sont pas supports avec
les premires versions de maintenance FST peut assurer le reroutage pour contourner une ligne
280
Partie I
Architecture de rseaux
dfaillante, mais avec un risque dinterruption. De plus, lquilibrage de charge sur plusieurs
liaisons WAN ou chemins IP nest pas recommand avec FST, car les trames peuvent tre dlivres
dans le dsordre, provoquant leur abandon. Les systmes terminaux doivent alors retransmettre, ce
qui rduit les performances globales du rseau.
Pour finir, la gestion de mise en file dattente nest pas aussi prcise avec FST, car vous ne pouvez
pas assigner diffrents types de trafics diffrents ports TCP. Cela signifie que les algorithmes de
gestion de files dattente ne peuvent pas prendre en compte les SAP (le trafic NetBIOS et SNA est
trait en tant que trafic LLC2), ni les adresses LOCADDR ou MAC. Voici un exemple de la
commande dlsw remote-peer fst qui spcifie une encapsulation FST :
dlsw remote-peer 0 fst 10.2.24.3
Encapsulation directe
Lencapsulation directe est une option faible surcharge de service pour le transport du trafic sur
des liaisons point--point lorsque le reroutage nest pas requis. Cette option est supporte sur des
liaisons HDLC et Frame Relay. Elle inclut un en-tte DLSw de 16 octets et un en-tte de contrle
de liaison de donnes. Elle utilise la commutation rapide et non la commutation par processus, ce
qui permet DLSw+ de traiter davantage de paquets par seconde quavec lencapsulation TCP.
Cette solution nassure ni la livraison fiable des trames, ni lacquittement local. Toutes les trames
keepalive circulent de bout en bout. Elle est supporte uniquement lorsque les systmes terminaux
sont situs sur un rseau local Token Ring. Le reroutage nest pas assur.
Finalement, la gestion de mise en file dattente nest pas aussi prcise avec cette solution, car vous
ne pouvez pas assigner diffrents types de trafic diffrents ports TCP. Cela signifie que lorsque
vous utilisez lencapsulation directe, les algorithmes de mise en files dattente ne peuvent pas prendre en compte les SAP (le trafic NetBIOS et SNA est trait en tant que trafic LLC2), ni les adresses
SDLC ou MAC.
Cette solution est parfois envisage sur des lignes trs faible vitesse afin de rduire au minimum la
surcharge de service, mais lencapsulation TCP avec compression de la zone de donnes (payload)
peut garantir une surcharge WAN infrieure sans les limitations lies lencapsulation directe.
Voici un exemple de commande dlsw remote-peer spcifiant lencapsulation directe sur une ligne
HDLC :
dlsw remote-peer 0 interface serial 01
Dans cet exemple, lidentifiant de connexion de liaison de donnes (DLCI) 33 sur linterface srie 1
est utilis pour transporter le trafic DLSw. Le mot cl pass-thru indique que le trafic nest pas
acquitt localement. Sil nest pas spcifi, le trafic est acquitt localement, ce qui implique quil est
transport par LLC2 pour garantir une livraison fiable. La section suivante dcrit lencapsulation
LLC2.
Chapitre 8
Interrseaux DLSw+
281
La solution dencapsulation DLSw+ avec LLC2 est galement connue sous le nom de DLSw Lite.
Elle supporte de nombreuses fonctionnalits de DLSw+, dont lacquittement local, la conversion
de mdia, la rduction du trafic keepalive et la livraison fiable des trames, mais entrane moins de
surcharge de service (16 octets den-tte DLSw et 4 octets den-tte LLC2). Elle est actuellement
supporte sur Frame Relay et suppose une configuration point--point sur Frame Relay (cest--dire
que le routeur homologue sur le site central est galement le routeur WAN). Elle supporte les systmes terminaux connects via Token Ring, SDLC, QLLC ou Ethernet. Cette solution est commute
par processus et traite environ le mme volume de trafic que lencapsulation TCP.
Avec cette solution, les ruptures de liaison provoquent une interruption. Afin de garantir une
meilleure disponibilit, il faut disposer de plusieurs homologues actifs de site central, ce qui permet
dassurer un rtablissement dynamique sans interruption en cas de perte dun lien ou dun homologue principal. Les homologues de secours ne sont pas encore supports.
La gestion de files dattente nest pas aussi prcise quavec lencapsulation TCP, car il nest pas
possible dassigner diffrents types de trafics diffrents ports TCP. Cela signifie quavec DLSw
Lite, les algorithmes de mise en files dattente ne peuvent pas prendre en compte les SAP (le trafic
NetBIOS et SNA est trait comme un trafic LLC2), ni les adresses SDLC ou MAC. Voici un exemple de commande dlsw remote-peer frame-relay spcifiant lencapsulation LLC2 sur une ligne
Frame Relay :
dlsw remote-peer 0 frame-relay interface serial 01 33
frame-relay map llc2 33
NOTE
La commande frame-relay map llc2 33 ne fonctionnera pas sur les sous-interfaces point--point. Il faut
spcifier la place le numro DLCI dans la commande frame-relay interface-dlci et spcifier le mme
numro dans la commande dlsw remote-peer frame-relay.
Les divers types dencapsulations provoquent une surcharge de service diffrente au niveau de
chaque trame. Avec TCP et LLC2, le trafic dacquittement et keepalive est maintenu hors du rseau
tendu, ce qui rduit le nombre de paquets. De plus, des techniques telles que la compression des
donnes ou de len-tte, ainsi que lempaquetage de plusieurs trames SNA dans un seul paquet TCP,
peuvent rduire encore davantage la surcharge de service. Le pourcentage de surcharge gnr par
DLSw dpend de la mthode dencapsulation utilise.
La Figure 8.14 illustre le format de trame pour lencapsulation TCP, FST, DLSw Lite, et directe. Le
pourcentage indiqu reprsente la quantit de surcharge, en supposant des transactions SNA de 40
in, 1 920 out (un rafrachissement dcran) et de 40 in, 1 200 out. Avec des transactions plus petites,
la surcharge est plus importante. Les chiffres de lencapsulation TCP reprsentent les cas les plus
282
Partie I
Architecture de rseaux
pessimistes, car ils supposent que chaque unit dinformation de chemin SNA (PIU) est encapsule
dans un paquet TCP distinct. En fait, sil y a plus dune PIU SNA dans la file de sortie, plusieurs
trames seront encapsules dans un seul paquet TCP, ce qui rduit la surcharge de service. Les chiffres
ne prennent pas en compte le fait que DLSw+ limine les paquets keepalive de contrle dactivit
de ligne et ceux dacquittement.
Figure 8.14
Format de trame
et surcharge de
service par paquet
pour divers types
dencapsulations
et tailles de
transaction.
Encapsulation
TCP DLC
FST
Lite
Directe
IP
DLC
40/1920
SDLC
LAN
40/1200
SDLC
LAN
5.7%
4.5%
9%
7%
IP
3.7%
2.4%
5.8%
3.9%
2%
1%
3.2%
1.3%
1.8%
.6%
2.9%
1%
DLSw Donnes
FR
DLSw
Donnes
La surcharge effective par paquet de DLSw pour le trafic LAN est infrieure celle de SDLC, car
DLSw+ limine le besoin de transporter les adresses MAC et les informations RIF dans chaque
trame. DLSw ne transporte pas ces donnes, car lidentifiant de circuit DLSw (portion de len-tte
DLSw de 16 octets) est utilis pour la correspondance de circuit. La surcharge lie aux adresses
MAC et aux informations RIF peut sinon reprsenter de 12 28 octets de donnes. Les pourcentages de la figure supposent une surcharge minimale (cest--dire informations RIF non comprises).
Listes de ports
Les listes de ports vous permettent de crer des anneaux virtuels ou des domaines de diffusion sur
un rseau DLSw+. Vous pouvez les utiliser pour contrler vers quelle destination les messages en
diffusion gnrale sont transmis. Par exemple, dans la Figure 8.15, il y a trois anneaux sur le site de
distribution (o se situe lhomologue A).
Tous les anneaux comportent des systmes terminaux SNA, mais lanneau 15 est le seul qui
connecte des serveurs NetBIOS. Lagence relie lhomologue B a besoin daccder aux serveurs
NetBIOS, mais pas aux autres anneaux. La fonction de listes de ports permet de maintenir les diffusions gnrales provenant de lhomologue B en dehors des anneaux 12 et 22 (lempchant de
communiquer avec les dispositifs situs sur ces deux anneaux).
A laide de ces listes, vous pouvez oprer une distinction entre les diffrents ports Token Ring et ports
srie, mais tous les ports Ethernet sont traits comme une seule entit (groupe de pont Ethernet).
Chapitre 8
Interrseaux DLSw+
283
Figure 8.15
Listes danneaux
utilises pour limiter des
domaines de diffusion
sur un rseau DLSw+.
Liste de
ports 2
Token
Ring 22
Token
Ring 12
Homologue A
Token
Ring 15
Liste de ports 1
Homologue A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 1 tcp 10.2.24.2
dlsw remote-peer 2 tcp 10.2.24.3
dlsw ring-list 1 rings 15
dlsw ring-list 2 rings 22 12 15
Homologue B
Homologue C
Token Explorateur
Ring 19
Les groupes dhomologues et les homologues interzones peuvent tre utiliss pour minimiser le
nombre de connexions dhomologues requises pour tablir une communication any-to-any. Avant
lintroduction des homologues interzones, deux routeurs DLSw qui avaient besoin de communiquer
devaient possder une connexion dhomologues active en permanence. Cette connexion est exploite pour rechercher des ressources et transporter le trafic. Sur un rseau totalement maill de n
routeurs, cela ncessite n (n 1) / 2 connexions TCP. La configuration est complexe et gnre un
trafic dexploration superflu. Pour rgler ce problme, DLSw+ supporte le concept de groupe
dhomologues et dhomologues interzones. Un groupe dhomologues est un groupe arbitraire de
routeurs comprenant un ou plusieurs homologues interzones dsigns. Ces derniers sont relis
chaque routeur De leur groupe et des homologues interzones situs dans dautres groupes. Le rle
dun tel homologue est de transmettre les paquets dexploration au nom des autres routeurs.
Utilisez les groupes dhomologues et les homologues interzones uniquement lorsque vous avez
besoin dune communication agence vers agence entre des systmes terminaux NetBIOS ou APPN.
Dans la Figure 8.16, le rseau "avant" illustre les connexions TCP requises pour obtenir une
connectivit totalement maille sans lutilisation dhomologues interzones. Sans ce type dhomologues, chaque fois quun routeur ne trouve pas une ressource dans son cache il doit crer une trame
dexploration et la reproduire pour chaque connexion TCP. Il en rsulte un trafic dexploration
excessif sur les liaisons WAN et une charge de traitement importante au niveau du routeur.
Aprs avoir configur les homologues interzone et les groupes dhomologues, il est possible dobtenir une mme connectivit totalement maille, mais cette fois sans surcharge. Dans le rseau
"aprs", les deux groupes dhomologues sont dfinis en tant que groupes Ouest et Est. Au sein de
chaque groupe, un ou plusieurs routeurs sont configurs en tant quhomologues interzone. Chaque
routeur homologue au sein du groupe Ouest tablit une connexion dhomologues avec lhomologue
interzone Ouest (HIO). De la mme manire, chaque routeur Du groupe Est tablit une connexion
dhomologues avec lhomologue interzones Est (HIE).
284
Partie I
Architecture de rseaux
Figure 8.16
Utilisation
dhomologues
interzones et de
groupes dhomologues
pour rduire le nombre
de connexions TCP
requises tout en
maintenant
une connectivit
any-to-any totale.
Configuration de l'homologue O1
dlsw local-peer peer-id 10.2.17.1 group West
dlsw remote-peer 0 tcp 10.2.24.1
dlsw peer-on-demand-defaults tcp
Configuration de l'homologue E1
dlsw local-peer peer-id 10.2.24.3 group East
dlsw remote-peer 0 tcp 10.2.18.2
dlsw peer-on-demand-defaults tcp
Les homologues interzone tablissent une connexion dhomologues entre eux. Lorsquun routeur
Du groupe Ouest doit trouver une ressource, il envoie un seul paquet dexploration son homologue interzone. Celui-ci transmet le paquet dexploration chaque homologue membre de son
groupe et tous les autres homologues interzone. Le HIE qui reoit le paquet le transmet chaque
routeur De son groupe. Lorsque la ressource est trouve (dans ce cas sur E1), une rponse positive
est envoye vers lorigine (O1) via les deux homologues interzones. A cette tape, O1 tablit une
connexion dhomologues directe vers E1. Les connexions dhomologues qui sont tablies par
lintermdiaire dhomologues interzones sans lavantage de la prconfiguration sont appeles
connexions dhomologues la demande. Les rgles grant ltablissement dhomologues la
demande sont dfinies par les commandes dlsw peer-on-demand-defaults tcp sur chaque routeur.
Homologues dynamiques
Les homologues dynamiques (fonction introduite avec Cisco IOS version 11.1) sont configurs en
tant quhomologues distants uniquement connects lorsque des circuits les utilisent. Quand une
commande dlsw remote-peer spcifie le mot cl dynamic, lhomologue distant nest activ que si
un systme terminal envoie une trame dexploration qui satisfait toutes les conditions de filtrage
spcifies par la commande. Une fois la connexion dynamique tablie, le paquet dexploration est
transmis lhomologue distant. Si la ressource est localise, un circuit est tabli et lhomologue
distant demeure actif jusqu ce que tous les circuits qui lutilisent se terminent et que cinq minutes
se soient coules. Vous pouvez spcifier le mot cl no-llc pour modifier le dlai observer en choisissant une valeur autre que cinq minutes. Optionnellement, lhomologue distant peut tre configur
pour tre dconnect lorsquil ny a aucune activit sur les circuits pendant un certain temps
prconfigur (temporisateur dinactivit).
Des filtres permettant de rduire le nombre de paquets dexploration envoys vers un homologue
distant peuvent tre inclus dans les commandes dlsw remote-peer. Ces filtres servent galement
empcher lactivation dun homologue dynamique. Cette commande permet de pointer vers des
listes de SAP, dadresses MAC, de noms NetBIOS, ou de filtres de dplacement binaire (byte
offset). Avec cette commande, vous pouvez aussi prvoir une adresse MAC pour un homologue
dynamique qui ne sera activ que si un paquet dexploration est envoy vers ladresse spcifie. La
Figure 8.17 illustre lutilisation de cette fonction. Lhomologue dynamique nest connect que si
Chapitre 8
Interrseaux DLSw+
285
une trame dexploration est reue destination de ladresse MAC du FEP. Aprs ltablissement de
la connexion, celle-ci sera libre, ainsi que les circuits qui lutilisent, si aucune activit nest dtecte pendant 20 minutes, en raison du paramtre inactivity 20 spcifi.
Figure 8.17
Des routeurs DLSw+
configurs pour tirer
profit de la fonction
dhomologue
dynamique.
Homologue A
Configuration de l'homologue A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 0 tcp 10.2.24.2 dynamic
inactivity 20 dest-mac 4000.3745.0000
Homologue B
Configuration de l'homologue B
dlsw local-peer peer-id 10.2.24.3
Vous pouvez utiliser des homologues dynamiques si vous disposez dun grand rseau sans pour
autant avoir besoin que tous les sites distants soient connects en mme temps. Cela vous permet
ainsi de rduire le nombre de routeurs de site central ncessaires pour supporter le rseau. Vous
pouvez galement recourir aux homologues dynamiques pour tablir des communications occasionnelles entre sites distants. Ces homologues diffrent des homologues la demande en ce quils
doivent tre prconfigurs. Pour finir, ils peuvent aussi tre utiliss sur des rseaux de petite taille
pour ouvrir une ligne lors dun processus de reprise aprs erreur.
Routage SNA par ouverture de ligne la demande
Le routage SNA par ouverture de ligne la demande (DDR, Dial-on-Demand Routing) dsigne la
fonctionnalit de DLSw+ qui permet de transfrer des donnes SNA sur une ligne commute et de
la librer automatiquement lorsquil ny a plus de donnes transfrer. La session SNA demeure
active. Pour utiliser cette fonctionnalit, configurez la commande dlsw remote-peer de la faon
suivante :
dlsw remote-peer adresse-liste tcp adresse-ip dynamic keepalive 0
timeout secondes
Le mot cl dynamic est optionnel, mais recommand, car il empche ltablissement dune
connexion inutile par lhomologue distant. Loption dynamic a t dcrite dans la section prcdente et peut tre combine avec les options dmac-out ou dmac-output-list pour la commande
dlsw remote-peer afin de garantir que les connexions dhomologues sont actives uniquement
lorsquelles sont souhaites (par exemple, lorsquun dispositif tente de localiser le FEP).
Le mot cl keepalive est requis. DLSw+ acquitte localement le trafic SNA (ou plus prcisment,
SDLC ou LLC2) pour quaucune trame dacquittement de contrle de liaison de donnes ou de
surveillance RR "receveur prt" (Receiver Ready) nactive la ligne commute de faon involontaire.
286
Partie I
Architecture de rseaux
Toutefois, les homologues DLSw+ senvoient priodiquement des messages keepalive, ce qui
provoque lactivation de la ligne. Loption keepalive permet de spcifier la frquence dchange de
ces messages. La valeur 0 indique quaucun message keepalive nest envoy et que, par consquent,
la ligne commute nest pas maintenue active. Vous devez spcifier la valeur 0 sur les deux homologues, cest--dire que vous devez soit spcifier les routeurs distants la fois sur le routeur local et
sur le routeur Distant DLSw+, soit utiliser la commande prom-peer-default pour configurer
keepalive zro pour toutes les connexions dhomologues transparentes (promiscuous). Cette
commande possde les mmes options que la commande peer-on-demand-defaults et est disponible sur les versions de maintenance les plus rcentes de DLSw+.
Le mot cl timeout est recommand. En labsence des messages keepalive dhomologues, DLSw+
repose sur les temporisateurs TCP pour dterminer lorsque la session SNA est termine. TCP considrera quil a perdu un partenaire seulement sil ne reoit pas dacquittement de sa part aprs avoir
envoy des donnes. Par dfaut, le protocole peut attendre jusqu 15 minutes la rception dun
acquittement avant de librer la connexion. Par consquent, lorsque le paramtre keepalive indique
une valeur 0, vous devez galement dfinir le mot cl timeout, qui reprsente le temps dattente du
protocole (en secondes) avant la dconnexion. Le temporisateur devrait indiquer une valeur suffisamment longue pour permettre lacquittement de traverser la liaison dans les cas de congestion
moyenne ou forte, mais suffisamment courte galement pour limiter le temps ncessaire au protocole pour se rtablir aprs une interruption sur le rseau. Les connexions de contrle de liaison de
donnes de SNA attendent gnralement 150 250 secondes avant dentreprendre laction prvue
aprs expiration du temporisateur.
Autres considrations
Outre le fait dempcher le trafic des messages keepalive dactiver la ligne RNIS, vous devez aussi
vous inquiter des mises jour de routage. Pour empcher lactivation de la ligne par les mises
jour des tables de routage dans les environnements avec une configuration hub and spoke (en rayon
autour dun point central), utilisez des routes statiques. Sinon, vous pouvez utiliser le protocole RIP
(Routing Interface Protocol) version 2 ou le routage IP la demande, depuis les agences vers le site
central. Le routage la demande ou ODR (On-Demand Routing) est un mcanisme qui assure un
routage IP faible surcharge de service pour les sites de second niveau. Dfinissez le routage RIP
version 2 ou le routage ODR sur linterface RNIS du routeur central en mode passif. Redistribuez
ensuite les itinraires RIP version 2 ou ODR vers le protocole de routage principal (Enhanced IGRP
ou OSPF). Cela vous permet de disposer de plusieurs routeurs sur le site central pour lquilibrage
de charge et la redondance. Ensuite, la route sera installe dynamiquement, quel que soit le routeur
qui reoit lappel du site distant. Sur le site distant, le protocole de routage (RIP ou ODR) doit tre
rejet de la liste du numroteur.
Pour les topologies mailles, vous pouvez rduire au minimum les mises jour de tables de routage
en utilisant un protocole vecteur de distance, comme RIP ou IGRP, en combinaison avec la fonction de routage snapshot de Cisco. Le routage snapshot empche que les mises jour de routage
ordinaires nactivent la connexion RNIS. Les modifications dans les tables de routage sont
envoyes soit lorsque le lien est ouvert par un trafic provenant de lutilisateur final, soit en respectant un intervalle rgulier configurable. Ce routage supporte non seulement les mises jour de
routage IP, mais aussi le routage Novell IPX et les mises jour SAP.
Chapitre 8
Interrseaux DLSw+
287
De nombreuses implmentations NetBIOS utilisent des messages keepalive de session (outre ceux
du contrle de liaison de donnes) pour maintenir les sessions. Aussi, la fonction DDR peut ne pas
fonctionner avec NetBIOS (les messages garderont la ligne active).
Commutation locale
La commutation locale (disponible avec Cisco IOS version 11.1 ou ultrieure) autorise un seul
routeur assurer la conversion de mdia entre SDLC et Token Ring, et entre QLLC et un LAN.
Cela peut savrer utile dans les environnements qui ncessitent une conception de rseau SNA
simplifie et une disponibilit amliore. Par exemple, en convertissant SDLC vers Token Ring,
moins de trames FEP dextension sont ncessaires ; les dplacements, les ajouts, les modifications
sont plus facilement raliss, et le rtablissement suite une dfaillance de FEP ou de coupleur
dinterface Token Ring (TIC, Token Ring Interface Coupler) peut tre automatique (en utilisant les
adresses de TIC dupliques). La commutation locale peut tre exploite pour connecter des dispositif SDLC directement un routeur Cisco avec une carte CIP. Elle peut galement tre employe
dans le cadre dun rseau tendu sur lequel lagence distante possde des dispositif SNA sur des
rseaux locaux, mais lorsque le FEP du site central ncessite quand mme la connectivit srie (par
exemple, lorsque le FEP est un routeur Cisco 3725). Pour utiliser la commutation locale, omettez
les commandes dlsw remote-peer. Avec la commande dlsw local-peer, lidentifiant dhomologue
est inutile. La Figure 8.18 illustre un exemple de rseau avec sa configuration.
Figure 8.18
Configuration de
la commutation locale
dans un environnement
combinant des units
PU 2.0 et 2.1.
C1
PU 2.1
MSD
C2
Routeur A
PU 2.0
Homologue A Routeur A
dlsw local-peer
interface serial 0
Token
Ring
288
Partie I
Architecture de rseaux
Rsum
Ce chapitre a prsent DLSw+ en fournissant des descriptions accompagnes dexemples de configuration pour vous permettre de concevoir rapidement des rseaux DLSw+ simples. Il a pass en
revue les composants essentiels des diverses fonctionnalits de la commutation de liaisons de
donnes (DLSw+) et dcrit les extensions incluses dans DLSw+ par rapport au standard DLSw.
Enfin, il a prsent les fonctionnalits avances de DLSw+, ses avantages et ses divers contextes
dutilisation.
9
Conception et
configuration avec CIP
Par George Sackett et Nancy Sackett
Ce chapitre est extrait du livre (en langue anglaise) Internetworking SNA with Cisco Solutions,
publi par Cisco Press.
Les fonctionnalits du CIP (Channel Interface Processor, processeur dinterface de canal) et du
CPA (Channel Port Adapter, adaptateur de port de canal) de Cisco autorisent une connexion directe
par canal un mainframe IBM. Le CIP est disponible pour les routeurs Cisco 7000 et 7500. La
carte CPA est disponible uniquement pour les routeurs Cisco 7200. Pour notre propos, nous nous
rfrerons uniquement au CIP comme solution de connexion au mainframe. Toutes les caractristiques, fonctions et commandes utilises pour se connecter des ressources de mainframe via un
routeur Cisco dot du CPA sont supportes comme pour le CIP.
La connexion directe dun routeur Cisco un canal de mainframe permet au routeur dexcuter les
fonctions prsentes ci-dessous et qui ntaient avant assures que par les contrleurs FEP
IBM 3745 et Interconnect Controller IBM 3172 :
m
connexion dquipements relis par LAN aux applications TCP/IP ou SNA situes sur le mainframe ;
fonction de dcharge TCP/IP Offload de IBM TCP/IP pour MVS ou de Cisco IOS pour S/390 ;
fonction CLAW (Common Link Access for Workstations) pour laccs TCP/IP un mainframe ;
fonction Cisco SNA (CSNA) permettant le transport de SNA et APPN ISR vers VTAM ;
290
Partie I
Architecture de rseaux
Fonction CMPC (Cisco Multipath Channel) pour le support des donnes de APPN ISR et APPN
HPR ;
connexion via une carte de canal parallle PCA (Parallel Channel Adapter) ;
connexion via une carte ECA (ESCON [Enterprise System Connection] Channel Adapter).
Outre ces fonctionnalits, le systme Cisco IOS offre des options de connectivit avances par
lintermdiaire des fonctions suivantes non prsentes sur les contrleurs FEP IBM 3745 et Interconnect Controller IBM 3172 :
m
fonction TCP Assist pour dcharger le mainframe du traitement des sommes de contrle TCP/IP ;
Le support complet de toutes ces fonctions ainsi que de celles vues prcdemment pour le transport
de donnes SNA sur des WAN multimdias permet au routeur Cisco connect via canal dtre
propos comme solution de remplacement totalement fonctionnelle pour les contrleurs IBM 3745
ou 3172, ainsi que pour la plupart dautres quipements de passerelle de canal.
NOTE
Bien que CIP gre concurremment la connectivit SNA, APPN et TCP/IP avec le mainframe, ce chapitre traite
seulement des options de communication avec SNA et APPN.
Critres de conception
La carte processeur Cisco CIP supporte de nombreuses fonctions de connexion un mainframe
dIBM pour SNA. Avec la possibilit dutiliser ESCON, il est possible dobtenir une connectivit
varie avec le mainframe partir dun seul CIP et damliorer ainsi sa disponibilit pour les
sessions SNA en aval. Lhte doit utiliser EMIF pour permettre au CIP dtre reli plusieurs partitions logiques (LPAR) avec un seul canal de connexion. Les points suivants font partie des facteurs
considrer lors de limplmentation du CIP :
m
Quelles sont, parmi les nombreuses fonctions de transport de SNA du systme IOS, celles qui
sont actuellement implmentes et quelles sont celles qui sont prvues ?
Quelle est la couche de larchitecture dinterconnexion du routeur Cisco qui est la plus approprie pour soutenir le transport de SNA vers le routeur Cisco CIP : la couche centrale, daccs
ou de distribution ?
Combien de routeurs CIP et dinterfaces CIP sont-ils ncessaires pour grer le trafic SNA vers
le mainframe ?
Chapitre 9
291
Quelle est linfluence sur les besoins, en matire de mmoire de traitement du routeur et de
mmoire CIP, que peut avoir le support du trafic SNA sur la connexion CIP ? Cette question est
importante lorsque des trames LLC2 doivent tre transportes vers la connexion via une
mthodologie par pont.
Le rseau SNA est-il un mlange de routage de sous-zone SNA et de APPN ISR/HPR ou une
variante de cette configuration ?
Quel est le niveau de besoins de recourir une procdure de reprise sans interruption ou automatique du mainframe au moyen dune configuration offrant une haute disponibilit ?
Il existe trois configurations fonctionnelles typiques permettant dimplmenter des routeurs Cisco
CIP, comme vous le verrez dans les sections suivantes.
Concentration des fonctions sur un routeur CIP
Le routeur Cisco CIP fournit toutes les fonctions ncessaires la connexion avec le mainframe.
Cela peut englober tous les services de transport de SNA : DLSw+, RSRB, SDLLC, STUN, Frame
Relay et APPN, en mme temps que le support de TCP/IP. La Figure 9.1 illustre ce type de configuration. Si cette solution est envisage, elle convient dans le cadre de petits rseaux comprenant au
maximum 50 emplacements distants. Pour garantir la disponibilit, il faut aussi implmenter plus
dun routeur CIP afin doffrir un soutien principal pour certains des sites distants.
Figure 9.1
Connectivit avec le mainframe
IBM avec un routeur CIP runissant
toutes les fonctions.
WAN, SNA, IP
WAN, SNA, IP
292
Partie I
Architecture de rseaux
Sur les rseaux o le nombre de connexions non SNA avec le mainframe via le CIP est minimal
(cest--dire FTP ou TCP), dplacer le traitement de service WAN vers les routeurs de niveau LAN
permet de garantir les performances et le dbit des routeurs CIP. Avec la configuration illustre
Figure 9.2, un routeur CIP peut servir des centaines demplacements distants. Cette conception
isole la rplication des diffusions broadcast multiprotocoles du traitement SNA. Elle offre, de plus,
davantage doptions de conception pour assurer la disponibilit, par la mise en uvre dun LAN
comme pine dorsale de centre de donnes avec plusieurs routeurs CIP connects plusieurs
routeurs WAN afin de relier les sites du rseau tendu. Dans cette configuration, les routeurs CIP
traitent aussi bien les trames LLC2 que les paquets IP.
Figure 9.2
Connectivit CIP et SNA avec
le mainframe IBM.
SNA
IP
WAN
CIP en solo
Il est possible dexploiter CIP pour traiter uniquement le trafic SRB LLC2 et IP par lintermdiaire
dun cloisonnement supplmentaire de services. Le trafic SRB sur un routeur est commut au lieu
Chapitre 9
293
demployer DLSw+ ou APPN/DLUR, qui sont traits par le processeur principal du routeur. Dans
une telle configuration (voir Figure 9.3), les routeurs ne grant que SNA sur le LAN backbone du
centre de donnes sont les homologues (peer) DLSw+ pour les sites distants. Ils transportent les
trames SNA reues vers les routeurs CIP au moyen de SRB. Quant aux routeurs WAN, ils livrent le
trafic bas IP directement aux routeurs CIP. Le CIP gre 6 000 sessions PU SNA, ou mme davantage, avec ce type de connexion.
Figure 9.3
Connectivit SRB et IP seul
avec le mainframe IBM.
SNA
IP
SNA
IP
WAN
Configurations de conception
Les informations de configuration donnes ici concernent lemploi dun routeur Cisco CIP pour
assurer la connectivit avec un mainframe la place dun FEP IBM 3745. Les exemples de configuration couvrent de nombreux mcanismes de transport SNA dj tudis, en illustrant lexploitation
du CIP comme solution de remplacement de lIBM 3745 en tant quadresse de destination MAC
pour tablir une connexion SNA.
294
Partie I
Architecture de rseaux
La Figure 9.4 illustre les diverses options de connexion un mainframe IBM partir dun routeur
Cisco CIP. Le premier routeur se connecte directement lhte au moyen dune connexion via une
carte PCA (Parallel Channel Adapter) Bus-and-Tag. Le dbit offert par cette interface est denviron
4,5 Mbit/s.
Figure 9.4
Configurations
avec PCA, ESCON
et MPC pour la
connectivit entre
CIP et mainframe.
Cisco
CIP
PCA
Cisco
CIP
CSNA
ESCON
Director
R3
Cisco
CIP
CMPC
ESCON
Director
Canal de lecture
Canal d'criture
Canal de lecture/criture
La Figure 9.4 illustre avec le deuxime routeur, la connectivit entre CIP et mainframe laide de
cartes ECA (ESCON Channel Adapter). Une connexion est tablie directement via ECA et lautre
utilise ESCON Director. Cette technologie permet daccder plusieurs partitions logiques (LPAR)
ou plusieurs mainframes au moyen dune seule connexion ESCON partir du routeur. Le dispositif ESCON Director est en quelque sorte un commutateur. Les interfaces PCA et ECA utilisent
chacune un seul canal pour les oprations de lecture et dcriture avec le mainframe.
Chapitre 9
295
NOTE
Le CIP fonctionne aussi avec EMIF pour autoriser des accs plusieurs LPAR sans lusage du commutateur
ESCON Director.
Le routeur R3 dans la Figure 9.4 emploie la fonction Cisco MPC (CMPC) pour se connecter au
mainframe via ESCON. Elle permet lutilisation dune paire de canaux, lun pour la lecture et
lautre pour lcriture, appele groupe de transmission (TG). Si vous disposez dun CIP auquel sont
connectes deux cartes dinterface de canal, lune peut tre ddie la lecture et lautre lcriture.
La fonction CMPC peut aussi utiliser une paire de sous-canaux via un seul canal physique.
Haute disponibilit avec RSRB et lemploi de deux routeurs CIP
RSRB place en cache le champ RIF pour toutes les connexions avec une adresse MAC de destination tablies par lintermdiaire du routeur. La Figure 9.5 illustre lemploi de RSRB entre un site
distant servi par le routeur R3 et deux routeurs R1 et R2 de centre de donnes relis par canal au
mainframe au moyen de Cisco CIP. Les dfinitions de LAN internes sur les routeurs CIP grent la
connectivit avec le mainframe en utilisant la mme adresse MAC interne 4000.7513.0001 sur des
numros danneau CIP internes diffrents.
Figure 9.5
Haute disponibilit, avec
lemploi de RSRB et dune
adresse MAC duplique
sur deux routeurs Cisco
CIP connects via des
commutateurs ESCON
Director.
ESCON
Director
Anneau CIP
37
E5
C4/2
C6/2
R1
RSRB Homologue 10.1.1.1
Adresse MAC 4000.7513.0001
S0/0
ESCON
Director
F5
Anneau CIP
45
R2
RSRB Homologue 10.1.2.1
Adresse MAC4000.7513.0001
S0/0
WAN
Anneau virtuel
3157
S0
S1
R3
RSRB Homologue 10.1.3.1
T1
Anneau
1
PU1
296
Partie I
Architecture de rseaux
Le cache sur R3 maintient deux entres RIF pour ladresse MAC de destination : lune via R1 et
lautre via R2. La premire entre dans le cache est celle utilise par lemplacement distant. Si le
routeur R1, ou sa connexion de canal, devenait inoprant, il expirerait et toutes les nouvelles
sessions tabliraient leur connectivit SNA par lintermdiaire du routeur R2.
Figure 9.6
Haute disponibilit avec
lemploi dune adresse MAC
duplique, et quilibrage de
charge avec DLSw+ sur deux
routeurs Cisco CIP connects
via deux commutateurs
ESCON Director.
ESCON
Director
E5
Anneau CIP
45
C6/2
T0/0
Anneau
31
T0/0
Anneau
57
T0
T0
R4
DLSw+
Homologue 10.1.4.1
Anneau 400
ESCON
Director
F5
S1
S0
R2
Adresse MAC
4000.7513.0001
R5
DLSw+
Homologue 10.1.5.1
Anneau 500
WAN
S1
S0
T1
R3
DLSw+
Homologue 10.1.3.1
Anneau 300
Ring
1
PU1
Chapitre 9
297
Pour apporter une solution au problme de cache RIF implmentez des routeurs DLSw+WAN et
utilisez SRB pour la connexion avec les routeurs CIP (voir Figure 9.6). Dans ce scnario, le PU1 sur
lemplacement distant se connecte ladresse MAC 1000.7515.0001 au moyen de DLSw+. Ce
protocole prend connaissance de deux chemins travers le rseau. Les routeurs de centre de
donnes R4 et R5 fournissent une connectivit tour de rle par le biais des deux anneaux Token
Ring qui les relient aux routeurs R1 et R2 connects via un canal. Souvenez-vous que cette procdure ne convient que pour ltablissement de session SNA.
Communications VTAM-VTAM via un seul routeur dot de deux CIP
Les communications VTAM-VTAM sont souvent utilises sur les rseaux o plus dun VTAM est
excut. La Figure 9.7 illustre lemploi de la connectivit VTAM-VTAM travers deux CIP sur le
mme routeur. Les performances sont amliores par lemploi du protocole CMPC. Cette configuration peut aussi tre mise en place en utilisant deux routeurs CIP connects chacun lun des deux
VTAM. Les routeurs communiqueraient ensuite sur une pine dorsale haute vitesse telle que Fast
Ethernet, ATM ou FDDI, en utilisant le mme mcanisme que celui illustr pour la configuration
avec un seul routeur CIP.
Figure 9.7
VTAM1
VTAM2
CMPC TG
VTAM2
Anneau CIP 62
C4/1
C6/1
La fonction TN3270 Server du processeur Cisco CIP permet un flux de donnes de lIBM 3270 de
traverser une pine dorsale IP. Cette fonction dcharge la terminaison TN3270 sur le mainframe du
traitement de service TCP/IP et prsente au VTAM les connexions TN3270 comme des LU dun PU
connect un LAN.
La Figure 9.8 illustre lemploi du serveur TN3270, plus la fonction de commutation des connexions
TN3270 dun VTAM un autre au cas o le VTAM principal deviendrait inoprant. Les nuds
principaux commuts sur le VTAM doivent reprsenter les connexions PU directes pour le serveur
TN3270 et possder une dfinition utilise pour la commutation de session. La configuration utilise
APPN VRN (Virtual Routing Node, nud de routage virtuel) pour connecter les trois nuds APPN
de mainframe. Le protocole de transport utilis entre les deux routeurs CIP est DLSw+.
298
Partie I
Architecture de rseaux
Figure 9.8
Commutation de
session TN3270 en
utilisant DLUR/DLUS
et la redondance
dhte.
VTAM1
DLUS VTAM
Anneau CIP
1
R1
VTAM2
DLUS VTAM de secours
PCA
7A
E0
Anneau DLSw+
100
ED
VRN
EE
Anneau CIP
2
R2
E0
WAN
IP
E0
R3
Serveur TN3270/DLUR
Client TN3270
Telnet vers 10.70.1.2
Dans la configuration de la Figure 9.9, le routeur CIP communique avec VTAM et le WAN APPN
au moyen du protocole HPR. Le routeur CIP dfinit le canal et les ports Token-Ring comme des
liaisons APPN pour tablir la connexion de bout en bout. Cette mme connexion peut aussi supporter le protocole APPN ISR. Le routeur CIP ne doit pas ncessairement tre du type nud de rseau
(NN) APPN ; il figure ainsi juste pour illustrer le fonctionnement.
Figure 9.9
VTAM NN
ESCON EB
WAN
APPN
Anneau CIP
1
Anneau virtuel
200
A partir de la version 11.1 du systme Cisco IOS, le microcode pour le CIP (ou limage CIP) est
dissoci de lIOS. Le processeur de route (RP, Route processor) des routeurs Cisco 7000 ou le
processeur commutateur de routeur (RSP, Router switch processor) des routeurs Cisco 7200/7500
doivent avoir une mmoire flash installe. Une mmoire RAM de 8 Mo au minimum est ncessaire
sur le CIP lui-mme pour pouvoir utiliser les fonctions de connexion par canal IBM de Cisco IOS
partir de la version 11.1.
Chapitre 9
299
NOTE
Limage CIP est prcharge sur les cartes flash pour tous les routeurs Cisco 7000 avec RSP7000, Cisco 7500 et
Cisco 7200, commands avec loption CIP/CPA du systme Cisco IOS, partir de la version 11.1.
Le microcode Cisco CIP peut tre trouv sur le site Web de Cisco sous la rubrique "Support". Aprs
avoir trouv celui qui convient pour votre CIP ou CPA, tlchargez via TFTP vers un serveur TFTP
valide de votre rseau. Excutez les commandes de lExemple 9.1 pour transfrer le microcode CIP
dun serveur TFTP vers une carte flash sur le routeur.
Exemple 9.1 : Exemple de transfert du microcode CIP vers le routeur CIP
Router-r1#copy tftp slot0:
Enter source file name: cip25-8.bin
6843800 bytes available on device slot0, proceed? [confirm]
Address or name of remote host [tftpserver.domain.com]? 10.1.254.2
Accessing file cip25-8.bin on 10.1.254.2 ...FOUND
Loading cip25-8.bin from 10.1.254.2 (via Ethernet2/3): !
--- expanding multi-segment file --slot0:cip25-8.bin_kernel_hw4 size = 257888
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CCCCCCC
--- expanding multi-segment file --slot0:cip25-8.bin_kernel_hw5 size = 256914
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CCCCCCC
--- expanding multi-segment file --slot0:cip25-8.bin_seg_802 size = 233792
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CCCCCCC
--- expanding multi-segment file --slot0:cip25-8.bin_seg_csna size = 85896
!!!!!!!!!!!!!!!!!CC
--- expanding multi-segment file --slot0:cip25-8.bin_seg_eca size = 461408
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CCCCCCCCCCCCCC
--- expanding multi-segment file --slot0:cip25-8.bin_seg_offload size = 64656
!!!!!!!!!!!!!C
--- expanding multi-segment file --slot0:cip25-8.bin_seg_pca size = 69360
!!!!!!!!!!!!!!CC
--- expanding multi-segment file --slot0:cip25-8.bin_seg_push size = 13752
!!!
--- expanding multi-segment file --slot0:cip25-8.bin_seg_tcpip size = 182032
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CCCCC
--- expanding multi-segment file -slot0:cip25-8.bin_seg_tn3270 size = 542392
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!CCCCCCCCCCCCCCCC
Le fichier de configuration du routeur doit disposer dun pointeur vers le nom et lemplacement du
microcode CIP. Cela est ralis en entrant dans le mode de configuration sur le routeur et en tapant
la commande de configuration microcode (voir Exemple 9.2).
300
Partie I
Architecture de rseaux
La commande cnsa utilise le chemin de canal et ladresse du dispositif. Sa syntaxe est la suivante :
csna chemin dispositif [maxpiu valeur] [time-delay valeur] [length-delay valeur]
Le paramtre chemin de la commande csna est subdivis en trois arguments : chemin logique,
adresse logique de canal et adresse dunit de contrle.
m
Ladresse logique de canal ESCON du paramtre csna chemin doit correspondre la valeur du
port dentre ESCON PATH comme elle a t dfinie dans la gnration IOCP. Dans le cas de
lemploi dun commutateur ESCON Director, il sagit du port servant la connexion avec le
mainframe, et dans le cas contraire (connexion ESCON directe avec le mainframe), largument
a la valeur 01. La dfinition de macro CHPID de IOCP/HCD pointe vers la partition logique au
moyen dune valeur nomme dans le paramtre PART. La macro RESOURCE de IPCP/HCD dfinissant la partition nomme spcifie le numro LPAR de cette dernire. Le codage dune valeur
pour le partage pour la macro CHPID didentification de chemin de canal ncessite lindication
du numro de partition LPAR se connectant la dfinition csna par lintermdiaire dun ESCON
Director. Si ce commutateur nest pas utilis, la valeur de chemin est 01.
Ladresse dunit de contrle du paramtre csna chemin est reprsente par un seul chiffre hexadcimal qui doit correspondre au paramtre IOCP/HCD CUADD de la macro CNTLUNIT. Si ce
paramtre na pas t cod dans la macro pour ce canal, on utilise par dfaut la valeur 0.
Chapitre 9
301
Par exemple, si une adresse IOCP IODEVICE est EB2, que le paramtre UNITADD de la macro CTLUNIT
est spcifi avec EB0 et que le paramtre IOCP UNITADD commence 00, la commande dinterface
serait dfinie de la faon suivante :
csna E220 02
Ladresse de port ESCON se connectant au mainframe est E2. La partition logique qui utilise cette
connexion est LPAR numro 2 et la valeur CUADD est par dfaut de 0. Le CIP est connect comme
troisime dispositif sur le canal (en comptant partir de 0), car le paramtre de dispositif indique 02.
Supposez une adresse IODEVICE de 97A, un paramtre IODEVICE ADDRESS spcifiant une adresse
dentre/sortie dbutant 920 pour 64 adresses : IODEVICE ADDRESS=(0920,64) et un paramtre UNITADD
correspondant commenant 20 pour 64 dispositifs : UNITADD=(20,64). Le paramtre csna dispositif
serait le rsultat de la diffrence entre 7A et 20, ce qui donne 5A. La commande csna correspondante serait ainsi code :
csna E220 5A
La valeur du mot cl optionnel maxpiu indique en octets la taille maximale que peut avoir un paquet
plac sur le canal en cours de dfinition. Ce paramtre est comme un quivalent la valeur de SNA
MAXDATA ou IP MTU. Sa valeur est par dfaut de 20 470 octets si elle nest pas code, et peut
varier de 4 096 65 535 octets. La syntaxe pour la spcifier est la suivante :
maxpiu valeur
La valeur du mot cl optionnel time-delay est indique en millisecondes et fixe le dlai observ
avant la transmission dun paquet reu sur linterface. Elle est par dfaut de 10 ms et varie sinon
entre 0 100 ms. La syntaxe pour la spcifier est la suivante :
time-delay valeur
La valeur du mot cl optionnel length-delay fixe le nombre doctets placer en tampon avant
quils soient envoys sur linterface de transmission. Elle est par dfaut de 20 470, et les valeurs
valides doivent faire partie de lintervalle 0 65 535. La syntaxe du mot cl est la suivante :
length-delay valeur
Les communications SNA via CIP avec CSNA ncessitent la dfinition dun LAN virtuel interne.
Celle-ci doit tre spcifie dans le mode ENABLE au moyen de la commande de terminal CONFIG
TERM. LExemple 9.3 en illustre un exemple.
Exemple 9.3 : Dfinition de LAN virtuel interne pour les services CSNA
source-bridge ring-group 4
!
interface Channel 4/0
no ip address
csna E220 02
!
interface Channel4/2
no ip address
no keepalive
LAN Tokenring 0
source-bridge 6 1 4
adapter 0 4000.C15C.0001
302
Partie I
Architecture de rseaux
Avec ce listing, linterface virtuelle CIP Channel 4/2 est utilise pour dfinir le LAN virtuel interne.
Comme la fonction CSNA ne requiert pas dadresse IP pour la connexion avec le mainframe,
aucune dfinition dadresse nest prvue. Cest ce quindique la commande no ip address. Comme
il sagit dune interface virtuelle suppose ntre tablie et active que lorsque linterface physique
Channel 4/0 est active, les messages keepalive ne sont pas ncessaires, ce quindique la commande
no keepalive.
NOTE
Le CPA dun routeur Cisco 7200 nemploie pas dinterface virtuelle. Par consquent, les commandes traites
la section interface virtuelle du CIP seraient valables pour une interface physique sur le CPA.
Linterface LAN virtuelle interne est dfinie avec LAN. Elle peut spcifier les paramtres FDDI,
Ethernet et Tokenring, mais ce dernier reprsentait le seul LAN interne support au moment de la
rdaction de louvrage. La valeur 0 qui suit le paramtre LAN Tokenring indique au CIP quil sagit
de linterface LAN virtuelle 0. Le numro dinterface peut varier de 0 31. Linterface virtuelle
Channel 4/2 peut se voir assigner plusieurs interfaces LAN virtuelles.
Linstruction source-bridge qui suit la commande LAN Tokenring dfinit la connexion entre cet
anneau virtuel LAN et lanneau virtuel WAN. Celui-ci est la valeur indique dans la commande
globale source-bridge ring-group. Linstruction de lExemple 9.3 associe le numro 6 au segment
de lanneau LAN virtuel. Elle spcifie donc la connectivit entre le segment danneau virtuel de
LAN interne (6) et le segment danneau virtuel de WAN (4) par lintermdiaire du pont 1.
La dernire instruction requise pour la connectivit CSNA est adapter. Elle spcifie le numro relatif dadaptateur (RAN, Relative adapter number), ainsi que ladresse MAC qui lui est assigne,
utiliser sur le segment de LAN virtuel interne. La valeur de RAN doit figurer dans lintervalle 0 17
et correspondre au paramtre ADAPNO de nud principal VTAM XCA. Le CIP autorise la dfinition
de plusieurs adaptateurs virtuels pour le segment de LAN virtuel interne Token-Ring.
Ladresse MAC virtuelle du LAN interne (voir Exemple 9.3) est 4000.C15C.0001 sur ladaptateur 0.
Elle sera ladresse MAC de destination pour les quipements se connectant au mainframe au moyen
de SNA.
Dfinition du nud principal VTAM XCA
Chapitre 9
303
Cette valeur doit tre ladresse du dispositif dE/S dsigne par la variable device-address de
linstruction CSNA dfinie pour linterface CIP Channel 4/0.
Le paramtre SAPADDR de linstruction PORT indique le point daccs au service (SAP) que ce nud principal VTAM XCA utilise pour la communication avec les quipements travers la connexion de canal.
La valeur 4 de ce paramtre spcifie sur le XCA doit correspondre avec les dfinitions de contrleur
PU SNA des quipements qui communiquent avec le VTAM par lintermdiaire du CIP2.
Le dernier paramtre XCA de linstruction PORT est MEDIUM. Il spcifie le type de LAN utilis.
Cette valeur doit reflter le type de LAN virtuel dfini sur le CIP pour communiquer avec le VTAM.
Dans les exemples donns, la valeur RING sur le XCA identifie lemploi dun LAN Token-Ring
dfinit par linstruction LAN sur linterface virtuelle CPI2 Channel 4/2.
Exemple 9.4 : Dfinition de nud principal VTAM XCA pour une connexion CIP
XCAR1
VBUILD TYPE=XCA
CIPEB21 PORT
ADAPNO=0,CUADDR=EB2,SAPADDR=4,MEDIUM=RING,TIMER=60
* RESSOURCES COMMUTEES PU2/PU2.1 *
GEB2101 GROUP DIAL=YES,ISTATUS=ACTIVE,AUTOGEN=(50,L,P)
des dfinitions PU TN3270, pour reprsenter les fonctions PU pour les LU assignes par VTAM,
en utilisant les DDDLU (Dynamic Definition Dependent LU).
Lassignation dune adresse IP linterface virtuelle Channel 4/2 permet lemploi des services IP
(voir Exemple 9.5). Linstruction max-llc2-sessions spcifie le nombre maximal de sessions LLC2
pouvant tre actives au moyen de linterface Channel 4/2. Le serveur TN3270 utilise un deuxime
adaptateur virtuel sur le LAN virtuel. Le numro de RAN 1 et ladresse MAC 4000.3270.7006 dfinissent les adresses pour ladaptateur du serveur TN3270.
Exemple 9.5 : Instructions requises sur linterface CIP Channel 4/2 pour le support
du serveur TN3270
source-bridge ring-group 4
interface channel 4/0
csna 0110 00
!
interface Channel 4/2
ip address 192.168.6.1 255.255.255.0
no keepalive
max-llc2-sessions 2000
LAN Tokenring 0
source-bridge 6 1 4
adapter 0 4000.0000.7006
adapter 1 4000.3270.7006
tn3270-server
maximum-lus 4000
pu PUEB2001 017FABC0 192.168.6.2 token-adapter 1 04 luseed LUTNS###
304
Partie I
Architecture de rseaux
La commande tn3270-server permet lemploi des fonctions du serveur TN3270. Celui-ci peut grer
au maximum 30 000 sessions LU. Linstruction maximum-lus limite le nombre dunits LU pouvant
tre supportes par le serveur TN3270. Il est de 4000 dans lexemple. La valeur de max-llc2sessions dfinie prcdemment limite nanmoins 2000 le nombre dunits logiques possibles
nimporte quel moment.
Llment principal du serveur TN3270 est la dfinition de lunit PU SNA. Linstruction PU dfinit
les variables requises pour tablir les sessions PU et LU avec le VTAM sur le mainframe. La
syntaxe de linstruction est la suivante :
PU nom-pu idblkidnum adresse-ip type-adaptateur ran saplocal luseed basenomlu
Chapitre 9
305
LExemple 9.6 illustre le nom LU rsultant pour les quatre premires units logiques LU sur le
nud principal commut reprsentant le PU serveur TN3270 dfini sur le routeur. Lastrisque *
indique une ligne de commentaire pour VTAM. La valeur de dpart de LU luseed du routeur doit
correspondre la valeur LUSEED spcifie dans le nud principal commut VTAM. La valeur
LUGROUP dans le nud principal commut pointe vers une liste qui identifie le type de modle LU.
LExemple 9.7 liste un nud principal LUGROUP pour VTAM.
Exemple 9.7 : Dfinition du nud VTAM LUGROUP pour supporter les DDDLU
pour le serveur TN3270
TN3270G VBUILD TYPE=LUGROUP
*
* RESSOURCES PU2/PU2.1 COMMUTEES *
*
*
* TEST NOEUD PRINCIPAL LUGROUP XCA POUR SESSIONS TN3270 *
* POUR CISCO CIP
*
*
EB2LUGRP LUGROUP
327802
LU
DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327803
LU
DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327804
LU
DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327805
LU
DLOGMOD=D4C32785,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327902
LU
DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327903
LU
DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327904
LU
DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327905
LU
DLOGMOD=D4C32785,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327802E LU
DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327803E LU
DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327804E LU
DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327805E LU
DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327902E LU
DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327903E LU
DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327904E LU
DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327905E LU
DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
3278S2
LU
DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S3
LU
DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S4
LU
DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S5
LU
DLOGMOD=D4C32785,
306
Partie I
Architecture de rseaux
Exemple 9.7 : Dfinition du nud VTAM LUGROUP pour supporter les DDDLU
pour le serveur TN3270 (suite)
3279S2
LU
3279S3
LU
3279S4
LU
3279S5
LU
3278S2E
LU
3278S3E
LU
3278S4E
LU
3278S5E
LU
3279S2E
LU
3279S3E
LU
3279S4E
LU
3279S5E
LU
LU
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=D4C32785,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
La fonction serveur TN3270 peut aussi tre employe en utilisant les fonctionnalits DLUR/DLUS
de Cisco IOS et VTAM. La fonction DLUR de TN3270 permet au PU TN3270 dapparatre comme
un nud dextrmit APPN. Les commandes applicables au DLUR sont les suivantes :
dlur nompc-qualifi nomdlus-qualifi
dlus-backup nomdlus2
preferred-nnserver nom
lsap type numro-adaptateur [saplocal]
link nom [rmac macdist] [rsap sapdist]
vrn nom-vrn
pu nom-pu idblk-idnum adresse-ip
Lemploi de la commande dlur est soumis aux rgles dusage qui ont t tudies pour les connexions
APPN. Largument nompc-qualifi reprsente le nom qualifi du point de contrle (netid) et le nom
LU utilis pour la commutation de session. La variable nomdlus-qualifi indique le nom du point de
contrle fournissant les services DLUS.
La commande dlus-backup identifie le nom qualifi du point de contrle du DLUS VTAM prvu
pour assurer un secours. Il ne peut y avoir quune valeur dlus-backup par CIP.
Linstruction preferred-nnserver nom donne le nom du serveur nud de rseau APPN auquel
appartient cette dfinition de DLUR. Le nom est celui du point de contrle dun nud de rseau
(NN) adjacent. Cest un paramtre optionnel et il nest pas requis pour que la commutation SNA
puisse tre ralise.
Chapitre 9
307
Le paramtre lsap type numro-adaptateur [saplocal] dfinit ladresse locale du point daccs
au service (SAP) pour le nud dextrmit (EN) DLUR. Le paramtre type identifie le type dadaptateur LAN interne utilis pour le DLUR. La seule valeur valide lpoque de la rdaction de ce
livre tait token-adapter. Largument numro-adaptateur renseigne sur ladaptateur utilis sur le
LAN interne pour la connexion DLUR. La variable optionnelle saplocal reprsente ladresse locale
du point daccs au service (SAP) utilise par le DLUR, et peut prendre une valeur de lintervalle 04
FC, pouvant tre incrmente par pas de quatre (multiple de quatre). La valeur slectionne doit
tre unique pour toutes les connexions LLC2 traversant ladaptateur. La valeur par dfaut est C0.
La commande link nom [rmac macdist] [rsap sapdist] dfinit une liaison APPN vers lhte pour
le nud dextrmit DLUR. Largument nom est une chane alphanumrique de huit caractres qui
identifie la liaison. Ce nom doit tre unique pour le DLUR en cours de dfinition. La valeur macdist
est optionnelle et dfinit ladresse MAC distante utilise pour connecter le nud dextrmit. La
valeur sapdist reprsente ladresse du SAP utilis pour communiquer avec le DLUS travers la
liaison. La valeur par dfaut est 04 et peut sinon varier de 04 FC en respectant une incrmentation
par multiple de quatre.
Linstruction vrn nom-vrn identifie le nom du nud de routage virtuel (VRN) pour connecter le
DLUR au DLUS ou ventuellement au DLUS de secours. Le DLUS principal et celui de secours
doivent avoir le mme nom de VRN spcifi dans le nud commut principal VTAM reprsentant
le DLUR, autrement, le commutateur chouera.
Linstruction pu nom-pu idblk-idnum adresse-ip dfinit le PU DLUR TN3270 utilis pour
connecter les clients TN3270. Largument nom-pu est un nom de PU unique associ la commande
PU. Pour faciliter lexploitation et la documentation, le nom devrait correspondre au nom de nud
commut principal PU VTAM dfini pour supporter la dfinition de PU TN3270. Le paramtre
idblk-idnum doit correspondre aux paramtres uniques IDBLK et IDNUM de la commande de
dfinition de PU dans le VTAM qui reprsente cette connexion TN3270. Le paramtre adresse-ip
est ladresse IP utilise par le client TN3270 pour se connecter au serveur TN3270.
Ce nud indique au VTAM que le contrle de ligne MPC doit tre employ sur les adresses de
dispositif dentre/sortie 2F0 et 2F1. Linstruction TRLE dfinit ladresse du dispositif dentre/sortie
pour la lecture (READ) et celle du dispositif utilis pour lcriture (WRITE). Ces adresses et proprits
308
Partie I
Architecture de rseaux
de dispositif doivent correspondre celles de la dfinition CMPC sur le routeur CIP. LExemple 9.8
illustre un nud principal TRL.
Exemple 9.8 : Nud principal VTAM TRL pour la fonction CMPC
CIPTRL
TRL2F0
VBUILD TYPE=TRL
TRLE LNCTL=MPC,MAXBFRU=8,REPLYTO=3.0,
READ=(97A),
WRITE=(97B)
X
X
NOTE
Bien quun couple dadresses pair/impair ne soit pas requis, il est conseill den comprendre les relations et
de maintenir une continuit dadresses de dispositifs dE/S.
Comme le support CMPC ne sert que APPN, une liaison par canal MPC est dfinie sur lhte VTAM
pour la connexion avec le routeur CMPC par le biais de la dfinition dun nud principal SNA local.
Linstruction PU pointe vers le nud principal TRL dfini prcdemment (voir Exemple 9.9). Le
paramtre TRLE de linstruction PU spcifie une instruction de dfinition de TRLE correspondante
situe sur un nud principal TRL dj dfini. Dans cet exemple, le paramtre pointe vers linstruction nomme TRL2F0. Notez aussi que ce nud principal SNA local dfinit le PU pour XID requis
avec les sessions CP-CP utilisant le routage HPR.
Exemple 9.9 : Nud principal SNA local pour configurer la liaison par canal MPC avec le routeur
CMPC partir du VTAM
LAGLNA
LAGPUA
VBUILD TYPE=LOCAL
PU TRLE=TRL2F0,
ISTATUS=ACTIVE,
XID=YES,CONNTYPE=APPN,CPCP=YES,HPR=YES
X
X
La commande cmpc est spcifie sur les interfaces physiques du CIP et pas sur linterface x/2 logique. La raison est que CMPC couple les adresses de sous-canaux afin que chacun de ces derniers
puisse tre dfini sur des ports dinterface CIP physique du mme CIP. La syntaxe de la commande
cmpc est la suivante :
cmpc chemin dispositif nom-tg {read | write}
Les paramtres chemin et dispositif sont dfinis exactement comme ceux qui ont t dcrits pour
la commande csna. Largument nom-tg est un nom associ au sous-canal en cours de dfinition. Un
sous-canal en lecture ou en criture doit tre dfini pour pouvoir utiliser CMPC. La valeur de
largument de groupe de transmission nom-tg lie les deux dfinitions cmcp pour former le CMPC
TG. Voici un exemple demploi de la commande cmpc :
interface channel 4/0
!
cmpc 97A 5A R1CIP read
cmpc 97B 5B R1CIP write
Chapitre 9
309
Le groupe de transmission CMPC est dfini en utilisant la commande tg dans la dfinition dinterface virtuelle de canal x/2. En voici la syntaxe :
tg nomtg llc type numro-adaptateur saplocal [rmac macdist] [rsap sapdist]
Le paramtre nomtg est le nom de groupe de transmission (TG) utilis pour une instruction cmpc
dfinie prcdemment. Ce nom lie le couple de sous-canaux au driver LLC2 pour le LAN interne.
Le mot cl llc indique la connectivit sur le CIP pour la pile LLC.
Le paramtre type spcifie le type de LAN interne dfini pour tre utilis par le TG. La seule valeur
autorise au moment de la rdaction de louvrage tait token-adapter.
Le paramtre numro-adaptateur indique la dfinition dadaptateur de LAN virtuel interne a utiliser par le groupe de transmission.
Le paramtre saplocal spcifie ladresse locale du point daccs au service (SAP) utilise pour la
communication avec lhte. Elle doit tre unique pour le routeur et lhte, ainsi que pour tous les
clients 802.2 utilisant ladaptateur spcifi. La valeur par dfaut est 04. Toutefois, il peut tre raisonnable de spcifier la limite suprieure de lintervalle autoris, FC, et daller vers le bas pour toute
connexion CMPC supplmentaire afin dviter tout conflit non connu. La valeur doit tre un multiple de quatre figurant dans lintervalle 04 FC.
Le mot cl optionnel rmac et sa variable associe macdist est une adresse MAC assigne pour tre
utilise par le driver CMPC pour la connectivit LLC2.
La valeur de la variable sapdist associe au mot cl optionnel rsap est par dfaut de 04 et reprsente
ladresse distante du point daccs au service (SAP) utilise par le driver pour les communications.
NOTE
Avant de modifier un paramtre de la commande tg, la commande no tg doit dabord tre spcifie. Une
fois les changements apports, la commande new tg doit tre lance pour quils deviennent effectifs.
Dans la Figure 9.10, le routeur CIP agit comme passerelle vers le mainframe et relie aussi le WAN.
RSRB est utilis pour transporter les donnes des emplacements distants vers le mainframe par lintermdiaire du CIP. Bien que RSRB et les adresses MAC dupliques apportent une haute disponibilit,
cette configuration ne fournit pas dquilibrage de charge. DLSw+ supportera cette fonctionnalit.
310
Partie I
Architecture de rseaux
Figure 9.10
Emploi de RSRB vers
les routeurs WAN CIP
pour fournir une
haute disponibilit.
ESCON
Director
Anneau CIP
37
R1
RSRB Homologue 10.1.1.1
Adresse MAC 4000.7513.0001
E5
C4/2
C6/2
S0/0
ESCON
Director
F5
Anneau CIP
45
S0/0
R2
RSRB Homologue 10.1.2.1
Adresse MAC 4000.7513.0001
WAN
Anneau virtuel
3157
Configuration de R1
Configuration de R2
Configuration de R2
source-bridge ring-group 3745
source-bridge remote-Homologue 3745 tcp 10.1.1.1
source-bridge remote-Homologue 3745 tcp 10.1.2.1
source-bridge remote-Homologue 3745 tcp 10.1.3.1
!
interface tokenring 1
ip address 10.1.3.1
source-bridge 1 1 3157
!
interface serial 0
ip address 10.254.1.2 255.255.255.0
!
interface serial 1
ip address 10.253.1.1 255.255.255.0
La Figure 9.11 illustre les configurations de routeur ncessaires pour fournir une haute disponibilit
ainsi que lquilibrage de charge laide de DLSw+ et de deux routeurs CIP. Les routeurs WAN sur
le centre de donnes dchargent les routeurs CIP du traitement de service, sauf pour SRB. Ce type
de configuration permet ladressage MAC dupliqu pour lquilibrage de charge et la redondance
en cas de dfaillance dun routeur CIP.
Chapitre 9
311
Figure 9.11
Haute disponibilit
avec lemploi
dune adresse MAC
duplique et
quilibrage de
charge avec DLSw+
sur deux routeurs
Cisco CIP par
lintermdiaire de
deux commutateurs
ESCON Director.
ESCON
Director
Configuration de R1
ESCON
Director
F5
R4
DLSw+
Homologue 10.1.4.1 S0
Anneau 400
WAN
Configuration de R4
source-bridge ring-group 400
dlsw local-peer peer-id 10.1.4.1
dlsw remote-peer 0 tcp 10.1.3.1
dlsw duplicate-path-bais load-balance
!
interface tokenring 0
source-bridge 31 1 400
!
interface tokenring 1
source-bridge 57 1 400
!
interface loopback 0
ip address 10.1.4.1 255.255.255.0
!
interface serial 0
ip address 10.254.1.1 255.255.255.0
Configuration de R2
E5
S1
Configuration de R5
S0
T1
R3
DLSw+
Homologue 10.1.3.1
Anneau 300
Anneau
1
PU1
La Figure 9.12 illustre un exemple demploi dun seul routeur CIP pour des communications entre
deux VTAM. Chaque VTAM est connect un CIP diffrent sur le mme routeur. CMPC est utilis
ici pour supporter les communications de nud nud APPN entre les VTAM. La configuration
illustre lemploi de valeurs pour ladresse MAC distante et celle de point daccs au service distant
dans la commande tg. Le groupe de transmission nomm VTAM1 possde le point rmac de
ladresse MAC de ladaptateur utilis pour la connexion avec VTAM2. De la mme manire, le
groupe VTAM2 dispose de son point rmac vers ladresse MAC de ladaptateur utilis pour la
connexion avec VTAM1. Les valeurs de rsap refltent aussi les adresses de point daccs au service
pour lautre connexion VTAM avec le CIP.
312
Partie I
Figure 9.12
Architecture de rseaux
VTAM1
VTAM2
CMPC TG
VTAM2
Anneau CIP 62
C4/1
C6/1
La fonction TN3270 du processeur Cisco CIP permet au flux de donnes de lIBM 3270 de traverser
une pine dorsale IP. Cette fonction dcharge la terminaison TN3270 sur le mainframe du traitement
de service pour TCP/IP et prsente au VTAM les connexions TN3270 comme des LU dun PU
connect un LAN.
Chapitre 9
313
La Figure 9.13 illustre lemploi du serveur TN3270, plus la fonction de commutation des
connexions TN3270 dun VTAM un autre au cas o le VTAM principal deviendrait inoprant. Les
nuds principaux commuts sur le VTAM doivent reprsenter les connexions PU directes pour le
serveur TN3270 et possder une dfinition utilise pour la commutation de session. La configuration utilise APPN VRN (Virtual Routing Node, nud de routage virtuel) pour connecter les trois
nuds APPN de mainframe. Le protocole de transport utilis entre les deux routeurs CIP est
DLSw+.
Figure 9.13
Configuration pour la
commutation de session
TN3270 avec DLUR/DLUS
et la redondance dhte.
Nud
d'extrmit VTAM
VTAM1
DLUS VTAM
VTAM2
DLUS VTAM de secours
R3 Configuration
Anneau CIP
1
R1
PCA
7A
Anneau DLSw+ VRN
100
E0
ED
Anneau
CIP 2
R2
Configuration de R1
EE
interface serial 0
ip address 10.253.1.3 255.255.255.0
!
interface ethernet 0
ip address 10.30.1.1 255.255.255.0
E0
WAN IP
source-bridge ring-group 3157
source-bridge remote-peer 3157 tcp 10.1.2.1
R3
Client TN3270
source-bridge remote-peer 3157 tcp 10.1.3.1 Server TN3270/DLUR
Telnet vers 10.70.1.2
!
Configuration de R2
interface serial 0/0
ip address 10.253.1.1 255.255.255.0
source-bridge ring-group 100
!
dlsw local-peer peer-id 10.71.1.32
interface loopback 0
dlsw remote-peer tcp 0 10.71.1.31
ip address 10.1.2.1 255.255.255.0
!
!
microcode CIP flash slot0:cip25-8.bin
interface Channel 6/0
microcode reload
no ip address
!
csna E500
interface Ethernet0/0
!
ip address 10.71.1.32 255.255.255.0
interface Channel 6/2
!
no ip address
interface
Channel1/0
lan tokenring 0
no ip address
source-bridge 45 1 3157
csna ED00 00
adapter 0 4000.7513.0001
csna ED00 00
!
interface Channel1/2
ip address 10.70.1.1 255.255.255.0
no keepalive
lan Tokenring 0
source-bridge 2 1 100
adapter 0 4000.7513.9220
adapter 0 4000.7513.3270
tn3270-server
pu PTN32701 05D7701C 10.70.1.2 token-adapt 1 1C rsap 04
pu PTN32702 05D77020 10.70.1.3 token-adapt 1 20 rsap 08
dlur NETA.DLUR3270 NETA.DLUS3270
lsap token-adapter 0
link VTAM1 rmac 4000.7513.9220 rsap 04
link VTAM2 rmac 4000.7513.9220 rsap 08
vrn VRNODE
pu DLURPU 05D09220 10.70.1.4
dlus-backup NETA.VTAM2
E0
VTAM vers nud de rseau (NN) APPN avec HPR sur CMPC
Dans la configuration illustre Figure 9.14, le routeur CIP utilise une connexion ESCON CMPC
vers le VTAM. Le routeur CIP utilise HPR pour les communications vers VTAM et le rseau APPN.
314
Partie I
Architecture de rseaux
Figure 9.14
VTAM NN
Configuration de CMPC
ESCON pour la connexion
du WAN APPN au VTAM
avec HPR.
CMPC READ 350
WRITE 351
R1
NN
HPR
Anneau CIP
62
ESCON EB
T0
Anneau
virtuel
200
APPN
Anneau
10
R1 Configuration
source-bridge ring-group 200
!
interface tokenring 0
source-bridge 10 1 200
!
interface Channel6/1
no ip address
no keepalive
cmpc EB10 50 VTAM1 READ
cmpc EB10 51 VTAM1 WRITE
!
interface Channel6/2
no ip address
no keepalive
lan Tokenring 0
source-bridge 62 2 200
adapter 0 4000.7513.0061
lan Tokenring 1
tg VTAM1 llc token-adapter 0 20 rmac 4000.7513.eb10 rsap 24
!
appn control-point neta.R1
hpr
complete
!
appn port CMPC rsrb
local-sap 24
rsrb-virtual-station 4000.7513eb10 50 3 200
complete
!
appn link-station PC
port CMPC
lan-dest-address 4000.0000.3174 28
complete
!
appn routing
10
Conception de rseaux DDR
La technologie DDR (Dial-on Demand Routing, routage par ouverture de ligne la demande) fournit des connexions de rseau par lintermdiaire du rseau tlphonique public commut (RTC).
Les rseaux tendus ddis sont gnralement implments sur des liaisons loues ou sur des technologies plus modernes proposes par des fournisseurs de services comme le Frame Relay, SMDS
ou ATM. DDR assure le contrle de session pour la connectivit tendue travers des rseaux
commutation de circuits, ces derniers offrant leur tour des services la demande et une diminution des cots dexploitation du rseau.
DDR peut tre utilis sur des interfaces srie synchrones ou asynchrones et sur RNIS (Rseau
Numrique Intgration de Services). Les numrotations V.25bis et DTR sont utilises pour les
CSU/DSU du service commut 56 (Switched 56), les adaptateurs de terminaux (TA, Terminal
Adapter) RNIS ou les modems synchrones. Les lignes srie asynchrones sont disponibles sur le port
auxiliaire des routeurs Cisco et sur les serveurs de communication Cisco pour la connexion vers des
modems asynchrones. DDR est support sur RNIS au moyen des interfaces daccs BRI (RNIS de
base) et PRI (RNIS primaire).
316
Partie I
Architecture de rseaux
est mise en uvre grce la connexion DDR, qui est maintenue au moyen de PPP ou dautres techniques dencapsulation WAN, telles HDLC, X.25 ou SLIP. Les concepteurs de rseaux peuvent
utiliser le modle prsent dans ce chapitre pour construire des rseaux DDR volutifs, qui prsentent un rapport quilibr entre les performances, la tolrance de panne et les cots.
Pile de conception DDR
Authentification
Filtrage d'appel
Stratgies
de routage
Interfaces de
numrotation
Trafic et
topologie
Pile de conception
DDR
Nuage de numrotation
Le rseau form par les quipements DDR interconnects peut tre dsign de faon gnrique par
mdia de numrotation ou nuage de numrotation. Ltendue du nuage de numrotation ne
comprend que les quipements interconnects spcifiques, mais non la totalit du mdia commut
(la totalit du rseau RNIS stend sur lensemble du globe et va au-del du nuage de numrotation). Lexposition RNIS doit tre prise en compte lors de la conception de stratgies de scurit.
Les caractristiques fondamentales du nuage de numrotation sont les suivantes :
m
Avec des connexions actives, le nuage de numrotation forme un mdia NBMA (Non-Broadcast
MultiAccess, accs multiple non broadcast) semblable au Frame Relay.
Pour les appels sortants sur des circuits commuts (tel RNIS), la correspondance entre adresse
de protocole de rseau et numro dannuaire doit tre configure.
Les connexions DDR inactives font lobjet dune simulation, de faon que les tables de routage
les considrent comme actives.
Chapitre 10
317
Le trafic broadcast, ou autre trafic indsirable, qui provoque des connexions inutiles peut entraner des cots prohibitifs. Les frais potentiels relatifs un mdia factur lexploitation, tel
RNIS, doivent tre surveills de prs afin dviter de telles dpenses.
Les caractristiques des nuages de numrotation affectent chaque tape de la conception des
rseaux DDR. Une profonde comprhension de ladressage, du routage et des stratgies de filtrage
des protocoles de rseau peut aider construire des rseaux fiables et rentables.
Quelle est la frquence dchange du trafic requise entre les sites DDR ?
Quel est le ct de la connexion DDR qui peut tablir la connexion ? Combien y a-t-il de sites
distants ?
Topologies
Le facteur le plus important dans le choix de la topologie est le nombre de sites qui devront tre
supports. Si seulement deux sites sont impliqus, la topologie point--point est utilise. Si davantage de sites doivent tre supports, cest la topologie hub-and-spoke qui est gnralement implmente. Pour un environnement constitu de peu de sites, avec un faible volume de trafic, la
topologie totalement maille peut reprsenter la solution la plus approprie.
Les topologies pour DDR traites dans cette section sont les suivantes :
m
topologie point--point ;
topologie hub-and-spoke.
Topologie point--point
Sur une topologie point--point simple (voir Figure 10.2), deux sites sont connects entre eux.
Chacun deux possde une interface de numrotation et associe ladresse de lautre site un numro
de tlphone. Si davantage de bande passante est requise, plusieurs liens peuvent tre assembls au
moyen de MultiLink PPP.
Figure 10.2
Topologie point--point.
Routeur A
Routeur B
318
Partie I
Architecture de rseaux
La configuration totalement maille (voir Figure 10.3) est recommande uniquement pour les
rseaux DDR de trs petite taille. Elle peut simplifier le processus de numrotation dans le cas
dune connectivit any-to-any, car chaque site peut appeler nimporte quel autre site directement,
plutt que devoir passer par un site central. Toutefois, la configuration sur chaque site est plus
complexe, car chacun deux doit disposer dinformations de correspondance pour les autres sites.
Figure 10.3
Topologie totalement
maille.
Routeur A
Routeur D
Routeur B
Routeur C
Si lquilibrage de charge est souhait, des interfaces peuvent tre configures afin de pouvoir
supporter les fonctionnalits MultiLink PPP. En dehors de la complexit de la configuration, il faut
soit prvoir un nombre dinterfaces suffisant sur chaque quipement afin de parer lventualit
dun appel de la part de tous les autres quipements, soit tre en mesure de pallier un problme
ventuel de contention au niveau des interfaces.
Solutions DDR hub-and-spoke
Sur une topologie hub-and-spoke (voir Figure 10.4), un site central est connect plusieurs sites
distants. Ces derniers communiquent directement avec le site central, mais ne peuvent sappeler les
uns les autres. Cette topologie convient trs bien lvolution de solutions grande chelle.
La topologie hub-and-spoke est plus facile configurer quune topologie totalement maille
lorsquune connectivit multipoint est requise, car les interfaces de numrotation des sites distants
doivent tre mises en correspondance uniquement avec le site central. La complexit de conception
(ladressage, le routage et lauthentification) peut ainsi tre gre principalement sur le hub DDR.
La configuration qui permet de supporter les sites distants peut sen trouver grandement simplifie
( linstar dune extrmit dans une topologie point--point).
Chapitre 10
319
Figure 10.4
Topologie hub-and-spoke.
Routeur A
Routeur D
Routeur B
Routeur C
Si une connectivit any-to-any est requise entre les sites distants, il est possible que le comportement
du routage ait besoin dtre modifi en fonction du comportement des interfaces de numrotation,
cest--dire quil peut se rvler ncessaire de dsactiver la fonctionnalit dhorizon clat (splithorizon) pour les protocoles de routage par vecteur de distance.
Plusieurs hubs peuvent tre utiliss afin damliorer lvolutivit des technologies hub-and-spoke.
Lorsque MultiLink PPP est employ, comme cest souvent le cas avec les solutions RNIS, les
concepteurs peuvent implmenter Cisco IOS MMP (MultiChassis MultiLink PPP) afin dadapter le
groupe de rotation dappels entrants plusieurs serveurs daccs au rseau, ou NAS (Network
Access Server). MMP est trait en dtail au Chapitre 11.
Analyse du trafic
Dans le cadre de lanalyse du trafic, crez un tableau qui permettra didentifier quels protocoles
doivent tre capables de supporter la numrotation la demande (DDR), et quels sont les quipements concerns. Le reste de la conception sera fond sur ce tableau.
Par exemple, la socit KDT a choisi une topologie hub-and-spoke (afin de garantir une certaine
volutivit) et a tabli les besoins numrs au Tableau 10.1, afin de rpondre aux exigences de son
nuage DDR.
Tableau 10.1 : Exigences de connectivit du protocole DDR pour la socit KDT
Site distant
c700A
IP, IPX
Aucun
c700B
IP
Aucun
c1600A
IP, AppleTalk
IP
c2500A
320
Partie I
Architecture de rseaux
Tableau 10.1 : Exigences de connectivit du protocole DDR pour la socit KDT (suite)
Site distant
c2500B
IP, IPX
IP
NAS3600A
Un tel tableau permet didentifier les sites et les protocoles qui doivent pouvoir initier des
connexions DDR. Une fois la connectivit tablie, chaque protocole requiert une connectivit bidirectionnelle, par lintermdiaire de tables de routage et de correspondances dadresses de nuage de
numrotation. Les appels sont dits entrants ou sortants par rapport au hub.
Souvent, lun des principaux objectifs dun rseau DDR est de permettre une diminution des cots
WAN associs aux connexions ddies. Une analyse du trafic de chaque protocole doit galement
tre ralise ce stade de la conception ou lors de la dfinition du filtrage dappel. Les applications
de rseau exploitent linfrastructure fournie par le rseau de faons diffrentes et souvent inattendues. Il est essentiel de procder une tude approfondie du trafic de rseau qui transitera sur le
mdia de numrotation, de faon dterminer si limplmentation dun rseau DDR peut tre envisage ou non. Les meilleurs outils dont vous disposez pour cette tude sont ceux de capture et
danalyse de paquets.
Interfaces de numrotation
Laccs au mdia de numrotation se fait par lintermdiaire des interfaces de numrotation de
Cisco IOS. Des canaux B RNIS, des interfaces srie synchrones et des interfaces asynchrones
peuvent tre convertis en interfaces de numrotation laide de commandes de configuration
dinterface. Les lments suivants vous permettront de mieux comprendre le concept dinterface de
numrotation :
m
profils de numrotation ;
correspondances de numrotation.
Plusieurs types dinterfaces physiques peuvent tre dfinis en tant quinterfaces de numrotation.
Interfaces srie synchrones
Des appels sur des lignes srie synchrones peuvent tre initis au moyen de la numrotation V.25bis
ou DTR. V.25bis est le standard UIT pour la numrotation intra-bande (in-band), cest--dire que
les informations de numrotation sont envoyes sur le mme canal que celui qui transporte les
Chapitre 10
321
donnes. Ce standard est utilis avec divers quipements, dont les modems synchrones, les adaptateurs terminaux (TA) RNIS et les CSU/DSU du service commut 56.
Avec la numrotation DTR, le signal DTR est activ sur linterface physique, ce qui oblige certains
quipements appeler un numro, pralablement configur leur niveau. Lorsque la numrotation
DTR est utilise, linterface ne peut pas recevoir dappels. Nanmoins, DTR autorise lutilisation
dquipements moins coteux pour le cas o un seul numro doit tre appel. Les lignes srie
synchrones supportent lencapsulation de datagrammes PPP, HDLC et X.25.
Pour convertir une interface srie synchrone en interface de numrotation, utilisez les commandes
Cisco IOS dialer in-band ou dialer dtr.
Interfaces RNIS
Tous les quipements RNIS sont abonns des services assurs par un fournisseur de services
RNIS, gnralement une compagnie de tlphonie. Les connexions DDR RNIS sont tablies sur des
canaux B 56 ou 64 Kbit/s, en fonction des capacits de transport du circuit de commutation RNIS
de bout en bout. MultiLink PPP est souvent utilis pour permettre aux quipements BRI de grouper
les deux canaux B et de bnficier ainsi dune bande passante et dun dbit accrus. Reportez-vous
au Chapitre 11 pour des recommandations sur la conception de rseaux RNIS.
Les interfaces RNIS BRI et PRI sont automatiquement configures en tant quinterfaces de numrotation intra-bandes. RNIS peut supporter lencapsulation PPP, HDLC, X.25 et V.120. En gnral,
PPP sera employ pour les solutions DDR.
Par exemple, lorsque vous examinez une interface BRI sur un routeur Cisco IOS, vous pouvez voir
quelle se trouve en mode de simulation dactivit, afin que la table de routage puisse pointer vers elle :
c1600A#sh int bri 0
BRI0 is up, line protocol is up (spoofing)
Nanmoins, les interfaces physiques sont les canaux B individuels (BRI0:1 et BRI0:2) grs par
linterface de numrotation (BRI0) :
c1600A#sh int bri 0 1
BRI0:1 is down, line protocol is down
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
LCP Closed, multilink Closed
Closed: IPCP, CDPCP
Les connexions asynchrones sont utilises par des serveurs de communication ou via le port auxiliaire dun routeur. Les connexions DDR asynchrones peuvent tre utilises pour supporter
plusieurs protocoles de la couche rseau. Avant denvisager limplmentation de solutions DDR
asynchrones, les concepteurs devraient sassurer que les applications de rseau sont capables
daccepter les dlais dtablissement de connexions plus longs et le dbit plus faible, induits par les
modems analogiques (par rapport RNIS). Dans certaines situations, lorsquil sagit de connexions
asynchrones par modem, DDR peut reprsenter une option trs rentable.
Pour pouvoir effectuer des appels sur des connexions asynchrones, il faut configurer des scripts de
dialogue (chat script) ou de connexion, afin que les commandes de numrotation par modem et
322
Partie I
Architecture de rseaux
douverture de session soient envoyes aux systmes distants. Pour une conception plus souple,
plusieurs scripts de dialogue peuvent tre configurs sur les correspondances de numrotation
(dialer map). Les scripts de modem (modem script) peuvent tre utiliss afin de configurer les
modems pour des appels sortants. Les scripts douverture de session (login script) sont prvus afin
de grer louverture de sessions sur des sites distants et prparer la liaison pour ltablissement de
PPP. Les scripts de dialogue sont configurs au moyen de squences du type attendre-envoyer et
de mots cls pour modifier les paramtres, comme suit :
chat-script dialnum "" "atft\T" TIMEOUT 60 CONNECT \c
Si vous employez la technologie DDR asynchrone et appelez un systme qui requiert une ouverture
de session en mode caractre, utilisez le mot cl system-script avec la commande dialer map.
Les scripts de dialogue font souvent lobjet de problmes de temporisation, car ils sont excuts
avec beaucoup plus de prcision quils ne le sont lorsquune personne physique contrle la
connexion. Par exemple, lorsquun modem envoie un message de connexion CONNECT, il arrive
quil ne soit pas prt envoyer des donnes, et il peut mme se dconnecter sil reoit des donnes
sur le circuit TX. Pour viter ce type dchec, des pauses sont ajoutes en tte de certaines chanes
denvoi.
Chaque chane denvoi se termine par un retour la ligne, mme lorsquil sagit dune chane nulle
(""). Le script de dialogue sera souvent cr sans la chane "send" de fin, ce qui peut entraner des
rsultats inattendus. Vrifiez que tous les scripts de dialogue possdent des squences compltes
attendre-envoyer. Si llment final dans la logique du script se rvle tre un lment dattente
(comme dans lexemple prcdent), utilisez le caractre \c comme dernier envoi, afin de supprimer
les rsultats indsirables.
Utilisez la commande debug chat pour rsoudre les problmes de scripts de dialogue. Un dbogage
ligne par ligne peut fournir des dtails supplmentaires lorsque la logique attendre-envoyer est
dfaillante. Un exemple de solution DDR asynchrone grande chelle est dcrit au Chapitre 20.
Groupes de rotation de numrotation
Sur des topologies hub-and-spoke ou totalement mailles qui supportent plusieurs connexions entre
les sites, les interfaces physiques peuvent tre regroupes en groupes de rotation (rotary group)
laide de la commande dialer rotary-group. Les interfaces physiques assignes un groupe de
rotation hritent de la configuration de linterface de numrotation correspondante.
Si lune des interfaces physiques dans un groupe de rotation est occupe, linterface suivante disponible peut tre utilise pour passer ou recevoir un appel. Il nest pas ncessaire de configurer des
groupes de rotation pour les interfaces BRI et PRI puisque les canaux B RNIS sont automatiquement placs dans un groupe de rotation. Cependant, plusieurs de ces interfaces peuvent tre
groupes au moyen de la commande dialer rotary-group.
Profils de numrotation
Les profils de numrotation, tels que le pontage multisite sur RNIS par exemple, introduits avec la
version 11.2 de Cisco IOS, offrent davantage de souplesse de conception. Ces profils reprsentent
une mthodologie alternative pour la conception de rseaux DDR et liminent le besoin de
dfinition logique des sites de numrotation au niveau des interfaces de numrotation physiques.
Chapitre 10
323
Mthodes dencapsulation
Lorsquune liaison de donnes est clairement tablie entre deux homologues DDR, les datagrammes doivent tre encapsuls et dlimits pour tre transports sur le mdia de numrotation. Les
mthodes dencapsulation disponibles dpendent de linterface physique utilise. Cisco supporte
les encapsulations de liaison de donnes PPP (Point-to-Point Protocol), HDLC (High-Level Data
Link Control), SLIP (Serial Line Interface Protocol) et X.25 pour DDR :
m
PPP. Est la mthode dencapsulation recommande, car elle accepte plusieurs protocoles et est
utilise pour les connexions synchrones, asynchrones et RNIS. De plus, PPP, qui assure la ngociation et lauthentification dadresses, peut interoprer avec des solutions de diffrents fabricants.
HDLC. Est support uniquement sur les lignes srie synchrones et les connexions RNIS et peut
accepter plusieurs protocoles. Toutefois, il nassure pas lauthentification, fonctionnalit qui
peut se rvler ncessaire pour lutilisation de groupes de rotation.
SLIP. Fonctionne uniquement sur les interfaces asynchrones et nest support que par IP. Les
adresses doivent tre configures manuellement. Il nassure pas lauthentification et peut uniquement interoprer avec des solutions de fabricants qui utilisent SLIP.
X.25. Est support sur les lignes srie synchrones et sur un seul canal B RNIS.
Correspondances de numrotation
A linstar de la fonction de table ARP, les instructions dialer map traduisent les adresses de
prochain saut en numros de tlphone. Sans lemploi de correspondances de numrotation configures de faon statique, les appels DDR ne peuvent avoir lieu. Lorsque la table de routage pointe
sur linterface de numrotation et que ladresse de prochain saut est introuvable dans une correspondance de numrotation, le paquet est supprim.
324
Partie I
Architecture de rseaux
Dans lexemple suivant, les paquets pour un hte sur le rseau 172.20.0.0 sont routs vers une
adresse de prochain saut, 172.20.1.2, qui est associe par assignation statique au numro de tlphone 555-1212 :
interface dialer 1
ip address 172.20.1.1 255.255.255.0
dialer map ip 172.20.1.2 name c700A 5551212
!
ip route 172.20.0.0 255.255.255.0 172.20.1.2
Les instructions dialer map choueront dans le cas de diffusions broadcast, car un paquet broadcast
est transmis avec une adresse de prochain saut de ladresse broadcast. Si vous souhaitez que les
paquets broadcast qui sont transmis aux sites distants soient dfinis par des instructions dialer map,
utilisez le mot cl broadcast avec la commande dialer map.
Pour configurer la vitesse des appels RNIS 56 ou 64 Kbit/s, vous pouvez utiliser loption de
vitesse avec la commande dialer map lors de la configuration des interfaces. Voyez le Chapitre 11
pour plus de dtails sur les mdias RNIS.
Lorsque vous implmentez DDR entre plus de deux sites, il faut utiliser lauthentification PPP et le
mot cl name avec la commande dialer map, tant donn que les correspondances de numrotation
pour les appels entrants reprsentent une association des adresses de protocole et des noms dutilisateurs authentifis.
Pour faciliter la dfinition de correspondances de numrotation, le concepteur de rseau doit crer
une table de correspondances dadresses qui sera utilise pour la configuration. Dans le Tableau 10.2,
le nuage de numrotation se voit assigner le sous-rseau IP 172.20.1.0/24, le rseau IPX 100 et la
plage de cblage (cable-range) AppleTalk 20-20. Ce tableau sert de base la dfinition des correspondances de numrotation pour chaque site.
Tableau 10.2 : Table de correspondances dadresses DDR pour la socit KDT
Site distant
Numro dannuaire
c700A
IP: 172.20.1.2
IPX: 100.0000.0c00.0002
4085551212
c700B
IP: 172.20.1.3
4155558888
c1600A
IP: 172.20.1.4
AT: 20.4
5305551000
c2500A
IP: 172.20.1.5
IPX: 100.0000.0c00.0005
AT: 20.5
5125558085
c2500B
IP: 172.20.1.6
IPX: 100.0000.0c00.0006
2105552020
NAS3600A
IP: 172.20.1.1
IPX: 100.0000.0c00.0001
8355558661
Notes
56K
Hub
Chapitre 10
325
Puisque NAS3600A est le hub dans la topologie hub-and-spoke, chaque site distant est configur
avec les correspondances de numrotation qui permettent datteindre le site central. Par exemple, la
configuration des correspondances pour c1600A serait la suivante :
interface dialer1
encapsulation ppp
ip address 172.20.1.4 255.255.255.0
appletalk cable-range 20-20 20.4
appletalk zone ZZ DDR
dialer in-band
dialer map ip 172.20.1.1 name nas3600A speed 56 18355558661
dialer map appletalk 20.1 name nas3600A speed 56 18355558661
dialer-group 5
ppp authentication chap callin
Notez que les correspondances de numrotation associent les adresses de protocole de sites distants,
les noms de sites distants et les numros dannuaire de sites distants. Pour les sites uniquement
appelants, les numros dannuaire ne sont pas ncessaires et peuvent tre omis, ce qui vite une
numrotation malencontreuse. Le tableau a servi identifier les types de sites qui ne requirent pas
le support dappels sortants. Pour les sites appelants, le nom dauthentification PPP est mis en
correspondance avec ladresse de protocole, afin de garantir que les paquets sortants sont placs sur
la connexion PPP approprie.
Les versions rcentes de Cisco IOS permettent de crer des correspondances de numrotation dynamiques pour IP (au moyen de la ngociation dadresse IPCP) et pour IPX (au moyen de la ngociation dadresse IPXCP), liminant ainsi le besoin de correspondances de numrotation sur les sites
uniquement appelants.
Les concepteurs DDR doivent se familiariser avec lutilisation des commandes EXEC Cisco IOS
show dialer et show dialer map, afin de pouvoir vrifier ltat des sites DDR, des interfaces physiques et de la table de correspondances de numrotation. Utilisez la commande debug dialer pour
rsoudre les problmes de connexion DDR :
c1600A#sh dialer
BRI0 - dialer type = ISDN
Dial String
Successes
Failures
Last called
Last status
326
Partie I
Architecture de rseaux
1835558661 0
0
never
0 incoming call(s) have been screened.
BRI0:1 - dialer type = ISDN
Idle timer (60 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (5 secs)
Dialer state is idle
BRI0:2 - dialer type = ISDN
Idle timer (60 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (5 secs)
Dialer state is idle
c1600A#sh dialer map
Static dialer map ip 172.20.1.4 name nas (8355558661) on BRI0
Stratgies de routage
La nature des rseaux DDR implique que le routage et certaines tables de services dannuaire soient
maintenus sur les connexions inactives. Les concepteurs DDR peuvent utiliser une combinaison de
techniques de routage statique, dynamique et Snapshot, afin de rpondre aux besoins de conception.
Le routage par dfaut et les techniques de simulation de nud distant (telles les techniques PAT de
la srie de routeurs Cisco 700 et EZIP de Cisco IOS) peuvent tre utiliss pour simplifier considrablement la conception du routage.
Lpine dorsale au niveau du site du NAS utilisera souvent un protocole de routage convergence
rapide, tels OSPF ou EIGRP. Cependant, ces protocoles ne fonctionnent pas correctement sur le
mdia de numrotation, en raison de leurs fonctionnalits fondes sur la diffusion broadcast et les
informations dtat de lien. Gnralement, les protocoles de routage statique ou de routage par
vecteur de distance sont choisis pour les connexions DDR. La redistribution de route peut tre
ncessaire pour supporter la propagation des informations de routage entre les diffrents protocoles
de routage.
Un examen approfondi des techniques de redistribution de routage dpasse le cadre de cet ouvrage.
Toutefois, les concepteurs DDR ont besoin de dvelopper et de vrifier leur stratgie de routage
pour chaque protocole de rseau.
Routage statique
Avec le routage statique, les routes de protocole de rseau sont configures manuellement. Le
protocole de routage na ainsi plus besoin de diffuser en mode broadcast des mises jour de routage
sur les connexions DDR. Ce type de routage peut tre efficace sur les petits rseaux qui changent
peu. Les protocoles de routage peuvent parfois gnrer un trafic entranant ltablissement de
connexions inutiles.
Lors de la conception dun environnement IP sans adresses ddies, les anciennes versions de Cisco
IOS requraient plusieurs routes statiques pour chaque site : une route pour dfinir ladresse du
prochain saut et une autre pour dfinir linterface sur laquelle trouver le prochain saut (et la correspondance de numrotation). Le code suivant :
interface Dialer1
ip unnumbered Ethernet0/0
dialer in-band
dialer map ip 172.17.1.100 name kdt-NAS speed 56 5558660
dialer-group 5
Chapitre 10
327
!
ip classless
ip route 0.0.0.0.0.0.0.0 172.17.1.100 200
ip route 172.17.1.100 255.255.255.255 Dialer1 200
dialer-list 5 protocol ip permit
Les versions rcentes de Cisco IOS permettent de ramener la configuration une seule route. Par
exemple, la configuration suivante :
ip route 0.0.0.0.0.0.0.0 Dialer1 172.17.1.100 200 permanent
Routage dynamique
Le routage dynamique peut tre utilis de diffrentes manires dans la conception de rseaux DDR.
Il peut tre employ avec le routage Snapshot (voir la section "Routage Snapshot", plus loin dans ce
chapitre) pour placer en cache les routes apprises par les protocoles de routage dynamique, ce qui
permet lautomatisation de la maintenance du routage statique. Le routage dynamique peut
galement servir de dclencheur pour la convergence de routage dans des environnements DDR
tendus et complexes.
Lorsque la liaison DDR est connecte, les mises jour de routage circulent en direction de lhomologue, autorisant les conceptions redondantes converger sur la connexion physique par la redistribution des mises jour de routage.
328
Partie I
Architecture de rseaux
Le protocole de routage slectionn pour une liaison DDR est gnralement un protocole de routage
par vecteur de distance, tel RIP, RIP II, EIGRP, IGRP ou RTMP. Il est recommand de choisir le protocole le plus simple, qui rpond aux besoins de conception et qui est support par les routeurs DDR.
Interfaces passives
Les interfaces marques comme tant passives nenverront pas de mises jour de routage. Pour
viter que ces mises jour tablissent des connexions sur les interfaces de numrotation qui ne
sappuient pas sur des informations de routage dynamique, configurez les interfaces avec la
commande passive-interface ou utilisez des listes daccs (voir les sections "Listes daccs IP" et
"Listes daccs IPX", plus loin dans ce chapitre). Lutilisation de cette commande, ou dune liste
daccs, empche les mises jour de routage de dclencher un appel. Nanmoins, si vous souhaitez
quelles soient transmises lorsque la liaison est active, utilisez une liste daccs au lieu de la
commande passive-interface.
Fonctionnalit dhorizon clat
Les routeurs connects des rseaux IP de type broadcast et les routeurs qui emploient des protocoles de routage par vecteur de distance exploitent la fonctionnalit dhorizon clat (split horizon)
pour limiter les risques de boucles de routage. Lorsque cette fonctionnalit est active, les informations de routage qui arrivent sur une interface ne sont pas retransmises sur cette mme interface.
NOTE
Lorsque des sites distants ont besoin de communiquer entre eux, il est prfrable de dsactiver la fonctionnalit dhorizon clat pour les topologies hub-and-spoke. Sur ces topologies, les sites en priphrie font
connaissance les uns des autres par lintermdiaire du site central auquel ils sont connects via une seule
interface. Pour que ces sites distants puissent changer directement des informations, la fonctionnalit
dhorizon clat doit tre dsactive, afin que des tables de routage compltes puissent tre cres sur
chaque site.
Routes AAA installes par lutilisateur. Des serveurs AAA peuvent installer des routes associes des utilisateurs par le biais de lautorisation AAA, afin de tlcharger et dinstaller des
routes au fur et mesure que les sites distants se connectent.
Routes homologues PPP. La ngociation dadresses IPCP installe des routes htes (/32 masque
de sous-rseau) pour lhomologue distant. Cette route hte peut tre propage vers les routeurs
dpine dorsale, afin de fournir une convergence de routage fiable. Dans la plupart des applications, la route hte homologue sera avantageuse (ou inoffensive) pour la conception de rseaux.
Si des routes htes PPP interagissent mal avec les stratgies de routage existantes, elles peuvent
tre dsactives laide de la commande de configuration dinterface no peer neighbor-route.
Chapitre 10
329
Routage Snapshot
Avec le routage Snapshot, le routeur est configur pour le routage dynamique. Le routage Snapshot
contrle lintervalle de mise jour des protocoles de routage. Il fonctionne avec les protocoles de
routage par vecteur de distance suivants :
m
RIP et SAP (Service Advertisement Protocol) pour Novell IPX (Internet Packet Exchange) ;
Dans des circonstances normales, ces protocoles de routage diffusent en mode broadcast des mises
jour toutes les 10 60 secondes. Par consquent, une liaison RNIS serait tablie toutes les 10
60 secondes, uniquement pour changer ces informations de routage, do des cots prohibitifs. Le
routage Snapshot rsout ce problme.
NOTE
Le routage Snapshot est disponible sur le systme Cisco IOS, version 10.2 ou ultrieure.
330
Partie I
Architecture de rseaux
lordre et utilise lintervalle de tentatives rptes pour les lignes auxquelles il ne peut immdiatement accder (voir Figure 10.5).
Figure 10.5
Routeurs Snapshot
en action.
Routeurs esclaves
Table de
routage
Routeur matre
Table de
routage
RNIS
T2
T1
Table de
routage
T1
Temps
Table de
routage
la dure de la priode active (qui doit correspondre celle spcifie sur le routeur central) ;
si le routeur peut appeler le routeur central pour changer des mises jour de routage en
labsence dun trafic rgulier ;
si les connexions qui sont tablies pour changer des donnes utilisateur peuvent tre utilises
pour changer les mises jour de routage.
Lorsque le protocole de routage de lpine dorsale nest pas support par le routage Snapshot (par
exemple OSPF ou EIGRP), les techniques standard de redistribution de routage peuvent tre
employes pour garantir que les mises jour sont propages entre les protocoles de routage, comme
requis. Les prcautions ncessaires devraient tre prises pour assurer la redistribution de sousrseaux, si besoin est, et viter les boucles de routage.
Figure 10.6
Routage Snapshot
AppleTalk.
R1
E0
Zone
: WAN
Plage de cblage : 700-700
B0
B0
Zone
: QG
Plage de cblage : 101-200
R2
E0
Zone
: Branche
Plage de cblage : 201-300
Chapitre 10
331
Pour obtenir plus de dtails sur le routage Snapshot, reportez-vous au Chapitre 21.
Secours commut pour liaisons loues
Le secours commut (dial backup) apporte une protection contre limmobilisation dun rseau
tendu (WAN) en permettant une connexion srie ddie de disposer dune connexion de secours
par circuits commuts. Le secours commut peut tre mis en uvre de plusieurs faons : par le biais
dinterfaces de secours (backup interfaces) ou au moyen de routes statiques flottantes (floating
static routes).
Le secours commut impose aux concepteurs dutiliser des modles de trafic diffrents de ceux des
sites SOHO et ROBO qui supportent DDR. Lors de la conception des densits de port pour les
lignes de secours par circuits commuts, examinez le nombre de liaisons susceptibles dtre dfectueuses simultanment en cas de panne gnrale, ainsi que le nombre de ports qui seraient
ncessaires sur le site central dans le cas dun scnario catastrophe. Une conception classique implique de choisir entre des modes dappel entrant ou sortant, afin dviter une ventuelle contention
lorsque les deux parties tentent de rtablir la connectivit.
332
Partie I
Architecture de rseaux
Interfaces de secours
Une liaison srie principale ddie est configure de faon pouvoir disposer dune interface de
secours en cas de panne ou de dpassement des seuils de charge. En cas de dfaillance de la liaison
de linterface principale ou du protocole de ligne, linterface de secours est utilise pour tablir une
connexion sur le site distant.
Une fois configure, linterface de secours demeure inactive, jusqu ce que lune des conditions
suivantes soit rencontre :
m
Le protocole de ligne sur la liaison principale est dfaillant. La ligne de secours est alors active,
rtablissant la connexion entre les deux sites.
La charge de trafic sur la liaison principale dpasse une limite dfinie. Cette charge est
surveille, et une valeur moyenne est calcule toutes les cinq minutes. Si cette valeur excde
celle dfinie par lutilisateur pour la liaison principale, la ligne de secours est active. En fonction de la configuration de cette dernire, la totalit du trafic, ou une partie seulement, sera
envoye.
Une interface Cisco IOS est place en mode de secours au moyen de la commande backup interface :
m
La commande de configuration dinterface backup interface spcifie linterface qui doit assurer
la fonction de secours.
La commande backup load spcifie le seuil de trafic en fonction duquel linterface de secours
doit tre active et dsactive.
La commande backup delay spcifie le laps de temps qui doit scouler avant que linterface de
secours ne soit active ou dsactive, suite une priode de transition de linterface principale.
Les interfaces de secours sont gnralement verrouilles dans tat BACKUP (secours) afin de limiter
leur utilisation cette fonction. Les profils de numrotation liminent ce verrouillage et permettent
linterface physique dtre exploite de plusieurs faons. La conception DDR de routes statiques
flottantes limine aussi ce verrouillage sur linterface de numrotation.
Dans la Figure 10.7, une liaison loue relie le routeur A au routeur B, et linterface BRI 0/2 sur le
routeur B est utilise en tant que ligne de secours.
Figure 10.7
Exemple de secours
commut sur RNIS.
171 69 159 49
255 255 255 249
171 69 158 18
255 255 255 248
E0 Routeur A
Routeur B E0
171 69 159 25
255 255 255 249
171 69 159 26
255 255 255 249
RNIS
Avec la configuration suivante, linterface BRI 2/0 (ligne de secours) est active uniquement en cas
de dfaillance de linterface srie 1/0 (liaison principale). La commande backup delay configure la
Chapitre 10
333
connexion de secours afin quelle soit active trente secondes aprs la dfaillance de linterface
srie 1/0 et quelle demeure active pendant soixante secondes aprs son rtablissement :
interface serial 1/0
ip address 172.20.1.4 255.255.255.255.0
backup interface bri 2/0
backup delay 30 60
Avec la configuration suivante, linterface BRI 2/0 est active uniquement lorsque la charge sur
linterface srie 1/0 dpasse 75 % de sa bande passante. La ligne de secours est dsactive lorsque
la charge globale de la liaison principale et de la ligne de secours est infrieure 5 % de la bande
passante de la liaison principale :
interface serial 1/0
ip address 172.20.1.4 255.255.255.255.0
backup interface bri 2/0
backup delay 75 5
Avec la configuration suivante, linterface BRI 2/0 est active uniquement en cas de dfaillance de
linterface srie 1/0 ou lorsque le trafic sur cette interface dpasse 25 % de sa bande passante. Si linterface 1/0 est dfaillante, dix secondes scouleront avant que linterface BRI 2/0 ne devienne active.
Une fois linterface 1/0 rtablie, BRI 2/0 demeurera active pendant soixante secondes. Si cette
interface a t active suite un dpassement de seuil de charge sur linterface 1/0, elle sera dsactive lorsque la charge globale de la liaison principale et de la ligne de secours retombera en
dessous de 5 % de la bande passante de linterface 1/0 :
interface serial 1/0
ip address 172.20.1.4 255.255.255.255.0
backup interface bri 2/0
backup load 25 5
backup delay 10 60
Le fonctionnement dune interface de secours est dtermin par ltat de la liaison et du protocole
de ligne sur la connexion principale. Il peut arriver que la connectivit de bout en bout soit perdue,
mais, dans ce cas, le protocole de ligne demeure actif. Par exemple, ltat du protocole de ligne sur
une liaison Frame Relay est dtermin par les messages ILMI en provenance du DCE (Data
Communication Equipment, quipement de communication de donnes) ou commutateur Frame
Relay. La connectivit vers le DCE Frame Relay ne garantit pas une connectivit de bout en bout.
La conception du secours commut au moyen de routes statiques flottantes utilise les protocoles de
maintenance de table de routage et de routage dynamique de Cisco IOS. Voyez le Chapitre 19 et ses
exemples dutilisation des routes statiques flottantes afin dassurer le secours de liaisons loues.
Routes et mises jour SAP statiques IPX
Avec DDR, vous devez configurer des routes statiques, car les mises jour de routage ne peuvent
tre transmises sur des connexions DDR inactives. Pour crer des routes statiques vers des destinations spcifiques, utilisez la commande ipx route. Vous pouvez galement configurer des mises
jour SAP statiques laide de la commande ipx sap afin que les clients puissent toujours joindre un
serveur particulier. De cette faon, vous pouvez dterminer les zones de votre rseau o les mises
jour SAP tabliront des connexions la demande.
334
Partie I
Architecture de rseaux
Dans lexemple suivant, le trafic pour le rseau 50 sera toujours envoy ladresse 45.0000.0c07.00d3,
et le trafic pour le rseau 75 sera toujours envoy ladresse 45.0000.0c07.00de. Le routeur rpondra
aux requtes GNS avec le serveur WALT si aucune connexion SAP dynamique nest possible :
ipx route 50 45.0000.0c07.00d3
ipx route 75 45.0000.0c07.00de
ipx sap 4 WALT 451 75.0000.0000.0001.5
Les routes et les zones AppleTalk statiques sont cres au moyen de la commande appletalk static,
comme dans lexemple suivant :
appletalk static cable-range 110-110 to 45.2 zone Marketing
Filtrage dappel
Le filtrage dappel (dialer filtering) est utilis pour identifier tous les paquets qui traversent des
connexions DDR comme intressants ou inintressants, laide de listes de contrle daccs (ACL,
Access Control List) [voir Figure 10.8]. Seuls les paquets jugs intressants peuvent tablir et maintenir une connexion DDR. Cest au concepteur DDR que revient la tche de dterminer quels types
de paquets sont inintressants, et de crer des listes ACL afin dempcher que ces paquets ne provoquent des connexions inutiles.
Figure 10.8
Filtrage d'appel
Filtrage dappel.
Vers l'interface
de numrotation
Intressant
Non
Oui
Oui
Connect
Non
N de
tlphone
Oui
Rinitialise le
temporisateur
d'inactivit
Non
Non
Connect
Oui
Appelle
Envoie
Lorsquun paquet est jug inintressant et quaucune connexion nest tablie, il est supprim. En
revanche, si une connexion a dj t tablie vers la destination spcifie, le paquet jug inintressant
Chapitre 10
335
est envoy sur la liaison, et le temporisateur dinactivit nest pas rinitialis. Si le paquet est jug
intressant et quil ny a pas de connexion sur linterface disponible, le routeur tente dtablir une
connexion.
Chaque paquet qui arrive sur une interface de numrotation est filtr et identifi comme intressant
ou inintressant, en fonction des commandes de configuration dialer-group (groupe de numrotation) et dialer-list (liste de numrotation). La configuration Cisco IOS de linterface Dialer1
suivante utilise le groupe de numrotation 5 afin de dterminer quels paquets sont intressants,
selon les instructions de la liste de numrotation 5. Ces dernires dfinissent le groupe de numrotation 5 et dterminent que tous les paquets IP, IPX et AppleTalk sont intressants :
interface Dialer1
dialer-group 5
!
dialer-list 5 protocol ip permit
dialer-list 5 protocol ipx permit
dialer-list 5 protocol appletalk permit
!
Le systme Cisco IOS supporte prsent de nombreux protocoles de filtrage dappel, comme le
montre la rubrique dialer-list de laide en ligne :
kdt-3640(config)#dialer-list 5 protocol ?
appletalk AppleTalk
bridge Bridging
clns OSI Connectionless Network Service
clns_es CLNS End System
clns_is CLNS Intermediate System
decnet DECnet
decnet_node DECnet node
decnet_router-L1 DECnet router L1
decnet_router-L2 DECnet router L2
ip IP
ipx Novell IPX
llc2 LLC2
vines Banyan Vines
xns XNS
Il est possible de mettre en uvre un filtrage dappels plus granulaire pour chaque protocole en dfinissant des listes de contrle daccs (ACL) Cisco IOS. Par exemple, la configuration suivante dfinit le
trafic SNMP comme inintressant, au moyen de la liste de numrotation 3 et de listes ACL tendues :
dialer-list protocol ip 3 list 101
!
access-list 101 deny udp any any eq snmp
access-list 101 permit ip any any
Les effets des mises jour de routage et des services dannuaire sur les interfaces de numrotation
peuvent tre grs laide de plusieurs techniques, telles que le routage statique et, par dfaut, les
interfaces passives et les correspondances de numrotation non broadcast. En ce qui concerne
les solutions qui ncessitent le routage dynamique et ne peuvent utiliser Snapshot, les informations
336
Partie I
Architecture de rseaux
de routage peuvent nanmoins tre supportes sur la liaison RNIS, puis juges inintressantes par le
processus de filtrage dappels.
Par exemple, si la conception du rseau requiert des paquets de mises jour de routage IGRP, ceuxci peuvent tre filtrs par lintermdiaire de listes daccs, afin dviter ltablissement de
connexions DDR inutiles, comme suit :
access-list 101 deny igrp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Vous pouvez utiliser lune des deux listes daccs suivantes pour identifier le trafic EIGRP comme
inintressant :
access-list 101 deny eigrp any any
access-list 101 deny ip any 224.0.0.10.0.0.0.0
La premire liste daccs rejette tout le trafic EIGRP ; la seconde rejette ladresse multicast
(224.0.0.10) utilise par EIGRP pour ses mises jour. Lorsque vous employez des listes daccs pour
contrler le trafic EIGRP, vous devez configurer des routes statiques sur la liaison RNIS. Une fois la
connexion DDR tablie, les mises jour de routage peuvent circuler sur la ligne. Lors de la conception du filtrage dappel, il est important de comprendre quel niveau les requtes de mise jour et de
service sont utiles et quel niveau ces types de paquets peuvent tre filtrs en toute scurit.
Il faut examiner attentivement les protocoles de services dannuaire et les applications de rseau qui
doivent tre supports sur chaque site. Bon nombre de protocoles et dapplications peuvent provoquer ltablissement et la maintenance de connexions DDR, do parfois des charges WAN invraisemblables sils ne sont pas correctement surveills et filtrs. Nattendez pas de recevoir votre facture
tlphonique pour procder une analyse approfondie du trafic et des cots de votre rseau. Si vous
tes concern par les cots WAN, implmentez des outils de surveillance afin dobtenir un retour
dinformations rapide sur la frquence et la dure des connexions. (Les problmes de rduction des
cots sont traits au Chapitre 11.)
SNMP
Bien que le protocole SNMP puisse fournir des informations utiles sur les connexions RNIS et la
faon dont elles sont exploites, son utilisation peut provoquer un accroissement excessif des temps
dactivit sur les liaisons RNIS. Par exemple, HP Open View collecte des informations en interrogeant rgulirement le rseau la recherche dvnements SNMP. Ces interrogations entranent un
tablissement plus frquent de connexions RNIS pour vrifier que les routeurs distants sont toujours
oprationnels, ce qui augmente les frais dutilisation de RNIS. Pour contrler ces frais, le site
central doit filtrer les paquets SNMP destination des sites distants via RNIS. Les paquets SNMP
en provenance de sites distants peuvent toujours tre autoriss, ce qui permet aux interceptions
SNMP de circuler vers la plate-forme de gestion SNMP. De cette manire, si un dispositif SNMP
est dfaillant sur un site distant, lalerte atteindra la plate-forme de gestion SNMP sur le site central.
Pour contrler le trafic SNMP, crez une liste daccs qui refuse les paquets SNMP. Voici un exemple de filtrage de paquets SNMP :
access-list
access-list
access-list
!
dialer-list
Chapitre 10
337
Paquets IPX
Sur les rseaux Novell IPX, il faut envisager le filtrage des mises jour de routage au niveau des
interfaces DDR pour les protocoles rpertoris dans le Tableau 10.3.
Tableau 10.3 : Cycles des paquets de mises jour Novell IPX
Type de paquet
RIP
60 secondes
SAP
60 secondes
Srialisation
66 secondes
Vous pouvez utiliser des listes daccs pour dclarer inintressants les paquets destination du
socket de srialisation Novell (numro de protocole 0, numro de socket 457), les paquets RIP
(numro de protocole 1, numro de socket 453), les paquets SAP (numro de protocole 4, numro
de socket 452) et les paquets de diagnostic gnrs par la fonctionnalit de dcouverte automatique
(numro de protocole 4, numro de socket 456). Les paquets inintressants sont supprims et ne
provoquent pas linitialisation de connexions. (Un exemple de liste daccs IPX est prsent au
Chapitre 21.)
IPX envoie plusieurs types de paquets (paquets watchdog IPX et paquets keepalive SPX) qui
peuvent provoquer des connexions inutiles lorsquils ne sont pas contrls. De plus, NetWare inclut
un protocole de synchronisation horaire qui entrane lui aussi ltablissement de connexions inutiles
sil nest pas contrl.
Les rseaux Novell IPX utilisent plusieurs types de paquets de mises jour quil faut parfois filtrer
au moyen de listes daccs. Les htes Novell diffusent en mode broadcast des paquets de srialisation des fins de protection contre la copie. Les mises jour des tables de routage RIP et les
annonces de service SAP sont diffuses en broadcast toutes les 60 secondes. Les paquets de srialisation sont envoys environ toutes les 66 secondes.
Dans lexemple suivant, la liste daccs 901 identifie les paquets SAP (452), RIP (453) et de srialisation (457) comme inintressants, et les types de paquets IPX inconnu/tous (0), tous ou RIP (1),
tous ou SAP (4), SPX (5), NCP(7) et NetBIOS (20) comme intressants :
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
901
901
901
901
901
901
901
901
901
901
901
901
901
901
deny 0
deny 4
deny 0
deny 1
deny 0
deny 0
deny 0
deny 0
permit
permit
permit
permit
permit
permit
FFFFFFFF
FFFFFFFF
FFFFFFFF
FFFFFFFF
FFFFFFFF
FFFFFFFF
FFFFFFFF
FFFFFFFF
0
1
2
4
5
17
452
452
453
453
457
0 FFFFFFFF 452
0 FFFFFFFF 453
0 FFFFFFFF 457
338
Partie I
Architecture de rseaux
Vous pouvez autoriser nimporte quel autre type de paquet IPX, si besoin est. Depuis la
version 10.2 du systme Cisco IOS, la configuration des listes daccs Novell IPX a t amliore
grce au support du caractre gnrique (1). Voici ce que donnerait lexemple prcdent :
access-list
access-list
access-list
access-list
access-list
access-list
access-list
901
901
901
901
901
901
901
deny -1 FFFFFFFF
deny -1 FFFFFFFF
deny -1 FFFFFFFF
deny -1 FFFFFFFF
deny -1 FFFFFFFF
deny -1 FFFFFFFF
permit -1
452
453
457
0 FFFFFFFF 452
0 FFFFFFFF 453
0 FFFFFFFF 457
Les serveurs NetWare envoient des paquets watchdog aux clients et dconnectent ceux qui ne rpondent
pas. Lorsque la simulation watchdog IPX est active, le routeur local au serveur NetWare rpond aux
paquets watchdog la place des clients du serveur. La simulation watchdog IPX permet aux clients
de rester connects aux serveurs sans avoir besoin denvoyer constamment des paquets sur la liaison
RNIS. Cette fonctionnalit est particulirement importante pour contrler les temps dactivit des
liaisons RNIS. La commande de configuration dinterface qui permet dactiver cette fonctionnalit
est ipx watchdog-spoof.
Contrle des paquets keepalive SPX
Certains services fonds sur SPX (Sequenced Packet Exchange) dans les environnements Novell
utilisent des paquets keepalive. Ces paquets servent vrifier lintgrit des communications de
bout en bout lorsque des transmissions avec garantie de livraison et squencement des paquets sont
ncessaires. La frquence de gnration de ces paquets peut tre ajuste par lutilisateur ; elle est de
cinq secondes par dfaut, mais peut accepter une frquence minimale de quinze minutes. La simulation SPX, telle quelle est implmente dans le systme Cisco IOS, reoit, reconnat et acquitte avec
succs les paquets keepalive la fois sur lextrmit serveur et sur lextrmit client.
Serveurs de temps et paquets de rpliques NDS
NetWare 4.x inclut un protocole de synchronisation horaire qui provoque lenvoi de mises jour
toutes les dix minutes de la part des serveurs de temps NetWare 4.x. Pour viter que ces serveurs ne
gnrent des paquets de mises jour qui dclencheraient ltablissement de connexions inutiles,
vous devez charger un module NetWare (NLM, NetWare-loadable Module) appel TIMESYNC.NLM, qui permet daugmenter lintervalle de synchronisation jusqu plusieurs jours.
Un problme analogue est caus par les tentatives de synchronisation de rpliques (replica) NDS.
NetWare 4.1 inclut deux modules NLM, DSFILTER.NLM et PINGFILT.NLM, qui fonctionnent de
concert pour contrler les mises jour de synchronisation NDS. Utilisez-les pour garantir que le
trafic de synchronisation NDS sera envoy aux serveurs spcifis uniquement des horaires prcis.
Filtrage AppleTalk
Les services dannuaire conviviaux dAppleTalk se fondent sur des noms de zones et sur le protocole NBP (Name Binding Protocol). Des applications, tel le Slecteur MacOs (Chooser), utilisent
des recherches NBP (lookup) pour rechercher des services, tels que AppleShare, par noms de zone.
Chapitre 10
339
Certaines applications utilisent ces services de faon excessive et mettent des diffusions broadcast
sur toutes les zones, sans tenir compte des rseaux DDR. Cela provoque en retour le dclenchement
de demandes douverture de ligne. Des applications comme QuarkXpress et 4D utilisent des diffusions broadcast sur toutes les zones pour examiner priodiquement le rseau des fins de contrle
de licence, ou pour fournir des liens vers dautres ressources du rseau. La commande test appletalk:nbp lookup combine avec la commande debug dialer surveille le trafic NBP et peut vous
aider dterminer les types de paquets qui dclenchent ltablissement de connexions.
Depuis la version 11.0 de Cisco IOS, vous pouvez filtrer les paquets NBP en fonction du nom, du type
et de la zone du dispositif metteur. Le filtrage NBP AppleTalk permet aux routeurs Cisco de crer des
pare-feu, des dclencheurs de demandes douverture de ligne et des options de gestion de file
dattente, en se fondant sur nimporte quel type ou objet NBP. (Voyez le Chapitre 21 pour obtenir un
exemple de configuration.) Enfin, si les applications qui utilisent NBP ont t isoles, consultez leurs
fabricants et demandez-leur comment contrler ou liminer le trafic NBP.
Certaines applications Macintosh envoient priodiquement des recherches NBP vers toutes les
zones pour de nombreuses raisons : contrle des numros de srie identiques des fins de protection contre la copie, recherche automatique dautres serveurs, etc. Il en rsulte que les liaisons
RNIS sont actives frquemment, do un gaspillage. Dans les versions 11.0 (2.1) ou ultrieures
de Cisco IOS, les routeurs Cisco autorisent lutilisateur configurer le filtrage NBP sur les listes de
numrotation en vue dviter ce problme. Pour cela, vous devez remplacer la ligne suivante sur les
deux routeurs :
dialer-list 1 protocol appletalk permit
600
600
600
600
Cet exemple indique que les recherches NBP dclencheront ltablissement dune connexion RNIS
pour deux services uniquement. Si vous voulez autoriser dautres types de services, ajoutez-les dans
lexemple avant linstruction deny other-nbps. Vrifiez que les numros de squences sont diffrents, sinon ils remplaceront les prcdents. Par exemple, si vous souhaitez aussi permettre que les
recherches NBP dclenchent ltablissement dune connexion pour le service DeskWriter, la liste
ressemblera ce qui suit :
dialer-list 1 list 600
access-list
access-list
access-list
access-list
access-list
600
600
600
600
600
340
Partie I
Architecture de rseaux
NOTE
Les serveurs AppleShare utilisent le protocole AFP (Apple Filing Protocol) pour envoyer des tickles environ
toutes les trente secondes aux clients AppleShare connects. Ces tickles permettent aux connexions DDR de
rester actives. Pour viter les connexions DDR inutiles, vous devez annuler manuellement le montage des
serveurs AppleTalk ou y installer un logiciel qui dconnecte automatiquement les utilisateurs aprs une
priode dinactivit.
Cisco IOS 10.3 a introduit les listes daccs pour les protocoles Banyan VINES, DECnet IV et OSI.
Lorsque des correspondances de numrotation sont configures pour ces protocoles, des listes
daccs peuvent tre utilises afin de dterminer les paquets intressants (cest--dire les paquets
qui dclencheront louverture dune ligne la demande).
Chapitre 10
341
pulse-time 5
!
! Ces commandes placent les interfaces srie asynchrones 1 et 2
! dans le groupe de rotation de numrotation 1. Les sous-commandes
! dinterface appliques au groupe 1 (par exemple, encapsulation PPP
! et CHAP) sappliquent ces interfaces.
interface async 1
dialer rotary-group 1
interface async 2
dialer rotary-group 1
! Les mots de passe CHAP sont spcifis pour les serveurs distants.
username sanjose password cisco
username rtp password cisco
Authentification
Lauthentification apporte deux fonctions dans la conception de rseaux DDR : la scurit et le suivi
des connexions. Comme la majorit des rseaux DDR se connectent au rseau tlphonique public
commut, il est impratif dimplmenter un modle de scurit fiable pour empcher des accs non
autoriss aux ressources sensibles. Lauthentification permet galement DDR deffectuer un suivi
des sites qui sont actuellement connects et autorise la cration de faisceaux MultiLink PPP. Les
sujets suivants sont traits dans cette section :
m
lauthentification PPP ;
la scurit RNIS ;
Authentification PPP
Lauthentification PPP via CHAP ou PAP (comme dcrit dans le RFC 1334) devrait tre utilise
pour fournir une scurit sur les connexions DDR. Lauthentification PPP a lieu aprs que LCP
(Link Control Protocol) a t ngoci sur la connexion DDR, mais avant que les protocoles de
rseau naient t autoriss circuler. Elle est ngocie en tant quoption LCP et est bidirectionnelle, ce qui signifie que chaque partie peut authentifier lautre. Dans certains environnements, il
peut tre ncessaire dactiver lauthentification PPP du ct appel uniquement (ce qui signifie que
le ct appelant nauthentifie pas le ct appel).
Protocole CHAP
Avec CHAP, un quipement distant qui tente de se connecter sur le routeur local se voit prsenter un
dfi (challenge), CHAP contenant le nom dhte et une valeur de dpart (seed) pour le dfi. Lorsque le
routeur distant reoit le dfi, il examine le nom dhte qui y est contenu et le renvoie avec une rponse
CHAP drive de la valeur de dpart et du mot de passe pour ce nom dhte. Les mots de passe
doivent tre identiques sur lquipement distant et sur le routeur local. Les noms et mots de passe sont
342
Partie I
Architecture de rseaux
configurs au moyen de la commande username. Dans lexemple suivant, le routeur nas3600A autorisera le routeur c1600A lappeler en utilisant le mot de passe "bubble" :
hostname nas3600A
username c1600A password bubble
!
interface dialer 1
ppp authentication chap callin
Dans lexemple suivant, le routeur Macduff autorisera le routeur Macbeth lappeler en utilisant le
mot de passe "bubble" :
hostname nas3600A
username c1600A password bubble
!
interface dialer 1
encapsulation ppp
dialer in-band
dialer-groupe 5
dialer map ip 172.20.1.1 name nas3600A 18355558661
ppp authentication chap callin
A linstar de CHAP, PAP est un protocole dauthentification utilis par PPP. Nanmoins, PAP est
moins sr que CHAP, car ce dernier transmet une version crypte du mot de passe sur la ligne physique, alors que PAP communique le mot de passe en clair, ce qui lexpose aux attaques par sniffer (outil
de surveillance de rseau).
Lorsque laccs est authentifi avec PAP, le routeur examine le nom dutilisateur qui correspond la
ligne de correspondance de numrotation utilise pour initier lappel. Lorsquil est authentifi avec
PAP lors dun appel entrant, PAP recherche le nom dutilisateur associ son nom dhte (car
aucune correspondance de numrotation na t utilise pour initier la connexion).
Dans lexemple de configuration suivant, le routeur NAS authentifiera lhomologue avec PAP
lorsquil rpondra lappel DDR, puis comparera le rsultat la base de donnes locale :
hostname nas3600A
aaa new-model
aaa authentication ppp default local
username c2500A password freedom
username nas3600A password texas
Chapitre 10
343
!
interface Dialer1
encapsulation ppp
ppp authentication pap
Scurit RNIS
DDR RNIS peut utiliser lidentifiant dappelant (caller-ID) afin damliorer la scurit en configurant lappelant RNIS sur les interfaces RNIS entrantes. Les appels entrants sont filtrs pour vrifier
que lidentifiant de la ligne appelante provient dune origine connue. Toutefois, ce filtrage ncessite
une connexion RNIS de bout en bout qui permet de fournir lidentifiant de lappelant au routeur.
Fonction de rappel DDR
Les environnements DDR peuvent tre configurs afin dexploiter la fonction de rappel (callback).
Lorsquun site distant appelle un site central (ou inversement), ce dernier peut tre configur pour
dconnecter le site distant, puis initier une connexion sortante vers ce site.
Cette fonction permet daccrotre la scurit en garantissant que le site distant ne peut se connecter
qu partir dun seul emplacement, comme dfini par le numro de rappel. Cette fonction amliore
galement ladministration en centralisant la facturation des connexions distantes.
Listes daccs IPX
Les liste daccs dterminent si les paquets sont intressants ou inintressants. Les paquets jugs
intressants provoquent lactivation automatique des connexions DDR ; les paquets jugs inintressants ne dclenchent pas leur tablissement. Nanmoins, si une connexion DDR est active, les
paquets jugs inintressants seront quand mme transmis travers cette liaison.
Rsum
Lors de la conception de rseaux DDR, examinez le type de la topologie : point--point, hub-andspoke ou totalement maille. Etudiez galement le type de schma dadressage utilis et les problmes de scurit. Gardez lesprit que le choix du mdia influence la faon dont les paquets sont
envoys. Dfinissez la destination des paquets en configurant des routes statiques, des zones et des
services. Dterminez de quelle manire les paquets atteignent leur destination, en configurant des interfaces de numrotation et en associant les adresses et les numros de tlphone. Enfin, dterminez
quel moment le routeur devra tablir la connexion, en dfinissant des paquets intressants et inintressants, ce qui limine les diffusions broadcast AppleTalk inutiles et les paquets de simulation
watchdog IPX. Ces recommandations vous aideront implmenter des rseaux volutifs, prsentant
un rapport quilibr entre les performances, la tolrance aux pannes et le cot.
Pour obtenir davantage dinformations sur la cration de rseaux DDR, avec des exemples de protocoles, voyez les Chapitres 11, 20 et 21.
11
Conception de rseaux RNIS
Par Salman Asad
Le rseau RTC (Rseau Tlphonique Commut) a t transform en un rseau numrique intgration de services, appel RNIS (en anglais ISDN, Integrated Systems Digital Network). Le
respect des normes internationales du systme de signalisation SS7 (Signalling System 7) permet de
mettre en uvre des communications internationales numriques 64 Kbit/s, sans restriction. RNIS
a facilit lintgration de divers services de tlphonie, tels que lidentification de lappelant, le
rappel automatique sur occupation, la confrence trois, etc., ainsi que des services de transmission
de donnes qui incluent laudioconfrence, la visioconfrence, lInternet, le transfert de fichiers,
linterconnexion de rseaux, etc. Grce aux services de laccs RNIS de base avec linterface BRI
(Basic Rate Interface) et de laccs RNIS primaire avec linterface PRI (Primary Rate Interface), la
commutation dappels RNIS peut tre tendue jusquaux quipements de tlcommunication du
client (CPE, Customer Premises Equipment) et fournir ainsi des chemins numriques de bout en
bout.
Avant la disponibilit de RNIS, la connectivit sur le rseau RTC tait simplement assure au
moyen du service tlphonique classique, avec un modem analogique. La connectivit sur RNIS
offre aux concepteurs de rseaux une bande passante accrue, une rduction du temps ncessaire
ltablissement des connexions, une latence rduite et des rapports signal/bruit infrieurs.
RNIS est maintenant dploy rapidement dans de nombreuses applications, telles que le routage par
ouverture de ligne la demande ou DDR (Dial-on-Demand Routing), le secours par ligne commute, la connectivit SOHO (Small Office/Home Office, petit bureau/bureau domicile) et ROBO
(Remote Office/Branch Office, bureau distant/bureau dagence), ainsi que lagrgation de pools de
346
Partie I
Architecture de rseaux
modems. Ce chapitre tudie la conception de ces applications. Son principal objectif est dexaminer
les problmes de conception associs la cration de rseaux RNIS. Pour tudier des exemples
spcifiques, reportez-vous aux chapitres qui prsentent des tudes de cas sur le sujet.
A la Figure 11.1, RNIS est utilis pour assurer simultanment des accs numriques et des accs
par modems pour des sites distants qui emploient une solution de connexion hybride.
Figure 11.1
RNIS peut supporter
des solutions de
numrotation
hybrides (analogique
et numrique).
Accs RNIS
de base (BRI)
RNIS
Accs RNIS
primaire (PRI)
Analogique
avec modem
Applications de RNIS
RNIS a plusieurs applications dans la mise en uvre de rseaux. Le systme dexploitation Cisco
IOS est depuis longtemps utilis pour laborer des solutions qui implmentent DDR et le secours
par ligne commute pour la connectivit ROBO. Plus rcemment, RNIS a fait lobjet dimplmentations croissantes pour grer la connectivit SOHO. Dans le cadre de ce livre, le ct appelant de
RNIS sera dsign par le terme SOHO; le ct rpondant par NAS (Network Access Server, serveur
daccs au rseau), sauf spcification particulire. Cette section traite des sujets suivants :
m
le routage DDR ;
la connectivit SOHO ;
lagrgation de modems.
Routage DDR
La connectivit permanente par lintermdiaire de RNIS est simule par des routeurs Cisco IOS, au
moyen de DDR. Lorsque des paquets qualifis arrivent sur une interface de numrotation, la connectivit est tablie sur RNIS. Aprs une certaine priode dinactivit (prconfigure), la connexion
RNIS est libre. Des canaux B RNIS peuvent tre ajouts et supprims du faisceau MultiLink PPP,
par le biais de seuils configurables. La Figure 11.2 illustre lemploi de DDR pour la connexion de
sites distants avec RNIS.
Figure 11.2
DDR cre la connexion entre des sites RNIS.
RNIS
Chapitre 11
347
RNIS peut tre utilis en tant que service de secours pour une ligne loue entre un bureau distant et
un site central. Si le lien principal est dfaillant, une connexion par circuit commut RNIS est
tablie, et le trafic est rerout via RNIS. Lorsque le lien principal est rtabli, le trafic y est de
nouveau redirig, et la ligne RNIS est dsactive.
Le secours par ligne commute peut tre ralis au moyen de routes statiques flottantes (floating
static routes) et de DDR, ou laide des commandes dinterface backup. Cette fonction peut
galement tre configure sur la base de seuils de trafic du lien principal. Si la charge sur le lien
principal excde une valeur dfinie par lutilisateur, la ligne RNIS de secours est active, afin
daugmenter la bande passante disponible entre les deux sites (voir Figure 11.3).
Figure 11.3
RNIS peut fournir une solution
de secours pour un lien principal
entre des sites.
RNIS
Connectivit SOHO
Les sites SOHO (Small Office/Home Office) peuvent maintenant tre supports de faon rentable,
grce aux services de linterface BRI de laccs RNIS de base. Les sites SOHO occasionnels ou
permanents ont ainsi la possibilit de se connecter aux sites de leur entreprise, ou lInternet, en
bnficiant de vitesses beaucoup plus leves que celles permises par la tlphonie classique, avec
lemploi de modems.
La connectivit SOHO implique en gnral lemploi exclusif de la ligne commute (connexions
inities par SOHO). Elle peut tirer profit des technologies mergeantes de traduction dadresses,
telles que PAT (Port and Address Translation, traduction dadresses et de ports) supporte par la
srie Cisco 700 et EZIP du systme Cisco IOS , pour simplifier la conception et lexploitation. A laide de ces fonctions, le site SOHO peut supporter plusieurs quipements, mais apparat,
pour le serveur NAS Cisco IOS, comme tant une seule adresse IP (voir Figure 11.4).
Figure 11.4
Un site SOHO peut
apparatre, pour le NAS
Cisco IOS, comme tant
un nud IP unique.
Accs RNIS
de base (BRI) Accs RNIS
primaire (PRI)
RTC
Cisco700
Small Office/Home Office
(SOHO)
Cisco3600
NAS/Site central
348
Partie I
Architecture de rseaux
Agrgation de modems
Lexploitation de modems en racks ainsi que du cblage associ a t limine, et remplace par
lintgration de cartes modem numriques, sur les serveurs NAS Cisco IOS. Cette intgration rend
possible lemploi de technologies de modems 56 Kbit/s. Des solutions de numrotation hybrides
peuvent tre labores au moyen dun seul numro de tlphone, afin de fournir une connectivit
par modem analogique et RNIS (voir Figure 11.1).
connectivit RNIS ;
encapsulation de datagrammes ;
routage DDR ;
problmes de scurit ;
Connectivit RNIS
La connectivit RNIS est assure au moyen dinterfaces physiques : PRI pour laccs RNIS
primaire, et BRI pour laccs RNIS de base. Une seule interface fournit un faisceau multiplex de
canaux B et D. Le canal B (Bearer) fournit des services de transport de donnes ou de la voix sur
une bande passante leve (jusqu 64 Kbit/s par canal B). Le canal D (Delta) sert la signalisation
et au contrle, et peut galement tre utilis pour les applications de donnes qui rclament peu de
bande passante.
Le service daccs RNIS de base est assur sur une boucle locale, exploite traditionnellement pour
la commutation vers un service tlphonique analogique. Laccs RNIS de base met la disposition
de labonn deux canaux B 64 Kbit/s et un canal D 16 Kbit/s (2B + D).
Le service daccs RNIS primaire est assur sur des lignes loues T1 ou E1 traditionnelles, qui
relient lquipement du client (CPE) et le commutateur RNIS :
m
laccs RNIS primaire sur une ligne T1 fournit 23 canaux B 64 Kbit/s et un canal D 64 Kbit/s
(23B + D) ;
laccs RNIS primaire sur une ligne E1 fournit 30 canaux B 64 Kbit/s et un canal D 64 Kbit/s
(30B + D).
Lexploitation des services de laccs RNIS primaire et de laccs RNIS de base impose des exigences strictes en matire dquipements physiques, ainsi que de cblage sur la portion entre le
commutateur RNIS et lquipement RNIS du client. Les installations classiques peuvent impliquer
Chapitre 11
349
des dlais supplmentaires, ainsi que lobligation de travailler avec des groupes de support ddis
au sein de lenvironnement de votre fournisseur de services RNIS (voir Figure 11.5).
Figure 11.5
D
TNR
2B
RNIS
CSU
23B
Encapsulation de datagrammes
Lorsque DDR (ou un utilisateur) tablit un lien de bout en bout travers RNIS, on recourt une
mthode dencapsulation de datagrammes afin dassurer le transport des donnes. Les techniques
dencapsulation disponibles pour la conception avec RNIS sont PPP, HDLC, X.25 et V120. La technologie X.25 peut galement tre utilise pour la livraison de datagrammes sur le canal D.
La plupart des rseaux utilisent le protocole PPP comme mthode dencapsulation. Ce protocole est un
mcanisme point--point puissant et modulaire, qui permet dtablir des liaisons de donnes, dapporter
une scurit et dencapsuler le trafic. Il est ngoci entre les homologues qui communiquent chaque
fois quune connexion est tablie. Les liens PPP peuvent ensuite tre utiliss par les protocoles de
rseau tels IP et IPX. Les solutions PPP peuvent supporter lagrgation de bandes passantes au moyen
de MultiLink PPP, en vue damliorer le dbit, ce qui offre davantage de bande passante aux applications de rseau.
Routage DDR
Les concepteurs dapplications de rseau doivent dterminer de quelle faon les connexions RNIS
seront inities, maintenues et libres. DDR est constitu dun ensemble de fonctions sophistiques
du systme dexploitation Cisco IOS, qui tablit et libre de faon intelligente les connexions de
circuits commuts, selon les besoins du trafic transport sur le rseau. DDR peut simuler le routage
et les services dannuaire de diffrentes manires, afin de donner lillusion dune connectivit
permanente travers des connexions de circuits commuts. Reportez-vous au Chapitre 10 pour plus
de renseignements sur la conception DDR.
Problmes de scurit
Les quipements de rseau peuvent aujourdhui tre connects via le rseau RTC, il est donc impratif
de concevoir un modle de scurit robuste, afin de protger votre rseau. Le systme dexploitation
Cisco IOS utilise le modle AAA pour mettre en uvre une scurit. RNIS propose lutilisation des
informations didentification de lappelant et du numro appel (DNIS, Dialed Number Information
Service) afin dapporter davantage de souplesse dans la conception de la scurit.
Limitation des cots
Lobjectif principal de lexploitation de RNIS sur un rseau est dviter les cots associs aux services de connexion permanente, tels que les lignes loues ou le Frame Relay. A cet effet, il est trs
350
Partie I
Architecture de rseaux
important dvaluer les profils de trafic de donnes et de surveiller ceux dutilisation des services
RNIS, afin de vous assurer que les cots WAN sont bien contrls. La fonction de rappel de lappelant peut galement tre utilise pour centraliser la facturation.
connectivit BRI ;
connectivit PRI ;
encapsulation de datagrammes.
La boucle locale BRI est relie une terminaison numrique de rseau TNR, ou NT1 (Network
Termination-1), installe chez le client. Linterface de la boucle locale situe sur la terminaison
numrique de rseau est appele point de rfrence U. Du ct de la terminaison client, on trouve le
point de rfrence S/T. Ce point de rfrence peut supporter un bus multipoint dquipements
RNIS, tels des adaptateurs de terminaux AT (ou TA, Terminal Adapter). La Figure 11.6 illustre une
installation BRI type.
Figure 11.6
S/T
RNIS
BRI
Deux types courants dquipements de tlcommunication RNIS sont disponibles, ct client, pour
les services BRI : routeurs RNIS et adaptateurs de terminaux (TA) pour PC. Certains quipements
BRI proposent des terminaisons numriques de rseau ainsi que des adaptateurs de terminaux intgrs pour les tlphones analogiques.
Routeurs LAN
Les routeurs RNIS assurent le routage entre linterface BRI et le LAN, au moyen de DDR.
Chapitre 11
351
DDR tablit et libre automatiquement les liaisons par circuits commuts, qui fournissent ainsi une
connectivit transparente pour les sites distants, en se fondant sur le trafic du rseau. DDR contrle
galement ltablissement et la libration des canaux B secondaires, en se fondant sur des seuils de
charge. MultiLink PPP est utilis pour assurer lagrgation de bandes passantes, lorsque plusieurs
canaux B sont utiliss. Pour plus dinformations sur DDR, voyez le Chapitre 10.
Certaines applications RNIS peuvent ncessiter que lutilisateur contrle directement les appels
RNIS. Les fonctions mergeantes du systme exploitation Cisco IOS peuvent autoriser ce contrle au
niveau de lordinateur de bureau. Les nouveaux modles Cisco 700 permettent un contrle direct,
au moyen dun bouton dappel situ sur la face avant du routeur.
La srie de routeurs Cisco 700, ainsi que les sries de routeurs Cisco 1000, 1600 et 2500, bass sur
Cisco IOS, fournissent une interface BRI. Plusieurs interfaces BRI sont disponibles sur les sries Cisco
3600 et 4x00.
Adaptateurs de terminaux pour PC (AT-PC)
Ces quipements se connectent aux stations de travail PC, soit par lintermdiaire du bus PC, soit de
faon externe, via des ports de communication (tels que RS-232), et peuvent tre utiliss de la
mme manire que les modems analogiques (tels que V.34) internes et externes.
Les adaptateurs de terminaux pour PC peuvent apporter lutilisateur un contrle direct sur linitiation et la libration de sessions RNIS, comme sil utilisait un modem analogique. Des mcanismes
automatiss doivent tre assurs afin de permettre lajout et le retrait dun second canal B. Les
cartes PC des sries Cisco 200 fournissent des services RNIS pour PC.
Configuration BRI
La configuration BRI implique de configurer les types de commutateurs RNIS ainsi que les identifiants SPID (Service Profile Identifier, identifiant de profil de service) de la manire suivante.
Types de commutateurs RNIS
Les commutateurs de centre de raccordement RNIS (galement appels quipements dchange
local) assurent deux fonctions sur le plan local : la terminaison locale et la terminaison dchange.
La fonction de terminaison locale gre la transmission et la terminaison au niveau de la boucle
locale. La fonction de terminaison dchange gre la portion de commutation de lchange local.
Tout dabord, cette fonction dmultiplexe les bits sur les canaux B et D. Ensuite, les informations
du canal B sont routes vers la premire section du commutateur de circuit, et les paquets du canal
D sont routs vers le circuit de sparation de paquets du canal D.
Pour un fonctionnement correct de RNIS, il est impratif que les types de commutateurs corrects
soient configurs sur lquipement RNIS. Jusqu la version 11.2 de Cisco IOS, le type de commutateur RNIS tait configur par le biais dune commande globale (notez que cela signifie galement
que vous ne pouvez pas utiliser les cartes BRI et PRI sur un mme chssis Cisco IOS). Avec la
version Cisco IOS 11.3T, ou ultrieure, plusieurs types de commutateurs peuvent tre supports sur
un mme chssis.
352
Partie I
Architecture de rseaux
Types de commutateurs Cisco IOS. La commande Cisco IOS suivante illustre les types de
commutateurs BRI supports :
kdt-3640(config)#isdn switch-type ?
basic-1tr6
1TR6 switch type for Germany
basic-5ess
AT&T 5ESS switch type for the U.S.
basic-dms100 Northern DMS-100 switch type
basic-net3
NET3 switch type for UK and Europe
basic-ni1
National ISDN-1 switch type
basic-nwnet3 NET3 switch type for Norway
basic-nznet3 NET3 switch type for New Zealand
basic-ts013
TS013 switch type for Australia
ntt
NTT switch type for Japan
vn2
VN2 switch type for France
vn3
VN3 and VN4 switch types for France
Types de commutateur Cisco 700. Sur la srie de routeurs Cisco 700, utilisez la commande set
switch, qui accepte les options suivantes, lorsque vous utilisez limage logicielle US :
SEt SWitch 5ESS | DMS | NI-1 |PERM64 | PERM128
Chapitre 11
353
Ces commandes spcifient galement le numro dannuaire local (LDN, Local Directory Number),
qui est le nombre sept chiffres assign par le fournisseur de services et utilis pour le routage
dappel. Le LDN nest pas indispensable pour tablir des connexions RNIS, mais il doit tre spcifi
si vous voulez recevoir des appels entrants sur le canal B 2. Cet identifiant est ncessaire uniquement
lorsque deux identifiants SPID sont configurs (par exemple, lors de la connexion un commutateur
DMS ou NI1). Chaque SPID est associ un LDN. La configuration du LDN permet aux appels
entrants qui arrivent sur le canal B 2 dtre correctement traits. Si le LDN nest pas configur, il est
possible que les appels entrants qui arrivent sur le canal B 2 chouent.
Voici un exemple de configuration type de SPID pour la srie Cisco 700 :
SET
SET
SET
SET
1 SPID 51255500660101
1 DIRECTORYNUMBER 5550066
PHONE1 = 5550066
2 SPID 51255500670101
Pour vrifier ltat des interfaces BRI avec le systme Cisco IOS, utilisez la commande show isdn
status. Dans lexemple suivant, les TEI ont t ngocis avec succs, et le niveau 3 de RNIS (bout
en bout) est prt effectuer ou recevoir des appels :
kdt-1600#sh isdn status
The current ISDN Switchtype = basic-ni1
ISDN BRI0 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 109, State = MULTIPLE_FRAME_ESTABLISHED
TEI = 110, State = MULTIPLE_FRAME_ESTABLISHED
Spid Status:
TEI 109, ces = 1, state = 8(established)
spid1 configured, spid1 sent, spid1 valid
Endpoint ID Info: epsf = 0, usid = 1, tid = 1
TEI 110, ces = 2, state = 8(established)
spid2 configured, spid2 sent, spid2 valid
Endpoint ID Info: epsf = 0, usid = 3, tid = 1
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 0 CCBs = 0
Total Allocated ISDN CCBs = 0
354
Partie I
Architecture de rseaux
*Mar
1 00:09:04.018: %ISDN-6-LAYER2DOWN:
Layer 2 for Interface BRI0, TEI 113 changed to down
*Mar 1 00:09:04.022: %ISDN-6-LAYER2DOWN:
Layer 2 for Interface BR0, TEI 113 changed to down
*Mar 1 00:09:04.046: ISDN BR0: TX -> IDREQ ri = 44602 ai = 127
*Mar 1 00:09:04.049: ISDN BR0: RX <- IDCKRQ ri = 0 ai = 113
*Mar 1 00:09:05.038: ISDN BR0: RX <- IDCKRQ ri = 0 ai = 113
*Mar 1 00:09:06.030: ISDN BR0: TX -> IDREQ ri = 37339 ai = 127
*Mar 1 00:09:06.149: ISDN BR0: RX <- IDREM ri = 0 ai = 113
*Mar 1 00:09:06.156: ISDN BR0: RX <- IDASSN ri = 37339 ai = 114
*Mar 1 00:09:06.164: ISDN BR0: TX -> SABMEp sapi = 0 tei = 114
*Mar 1 00:09:06.188: ISDN BR0: RX <- UAf sapi = 0 tei = 114
*Mar 1 00:09:06.188: %ISDN-6-LAYER2UP:
Layer 2 for Interface BR0, TEI 114 changed to up
*Mar 1 00:09:06.200: ISDN BR0: TX ->
INFOc sapi = 0 tei = 114 ns = 0 nr = 0 i = 0x08007B3A06383932393833
*Mar 1 00:09:06.276: ISDN BR0: RX <INFOc sapi = 0 tei = 114 ns = 0 nr = 1 i = 0x08007B080382E43A
*Mar 1 00:09:06.283: ISDN BR0: TX -> RRr sapi = 0 tei = 114 nr = 1
*Mar 1 00:09:06.287: %ISDN-4-INVALID_SPID: Interface BR0, Spid1 was rejected
Vrifiez ltat de la ligne RNIS de la srie Cisco 700, laide de la commande show status, de la
manire suivante :
kdt-776> sh status
Status 01/04/1995 18:15:15
Line Status
Line Activated
Terminal Identifier Assigned SPID Accepted
Terminal Identifier Assigned SPID Accepted
Port Status
Interface Connection Link
Ch: 1 Waiting for Call
Ch: 2 Waiting for Call
Ngociation TEI. Certains commutateurs dsactivent le niveau 2 du canal D si aucun appel nest
actif. Ainsi, le routeur doit tre configur afin deffectuer la ngociation TEI au premier appel,
la place du dmarrage (choix par dfaut). Pour cela, utilisez la commande de configuration
globale suivante :
isdn tei-negotiation first-call
Routage de la voix. Les routeurs de la srie Cisco 700 peuvent fournir des prises jacks pour la
connexion de postes tlphoniques analogiques classiques. Les sites SOHO peuvent tirer parti
de la possibilit de router simultanment les appels donnes et voix sur la mme interface BRI.
Les numros de tlphone de port vocal ainsi que la priorit de voix doivent tre configurs pour
les besoins du site SOHO. Lexemple suivant illustre une configuration de routage type pour la
voix, sur un routeur Cisco 700 :
SET SWITCH NI-1
SET 1 SPID 51255500660101
Chapitre 11
355
Ring
Cadence
Les routeurs Cisco IOS supportent les interfaces PRI au moyen de cartes MIP (MultiChannel Interface Processor, processeur dinterface multicanal). Les cartes MIP peuvent grer des lignes T1/E1
fractionnes ou des tranches de temps PRI. Ces cartes sont disponibles sur les routeurs des sries
Cisco 4x00, 36x0, 5x00 et 7x00.
Pour spcifier que la carte MIP doit tre utilise en tant quinterface PRI, utilisez la commande de
configuration de contrleur pri-group timeslots.
Les routeurs Cisco IOS qui supportent les interfaces PRI deviennent des serveurs NAS. Les
routeurs des sries Cisco 5x00 et 36x0 acceptent des solutions de numrotation hybrides (tlphonie classique et RNIS) en autorisant la connexion de modems analogiques par lintermdiaire de
la plaque de connexion arrire du NAS.
Configuration PRI
La configuration des types de commutateurs RNIS pour linterface BRI se fait au moyen de la
commande isdn switch-type :
AS5200-2(config)#isdn switch-type ?
primary-4ess
AT&T 4ESS switch type for the U.S.
primary-5ess
AT&T 5ESS switch type for the U.S.
primary-dms100
Northern Telecom switch type for the U.S.
primary-net5
European switch type for NET5
primary-ntt
Japan switch type
primary-ts014
Australia switch type
En gnral, il sagit dune commande de configuration globale. La version 11.3T (ou ultrieure) de
Cisco IOS assure la gestion de plusieurs types de commutateurs sur un seul chssis Cisco IOS. Les
services PRI sont activs sur le serveur NAS en configurant les contrleurs T1 (ou E1). Voici un
exemple de configuration T1 type, sur un Cisco 5200 :
controller T1 0
framing esf
clock source line primary
linecode b8zs
pri-group timeslots 1-24
356
Partie I
Architecture de rseaux
!
controller T1 1
framing esf
clock source line secondary
linecode b8zs
pri-group timeslots 1-24
!
Notez que les canaux PRI 0-23 sont mis en correspondance avec les tranches de temps PRI 1-24. La
mme assignation +1 est utilise sur linterface PRI base sur la ligne E1.
Pour configurer une interface PRI base sur T1, appliquez les commandes de configuration au canal
D PRI, cest--dire linterface Serial0:23. Tous les canaux situs sur une interface PRI (ou BRI)
sont automatiquement regroups en une interface de numrotation. Lorsque les appels sont effectus ou reus sur les canaux B, la configuration est clone partir de linterface de numrotation
(Serial0:23). Si un NAS contient plusieurs interfaces PRI, elles peuvent tre regroupes en une
interface de numrotation, laide de la commande dinterface dialer rotary-group, comme illustr dans lexemple suivant :
interface Serial0:23
dialer rotary-group 1
!
interface Serial1:23
dialer rotary-group 1
!
interface Dialer1
ip unnumbered Ethernet0
encapsulation ppp
peer default ip address pool default
dialer in-band
dialer idle-timeout 120
dialer-group 1
no fair-queue
no cdp enable
ppp authentication pap chap
ppp multilink
Avec cette configuration, chaque configuration de canal B ou de faisceau MultiLink PPP est clone
partir de linterface Dialer1.
Contrle du fonctionnement de linterface PRI
Ltat du contrleur T1 est vrifi au moyen de la commande EXEC Cisco IOS show controller
t1, de la manire suivante :
AS5200-1#sh contr t1
T1 0 is up.
No alarms detected.
Version info of slot 0: HW: 2, Firmware: 14, NEAT PLD: 14, NR Bus PLD: 22
Framing is ESF, Line Code is B8ZS, Clock Source is Line Primary.
Data in current interval (685 seconds elapsed):
0 Line Code Violations, 0 Path Code Violations
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Total Data (last 24 hours)
0 Line Code Violations, 0 Path Code Violations,
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 8 Degraded Mins,
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Chapitre 11
357
T1 1 is up.
No alarms detected.
Version info of slot 0: HW: 2, Firmware: 14, NEAT PLD: 14, NR Bus PLD: 22
Framing is ESF, Line Code is B8ZS, Clock Source is Line Secondary.
Data in current interval (197 seconds elapsed):
0 Line Code Violations, 0 Path Code Violations
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Total Data (last 24 hours)
0 Line Code Violations, 0 Path Code Violations,
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 4 Degraded Mins,
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Des violations de code de ligne excessives, ou dautres erreurs, provoquent une dgradation importante des performances. Vrifiez auprs de votre fournisseur de services PRI que ces compteurs
fonctionnent correctement. Utilisez la commande EXEC Cisco IOS show isdn status, de la
manire suivante, pour savoir si RNIS est oprationnel :
AS5200-1#sh isdn status
The current ISDN Switchtype = primary-dms100
ISDN Serial0:23 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 0 CCBs = 0
ISDN Serial1:23 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 1 CCBs = 0
Total Allocated ISDN CCBs = 0
Vrifiez ltat du canal B de la manire suivante, laide de la commande EXEC show isdn
service :
AS5200-1#sh isdn service
PRI Channel Statistics:
ISDN Se0:23, Channel (1-31)
Activated dsl 0
State (0=Idle 1=Propose 2=Busy 3=Reserved 4=Restart 5=Maint)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 3 3 3 3 3 3 3
Channel (1-31) Service (0=Inservice 1=Maint 2=Outofservice)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
ISDN Se1:23, Channel (1-31)
Activated dsl 1
State (0=Idle 1=Propose 2=Busy 3=Reserved 4=Restart 5=Maint)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 3 3 3 3 3 3 3
Channel (1-31) Service (0=Inservice 1=Maint 2=Outofservice)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
358
Partie I
Architecture de rseaux
Cette section traite des sujets suivants, en rapport avec limplmentation de RNIS de bout en bout :
m
La signalisation SS7 met en uvre des commutateurs avec des fonctionnalits de signalisation hors
bande pour les tronons du rseau tlphonique (connexions DS0 de commutateur-commutateur).
La gestion dappels de bout en bout (tels ltablissement et la libration de connexions) suit la
spcification Q.931, et est tendue aux quipements de connexion PRI/BRI sur le canal D.
La signalisation hors bande via SS7 prsente de nombreux avantages pour la connexion de rseaux,
parmi lesquels un temps dtablissement de connexion rduit, un indicateur de capacit du canal
porteur et dautres indicateurs de progression, des chemins de donnes de 64 Kbit/s, lidentification
de lappelant, et les informations de numro appel (DNIS, Dialed Number Information Service).
La sortie produite par la commande du systme Cisco IOS debug isdn q931 montre des messages
dtablissement de connexion (SETUP) RNIS Q.931 types, reus par un serveur NAS.
Le message SETUP inclut un lment dinformation (IE, Information Element) de capacit du canal
porteur, qui indique lquipement RNIS ainsi quau ct destinataire le type dapplication transporte sur le canal B. RNIS doit fournir un canal de bout en bout, capable de transporter le service
porteur, et de donner une indication de progression au ct rcepteur afin de laider mieux exploiter
la connexion RNIS.
La sortie de la commande Cisco IOS debug isdn q931 affiche diffrentes possibilits de transport
pour chaque type dappel entrant, comme le montrent les exemples suivants :
m
Pour pouvoir router les communications tlphoniques vers des cartes modems intgres, utilisez la
commande de configuration dinterface Cisco IOS isdn incoming-voice modem. Sur certains
rseaux, les connexions pour le transport de donnes peuvent tre effectues laide dun message
Chapitre 11
359
SETUP Q.931, qui indique quil sagit de connexions pour la voix. Dans certaines rgions ou pays,
les structures tarifaires pour RNIS rendent ce type de connexion plus rentable. Cette conception de
rseau est gnralement appele rseau RNIS donnes sur voix. Nanmoins, le fait dindiquer au
dispositif de commutation RNIS que le canal porteur est rserv la voix autorise la connexion
emprunter des tronons non numriques. Les concepteurs doivent par consquent examiner avec
prcaution les risques potentiels dune telle conception. Pour configurer les appels entrants de type
donnes sur voix avec Cisco IOS, utilisez la commande de configuration isdn incoming-voice
data de la manire suivante :
NAS-522(config)#int serial 0:23
NAS-522(config-if)#isdn incoming ?
data
Incoming voice calls will be handled as data.
modem
Incoming voice calls will be handled as modems.
Avant limplmentation de SS7, la signalisation de la gestion des connexions de bout en bout tait
transmise en intrabande, en rognant des bits sur les tronons DS0 (fonction RBT, Robbed Bit Trunking). Lutilisation occasionnelle du huitime bit (le moins significatif) de chaque octet dinformation vocale ntait pas prjudiciable la qualit de la livraison, et assurait une signalisation
commutateur-commutateur. La signalisation hors bande de bout en bout, via SS7 et les canaux D
BRI ou PRI, permet aux connexions pour les donnes dtre tablies par lintermdiaire de rseaux
RNIS, en utilisant le tronon DS0 complet (64 Kbit/s). Certains tronons du rseau RTC ne supportent toujours pas la signalisation hors bande et autorisent uniquement la fonction RBT (ligne T1/E1
fractionne), ce qui limite le canal porteur 56 Kbit/s.
Le dispositif de commutation RNIS est responsable de la fourniture dun chemin de bout en bout
qui correspond la capacit du canal porteur. Si une connexion est tablie 64 Kbit/s alors quil
nexiste pas de chemin 64 Kbit/s pour cette connexion, un signal doccupation doit tre reu. Les
concepteurs de rseaux doivent considrer la possibilit dun blocage occasionnel dappels RNIS
64 Kbit/s. Une conception robuste peut ncessiter que certains sites soient supports avec des
connexions de donnes 56 Kbit/s. Le Tableau 11.1 prsente les vitesses dappels sortants.
Tableau 11.1 : Vitesses dappels sortants avec correspondances et profils de numrotation
Cisco IOS
Vitesse
en sortie
Correspondances de numrotation
Profil de numrotation
Cisco 700
64 Kbit/s
??
set speed 64
56 Kbit/s
??
set speed 56
Auto
??
Lorsque des appels sont effectus initialement 64 Kbit/s, mais quils sont livrs incorrectement
leur destination par le rseau RNIS, via un chemin 56 Kbit/s, les donnes ainsi transmises sont altres. Le dpannage, laide de la commande debug isdn q931, signalera que lappel a abouti, mais
la commande debug ppp negotiation nindiquera aucune rception. Les paquets endommags sont
360
Partie I
Architecture de rseaux
ignors. Si les appels aboutissent et que PPP ne ngocie pas LCP (Link Control Protocol), il est
recommand de toujours tester les connexions sortantes 56 Kbit/s :
m
Configuration de la vitesse sur un routeur Cisco 700. Utilisez la commande de configuration set speed, afin de contrler la vitesse des appels sortants.
m
RNIS peut utiliser PPP, HDLC ou X.25 pour lencapsulation. PPP est celui utilis le plus souvent,
car il fournit un excellent mcanisme dauthentification et de ngociation de liens compatibles, et
de configuration de protocole.
Protocole PPP
PPP (Point-to-Point Protocol) fournit une mthode standard pour le transport de paquets multiprotocoles sur des liaisons point--point. Ce protocole est dfini dans le RFC 1661. Il comprend
plusieurs composantes, auxquelles le concepteur de rseaux est confront.
Dlimitation des trames PPP
Le RFC 1662 traite de limplmentation de PPP pour la dlimitation de trames de type HDLC. En
fait, PPP nest pas implment de la mme manire selon quil sagit de lignes asynchrones ou
synchrones.
Lorsquune extrmit de la liaison utilise PPP synchrone (par exemple un routeur RNIS), et que
lautre extrmit emploie PPP asynchrone (par exemple un adaptateur terminal RNIS connect un
Chapitre 11
361
port srie de PC), deux techniques peuvent tre employes pour assurer la compatibilit des trames.
La mthode recommande est lactivation de la conversion des trames PPP synchrones en trames PPP
asynchrones sur ladaptateur de terminal RNIS. Si cela nest pas possible, V.120 peut alors tre utilis
pour encapsuler les trames PPP asynchrones, afin quelles puissent tre transportes sur RNIS.
Protocole LCP (Link Control Protocol)
Le protocole LCP de PPP permet dtablir, de configurer, de maintenir, et de terminer une connexion
point--point. Avant de pouvoir changer des datagrammes de couche rseau (tel IP), LCP doit
dabord tablir la connexion et ngocier des paramtres de configuration. Cette phase se termine avec
lenvoi, puis la rception dune trame dacquittement de configuration.
Authentification PPP
Les protocoles dauthentification de PPP, PAP (Password Authentication Protocol) et CHAP (Challenge Handshake Authentication Protocol), sont dfinis dans le RFC 1334. Aprs ltablissement de la
connexion PPP par LCP, un protocole dauthentification optionnel peut tre implment avant de
procder la ngociation et ltablissement des protocoles de contrle de rseau (NCP, Network
Control Protocols). Si lauthentification est souhaite, elle doit tre ngocie en tant quoption, durant
la phase dtablissement de LCP. Elle peut tre bidirectionnelle (chaque ct authentifie lautre) ou
unidirectionnelle (un seul ct, gnralement lappelant, authentifie lautre).
La plupart des conceptions RNIS ncessitent que lquipement appel authentifie le dispositif appelant. Outre les avantages sur le plan de la scurit, lauthentification fournit galement une indication
sur ltat de DDR et des faisceaux MultiLink PPP.
Protocoles NCP (Network Control Protocols)
Il sagit dune famille de protocoles de contrle qui permettent dtablir et de configurer diffrents
protocoles de la couche rseau. PPP est conu pour permettre lemploi simultan de plusieurs protocoles de ce niveau.
Aprs ltablissement de LCP et la russite de lauthentification, les nuds PPP envoient des trames
NCP afin de ngocier et dtablir la connectivit pour un ou plusieurs protocoles de la couche
rseau. Par exemple, afin de supporter IP sur une connexion PPP, le protocole IPCP est ngoci, et
tabli selon les directives du RFC 1332. Une fois ltablissement de IPCP russi, les datagrammes
IP peuvent tre transmis sur la connexion PPP.
MultiLink PPP (MLP)
MultiLink PPP est un standard qui permet de grouper plusieurs liaisons PPP, et qui autorise une
interoprabilit multifabricant. Il est dcrit dans le RFC 1717. MLP dfinit une mthode pour
ordonner et transmettre des paquets sur plusieurs interfaces physiques. Afin de rduire les risques
de problmes de latence, MLP dfinit galement une mthode de fragmentation et de rassemblage
des paquets de grande taille. La Figure 11.7 illustre une vue conceptuelle de ce protocole en action.
362
Partie I
Architecture de rseaux
Figure 11.7
NCP
Faisceau MLP
LCP
LCP
Liaison
Liaison
Lorsquun paquet NCP dune taille suprieure 30 octets arrive sur une interface matre MLP pour
tre transmis, il est fragment, puis envoy sur chaque liaison physique du faisceau MLP. Lorsque
les fragments de paquet MLP arrivent sur la destination PPP, MLP rassemble les paquets originaux, puis les rordonne correctement dans le flux de donnes.
Avec MLP, les quipements BRI peuvent doubler leur bande passante de connexion sur la liaison,
en passant de 56/64 Kbit/s 112/128 Kbit/s. MLP est support tant que les quipements font partie
du mme groupe de rotation de numrotation ou du mme pool.
Les fonctionnalits avances de Cisco IOS et de Cisco 700 sont utilises pour dterminer quel
moment ajouter des liaisons linterface matre MLP, ou en supprimer. La fonction DDR de Cisco
IOS autorise une configuration, selon un certain seuil de charge. Le facteur de charge peut tre
calcul sur le trafic entrant, sur le trafic sortant, ou sur le trafic bidirectionnel.
La configuration partielle suivante pour un serveur NAS place deux interfaces BRI dans un groupe
de rotation de numrotation, active le support de MLP, puis dfinit un seuil de charge, afin de dterminer quel moment des canaux B supplmentaires doivent tre activs :
interface BRI2/0
encapsulation ppp
dialer rotary-group 1
isdn spid1 0835866201
isdn spid2 0835866401
!
interface BRI2/1
encapsulation ppp
dialer rotary-group 1
isdn spid1 0835867201
isdn spid2 0835967401
!
interface Dialer1
ip unnumbered Ethernet0/0
encapsulation ppp
dialer in-band
dialer map ip 172.20.2.1 name kdt-nas 8358661
dialer load-threshold 100 either
dialer-group 1
ppp authentication chap callin
ppp multilink
Ltat du protocole MLP, ainsi que celui des sessions, peut tre contrl au moyen des commandes
show user et show ppp multilink.
Chapitre 11
363
KDT-5200#sh user
Line
User
Host(s)
Idle Location
* 51 vty 1
admin
idle
00:00:00
Vi1
jack-isdn Virtual PPP (Bundle) 00:00:46
Vi9
cisco776 Virtual PPP (Bundle) 00:00:46
Se0:18
jack-isd Sync PPP
00:09:06
Se0:21
cisco776 Sync PPP
00:18:59
Se0:22
jack-isdn Sync PPP
00:08:49
KDT-AS5200#sh ppp multi
Bundle cisco776, 1 member, Master link is Virtual-Access9
Dialer Interface is Dialer1
0 lost fragments, 3 reordered, 0 unassigned, sequence 0x2068/0x1A7C rcvd/sent
0 discarded, 0 lost received, 1/255 load
Member Link: 1
Serial0:21
Bundle jack-isdn, 2 members, Master link is Virtual-Access1
Dialer Interface is Dialer1
0 lost fragments, 8 reordered, 0 unassigned, sequence 0x5DEB/0x1D7E4 rcvd/sent
0 discarded, 0 lost received, 1/255 load
Member Links: 2
Serial0:18
Serial0:22
Comme nous lavons vu prcdemment, MLP utilise le nom dauthentification PPP pour construire
et maintenir les faisceaux MLP. Pour activer MLP sur un routeur Cisco 700, appliquez la commande
de configuration suivante :
set ppp multilink on
Scurit RNIS
A laide de SS7, RNIS peut livrer des lments dinformations de bout en bout, par exemple lidentifiant dappelant ou le numro appel (DNIS). Ces informations peuvent tre utilises dans le but
364
Partie I
Architecture de rseaux
Authentification PPP. Lauthentification PPP est utilise dans le but dapporter une scurit
minimale sur un rseau RNIS ainsi que sur dautres liaisons dencapsulation PPP. Le nom
dutilisateur authentifi est galement employ par MultiLink PPP pour maintenir les faisceaux,
et par DDR afin de dterminer quels sites de numrotation sont actuellement connects.
Lauthentification PPP est active au moyen de la commande dinterface ppp authentication.
PAP et/ou CHAP peuvent tre utiliss pour authentifier la connexion distante. CHAP est considr comme tant plus efficace, car il utilise la mthode de ngociation en trois temps (three-way
handshake), ce qui vite lenvoi du mot de passe en texte clair sur la liaison PPP. Il est souvent
ncessaire dauthentifier le ct distant, uniquement dans le cas dappels entrants (et non
dappels sortants).
Plusieurs commandes isdn caller peuvent tre employes, si ncessaire. Si un appel est reu
sans indication de lidentifiant dappelant, ou quil prsente un identifiant non conforme, lappel
est rejet.
m
Figure 11.8
Rappel RNIS.
Authentification
Routeur A
RNIS
Routeur B
Chapitre 11
365
3. Le routeur A sauthentifie auprs du routeur B laide des protocoles PAP ou CHAP de PPP. Le
routeur B peut optionellement sauthentifier auprs du routeur A.
4. Les deux routeurs interrompent la connexion sur le circuit commut.
5. Le routeur B tablit une connexion par circuit commut vers le routeur A.
La fonction de rappel permet de centraliser la facturation pour les services de connexions
synchrones par commutation. Elle permet galement de tirer profit des diffrences de tarification
entre les communications nationales et internationales. Toutefois, le rappel ncessite ltablissement dune connexion par circuit commut avant que la requte de rappel ne puisse tre transmise. Cela induit toujours un cot minimum (selon la tarification locale) pour le routeur qui
demande le rappel.
Reportez-vous au Chapitre 10 pour plus de dtails sur le rappel DDR. Le Chapitre 21 fournit un
exemple de configuration de rappel.
m
profils virtuels ;
A laide des fonctions de traduction dadresse de rseau NAT (Network Address Translation), telles
que les fonctionnalits PAT des routeurs Cisco 700 ou EZIP de Cisco IOS, les sites distants peuvent
apparatre au serveur NAS comme tant un nud unique, avec une seule adresse IP. Cela rduit les
problmes de consommation dadresses IP ainsi que la complexit de conception, souvent lie au
dploiement de grands rseaux RNIS avec DDR, tout en supportant la connectivit LAN et DDR
sur le site distant.
Les fonctions NAT utilisent ladresse IP reue de la part du serveur NAS durant la ngociation
IPCP. Les adresses IP de tous les paquets routs entre le LAN et la liaison PPP sont traduites en une
seule adresse IP. Diffrents numros de ports UDP/TCP sont utiliss avec cette adresse IP unique,
afin de dterminer les paquets qui doivent tre retourns vers les adresses IP appropries sur le
366
Partie I
Architecture de rseaux
LAN. Toutes les commandes de configuration de routeurs Cisco 700 suivantes activent la traduction
NAT pour la fonction PAT.
PAT et DHCP sur Cisco 700
La configuration suivante dfinit un routeur Cisco 700 pour les service PAT et DHCP :
cd internal
set ip address 172.24.4.254
set ip netmask 255.255.255.0
set ip routing on
set ip rip update off
cd
set user access-gw1
set ip routing on
set ip framing none
set number 18005552626
set ip rip update off
set encap ppp
set ip route destination 0.0.0.0 gateway 0.0.0.0
set ip pat on
cd lan
set bridging on
set encaps ppp
set ip routing on
cd
set ip pat porthandler default 172.24.4.1
set ip pat porthandler http 172.24.4.1
set bridging on
set dhcp server
set dhcp domain cisco.com
set dhcp address 172.24.1.1 10
set dhcp netmask 255.255.255.0
set dhcp gateway primary 172.24.4.254
set dhcp dns primary 172.30.1.100
set dhcp dns secondary 172.30.2.100
set dhcp wins primary 172.30.1.101
set dhcp wins secondary 172.30.2.101
set ppp authentication incoming chap
set ppp authentication outgoing chap
set ppp secret client
<insert_secret>
<insert_secret>
set ppp secret host
<insert_secret>
<insert_secret>
Si le support des connexions de rseau en sortie vers le site distant est requis, la configuration dun
gestionnaire de port peut tre ajoute, afin que le routeur SOHO sache vers quelle adresse IP transmettre les paquets pour les diffrents types de connexions :
kdt-776> sh ip pat
Dropped - icmp 0, udp 0, tcp 0, map 0, frag 0
Timeout - udp 5 minutes, tcp 30 minutes
Port handlers [default 172.24.4.1]:
Port
Handler
Service
------------------------------------0
172.24.4.1
DEFAULT
23
Router
TELNET
Chapitre 11
67
68
69
80
161
162
520
Router
Router
Router
172.24.4.1
Router
Router
Router
367
DHCP Server
DHCP Client
TFTP
HTTP
SNMP
SNMP-TRAP
RIP
Profils virtuels
Les profils virtuels (introduits avec Cisco IOS 11.3) sont des applications PPP, qui crent des interfaces daccs virtuel pour chaque utilisateur connect. Ils apportent une souplesse de conception
supplmentaire lors de llaboration de rseaux RNIS pour le support de SOHO. Leur emploi pour
les connexions entrantes par circuits commuts peut simplifier ladressage de nud et la mise en
correspondance dadresses, ces fonctions tant autrement fournies par lutilisation de DDR sur les
interfaces RNIS. Les appels sortants fonds sur des profils virtuels ne sont plus supports partir de
la version Cisco IOS 11.3.
La configuration dinterface daccs virtuel peut tre clone partir dun modle virtuel dinterface.
Pour en apprendre davantage sur les interfaces daccs virtuel, visitez le site http://cio.cisco.com/
warp/customer/131/4.html. Les profils virtuels se fondent sur des modles virtuels, et peuvent
utiliser AAA fond sur une configuration par utilisateur pour crer des interfaces daccs virtuel. La
configuration par utilisateur peut tre ajoute afin de rpondre aux besoins spcifiques du protocole,
pour des utilisateurs individuels ou des groupes.
Les interfaces daccs virtuel Cisco IOS peuvent simplifier le support des nuds distants pour IPX
et AppleTalk, en utilisant la mme configuration que celle employe sur les interfaces de groupe
asynchrones traditionnelles. La configuration suivante fournit ladressage dhomologue pour IP,
IPX et AppleTalk, au moyen de linterface Virtual-Template1 :
interface Virtual-Template1
ip unnumbered Ethernet0/0
appletalk client-mode
ipx ppp-client Loopback0
peer default ip address pool default
Dans une conception avec MultiLink PPP sans support multichssis, les groupes de voies fournis
par loprateur tlphonique (hunt-groups) ne peuvent pas stendre sur plus dun serveur NAS
368
Partie I
Architecture de rseaux
Cisco IOS, sinon plusieurs canaux B risqueraient de ne pas tre rassembls. Par exemple, un
AS5300 peut supporter jusqu quatre interfaces PRI, en fournissant un maximum de 120 canaux B
(bass E1) dans un seul groupe de voies pour appel entrant. Une plus grande capacit de NAS
devrait tre fournie par la configuration dun nouveau groupe (avec un nouveau numro dannuaire
pilote) pour chaque serveur daccs de rseau (voir Figure 11.9). Cela a pour effet ngatif de fragmenter le pool dappel.
Figure 11.9
MMP permet un groupe
de voies de loprateur
tlphonique de stendre
sur plusieurs serveurs NAS.
MMP
A
NAS1
RNIS
NAS2
B
NAS3
Cisco affirme que, quelle que soit la taille de NAS dveloppe, il subsistera toujours des clients qui
auront besoin de pools de ports daccs plus grands. Ainsi, la version Cisco IOS 11.2 a introduit le
protocole MMP (Multichassis MultiLink Point-to-Point Protocol), qui tend le protocole MLP
(MultiLink PPP) en fournissant un mcanisme qui permet de regrouper de faon transparente les
canaux B sur plusieurs serveurs NAS.
MMP inclut deux composantes principales, qui viennent complter MLP :
m
Le groupe de numrotation Stack Group. Il englobe les serveurs NAS, qui oprent en groupe lors
de la rception dappels MLP. Chaque session MLP reue par un NAS est transmise sous forme
doffre, au moyen du protocole SGBP (Stack Group Bidding Protocol). Cela permet principalement
des liaisons MLP secondaires dtre regroupes vers linterface MLP matre. Diffrentes stratgies
doffre, telles que hors charge (off-load) ou avec quilibrage de charge (load-sharing) peuvent tre
employes afin de dterminer qui doit remporter loffre dinterface matre.
Chapitre 11
369
A laide de MMP, le potentiel MLP peut tre aisment augment ou rduit, dans les grands pools de
numrotation, selon les besoins. Des ressources processeur peuvent tre ajoutes aux pools de numrotation, par lintermdiaire de serveurs hors charge. Des tches, telles que la fragmentation et le
rassemblage MLP, la compression PPP et le cryptage, peuvent tre gourmandes en ressources processeur ; leur excution sur des serveurs hors charge peut se rvler avantageuse (voir Figure 11.10).
Figure 11.10
STACKQ
Sessions
MMP actives.
STACKQ
STACKQ
Interface de
numrotation
Interface de faisceau
utilisateur x
Transmis
P
systme a
Transmis
P
systme b
systme c
Lgende
Liaisons client MLP travers des membres du groupe STACKQ
Liaisons L2F projetes vers le membre du groupe contenant l'interface de faisceau "utilisateurx''
Interface de faisceau Interface de faisceau pour client 'utilisateurx' (interface d'accs virtuel)
P
Interface physique
V
Liaison PPP projete (interface d'accs virtuel)
Pour configurer MMP sur un serveur NAS Cisco IOS, utilisez la commande sgbp, comme suit :
kdt-3640(config)#sgbp ?
group
SGBP group name
member
SGBP group member configuration
ppp-forward SGBP participation for non-MultiLink PPP also
seed-bid
mastership query seed bid
source-ip
SGBP source ip address
370
Partie I
Architecture de rseaux
Pour surveiller et dpanner MMP, utilisez la fois sgbpet vpdn (pour L2F) :
sh sgbp
sh vpdn
debug sgbp
debug vpdn
MMP reprsente une solution qui peut interoprer avec des matriels qui proviennent de diffrents
fabricants, car il ne ncessite pas de fonctionnalits logicielles particulires sur les sites distants. La
seule exigence est le support du standard de lindustrie MLP (RFC 1717).
analyse de trafic ;
structure de tarification ;
exploitation de SNMP ;
comptabilit AAA.
Analyse de trafic
La plupart des solutions RNIS peuvent demeurer rentables tant que les canaux B RNIS restent inactifs la majeure partie de la journe. Lexprience montre que le Frame Relay peut reprsenter une
solution plus rentable partir dun certain nombre dheures par jour, selon lapplication utilise. Le
point partir duquel une ligne loue devient plus rentable dpend des structures de cot de chaque
application point--point.
Chaque application et chaque protocole de rseau possde son lot de difficults. Les clients de courrier lectronique peuvent tre configurs pour interroger rgulirement les serveurs POP. En vue
dune synchronisation, lemploi du protocole NTP (Network Time Protocol) peut tre souhaitable.
Pour pouvoir contrler exactement quel moment les connexions DDR sont tablies, le concepteur
du rseau doit tudier de prs les points suivants :
m
Quels sont les sites qui peuvent initier des connexions en fonction du trafic ?
Chapitre 11
371
Est-ce que les appels sortants sont requis vers des sites SOHO ? Si oui, le sont-ils pour ladministration rseau ou ladministration des stations de travail ?
Quels sont les sites qui peuvent librer les connexions en se fondant sur linactivit de liaison ?
Comment les services dannuaires et les tables de routage sont-ils supports travers une
connexion inactive ?
Quelles sont les applications qui doivent tre gres sur des connexions DDR ? Pour combien
dutilisateurs ?
Quels sont les protocoles qui peuvent provoquer des connexions DDR de manire inattendue ?
Peuvent-ils tre filtrs ?
Des directives devraient tre donnes aux utilisateurs sur la manire de limiter et/ou dliminer les
frais RNIS excessifs. Ces directives rsulteront en premier lieu de lidentification des applications
requises sur ces connexions. Les outils de suivi de paquets peuvent tre utiliss avec beaucoup
defficacit afin de dterminer comment rduire ou liminer les connexions DDR inutiles. Par
exemple :
m
Les serveurs AppleShare devront tre dconnects pour viter les paquets tickle.
Les applications daccs aux bases de donnes, telles que les logiciels de planification, peuvent
avoir besoin dtre dconnectes lorsquelles ne sont pas utilises.
Structure de tarification
Les utilisateurs finaux devraient tre forms surveiller leurs routeurs RNIS, ainsi que ltat des
voyants de leurs canaux B sur leurs quipements BRI. Si les canaux B sont actifs alors que les utilisateurs ne travaillent sur aucune application de rseau, ils alerteront les administrateurs du rseau.
La formation des utilisateurs peut se rvler trs efficace dans le cadre dune politique de rduction
des frais RNIS.
Exploitation de SNMP
Le protocole SNMP (Simple Network Management Protocol) sappuie sur des bases dinformations
dadministration, les MIB (Management Information Base), afin de stocker des donnes sur les
372
Partie I
Architecture de rseaux
vnements de rseau. Actuellement, aucun standard nexiste pour les MIB RNIS mais, depuis
lintroduction de Cisco IOS version 10.3(3), deux MIB RNIS Cisco sont disponibles. Grce ces
MIB, les plates-formes dadministration compatibles SNMP (par exemple, HP OpenView ou
SunNet Manager) peuvent interroger les routeurs Cisco afin dobtenir des statistiques sur RNIS.
Les MIB RNIS Cisco se concentrent principalement sur linterface RNIS et les informations de
voisinage. Deux groupes MIB sont dfinis : demandNbrTable et demandNbrEntry. Le Tableau 11.2
rpertorie certaines des variables MIB disponibles dans les MIB RNIS. Lapplication CEA pour
RNIS peut permettre laccs aux donnes de la MIB dhistorique dappels (Call History).
Tableau 11.2 : Variables MIB RNIS Cisco
Objet MIB
Description
demandNbrPhysIf
demandNbrMaxduration
demandNbrLastduration
demandNbrAcceptCalls
demandNbrRefuseCalls
La MIB Cisco dhistorique dappels conserve les informations dappel des fins de comptabilit.
Lobjectif est de fournir lhistorique dune interface RNIS, ce qui inclut le nombre dappels effectus et leur dure. La plupart des variables MIB dhistorique dappels font partie du groupe MIB
ciscoCallHistory. Le Tableau 11.3 rpertorie certaines de ces variables MIB.
Tableau 11.3 : Variables MIB Cisco dhistorique dappels
Objet MIB
Description
ciscoCallHistoryStartTime
ciscoCallHistoryCalledNumber
ciscoCallHistoryCallConnectionTime
ciscoCallHistoryCallDisconnectTime
Les MIB RNIS de Cisco impliquent le support de SNMP sur le rseau. Si une plate-forme compatible SNMP est prsente, les MIB peuvent fournir des informations prcieuses sur les liaisons RNIS.
La MIB dhistorique dappels apporte en particulier des renseignements essentiels sur les dures
dactivit RNIS, ce qui est utile pour contrler les frais.
Cisco propose une large gamme de produits RNIS afin de rpondre la varit des besoins en matire
de connexion. Le systme Cisco IOS fournit un certain nombre de fonctionnalits qui optimisent les
Chapitre 11
373
performances du rseau RNIS et en minimisent les frais dexploitation, telles le routage Snapshot, les
listes daccs, le filtrage NBP (pour AppleTalk), ainsi que le contrle de paquets watchdog et keepalive
(pour IPX).
Emploi de lapplication CEA (Cisco Enterprise Accounting) pour RNIS
CEA pour RNIS est une application qui sexcute sous Windows NT. Elle peut tre utilise pour
superviser la MIB dhistorique dappels et fournir aux gestionnaires de rseau des enregistrements
dtaills dappels, avec une estimation des cots.
Comptabilit AAA
La comptabilit AAA peut tre implmente pour fournir un retour dinformations sur la dure de
connexion des sessions PPP. Les informations de comptabilit sont transportes vers des serveurs
TACACS+ ou RADIUS, o elles peuvent en gnral tre consultes au moyen doutils SQL standards, afin de gnrer ou de planifier des rapports. La commande suivante active les enregistrements
de la comptabilit AAA pour les sessions PPP :
aaa accounting network stop-only
Dpannage de RNIS
Lors du dpannage de RNIS, il est important de garder lesprit larchitecture de protocoles RNIS,
ainsi que sa relation avec le modle de rfrence OSI. RNIS opre au niveau des trois couches OSI
infrieures, cest--dire physique, liaison de donnes et rseau. Au niveau de la couche rseau, des
protocoles tels I.430 pour BRI et I.431 pour PRI sont rpartis sur les canaux B et D. Au niveau
liaison de donnes, PPP est utilis en tant que protocole de canal B. HDLC pourrait ltre
galement, mais il prsente moins davantages que PPP. LAPD (Q.921) est employ en tant que
protocole de canal D sur cette couche. Au niveau de la couche rseau, des protocoles tels que IP,
IPX, etc. sont employs sur des canaux B ; Q.931 est utilis sur le canal D.
Il faut donc tenir compte de cette structure lors du dpannage, et procder de faon systmatique et
progressive. Commencez par rsoudre les problmes de la couche physique, avant de vous attaquer
ceux des couches suprieures. Examinez toujours les deux extrmits dune connexion RNIS ; cela
vous permettra de cerner de nombreux problmes, qui seront traits en dtail plus loin dans ce chapitre.
Avant de dpanner un lien RNIS, il est conseill dexcuter un ping de linterface RNIS distante. Si
vous y parvenez, cela signifie que la connexion fonctionne correctement. Dans le cas contraire,
inutile de mettre en cause le routage. Noubliez pas quune interface RNIS est une interface DDR ;
avec Cisco IOS, elle devient active uniquement lorsque des paquets intressants dclenchent
ltablissement de la connexion. Pour vrifier la configuration du routeur et surveiller le trafic intressant, vous pouvez utiliser sur le routeur les commandes suivantes : debug dialer events et
debug dialer packets.
Lexemple suivant illustre la prsence de paquets intressants qui dclenchent la liaison RNIS. Vous
pouvez voir leurs adresses IP source et de destination :
Router # debug dialer events
Dialing cause: BRI0: ip (s=20.20.20.20 d20.20.22.22)
Router # debug dialer packets
BRI0: ip (s=20.20.20.20, d=20.20.22.22), 100 bytes, interesting (ip PERMIT)
374
Partie I
Architecture de rseaux
Vous devriez toujours commencer par rsoudre les problmes de cette couche. Une commande IOS
trs pratique, show isdn status, signale ltat des trois couches pour PRI ou BRI (BRI, dans notre
exemple). En lexcutant, vous pouvez donc avoir une ide de la source du problme. Le rsultat
suivant indique que la couche 1 (physique) se trouve dans un tat dsactiv, ce qui dnote une situation anormale. En effet, lorsquune couche nest pas active, aucune des couches suprieures ne peut
ltre.
Router # show isdn status
ISDN BRI0 interface
Layer 1 Status:
DEACTIVATED
Layer 2 Status:
Layer 2 NOT Activated
Layer 3 Status:
No Active Layer 3 Call(s)
Activated dsl 0 CCBs are 0, Allocated = 0
Cette situation peut provenir soit dun problme externe, soit dun problme interne au routeur.
Dans le premier cas, il peut sagir dune dfaillance de cblage, de loprateur tlphonique, dune
terminaison numrique de rseau (TNR). On peut encore envisager que le rseau na pas rpondu
la requte dactivation de linterface RNIS du routeur. Un problme interne au routeur signifie
simplement que celui-ci na pas mis de requte dactivation de linterface RNIS.
Commande debug bri
Une commande IOS trs pratique, debug bri, permet de savoir si le problme est interne au routeur
ou non. Cette commande met en uvre une communication entre le systme IOS et le chipset RNIS
de linterface RNIS. Les commandes write_sid sont envoyes au chipset RNIS. En fonction du
type de routeur Cisco, vous obtenez diffrentes valeurs wrote (wrote = E, wrote = 1B, etc.). Plus
prcisment, lexcution dune commande write_sid signifie que le routeur tente dactiver la
liaison et demande au chipset RNIS de gnrer des indicateurs HDLC. Par exemple, wrote = 1B
signifie que le chipset RNIS envoie ces indicateurs. Si tout se passe bien, ces commandes write_sid
sont suivies dinterruptions SID (SID interrupt), avec un tat reg = C. Ces interruptions sont ensuite
envoyes par le chipset RNIS au systme IOS, et indiquent que le bit dactivation (A) vient dtre
activ, ce que le rseau prend en compte. Avec les nouvelles versions de Cisco IOS, cette mme
information est fournie par une indication dactivation de message reu. Les rsultats suivants indiquent que le rseau ainsi que le routeur effectuent chacun correctement leur tche :
BRI: write_sid: scp = 0, wrote = 1B
BRI: write_sid: scp = 0, wrote = 20
BRI: write_sid: scp = 0, wrote = 3
SID interrupt. status reg = C
BRI: Received activation indication
BRI: write_sid: scp = 0, wrote = E
BRI: write_sid: scp = 0, wrote = E
Lorsque tout ne se passe pas comme prvu, la commande debug bri produit la sortie suivante :
BRI: Starting Power Up timer for unit = 2
BRI: write_sid: wrote 3 for subunit 2, slot 1
BRI: Starting T3 timer after expiry of Power
Up timeout for unit = 2, current state is F4 ()
BRI: write_sid: wrote 92 for subunit 2, slot 1
Chapitre 11
BRI:
BRI:
BRI:
BRI:
BRI:
BRI:
BRI:
BRI:
BRI:
write_sid: wrote
T3 timer expired
write_sid: wrote
write_sid: wrote
Forced interrupt
write_sid: wrote
write_sid: wrote
write_sid: wrote
Deactivation for
375
O T3 reprsente le bloc descripteur dans IOS. Notez que le routeur envoie des commandes
write_sid, ce qui signifie quil tente dactiver la ligne et demande au chipset RNIS de gnrer des
indicateurs HDLC. wrote = 3 indique que le chipset gnre effectivement ces indicateurs. Mais,
lorsque ces derniers demeurent sans rponse, le routeur dclenche le temporisateur T3 et tente
denvoyer quelques indicateurs HDLC supplmentaires. A lexpiration du temporisateur, le routeur
place linterface BRI dans un tat de dsactivation. Les rsultats de lexemple prcdent indiquent
que le routeur remplit son rle, linverse rseau, qui ne rpond pas en activant le bit dactivation.
Le problme est donc externe au routeur. Dans la plupart des cas, le cblage ou loprateur tlphonique sont la source du problme.
Lorsque la couche physique ne prsente aucun problme et quelle est active, vous devriez obtenir
les rsultats suivants, laide, respectivement, des commandes show isdn status et show controller bri :
Layer 1 Status: ACTIVATED
ou
Layer 1 is ACTIVATED
Tenter de rsoudre des problmes PRI de couche 1 revient essayer de dpanner une connexion T1.
Lorsque tout fonctionne correctement, aucune alarme nest dtecte sur la connexion T1. Vrifiez
que vous obtenez bien le rsultat suivant, laide de la commande show controller t1 :
Router # show controller t1
T1 2/0 is up
Description: Primary Rate Interface to DMS-100
No alarms detected
Framing is ESF, Line Code is B8ZS, Clock Source is Line
Data in current interval (165 seconds elapsed):
0 Line Code Violations, 0 Path Code Violations
0 Slip Secs, 1 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 12 Unavail Secs
En revanche, en cas de problme, vous devriez voir que le transmetteur envoie des alarmes distantes, ce qui est mauvais signe. Les principales informations surveiller sont ltat de la ligne, les
alarmes, ainsi que les violations de code et de chemin (code/path violations). Ltat de la ligne indique si elle est active, inactive ou administrativement inactive. La section relative aux alarmes est
particulirement importante, car elle permet de connatre le type de problme qui intervient sur la
ligne. La prsence dune alarme signifie un problme majeur. Par consquent, si une connexion T1
est en tat dalarme, vous devriez vrifier la configuration de la dlimitation de trames et des paramtres de codage de ligne. Le rsultat suivant reflte une situation problmatique au niveau de la
couche physique, dans un environnement PRI.
376
Partie I
Architecture de rseaux
Nous avons fait le tour des problmes qui peuvent survenir au niveau de la couche physique, et
avons vu comment les rsoudre. Nous allons prsent aborder ceux de la couche 2 (liaison de
donnes). Si la commande show isdn status produit le rsultat suivant, cela signifie que la couche 1
est active, mais non la couche 2 :
Router # show isdn status
The current ISDN Switchtype = basic-net3
ISDN BRI0 interface
Layer 1 Status:
Activated
Layer 2 Status:
Layer 2 NOT Activated
Layer 3 Status:
No Active Layer 3 Call(s)
Activated dsl 0 CCBs are 0, Allocated = 0
Comme nous lavons mentionn, deux types de protocoles oprent au niveau de cette couche : PPP
(canal B) et LAPD (canal D). Vous devriez rgler les problmes de liaison de donnes pour les
canaux B et D sparment. Le standard RNIS ne dfinit pas de protocole particulier de couche 2
pour le canal B. Dans la plupart des cas, PPP est utilis, car il est souple dutilisation. Sur le canal D,
LAPD (Link Access Procedure sur canal D) devrait tre employ afin dtre en conformit avec le
standard. Ce protocole est galement appel Q.921. La signalisation Q.921 est mise en uvre entre
le routeur local et le commutateur RNIS local, mais ne fonctionne pas de bout en bout.
Dpannage du processus TEI
Dans un environnement BRI, le processus TEI (Terminal Endpoint Identifier) a lieu au niveau de la
couche 2. La raison dune assignation didentifiant TEI dans un tel environnement est quune
connexion S/T sur une seule interface BRI peut supporter jusqu huit quipements, chacun deux
possdant un numro TEI unique assign par le commutateur RNIS local. Grce ces identifiants,
le commutateur peut distinguer les diffrents quipements connects au bus S/T sur linterface BRI.
Si tout fonctionne normalement, lorsque le routeur envoie une requte didentification (IDREQ)
au commutateur, ce dernier accuse rception au moyen dun paquet didentification assigne
(IDASSN).
Les paquets IDREQ et IDASSN contiennent deux valeurs importantes : lindicateur daction (AI,
Action Indicator) et lindicateur de rfrence (RI, Reference Indicator). Chaque fois que le routeur
envoie une requte IDREQ au commutateur, lindicateur AI possde toujours la valeur 127. Ce
caractre gnrique signifie que le routeur demande au commutateur dassigner nimporte quelle
valeur TEI valide. La plage de valeurs TEI valides est comprise entre 64 et 126. Les valeurs TEI
situes entre 0 et 63 sont rserves pour des identifiants TEI fixes. Aux dbuts de RNIS, les valeurs
Chapitre 11
377
Lorsquun problme survient, le paquet IDREQ est retransmis avec des valeurs RI diffrentes et
une valeur AI de 127, sans que le commutateur nenvoie de paquet IDASSN. Dans ce cas, le routeur
fonctionne correctement, linverse du commutateur, qui nacquitte pas le message du routeur. Il
arrive parfois que le commutateur rponde, mais en assignant un identifiant TEI invalide, ce qui est
galement rvlateur dun dysfonctionnement du commutateur :
Router
TX ->
TX ->
TX ->
ai = 127
ai = 127
ai = 127
Aprs que le commutateur local a assign au routeur un identifiant TEI valide, le routeur tente
dtablir une connexion HDLC traditionnelle avec le commutateur. Le routeur envoie un message
SABME (Set Asynchronous Balance Mode Extended) avec lidentifiant TEI 64 qui vient dtre assign par le commutateur local. Lidentifiant de point daccs au service (SAPI, Service Access Point
Identifier) se comporte comme tant un champ de type sur Ethernet, et identifie le protocole de
couche suprieure. Dans le rsultat de la commande debug isdn q921, vous pouvez voir que la
valeur de SAPI est gale 0, ce qui veut dire que le protocole de canal D de couche 3 utilis est
Q.931. Le commutateur rpond au message SABME par un message UA, ce qui signifie quil
accepte lidentifiant
Router # debug isdn q921
TX -> SABMEp sapi = 0 tei = 64
RX <- UAf sapi = 0 tei = 64
Une fois la connexion de liaison de donnes tablie, des trames dinformation INFO sont changes
entre le routeur et le commutateur local. Ces trames sont acquittes au moyen dautres trames INFO
ou de trames RR (Receive Ready). Noubliez pas que ces trames INFO contiennent les messages
de signalisation Q.931, cest--dire quelles contiennent un champ NS (envoi de numro de
squence)et un champ NR (numro de squence suivant attendu) :
Router
RX <TX ->
TX ->
nr = 0
nr = 1
Lorsquaucune trame INFO nest change entre le routeur et le commutateur local, vous devriez
remarquer un change priodique de trames RR. Cet change fait office de mcanisme keepalive,
378
Partie I
Architecture de rseaux
cest--dire quil permet de contrler lactivit de la connexion de niveau 2, mme si aucun trame
INFO ne circule. Dans ce cas, la commande debug isdn q921 produirait une sortie analogue ce
qui suit :
Router
RX <TX ->
RX <TX ->
RX <TX ->
RX <TX ->
=
=
=
=
=
=
=
=
80
80
80
80
80
80
80
80
nr
nr
nr
nr
nr
nr
nr
nr
=
=
=
=
=
=
=
=
5
4
5
4
5
4
5
4
Lorsque la communication au niveau de la couche 2 est oprationnelle, vous devriez obtenir le rsultat
suivant, avec la commande debug isdn q921 (tous les champs affichs ont t dcrits prcdemment) :
Router
TX ->
RX <TX ->
RX <RX <TX ->
TX ->
nr = 0
nr = 1
A prsent, la commande show isdn status devrait rvler la valeur TEI et ltat de la couche 2 :
Router # show isdn status
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 0, State =
MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 0 CCBs = 0
Vous pouvez donc voir que la valeur TEI est gale 0, ce qui signifie quil sagit dune liaison PRI.
Sil stait agi dune interface BRI, la valeur TEI aurait t valide (cest--dire quelle serait situe
dans une plage de 64 126). Ltat de la couche 2 indiqu (MULTIPLE_FRAME_ESTABLISHED) signifie
quelle est oprationnelle, linverse de la couche 3, qui nest pas active.
Dpannage de la couche rseau
Nous allons maintenant aborder les problmes de la couche 3. Rappelez-vous que deux types de
protocoles oprent ce niveau : les protocoles IP, IPX, etc. (canal B) et les protocoles Q.931 (canal D).
Le standard RNIS ne dfinit pas de protocole particulier de couche 2 pour le canal B. Des protocoles de niveau 3, tels que IP, IPX et autres, pourraient donc tre utiliss, en fonction du protocole de
canal B de niveau 2. Sur le canal D, Q.931 devrait tre utilis, afin de respecter le standard RNIS.
La signalisation Q.931 est mise en uvre entre le routeur local et le commutateur RNIS local, et
permet dindiquer au commutateur que vous souhaitez appeler un numro. Lorsque le commutateur
tente dtablir lappel, il traduit les signaux Q.931 en signaux SS7 correspondants (car la signalisation SS7 est exploite au sein dun rseau RNIS). Lorsque le commutateur RNIS distant reoit les
signaux SS7, il les traduit de nouveau en signaux Q.931 correspondants. La signalisation Q.931 ne
fonctionne pas de bout en bout.
Chapitre 11
379
Q.931
Q.931 est un protocole de signalisation de couche 3 pour les canaux D, dans un environnement
RNIS. Etant donn quil na pas t normalis ds les dbuts de RNIS, il existe plusieurs moutures
de ce protocole, dont plusieurs ont t dveloppes par les principaux oprateurs tlphoniques.
Bien que ces versions soient semblables, vous devez veiller configurer le mme type de commutation au niveau du routeur et du commutateur RNIS local. Si le commutateur est configur pour la
commutation RNIS de type basic-ni1, le routeur doit tre configur pour supporter ce mme type
de commutation, dont il existe galement plusieurs versions. Des efforts sont mis en uvre en vue de
dfinir basic-net3 en tant que standard europen, et basic-ni1 en tant que standard amricain.
Q.931 supporte 37 mthodes dtablissement de connexion diffrentes. Il sagit dun protocole trs
souple et trs tendu. La signalisation SVC Frame Relay ainsi que la signalisation UNI ATM se
fondent sur la signalisation Q.931. La commande debug isdn q931 peut tre active sur le routeur
pour surveiller les signaux Q.931 et dtecter une ventuelle dfaillance. Pour obtenir une vision
densemble, vous devez lexcuter des deux cts de la connexion. Tous les signaux Q.931 de
niveau 3 sont transmis dans des trames INFO de niveau 2 :
Router # debug isdn q931
TX -> INFOc sapi = 0 tei = 80 ns = 6 nr = 6
SETUP pd = 8 callref = 0x02
Bearer Capability i = 0x8890
Channel ID i = 0x83
Called Party Number i = 0x80, 555555
RX <- INFOc sapi = 0 tei = 80 ns = 6 nr = 7
CALL_PROC pd = 8 callref = 0x82
Channel ID i = 0x89
RX <- INFOc sapi = 0 tei = 80 ns = 7 nr = 7
CONNECT pd = 8 callref = 0x82
Chaque fois que le routeur tablit un appel, il doit envoyer un paquet SETUP contenant toujours un
descripteur de protocole pd = 8 (pd, protocol descriptor). Une valeur hexadcimale alatoire est
gnre pour le numro de rfrence callref, qui est utilis pour garder trace de lappel. Si deux
appels sont tablis, la valeur de callref permet de dterminer quel appel appartient le message
RX (reu). 0x8890 signifie quil sagit dun appel de type donnes 64 Kbit/s ; 0x8890218F dun
appel de type donnes 56 Kbit/s ; et 0x8090A2 dun appel de type voix. Lidentifiant de canal
0x83 signifie que le routeur demande au commutateur de lui assigner un canal D. Le numro de la
partie appele est 555555.
Le message CALL_PROC indique que lappel est en cours. Le premier chiffre du numro de rfrence est diffrent, afin de distinguer un appel TX dun appel RX. Le second chiffre est identique
celui contenu dans le message SETUP. Lidentifiant de canal 0x89 dsigne le premier canal B, et
0x8A dsigne le second. Cette squence dvnements est la mme pour chaque tablissement
dappel. Le routeur est totalement dpendant de la socit de tlphonie en ce qui concerne lassignation dun canal B. Si le commutateur nassigne pas de canal au routeur, lappel ne peut tre
tabli. Dans ce cas, un message CONNECT, avec le mme numro de rfrence que celui reu pour
CALL_PROC (0x82), est reu de la part du commutateur.
380
Partie I
Architecture de rseaux
SPID
Une fois que les couches 1 et 2 sont actives, le routeur doit en premier lieu envoyer lidentifiant
SPID au commutateur, avant tout message SETUP. Les identifiants SPID sont assigns par le fournisseur de services et devraient tre configurs sur le routeur tels quils ont t fournis. Il sagit
habituellement de nombres de 12 14 chiffres constitus du numro de tlphone et de chiffres
supplmentaires. Ils sont utiliss uniquement en Amrique du Nord, et seuls certains types de
commutateurs requirent leur emploi (par exemple, dms-100 et ni-1). De plus, ils sont mis en uvre
uniquement dans des environnements BRI.
Ces identifiants permettent dassocier un terminal particulier un profil de service spcifique. Ils
sont valids par le commutateur RNIS local lors dun change avec le routeur. Un identifiant SPID
valide est acquitt par un identifiant de point terminal (endpoint ID). Si le SPID est rejet par le
commutateur, il renvoie un message de contenu dlment dinformation invalide (Invalid IE
Contents). Cette ngociation peut tre visualise au moyen de la commande debug isdn q931. Dans
le rsultat suivant, vous pouvez voir que le routeur envoie au commutateur deux identifiants SPID,
lun aprs lautre. Les deux sont acquitts par le commutateur, ce qui est signifi par lenvoi dun
identifiant de point terminal pour chaque SPID transmis. Ces SPID sont cods au format Ascii,
cest--dire que 36 signifie 3, 31 signifie 1, etc. Dans certains cas, vous devez configurer le numro
LDN aprs les SPID. Ce numro est configur afin de pouvoir recevoir des appels entrants sur le
second canal B.
Router # debug isdn q931
TX -> INFORMATION pd = 8 callref = (null)
SPID Information i = 0x363133373835323631323030
RX <- INFORMATION pd = 8 callref = (null)
ENDPOINT IDent i = 0xF180
TX -> INFORMATION pd = 8 callref = (null)
SPID Information i = 0x363133373835323631333030
RX <- INFORMATION pd = 8 callref = (null)
ENDPOINT IDent i = 0xF080
Dans le rsultat suivant, vous pouvez voir que le SPID envoy au commutateur est rejet au moyen
dun message de contenu dlment dinformation invalide ("Invalid IE contents"). En effet, le
SPID est invalide. Dans ce cas, il faut dterminer si le routeur et le commutateur sont configur avec
le SPID correct :
TX -> INFORMATION pd = 8 callref = (null)
SPID Information i = 0x31323334353536373736
RX <- INFORMATION pd = 8 callref = (null)
Cause i = 0x82E43AInvalid IE contents
A ce stade, la commande sh isdn status renseignera sur ltat des SPID. Dans la sortie suivante,
les deux SPID sont rejets, car ils sont invalides :
Router # show isdn status
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 88, State = MULTIPLE_FRAME_ESTABLISHED
Spid Status:
TEI 88, ces = 1, state = 6(not initialized)
spid1 configured, no LDN, spid1 sent, spid1 NOT valid
TEI Not Assigned, ces = 2, state = 1(terminal down)
spid2 configured, no LDN, spid2 NOT sent, spid2 NOT valid
Chapitre 11
381
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 1 CCBs = 0
Messages RELEASE_COMP
Une fois que le commutateur a valid les SPID, lappel peut tre tabli. Il existe plusieurs raisons
pour lesquelles un appel peut tre refus. Si lautre extrmit est configure pour le filtrage dappel
et nautorise par consquent que certains numros dont vous ne faites pas partie , lappel peut
chouer. Il est possible galement que le rseau soit dfaillant. Le rsultat suivant, produit par la
commande debug isdn q931, montre que la connexion RNIS na pas t tablie. Lenvoi dun
message SETUP rsulte en un message RELEASE_COMP en retour, qui contient un identifiant de
cause relatif au rejet de lappel. On peut voir quil sagit ici dun problme de niveau Q.931. Il est
important de faire la diffrence entre une connexion qui na jamais tablie (problme Q.931) et une
connexion qui la t pendant quelques secondes avant dtre interrompue (Q.931 fonctionne
normalement, mais non PPP) :
Router # debug isdn q931
TX -> SETUP pd = 8 callref = 0x01
Bearer Capability i = 0x8890
Channel ID i = 0x83
Called Party Number i = 0x80, 4839625
RX <- RELEASE_COMP pd = 8 callref = 0x81
Cause i = 0x8295 - Call rejected
Lidentifiant de cause relatif au rejet dappel est une valeur hexadcimale. Pour dterminer la cause
dune dfaillance, dcodez-la, puis consultez votre fournisseur. Si lappel stablit puis sinterrompt
aprs quelques secondes, Q.931 fonctionne normalement, mais non PPP. Ce protocole sexcute sur
le canal B de RNIS et est transparent pour loprateur. Il se fonde sur le RFC 1548, entre autres. Les
trois principaux composants de PPP sont lencapsulation multiprotocole, LCP et les protocoles
NCP. LCP est utilis afin dtablir et de maintenir la liaison de donnes, ainsi que pour assurer la
ngociation doptions (telle lutilisation de CHAP). Les protocoles NCP sont employs afin
dtablir et de configurer les protocoles de niveau 3, dont la ngociation doptions spcifiques aux
protocoles (adresses) ainsi que diffrents protocoles de niveau 3 (IPCP, IPXCP, ATCP, etc.). Lors de
la ngociation PPP, les options LCP sont ngocies en premier et suivies des options NCP.
LCP
Lors de la ngociation LCP, une requte de configuration (CONFREQ) propose plusieurs options.
Lorsque ces dernires sont toutes acceptables, la station distante retourne un acquittement de configuration (CONFACK). Toutes les ngociations PPP sont bidirectionnelles. Vous pouvez observer ce
processus en excutant des commandes debug sur certains routeurs Cisco. Le rsultat de la
commande debug suivante montre une requte CONFREQ entrante (I, incoming) et un message
CONFACK sortant (O, outgoing) :
Router # debug ppp packet
PPP BRI: B-Channel 1: I LCP CONFREQ(1) id 2 (4)
PPP BRI: B-Channel 1: O LCP CONFACK(2) id 2 (4)
382
Partie I
Architecture de rseaux
Sil sagissait dune authentification CHAP, vous verriez la valeur hexadcimale C223 :
Router # debug ppp negotiation
ppp: sending CONFREQ, type = 3
ppp: sending CONFREQ, type = 5
ppp: config ACK received, type
ppp: config ACK received, type
La commande show interface bri 0 1 indique si ltat de LCP est ouvert (OPEN) ou ferm
(CLOSED). Si les options sont ngocies, ltat devrait tre ouvert. Le rsultat suivant indique un
tat LCP ouvert, mais les options NCP nont pas encore t ngocies :
Router # show interface bri 0 1
BRI0: B-Channel 1 is up, line protocol is up
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
lcp state = OPEN
ncp ipcp state = REQSENT
ncp osicp state = NOT NEGOTIATED
ncp ipxcp state = NOT NEGOTIATED
ncp xnscp state = NOT NEGOTIATED
ncp vinescp state = NOT NEGOTIATED
ncp deccp state = NOT NEGOTIATED
ncp bridgecp state = NOT NEGOTIATED
ncp atalkcp state = NOT NEGOTIATED
Last input 0:00:00, output 0:00:00, output hang never
Last clearing of "show interface" counters never
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
Five minute input rate 0 bits/sec, 0 packets/sec
Five minute output rate 0 bits/sec, 1 packets/sec
9099 packets input, 855915 bytes, 0 no buffer
Si ltat LCP est ferm, les options PPP ne correspondent pas sur les deux quipements ( moins
quil ne sagisse dune liaison 56 Kbit/s). La majorit des connexions longue distance en Amrique du Nord, ainsi que les connexion internationales avec cette partie du monde, sont limites
56 Kbit/s. Pour ces connexions, il arrive parfois que le bit de poids de plus fort des donnes
envoyes soit remplac par les informations de signalisation, ce qui modifie les donnes ou gnre
des erreurs CRC visibles pour lquipement situ lautre extrmit. Dans ce cas, utilisez la spcification V.110 56 Kbit/s. Avec cette spcification, sur les huit positions binaires pour chaque canal B,
seuls sept bits sont utiliss pour le transfert des donnes, le huitime contenant des donnes quelconques, de faon viter une altration de la charge utile.
Dans plusieurs situations, les connexions intercommutateurs peuvent ramener la vitesse 56 Kbit/s.
Il existe plusieurs capacits de canal porteur (bearer capability) qui spcifient si lappel est tabli
56 Kbit/s et sil exploite ladaptation de dbit de la spcification V.110. Si le protocole de signalisation international sur le rseau RNIS est adapt RNIS, cette indication de 56 Kbit/s sera transmise
jusqu labonn distant, qui traitera lappel cette vitesse. Parfois, sur les liaisons internationales,
cette indication est limine, car loprateur met en uvre une ancienne version de SS7. Dans ce
cas, la partie rceptrice pense que lappel seffectue 64 Kbit/s. Linstruction dialer map sur un
routeur Cisco permet de spcifier la vitesse de lappel sortant, la valeur par dfaut tant de 64 Kbit/s.
Le rsultat de la commande debug isdn q931 fait parfois apparatre un message qui indique que
lappel nest pas un appel RNIS de bout en bout ("Call not end-to-end RNIS"). Si vous obtenez ce
message, vous pouvez configurer isdn not-en-to-end 56 sur le routeur, afin quil traite lappel
une vitesse de 56 Kbit/s :
Router # debug isdn q931
TX -> SETUP pd = 8 callref = 0x02
Bearer Capability i = 0x8890
Channel ID i = 0x83
Chapitre 11
383
Une fois que les problmes relatifs LCP et au dbit 56 Kbit/s sont rsolus, ltape suivante
consiste vrifier lauthentification PPP. HDLC pourrait tre utilis en tant que protocole de canal B
de niveau 2, mais il ne supporte aucun type dauthentification. Certains implmentent ce protocole
dans le seul objectif de voir RNIS fonctionner, sans se soucier de lauthentification. Une telle approche est viter, car lutilisation de PAP ou de CHAP permet de rsoudre les problmes de prfixes.
CHAP est souvent prfr PAP, car il utilise une fonction de hachage MD5. Si vous excutez la
commande debug ppp chap sur le routeur, vous pouvez observer le processus de ngociation :
Router # debug ppp chap
ISDN Event: Connected to 5555555 on B1 at 64 kbps
BRI0: B-Channel 1: PPP AUTH CHAP input code = 1 id = 10 len = 14
BRI0: B-Channel 1: PPP AUTH CHAP input code = 2 id = 16 len = 26
BRI0: B-Channel 1: remote passed CHAP authentication
BRI0: B-Channel 1: PPP AUTH CHAP input code = 3 id = 10 len = 4
BRI0: B-Channel 1: Passed CHAP authentication with remote
Vous pouvez galement excuter la commande show dialer des deux cts de la connexion, afin de
vrifier que le nom du routeur distant est contenu dans le rsultat. Si le nom apparat des deux cts,
lauthentification CHAP ou PAP a russi, car ce nom est communiqu au cours de ce processus.
Dans le cas contraire, assurez-vous que le mot de passe pour lauthentification est bien le mme des
deux cts, sachant quil est sensible la casse. Dans lexemple suivant, vous savez que lauthentification CHAP ou PAP a russi, car le nom est affich (SANJOSE) :
Router # show dialer
BRI0 - dialer type = ISDN
Dial String
Successes
Failures
Last called
4085555555
0
0
never
0 incoming call(s) have been screened
BRI0: B-Channel 1 - dialer type = ISDN
Rotary group 0, priority = 0
Idle timer (120 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (15 secs)
Time until disconnect 85 secs
Connected to 4085555555 (SANJOSE)
Last status
PAP et CHAP permettent didentifier le site connect. Sans ces protocoles, cette information serait
dtermine au moyen du numro dappelant RNIS, ce qui pose souvent problme, car ce numro
peut ne pas avoir t prsent, ou prsent avec ou sans prfixe. Il arrive que les oprateurs modifient
les numros en ajoutant ou en supprimant un prfixe, mais ils peuvent galement ajouter ou supprimer des numros. Il est donc dlicat de sappuyer sur le prfixe dune connexion RNIS. Lorsque
vous introduisez CHAP ou PAP, ce problme est rsolu puisque ces protocoles sappuient sur le nom
dhte du routeur distant.
384
Partie I
Architecture de rseaux
Protocoles NCP
Il faut ensuite se concentrer sur les problmes lis aux protocoles NCP, qui ngocient et vrifient les
paramtres de niveau rseau. Un protocole NCP diffrent est associ chaque protocole de rseau
(IPCP pour IP, IPXCP pour IPX, etc.). Une requte de configuration NCP est envoye un protocole NCP, lautre extrmit de la connexion. Si cette dernire supporte le protocole NCP, elle
acquitte la requte au moyen dun message dacquittement. Sinon, elle renvoie un message de
configuration NCP non acquitte ("NCP configure-not-acknowledge"). Les deux parties changent
ces messages afin de saccorder sur les NCP supports par chacune. Le rsultat de la commande
debug suivante illustre la ngociation du protocole IPCP :
Router # debug ppp
BRI0: B-Channel 1:
BRI0: B-Channel 1:
BRI0: B-Channel 1:
BRI0: B-Channel 1:
negotiation
O IPCP CONFREQ
I IPCP CONFREQ
O IPCP CONFACK
I IPCP CONFACK
id
id
id
id
D
C
C
D
(10)
(10)
(10)
(10)
Type3
Type3
Type3
Type3
(6)
(6)
(6)
(6)
147
147
147
147
211
211
211
211
117
117
117
117
40
1
1
40
La commande show interface bri 0 1 permet de connatre ltat du protocole NCP. Le rsultat
suivant indique que ltat de IPCP est ouvert. OSICP et XNSCP ne sont pas ngocis, car aucune
tentative na t entreprise. IPXCP se trouve dans un tat de requte, cest--dire quune ngociation a t initie sans succs, probablement parce que le numro de rseau IPX de linterface RNIS
distante na pas t configur.
Router # show interface bri 0 1
BRI0: B-Channel 1 is up, line protocol is up
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
lcp state = OPEN
ncp ipcp state = OPEN
ncp osicp state = NOT NEGOTIATED
ncp ipxcp state = REQSENT
ncp xnscp state = NOT NEGOTIATED
A prsent que les trois couches sont actives et fonctionnent normalement, vous devriez pouvoir excuter un ping de ladresse IP distante de linterface RNIS. A ce stade, vous pouvez vous proccuper des
problmes de routage. Si vous ne parvenez pas raliser un ping dune adresse IP situe au-del de
linterface RNIS distante, le problme ne relve pas de la connectivit RNIS. Vrifiez que le trafic
intressant ainsi que le filtrage dappel ont t dfinis correctement. Nattendez pas de recevoir votre
premire facture RNIS ! Utilisez les commandes IOS show dialer, debug dialer, et show isdn
history afin de surveiller le trafic intressant.
Rsum
La disponibilit croissante ainsi que la baisse des cots font de RNIS une solution de choix pour de
nombreuses applications de rseau. Les fonctions de Cisco IOS permettent llaboration de solutions RNIS tendues et souples. Le routage DDR est utilis pour initier et terminer les connexions.
Les profils virtuels peuvent tre utiliss pour faciliter lvolution en masse des solutions de rseau
RNIS par commutation de circuits. Certaines prcautions doivent toutefois tre prises afin de garantir la matrise des cots.
12
Conception de rseaux
LAN commuts
Par Christophe Paggen
Ce chapitre dcrit les trois technologies qui peuvent tre utilises par les concepteurs de rseaux
dans la conception de rseaux LAN commuts :
m
Les aspects pratiques de la conception de rseaux de campus volutifs seront galement abords.
386
Partie I
Architecture de rseaux
des canaux, cest--dire que la capacit totale de transport devait tre suprieure lensemble des
besoins des stations, en matire de communication. Lincroyable monte en puissance de lordinateur de bureau, ds la fin des annes 80, a rendu obsolte un dbit de 10 Mbit/s qui risquait de
provoquer un goulet dtranglement au niveau des transmissions. De plus, le nombre toujours croissant des quipements par segment a contribu la gnralisation de lutilisation de la bande
passante. Afin damliorer les performances de lutilisateur, les administrateurs de rseaux
commencrent segmenter les LAN partags au moyen de ponts. Les ponts de rseaux locaux ont
t disponibles partir de 1984, mais leur capacit interne de pontage demeurait un frein, et il tait
rare quils puissent exploiter la capacit totale du cblage sous-jacent. Avec les progrs accomplis
dans le domaine des semi-conducteurs, courant 1990, on a assist lmergence de circuits intgrs
conus sur mesure afin dintgrer des fonctions spcifiques certaines applications (ASIC, Application-Specific Integrated Circuits), ce qui a permis la fabrication de ponts LAN multiports capables
de transmettre les trames la vitesse du cble. Ces ponts ont t lancs sur le march en tant que
commutateurs. Les concepteurs de rseaux se sont ensuite empresss de remplacer, dans les armoires de cblage, les hubs existants par ces commutateurs (voir Figure 12.1).
Figure 12.1
Evolution des rseaux
mdias partags
vers des rseaux
commuts.
Armoire de cblage
traditionnelle
Hub partag
Si
Nouvelle armoire
de cblage
Commutateur
multicouche
(Couches 2 et 3)
Commutateur
ATM de campus
Routeur
Concentrateur
CDDI/FDDI
Routeur
Routeur Cisco
Routeur Cisco
Epine dorsale
traditionnelle
Cette stratgie a permis aux administrateurs de rseau de sauvegarder les investissements existants
en matire de cblage, et daccrotre ainsi les performances de leur rseau, grce une bande
passante ddie pour chaque utilisateur. Lvolution des armoires de cblage concide avec une
volution analogue, au niveau de lpine dorsale du rseau. Aujourdhui, le rle de Fast Ethernet,
dATM (Asynchronous Transfer Mode) et, plus rcemment, de Gigabit Ethernet, est en augmentation constante. Plusieurs protocoles ont t standardiss, tels que LANE (LAN Emulation), 802.1q/p,
ainsi que 802.3z et 802.3ab (1000BaseTX). Les concepteurs de rseaux concentrent leurs rseaux
fdrateurs de routeurs au moyen de commutateurs multicouches hautement performants, de
routeurs de commutation et de commutateurs ATM, afin de fournir la bande passante supplmentaire requise par les services de donnes fort dbit.
Chapitre 12
387
Technologies de routage.
Le routage est une technologie essentielle pour connecter des rseaux LAN dans un environnement de campus. Bon nombre de routeurs actuels sont capables dassurer un routage la vitesse
du cble, cest pourquoi on les appelle souvent "routeurs de commutation de niveaux 3 et 4". La
commutation de niveau 3 (ou 4) nest rien de plus quun routage classique vitesse hautement
optimise.
NOTE
Les rseaux LAN commuts sont frquemment appels rseaux LAN de campus.
388
Partie I
Architecture de rseaux
La plupart des concepteurs de rseaux ont intgr des quipements de commutation sur leurs
rseaux existants de mdias partags afin datteindre les objectifs suivants :
m
Augmenter la bande passante disponible pour chaque utilisateur, et rduire ainsi la congestion
sur les rseaux de mdias partags. Des liaisons 10-100 Mbit/s vers lordinateur de bureau sont
aujourdhui courantes. Certains constructeurs ont dj commenc fabriquer des cartes rseau
(NIC, Network Interface Card) Gigabit Ethernet.
Exploiter la facilit de gestion des rseaux VLAN en mme temps que les caractristiques de
souplesse et dvolutivit du routage. Ce qui, combin avec lutilisation de serveurs DHRP
(Dynamic Host Resolution Protocol), permet de rduire le cot des dplacements, ajouts et
modifications.
Dployer des applications multimdias mergeantes sur diffrentes plates-formes et technologies de commutation, afin de les rendre disponibles pour une varit dutilisateurs. Ce type
dapplications fait une utilisation intensive du multicast IP. Le programme IP/TV en est un
exemple.
Assurer une volution progressive vers des solutions de commutation hautement performantes,
telles que Gigabit Ethernet et ATM haute vitesse.
La segmentation de rseaux LAN mdia partag divise les utilisateurs en deux segments spars
ou plus, ce qui rduit le nombre de ceux qui se partagent la bande passante. La commutation LAN
qui repose sur cette tendance emploie la microsegmentation, qui fractionne encore davantage le
LAN pour former des groupes dutilisateurs encore plus rduits, jusqu finalement offrir un
segment de LAN ddi par utilisateur. Chaque port de commutateur fournit un segment Ethernet
ddi 10-100-1000 Mbit/s ou un segment Token Ring ddi 4-16 Mbit/s dans les environnements existants.
Les segments (ou VLAN) sont interconnects au moyen dquipements, en gnral des routeurs,
qui rendent possible la communication entre des LAN, tout en bloquant les autres types de trafic.
Les commutateurs possdent lintelligence ncessaire pour surveiller le trafic et laborer des tables
dadressage bases sur les adresses MAC, ce qui leur permet de transmettre les paquets directement
vers des ports spcifiques. La plupart du temps, les commutateurs offrent galement un service non
bloquant, qui permet plusieurs conversations (un trafic entre deux ports) simultanes. Larchitecture
dun commutateur est dite non bloquante lorsque la bande passante de son circuit de commutation
excde la bande passante totale de tous ses ports (cest--dire un panneau arrire 12 Gbit/s pour
96 ports 10-100 Mbit/s).
La commutation est rapidement devenue la solution pour lamlioration de la circulation du trafic
LAN par excellence, pour les raisons suivantes :
m
A la diffrence des hubs et des rpteurs, les commutateurs permettent plusieurs flux de
donnes de circuler simultanment (un commutateur est quivalent plusieurs ponts deux
ports indpendants) et indpendamment.
Chapitre 12
389
Les commutateurs fournissent une bande passante ddie aux utilisateurs, au moyen de technologies commutes et de groupes commuts haute densit Ethernet 10-100 Mbit/s sur fibre ou
cuivre, Fast EtherChannel, Gigabit Ethernet, Gigabit EtherChannel et LANE ATM, ou MPOA
(Multiprotocol over ATM).
Pour tre efficace, une solution de rseau commut doit prsenter les caractristiques suivantes :
m
Options pour le support dapplications multimdias, ainsi que dautres types de trafic exigeants
sur une varit de plates-formes (par exemple, surveillance IGMP). Cela implique le support des
fonctionnalits de qualit de service (QoS) pour assurer le traitement prfrentiel de certains
modles de trafic (par exemple, diffrenciation fonde sur la priorit IP ou la priorit 802.1q).
Evolutivit, contrle de trafic et scurit un niveau au moins quivalent, voire suprieur, celui
des rseaux actuels bass sur des routeurs (par exemple, filtrage de protocoles et scurit de
ports).
Pour atteindre ces objectifs, il faut comprendre le rle de linfrastructure logicielle de connexion au
sein des rseaux commuts. Sur les rseaux actuels, les routeurs permettent linterconnexion de
technologies LAN et WAN disparates, tout en implmentant galement des filtres de scurit et des
pare-feu logiciels. Ce sont ces capacits qui ont permis aux rseaux actuels dvoluer de faon
globale, tout en demeurant stables et robustes. Les routeurs limitent galement la porte du trafic
broadcast en le bloquant, sauf spcification contraire.
A mesure que les rseaux voluent vers des rseaux commuts, des fonctionnalits analogues de
connexion logique sont requises pour assurer la stabilit et lvolutivit. Bien que les commutateurs
LAN et ATM amliorent grandement les performances, ils reprsentent galement de nouveaux
dfis de connexion pour les concepteurs. Les rseaux commuts doivent sintgrer avec les rseaux
LAN et WAN existants, mais aussi avec les futurs rseaux multiservices capables de transporter
simultanment la voix et les donnes.
Par consquent, un vritable rseau commut nest pas seulement un ensemble dordinateurs relis,
mais reprsente un systme compos dquipements intgrs, supports par une infrastructure logicielle de connexion intelligente. Ce qui tait auparavant centralis au niveau des routeurs est maintenant devenu disponible au niveau des commutateurs LAN multicouches haut de gamme. Avec
lavnement des rseaux commuts, les fonctionnalits sont souvent distribues travers le rseau,
refltant ainsi la nature dcentralise des systmes de commutation. Disposer dune infrastructure
de connexion demeure cependant une ncessit.
390
Partie I
Architecture de rseaux
Cisco apporte aux concepteurs une solution complte pour implmenter et grer des rseaux
commuts volutifs et fiables.
Plates-formes de commutation volutives
La famille de commutateurs ATM multiservices dentreprise de Cisco Systems inclut des commutateurs ATM de moyenne gamme pour les groupes de travail et les pines dorsales de campus, les
rseaux MAN, et les pines dorsales dautres fournisseurs de services. Les performances de cette
srie de commutateurs stendent entre 5 et 40 Gbit/s. Ils fournissent des services optimiss pour
les applications bases sur la commutation de cellules et de paquets, ce qui inclut le support de
toutes les classes de trafic ATM, jusquaux fonctionnalits de commutation OC-48. A mesure que
cette famille sagrandit, les nouveaux produits membres peuvent tirer parti de lensemble des
modules existants, savoir les modules CAM (Carrier Adapter Modules) et PAM (Port Adapter
Modules), des logiciels de commutation, ou encore utiliser des modules CAM et PAM spcialement
conus pour ces produits. Cette compatibilit en aval protge les investissements existants en quipement et logiciels, tout en facilitant lvolution du rseau.
Pour les rseaux de campus, cette famille de produits inclut actuellement les commutateurs suivants :
m
LightStream 1010 (LS1010). Commutateur ATM non bloquant, totalement modulaire 5 Gbit/s,
qui supporte une grande varit dinterfaces allant des vitesses T1/E1 jusqu OC-12c, 622 Mbit/s.
Catalyst 8510 (Cat8510). Commutateur L2/L3/ATM non bloquant, modulaire 10 Gbit/s, qui
atteint actuellement une vitesse OC-12c, ce qui assure un routage adapt au cble. Il supporte
Fast Ethernet et Gigabit Ethernet.
Catalyst 8540 (Cat8540). Commutateur L2/L3/ATM, modulaire 40 Gbit/s, qui atteint actuellement une vitesse OC-12. Il supporte Fast Ethernet et Gigabit Ethernet, avec une redondance
optionnelle du circuit de commutation et du processeur.
De la mme manire quil existe des routeurs et des commutateurs LAN qui prsentent des diffrences en termes de prix, de performances et de fonctionnalits, les commutateurs ATM peuvent
tre rpartis dans les quatre catgories distinctes suivantes, qui refltent les besoins dapplications et
de marchs spcifiques :
m
Chapitre 12
391
Un commutateur LAN est un quipement gnralement dot de nombreux ports qui permettent de
connecter des segments LAN (habituellement Ethernet 10-100 Mbit/s), ainsi que de plusieurs ports
haute vitesse (tels Fast Ethernet 100 Mbit/s, ATM OC-12/48 ou Gigabit Ethernet). Ces ports ultrarapides peuvent leur tour relier le commutateur LAN dautres quipements du rseau. Il existe
trois catgories principales de commutateurs LAN :
m
Commutateur darmoire de cblage. Equipement qui assure un accs pour les htes la frontire du rseau (par exemple, les sries Catalyst 2900XL, Catalyst 4000, voire Catalyst 5x00).
392
Partie I
Architecture de rseaux
Un commutateur LAN possde une bande passante ddie par port, et chaque port reprsente un
segment diffrent. Pour obtenir les meilleures performances possibles, les concepteurs assignent
souvent un seul hte par port, lui attribuant ainsi une bande passante ddie de 10 Mbit/s, 100 Mbit/s,
voire 1 Gbit/s (voir Figure 12.2), ou de 16 Mbit/s pour les rseaux Token Ring existants.
Figure 12.2
LightStream 1010
Exemple de
configuration avec
un commutateur LAN.
LightStream 1010
Commutateurs
LAN Catalyst
LightStream
1010
LightStream
1010
StrataCom
ATM de campus
Multiplexeur de services
LightStream
1010
ATM d'entreprise
Routeurs
Routeurs Cisco
ATM d'accs multiservice
WAN
StrataCom
Lorsquun commutateur LAN dmarre initialement, et mesure que les diffrents quipements qui
lui sont connects demandent des services dautres quipements, il construit une table qui associe
ladresse MAC source de chaque quipement local au numro de port sur lequel il sest signal.
Ainsi, pour reprendre lexemple de la Figure 12.2, lorsque lhte A situ sur le port 1 a besoin de
communiquer avec lhte B situ sur le port 2, le commutateur transmet directement les trames du
port 1 vers le port 2, ce qui pargne aux autres htes situs sur le port 3 de rpondre aux trames qui
ne leur sont pas destines. Si lhte C a besoin denvoyer des donnes vers lhte D, alors que lhte
A envoie des donnes vers lhte B, cela reste possible, car le commutateur LAN peut transmettre
des trames du port 3 vers le port 4 en mme temps quil transmet les trames du port 1 vers le port 2.
Chapitre 12
393
Chaque fois quun quipement connect au commutateur LAN envoie un paquet vers une adresse
qui ne se trouve pas dans la table dadressage du commutateur, ou un paquet broadcast ou multicast,
le commutateur envoie le paquet sur tous ses ports, lexception de celui sur lequel il est arriv.
Cette technique est appele inondation (flooding). Plusieurs techniques existent qui permettent de
restreindre linondation du trafic multicast certains ports seulement, tels que le protocole CGMP
(Cisco Group Management Protocol) et la surveillance IGMP (Internet Group Management Protocol)
pour les commutateurs qui supportent des fonctions de commutation de niveau 3. Ces protocoles
agissent sur les paquets multicast uniquement, non sur les paquets broadcast. Une autre fonctionnalit, appele suppression broadcast, peut permettre de limiter les effets ngatifs des temptes de
broadcast.
Etant donn que les commutateurs LAN fonctionnent comme des ponts transparents traditionnels,
ils liminent les limites de groupes de travail ou de dpartements dj dfinis. Un rseau construit et
conu uniquement avec des commutateurs LAN prsente une topologie de rseau linaire, qui ne
comporte quun seul domaine de broadcast. Par consquent, un tel rseau est susceptible de rencontrer les problmes propres aux rseaux linaires (ou ponts), cest--dire quils sont peu volutifs.
Notez cependant que les commutateurs LAN qui supportent des rseaux VLAN sont plus volutifs
que les ponts traditionnels. Le problme dvolutivit dpend principalement dun protocole trs
utile, rencontr sur la plupart des rseaux de niveau 2 redondants, savoir le protocole darbre
recouvrant (Spanning Tree IEEE 802.1d).
Commutateurs daccs multiservices
Au-del des rseaux privs, les plates-formes ATM sont galement largement dployes par les
fournisseurs de services, la fois au niveau des quipements de tlcommunication de clients et au
sein de rseaux publics. Ce type dimplmentation est utilise pour supporter plusieurs services
MAN et WAN sur une infrastructure ATM commune, telle que la commutation Frame Relay,
linterconnexion de LAN ou les services publics ATM. Les commutateurs ATM dentreprise sont
souvent employs dans ces applications de rseaux publics en raison la fois de leur haut degr de
disponibilit et de redondance, et du nombre dinterfaces quils peuvent grer.
Plates-formes de routage
Outre les commutateurs LAN et ATM, les concepteurs emploient galement des routeurs en tant
que composants essentiels dune infrastructure de rseau commut. Alors que les commutateurs
LAN sont ajouts dans les armoires de cblage afin daugmenter la bande passante et de rduire les
niveaux de congestion sur les hubs de mdias partags existants, les technologies dartre, telles
que Gigabit Ethernet ou la commutation ATM, sont dployes sur les pines dorsales. Sur un rseau
commut, les plates-formes de routage permettent linterconnexion de technologies LAN et WAN
disparates, tout en implmentant galement des filtres de broadcast et des systmes de pare-feu
logiques. De manire gnrale, si vous avez besoin de services de rseau avancs, tels que la protection par pare-feu contre les diffusions broadcast ou la communication entre des rseaux LAN
dissemblables, les routeurs sont ncessaires. De plus, les routeurs de commutation jouent un rle
important sur les rseaux de campus actuels. Ils limitent ltendue des VLAN et, plus particulirement, ltendue des domaines arbre recouvrant. Avec la cration de fermes de serveurs
centralises, les modles de trafic requirent maintenant lutilisation de routeurs de commutation,
qui oprent la vitesse du cble. Plusieurs techniques sont disponibles pour rpondre cette
394
Partie I
Architecture de rseaux
demande, tels MLS (Multilayer LAN Switching), CEF (Cisco Express Forwarding) et MPOA
(Multiprotocol over ATM). Les routeurs (ou routeurs de commutation, ou encore commutateurs
multicouches) sont aujourdhui essentiels pour assurer lvolutivit des rseaux de campus. Les
rseaux linaires implments au moyen de VLAN de campus disparaissent avec laffirmation de
cette tendance.
Infrastructure logicielle commune
Le deuxime niveau du modle de rseau commut est une infrastructure logicielle commune. Sa
fonction est dunifier la diversit des plates-formes de commutation physique : commutateurs LAN
multicouches, commutateurs ATM et routeurs multiprotocoles. Plus spcifiquement, linfrastructure
logicielle devrait permettre de raliser les tches suivantes :
m
Cisco met la disposition des concepteurs de rseaux le logiciel de commutation de Cisco IOS
(Internetwork Operating System, systme dexploitation dinterrseau). Ce sous-ensemble du
systme Cisco IOS est optimis pour la commutation, et reprsente llment unificateur pour la
ligne de produits de commutation Cisco sur un rseau commut. Le systme Cisco IOS est excut
sur des routeurs autonomes, des modules de routeurs pour hubs de mdias partags, des commutateurs multicouches, des commutateurs daccs multiservices WAN, des commutateurs LAN, des
commutateurs ATM et des autocommutateurs (PBX, Private Branch eXchange) compatibles ATM.
Outre des niveaux optionnels de routage et de commutation sur un rseau commut, il fournit de
nouvelles fonctionnalits, telles que les tronons VLAN, des services de gestion de rseaux ATM, la
commutation multicouche la vitesse du cble, des extensions pour supporter de nouvelles applications multimdias en rseau (multicast IP, etc.), des outils de gestion et danalyse du trafic, ainsi que
de nombreuses autres fonctionnalits.
Rseaux VLAN
Un VLAN se compose gnralement de plusieurs systmes terminaux, des htes ou des quipements de rseau (tels que des commutateurs et des routeurs), qui sont tous membres dun seul
domaine logique de broadcast. Un VLAN nest pas soumis des contraintes de proximit physique
pour le domaine de broadcast. Ce type de rseau est support sur divers quipements (par exemple
des commutateurs LAN) capables de grer des protocoles de tronons VLAN entre eux. Chaque
VLAN gre un arbre recouvrant distinct au moyen du protocole Spanning Tree (IEEE 802.1d), ce
qui autorise diverses topologies logiques sur un seul rseau physique (cest--dire, lquilibrage de
charge VLAN sur des tronons de mme cot, etc.). Il est frquent dimplmenter des VLAN
fonds sur un sous-rseau de protocole de niveau 3.
La premire gnration de VLAN sappuie sur divers mcanismes de multiplexage, au niveau de la
couche 2 du modle OSI tels que IEEE 802.10 pour les interfaces FDDI, LANE (LAN Emulation) sur les liaisons ATM, ISL (Inter-Switch Link, liaison intercommutateur), ou IEEE 802.1q sur
Ethernet , qui permettent la formation de groupes broadcast multiples, disjoints, et superposs sur
Chapitre 12
395
une seule infrastructure de rseau. Cela signifie quil est possible de supporter de nombreux VLAN
sur une mme interface physique, galement appele tronon (trunk). La Figure 12.3 illustre un
exemple de rseau LAN commut, qui utilise des VLAN de campus (un concept qui a commenc
merger en 1996). La couche 2 du modle de rfrence OSI assure la transmission fiable de
donnes travers un lien physique. Elle est lie ladressage physique, la topologie du rseau, la
gestion de laccs au mdia, la notification derreur, la livraison ordonne des trames et au
contrle de flux. LIEEE a divis cette couche en deux sous-couches, MAC et LLC, cette dernire
tant parfois simplement appele couche de liaison.
Figure 12.3
Topologie VLAN type.
Hte A
Hte B
Ethernet
Ethernet
Port 1
Port 2
Ethernet
Ethernet
Port 3
Port 4
Port n
Hte C
Hte D
A la Figure 12.3, un rseau Ethernet 10-100 Mbit/s connecte les htes de chaque tage aux
commutateurs A, B, C et D. Un rseau Fast Ethernet, ou Gigabit Ethernet, 100 Mbit/s connecte
ces commutateurs au commutateur E. Le VLAN 10 se compose des htes situs sur les ports 6 et 8
du commutateur A, et sur le port 2 du commutateur B. Le VLAN 20 se compose des htes qui se
trouvent sur le port 1 du commutateur A, et sur les ports 1 et 3 du commutateur B.
Les VLAN peuvent servir regrouper des utilisateurs qui prsentent une caractristique commune,
indpendamment de leur connectivit physique. Ils peuvent tre rpartis sur un environnement de
campus, ou mme disperss gographiquement.
Problmes inhrents au protocole darbre recouvrant Spanning Tree
Bien que le dploiement de VLAN de campus tait une pratique courante il y a quelques annes, ce
modle de conception est rapidement devenu obsolte, principalement en raison de son manque
dvolutivit. Le problme dvolutivit est en partie inhrent au protocole darbre recouvrant STP
(Spanning Tree Protocol) utilis pour liminer les boucles logiques au niveau 2 du modle OSI.
Etant donn que len-tte de niveau 2 ne contient pas de champ de dure de vie (TTL, Time To
Live), les paquets peuvent boucler indfiniment sur le rseau. Contrairement la croyance gnrale,
les paquets broadcast ne sont pas les seuls crer des boucles infinies ; une tempte unicast peut
tout aussi bien se produire sur un rseau de couche 2. Mme si STP permet dviter ces boucles, il
impose une surcharge supplmentaire au niveau des ressources processeur des commutateurs.
Lorsque les performances de ce protocole se dgradent, pour une raison quelconque (manque de
396
Partie I
Architecture de rseaux
ressources CPU, par exemple), le rseau peut connatre des dfaillances. Voici les caractristiques
dun domaine de broadcast STP :
m
Les liens redondants sont placs dans un tat bloquant, et ne transportent aucun trafic.
La convergence du protocole STP requiert en gnral 50 secondes (2 Forward Delay + Max Age
= (2 15) + 20 = 50 ; Forward Delay et Max Age sont deux temporisateurs utiliss par STP). Bien
que les valeurs IEEE minimales autorisent une convergence aussi rapide que 14 secondes [(2 4)
+ 6], il est tout fait dconseill dappliquer ces valeurs sur la plupart des rseaux.
A laide dun routeur, les htes dun VLAN peuvent communiquer avec ceux dun autre VLAN.
Compars STP, les protocoles de routage prsentent les caractristiques suivantes :
m
quilibrage de charge sur de nombreux chemins cot identique (jusqu six chemins sur certaines plates-formes Cisco) ;
convergence plus rapide quavec STP, avec des protocoles intelligents (EIGRP, IS-IS et OSPF) ;
La troisime et dernire composante du modle de rseau commut est lensemble des outils et des
applications utiliss pour ladministration du rseau. Etant donn que la commutation est intgre
travers lensemble du rseau, ladministration joue un rle essentiel, la fois au niveau du groupe
de travail et au niveau de lpine dorsale. La gestion dun rseau bas sur des commutateurs
ncessite une approche radicalement diffrente de celle utilise pour un rseau local traditionnel
fond sur des hubs et des routeurs.
Lors de la conception dun rseau commut, les concepteurs doivent sassurer quils prennent bien
en compte les applications dadministration ncessaires la surveillance, la configuration, la
planification et lanalyse des quipements et des services. Cisco propose ce genre doutils pour les
rseaux commuts mergeants.
Chapitre 12
397
La Figure 12.4 illustre un rseau de campus fond sur une conception traditionnelle, avec hubs et
routeurs. Les quipements de la couche daccs sont des hubs qui agissent comme rpteurs de
niveau 1. La couche de distribution est forme de routeurs. La couche centrale comprend des
concentrateurs FDDI ainsi que dautres hubs, qui agissent comme rpteurs de niveau 1. Les
routeurs de la couche de distribution assurent un contrle du trafic broadcast ainsi que la segmentation. Chaque hub darmoire de cblage correspond un rseau ou sous-rseau logique, et est
connect un port de routeur. En tant qualternative, plusieurs hubs pourraient tre implments en
cascade, ou regroups au moyen de ponts, afin de former un seul rseau ou sous-rseau logique.
Figure 12.4
Serveur de groupe
de travail
Rseau de campus
traditionnel, avec
hubs et routeurs.
Immeuble A
Serveur de groupe
de travail
Immeuble B
Serveur de groupe
de travail
Immeuble C
Couche
d'accs
Hub
Hub
Hub
Hub
Hub
Hub
Hub
Hub
Hub
Couche de
distribution
Couche
centrale
FDDI double
anneau
Serveurs
d'entreprise
Le modle avec hubs et routeurs est volutif, grce aux fonctionnalits de protocoles de routage
intelligent, tels OSPF et EIGRP. La couche de distribution reprsente la ligne de dmarcation entre
la couche daccs et la couche centrale.
Les routeurs de la couche de distribution assurent la segmentation, ainsi que la terminaison de
domaines de collision et de domaines de broadcast. Le modle est cohrent et dterministe, ce qui
simplifie les tches de dpannage et dadministration. Il sadapte efficacement tous les protocoles
de rseau, tels que Novell IPX, AppleTalk, DECnet et TCP/IP.
Ce modle est simple configurer et maintenir, en raison de sa modularit. Les routeurs de la couche
de distribution sont tous configurs avec les mmes fonctionnalits, et les lments de configuration
398
Partie I
Architecture de rseaux
courants peuvent simplement tre copis. Le comportement des routeurs est donc prvisible, ce qui
facilite lidentification des problmes.
La charge de la commutation de paquets de niveau 3 et des services intermdiaires est rpartie entre
tous les routeurs.
La puissance de traitement dun rseau fond sur ce modle peut voluer, au fur et mesure
quaugmentent les exigences en matire de performances. Le mdia partag au niveau de la couche
daccs et de la couche centrale peut voluer vers la commutation de niveau 2, et la couche de
distribution peut voluer vers la commutation de niveau 3, au moyen de commutateurs multicouches. La monte en puissance du mdia partag (niveau 1) naffecte pas la structure dadressage du
rseau, la conception logique ou la configuration des routeurs.
Modle de VLAN de campus
La Figure 12.5 illustre une conception traditionnelle de VLAN de campus existant. La commutation
de niveau 2 est mise en uvre sur les couches centrale, de distribution et daccs. Quatre groupes de
travail sont distribus travers plusieurs commutateurs de couche daccs. La connectivit entre ces
groupes de travail est ralise au moyen du routeur X, qui est reli aux quatre VLAN. La commutation et les services de niveau 3 sont concentrs sur ce routeur. Les serveurs dentreprise sont placs
derrire le routeur sur diffrents rseaux logiques reprsents par les lignes.
Figure 12.5
Conception de rseau
VLAN de campus.
Immeuble A
Immeuble B
Immeuble C
Couche
d'accs
Couche de
distribution
Couche
centrale
Distribution
de serveurs
Serveur de
groupe de
travail
Serveur
d'entreprise
reli via ISL
Serveurs
d'entreprise
Les connexions de VLAN au routeur X pourraient tre remplaces par un seul tronon ISL. Dans
les deux cas, le routeur X est dsign par le terme routeur manchot (one-armed router), du fait quil
reoit et transmet tout le trafic sur le mme port. Davantage de routeurs pourraient tre employs
pour rpartir la charge, auquel cas chacun deux serait reli plusieurs, voire tous les VLAN. Le
Chapitre 12
399
trafic entre les groupes de travail doit traverser le rseau partir du VLAN source, vers un port du
routeur passerelle, afin dtre redirig vers le VLAN de destination.
La Figure 12.6 illustre une variante du modle de VLAN de campus qui tire parti de la commutation
multicouche. Le commutateur X fait partie de la srie de commutateurs multicouches Catalyst 5000. Le routeur manchot est remplac par un module RSM (Route Switch Module) et par la
fonction de commutation matrielle de niveau 3 de la carte NetFlow Feature Card (NFFC). Les
serveurs dentreprise situs dans la ferme de serveurs pourraient tre rattachs au moyen de Fast
Ethernet (FE) 100 Mbit/s, ou Fast EtherChannel (FEC), afin dobtenir une bande passante duplex
(FDX, Full DupleX) qui atteigne les 200 Mbit/s ou 400 Mbit/s.
Figure 12.6
Rseau VLAN de
campus avec une
commutation
multicouche.
Immeuble A
Immeuble B
Immeuble C
Couche
d'accs
Couche de
distribution
Couche
centrale
Serveur
FEC/ISL
Serveur de
groupe
de travail
X
Distribution
de serveurs
Commutateur
multicouche
Catalyst 5000
Serveurs
d'entreprise
relis via FE
Si
Serveur
d'entreprise
reli via FEC
Le modle de VLAN de campus est trs dpendant de la rgle des 80/20. Lorsque 80 % du trafic
demeurent dans les limites dun groupe de travail, 80 % des paquets sont commuts au niveau 2,
entre le client et le serveur. Toutefois, si 90 % du trafic sont transmis aux serveurs dentreprise dans
la ferme de serveurs, 90 % des paquets sont commuts par le routeur manchot. Ladaptabilit des
performances du modle VLAN est limite par les caractristiques du protocole STP. Chaque
VLAN quivaut un rseau pont linaire.
La souplesse de ce modle autorise le dplacement de stations terminales configures de faon statique vers un autre tage ou immeuble au sein du mme campus, grce au serveur VMPS (VLAN
Membership Policy Server) de Cisco et au protocole VTP (VLAN Trunking Protocol). Par exemple,
400
Partie I
Architecture de rseaux
un utilisateur mobile peut connecter un PC portatif un port LAN situ dans un autre immeuble. Le
commutateur local envoie une requte au serveur VMPS, afin de connatre les rgles daccs pour
lutilisateur, et de savoir quel VLAN il appartient, puis ajoute le port de lutilisateur au VLAN
appropri.
MPOA (Mutliprotocol over ATM)
MPOA ajoute des fonctionnalits de commutation de niveau 3 sur un rseau LANE ATM. Linfrastructure ATM est identique celle dun rseau LANE ATM. Les LECS et LES/BUS de chaque
ELAN sont configurs de la mme manire. La Figure 12.7 prsente les lments dune conception
de petit rseau de campus avec MPOA.
Figure 12.7
Client
VLAN A
Conception
de rseau de
campus avec
MPOA.
Client
VLAN B
Commutateur
d'accs
MPC
Serveur
d'entreprise
MPC
X
Serveur MPS multiprotocole
route le premier paquet
du flot unicast IP
Serveurs d'entreprise
Commutateur
d'accs
MPC
Serveur
d'entreprise
reli via FEC
MPOA ajoute les lments matriels et logiciels MPC (MultiProtocol Client, client multiprotocole)
sur les commutateurs daccs, ainsi que sur le serveur multiprotocole (MPS, MultiProtocol Server)
qui est implment au niveau logiciel sur le routeur X. Lorsque le client du VLAN B communique
avec un serveur dentreprise situ dans la ferme de serveurs, le premier paquet est transmis par le
client MPC sur le commutateur daccs au serveur MPS, au moyen de LANE. Le serveur fait suivre
le paquet vers le client MPC de destination, toujours en utilisant LANE, puis demande aux deux
MPC dtablir une connexion SVC (Switched Virtual Circuit, circuit virtuel commut) directe entre
le sous-rseau A et le sous-rseau de la ferme de serveurs.
Chapitre 12
401
Avec MPOA, les paquets unicast IP empruntent le circuit virtuel commut, tel que spcifi. En
revanche, les paquets multicast sont envoys au BUS, afin dinonder le rseau ELAN dorigine.
Ensuite, le routeur X reproduit le trafic multicast vers le BUS de chaque ELAN ayant besoin de le
recevoir, tel que dfini par le routage multicast. Puis, les BUS en question inondent chaque ELAN
de destination avec le paquet.
Les paquets de protocoles autres que IP suivent toujours une logique ditinraire LANE-routeurLANE, sans tablir de circuit virtuel commut. La conception de MPOA doit tenir compte de la
quantit de trafic broadcast, multicast, et non IP, en rapport avec les performances du routeur.
Limplmentation de MPOA devrait tre envisage sur les rseaux qui transportent principalement
un trafic unicast IP, ainsi que sur les tronons ATM relis au commutateur darmoire de cblage.
Modle multicouche
Pour concevoir des rseaux de campus efficaces et volutifs, il faut se reprsenter le rseau comme
tant un grand puzzle modulaire, dans lequel de nouvelles pices peuvent facilement tre ajoutes
(une pice peut tre un nouvel immeuble, un nouveau groupe dutilisateurs ou une ferme de
serveurs, par exemple). Lobjectif du modle multicouche est dintroduire les diffrentes couches
dans cette reprsentation modulaire.
Nouvelle rgle 80/20
La rgle 80/20 traditionnelle est sous-jacente aux modles de conception vus dans la section prcdente. Avec le modle de VLAN de campus, le groupe de travail logique est rparti travers le
rseau, mais demeure organis de faon que 80 % du trafic soient maintenus dans les limites du
VLAN. Les 20 % de trafic restants quittent le rseau ou sous-rseau par lintermdiaire dun
routeur.
Cette rgle est apparue, car chaque dpartement ou groupe de travail disposait dun serveur local
sur le LAN. Ce serveur tait exploit comme serveur de fichiers, douverture de sessions et dapplications. La rgle 80/20 a rapidement volu, avec lmergence des intranets et des applications
dentreprise qui sappuient sur les services IP distribus. De nombreuses applications, nouvelles ou
existantes, sorientent vers le Web distribu pour le stockage et lextraction de donnes. En consquence, le modle de trafic volue maintenant vers une rgle 20/80, cest--dire que 20 % seulement du trafic sont rservs au groupe de travail LAN et que les 80 % restants quittent le rseau.
Composants du modle multicouche
Les performances de la commutation multicouche rpondent aux exigences de cette nouvelle rgle
de trafic 20/80. Les deux composants de la commutation multicouche sur la srie Catalyst 5000
sont le module RSM et la carte NetFlow Feature Card. Le module RSM (Route Switch Module) est
un routeur multiprotocole sur carte, fond sur le systme IOS de Cisco, qui prsente des performances et des fonctionnalits semblables celles du routeur Cisco 7500 RSP2. La carte NetFlow
Feature Card (NFFC/NFFC-2) est une carte fille pour le moteur superviseur (Supervisor Engine),
de la famille de commutateurs Catalyst 5000. Elle assure la fois la commutation de niveau 3 pour
IP, multicast IP ou IPX, et la commutation de niveau 2 au niveau matriel, grce des circuits intgrs spcialiss (ASIC). Il est important de noter que les performances quelle affiche pour la
commutation de niveau 3 ne sont pas infrieures celles obtenues pour la commutation de niveau 2.
402
Partie I
Architecture de rseaux
Une alternative est la srie 6000, plus puissante, ainsi que son module de commutation multicouche
MSM (Multilayer Switching Module), qui se fonde sur le module SRP (Switch Route Processor) du
Catalyst 8510, avec des performances qui atteignent les 6 millions de paquets par seconde pour IP
et IPX. Pour encore plus de puissance, la carte MSFC (Multiprotocol Switching Feature Card), de la
famille de Catalyst 6000, peut tre utilise afin dobtenir des performances qui atteignent les
15 millions de paquets par seconde pour IP et IPX.
La Figure 12.8 illustre une conception de rseau de campus multicouche simple. Le rseau consiste
en trois immeubles, A, B et C, relis au moyen dune pine dorsale (couche centrale). La couche de
distribution est forme de commutateurs multicouches de la famille Catalyst 5000 ou 6000. Le
modle multicouche tire parti des performances et des fonctionnalits de commutation de niveau 2
offertes par cette srie de commutateurs. Il permet galement de prserver la conception ainsi que
ladressage logique du rseau existant, comme dans le modle traditionnel avec hubs et routeurs.
Les sous-rseaux de la couche daccs se terminent au niveau de la couche de distribution, de mme
que les sous-rseaux dpine dorsale. Par consquent, le modle multicouche ne consiste pas en des
rseaux VLAN de campus, mais tire parti des tronons VLAN, comme mentionn prcdemment.
Figure 12.8
Conception de rseau
de campus multicouche
avec commutation
multicouche.
Station de travail
relie via FEC
Immeuble A
Immeuble B
Immeuble C
Couche
d'accs
Couche de
distribution
Commutateur
de niveau 2
Catalyst 5000
Si
Si
Si
Serveur
d'immeuble
reli via ISL
Commutateur
multicouche
Catalyst 5000
Couche
centrale
Commutateur
de niveau 2
Catalyst 5000
Serveur
d'entreprise
reli via FEC
La commutation de niveau 3 est employe au niveau de la couche de distribution du modle multicouche ; cest de l que proviennent bon nombre des avantages propres au routage. Cette couche
reprsente une frontire qui empche le trafic broadcast de circuler entre un immeuble et lpine
dorsale. Les fonctionnalits valeur ajoute du systme Cisco IOS sont exploites ce niveau. La
couche de distribution commute, par exemple, les informations en cache relatives aux serveurs
Novell, et rpond aux requtes GNS (Get Nearest Server) de clients Novell, dans un immeuble. Les
messages du protocole DHCP (Dynamic Host Configuration Protocol) envoys par des stations IP
mobiles un serveur DHCP en sont un autre exemple.
Au niveau des commutateurs multicouches de la couche de distribution, le systme Cisco IOS
implmente une autre fonctionnalit, appele LAM (Local-Area Mobility, mobilit locale). La
Chapitre 12
403
LAM est utile sur les intranets de campus qui nont pas dploy de services DHCP ; elle autorise
des stations de travail configures avec des passerelles et des adresses IP statiques tre dplaces
sur tout le rseau. LAM fonctionne en propageant ladresse des htes mobiles (route dhte ou
32 bits) vers la table de routage de niveau 3.
Il existe en fait des centaines de fonctionnalits Cisco IOS intressantes qui permettent damliorer
la stabilit, lvolutivit et la gestion des rseaux dentreprise. Elles sappliquent tous les protocoles que lon peut rencontrer sur un rseau de campus, tels que DECnet, AppleTalk, IBM SNA,
Novell IPX, TCP/IP, etc. Un facteur commun ces fonctionnalits est quelles influent toutes sur
lensemble du rseau, cest--dire quelles sont globales. Elles sopposent en cela des caractristiques telles que la densit de ports ou les performances de ports, qui concernent un seul quipement.
Ces caractristiques individuelles nont pas grand-chose voir avec la stabilit, lvolutivit et la
facilit de gestion des rseaux dentreprise.
Le principal atout du modle multicouche vient de sa nature hirarchique et modulaire. Il est hirarchique, car les couches sont clairement dfinies et spcialises. Il est modulaire, car tous les
lments dune mme couche excutent les mmes fonctions logiques. Le grand avantage dune
conception modulaire est quelle autorise le dploiement de diffrentes technologies, sans
rpercussion sur la structure logique du modle. Par exemple, Token Ring peut tre remplac par
Ethernet, FDDI par Fast Ethernet commut, des hubs par des commutateurs de niveau 2, Fast Ethernet par LANE ATM, LANE ATM par Gigabit Ethernet, etc. Une telle modularit facilite la migration et lintgration avec les technologies existantes.
Un autre avantage important de la conception modulaire est que tous les quipements dune couche
sont programms de la mme manire et excutent les mme tches, ce qui facilite grandement la
configuration. Le dpannage en est galement simplifi, car la conception densemble est hautement dterministe en termes de performances, de dtermination de chemin et de rtablissement la
suite de dfaillances.
Au niveau de la couche daccs, un sous-rseau correspond un VLAN. Un VLAN peut tre associ un ou plusieurs commutateurs de niveau 2. Inversement, un ou plusieurs VLAN peuvent tre
configurs au niveau dun seul commutateur de niveau 2. Si des commutateurs des sries Catalyst 4000, 5000 ou 6000 sont utiliss sur cette couche, les tronons VLAN (ISL ou 802.1q) autorisent lassignation souple de rseaux et de sous-rseaux sur plusieurs commutateurs. Plus loin dans
ce chapitre, des exemples de configuration avec deux VLAN par commutateur illustrent lutilisation
de tronons VLAN, afin dimplmenter lquilibrage de charge et la rcupration rapide aprs
panne entre la couche de distribution et la couche daccs.
Dans sa forme la plus simple, la couche centrale est un seul rseau logique, ou VLAN. Les exemples
de ce chapitre prsentent cette couche comme tant une simple infrastructure commute de niveau 2,
exempte de boucles. Il est prfrable dviter les boucles darbre recouvrant au niveau de cette
couche. La section suivante se concentre sur lexploitation de lquilibrage de charge et de la convergence rapide des protocoles de routage de niveau 3, tels que OSPF et EIGRP, pour grer la
dtermination de chemin et le rtablissement aprs panne, sur lpine dorsale. Par consquent, ces
fonctions sont gres au niveau de la couche de distribution du modle multicouche.
404
Partie I
Architecture de rseaux
A la Figure 12.8, un commutateur de la couche de distribution reprsente un point de panne potentiel pour un immeuble. Un millier dutilisateurs dans limmeuble A, par exemple, pourraient perdre
leur connexion avec lpine dorsale dans le cas dune panne de courant, ou dans le cas dun lien
dfaillant entre un commutateur darmoire de cblage et un commutateur de couche de distribution.
La Figure 12.9 illustre une conception multicouche qui traite ce problme.
Figure 12.9
Conception de rseau
de campus multicouche
redondante.
Nord
Ouest
Sud
Couche
d'accs
Couche de
distribution
Couche
centrale
Si
Si
Si
C
Si
Si
Si
Serveurs
d'immeuble
relis via ISL
Serveurs
d'entreprise
Serveur
d'entreprise
reli via FEC
La connectivit redondante des domaines nord, ouest et sud est assure par des commutateurs de la
couche de distribution. La redondance de lpine dorsale est mise en uvre avec linstallation de
deux commutateurs Catalyst, ou plus, au niveau de la couche centrale. Les liens redondants qui
partent de la couche de distribution vers la couche centrale assurent la reprise de fonction (failover),
ainsi que lquilibrage de charge sur plusieurs chemins, travers lpine dorsale.
Des liens redondants connectent donc chaque commutateur de la couche daccs un couple de
commutateurs Catalyst de la couche de distribution. Une reprise de fonction rapide au niveau 3 est
possible grce au protocole HSRP (Hot Standby Router Protocol) de Cisco. Les deux commutateurs de
couche de distribution dun domaine donn cooprent pour fournir des fonctions de routeur-passerelle
HSRP pour tous les htes IP de limmeuble. Au niveau 2, cest lalgorithme de convergence UplinkFast
de Cisco qui assure la reprise de fonction de la liaison principale vers la liaison de secours, et ce en trois
secondes environ.
Lquilibrage de charge travers la couche centrale est gre par des protocoles de routage intelligent de niveau 3, implments par le systme Cisco IOS. Dans notre exemple, il existe quatre
chemins de mme cot entre tous les immeubles, pris deux par deux. Comme le montre la
Figure 12.9, les quatre chemins entre le domaine nord et le domaine ouest sont AXC, AXYD, BYD
Chapitre 12
405
et BYXC. Ces chemins de niveau 2 sont considrs comme tant de cot gal par les protocoles de
routage de niveau 3. Notez que tous les chemins des domaines nord, ouest et sud vers lpine
dorsale comprennent un seul saut (hop). Le systme Cisco IOS supporte lquilibrage de charge sur
un maximum de six chemins de cot identique pour IP (ce que ne permet actuellement pas la srie
de routeurs de commutation Catalyst 8500, qui supporte seulement deux chemins de mme cot), et
sur davantage de chemins pour dautres protocoles.
La Figure 12.10 prsente le modle multicouche avec une ferme de serveurs dentreprise. Cette
ferme de serveurs est implmente en tant que bloc de conception modulaire, au moyen de la
commutation multicouche. Le tronon Gigabit Ethernet A transporte le trafic entre les serveurs. Le
tronon Fast EtherChannel B transporte le trafic de lpine dorsale. Tout le trafic interserveur est
maintenu lextrieur de lpine dorsale, ce qui prsente des avantages la fois en termes de scurit et de performances. Les serveurs dentreprise bnficient dune redondance HSRP rapide entre
les commutateurs multicouches X et Y. La stratgie daccs la ferme de serveurs peut tre contrle
par des listes daccs configures sur ces commutateurs. Dans cette figure, les commutateurs de
niveau 2 de couche centrale V et W sont spars des commutateurs de distribution de serveurs, par
souci de clart. Normalement, sur un rseau de cette taille, V et W seraient regroups avec X et Y.
Figure 12.10
Modle multicouche,
avec une ferme
de serveurs.
Nord
Ouest
Sud
Couche
d'accs
Couche de
distribution
Si
Si
Si
Si
Si
Si
Serveurs
d'immeuble
relis via ISL
Couche
centrale
Gigabit Ethernet
Distribution
de serveurs
Gigabit Ethernet
Si
Serveur
d'entreprise
reli via FEC
Si
Serveur
d'entreprise
reli via FEC
Le fait de regrouper des serveurs dans une ferme permet galement dviter les problmes lis la
redirection IP et de slectionner le meilleur routeur-passerelle, lorsque les serveurs sont directement
rattachs au sous-rseau dpine dorsale (voir Figure 12.9). En effet, HSRP ne serait pas utilis
pour les serveurs dentreprise illustrs dans cette figure. Ils emploieraient plutt Proxy ARP
406
Partie I
Architecture de rseaux
(Address Resolution Protocol), IRDP (Internet Router Discovery Protocol), GDP (Gateway Discovery
Protocol) ou la surveillance RIP (Routing Information Protocol) afin de constituer leurs tables de
routage.
La Figure 12.11 illustre le fonctionnement de HSRP entre deux commutateurs de la couche de
distribution. Les systmes htes se connectent un port de commutateur de couche daccs. Les
sous-rseaux numros pairs sont associs aux VLAN numros pairs, et les sous-rseaux numros impairs aux VLAN numros impairs. Le rle de routeur-passerelle HSRP principal est assur
par le commutateur X pour les sous-rseaux pairs, et par le commutateur Y pour les sous-rseaux
impairs. Le rle de routeur-passerelle HSRP de secours est assur par le commutateur Y pour les
sous-rseaux pairs, et par le commutateur X pour les sous-rseaux impairs. La convention suivie ici
est la suivante : chaque routeur-passerelle HSRP possde toujours une adresse dhte 100, cest-dire que la passerelle HSRP pour le sous-rseau 15.0 est 15.100. Si la passerelle 15.100 nest plus
alimente ou est dconnecte, le commutateur X endosse ladresse 15.100, ainsi que ladresse MAC
HSRP, en deux secondes environ.
Figure 12.11
Redondance
avec HSRP.
Hte A
Sous-rseau pair
Passerelle
10.1
10.0
10.100
Hte B
11.1
sous-rseau impair 11.0
Passerelle
11.100
Hte C
15.1
sous-rseau impair 15.0
Passerelle
15.100
Hte D
17.1
sous-rseau impair 17.0
Passerelle
17.100
Couche d'accs
Tronons ISL
Multiplexage VLAN
Fast Ethernet ou
Fast EtherChannel
X
HSRP principal
Sous-rseaux pairs
VLAN pairs
10, 12, 14, 16
Si
Si
HSRP principal
Sous-rseaux impairs
VLAN impairs
11, 13, 15, 17
La Figure 12.12 illustre lquilibrage de charge entre la couche daccs et la couche de distribution,
au moyen du protocole de tronons VLAN ISL (ou IEEE 802.1q) de Cisco. Dans cet exemple, les
VLAN 10 et 11 sont associs au commutateur A de la couche daccs, et les VLAN 12 et 13 au
commutateur B. Chaque commutateur de couche daccs possde ainsi deux tronons vers la
couche de distribution. Le protocole darbre recouvrant STP place les liens redondants dans un tat
bloquant, tel quillustr. La rpartition de la charge est mise en uvre en dsignant un tronon
comme tant le chemin de transmission actif pour les VLAN pairs, et lautre tronon comme tant
un chemin de transmission actif pour les VLAN impairs.
Chapitre 12
Figure 12.12
VLANs
10, 11
VLANs
12, 13
VLANs
14, 15
A
T10
B11
T11
B10
VLANs
16, 17
T12 T13
B13 B12
T14
B15
D
T15
B14
T16
B17
T transmission
B bloquant
X
Racine STP
VLAN pairs
10, 12, 14, 16
Si
407
T17
B16
Tronons ISL
Multiplexage VLAN
Fast Ethernet ou
Fast EtherChannel
Racine STP
VLAN impairs
11, 13, 15, 17
Si
Sur le commutateur A, le tronon T10 est le chemin de transmission du VLAN 10, et le tronon T11
celui du VLAN 11. Le tronon B11 est le chemin bloquant du VLAN 11, et le tronon B10 celui du
VLAN 10. Pour accomplir cela, le commutateur X est configur comme racine des VLAN pairs, et
le commutateur Y comme racine des VLAN impairs.
La Figure 12.13 illustre la configuration de la Figure 12.12, aprs une dfaillance de liaison, signifie par la grande croix. Lalgorithme UplinkFast fait en sorte que le tronon T10 du commutateur A
devienne le chemin de transmission actif du VLAN 11.
Figure 12.13
VLANs
10, 11
VLANs
14, 15
A
T10
B11
VLANs
12, 13
VLANs
16, 17
T12 T13
B13 B12
T14
B15
D
T15
B14
T16
B17
T transmission
B bloquant
Y
Racine STP
VLAN pairs
10, 12, 14, 16
Si
Si
T17
B16
Tronons ISL
Multiplexage VLAN
Fast Ethernet ou
Fast EtherChannel
Racine STP
VLAN impairs
11, 13, 15, 17
408
Partie I
Architecture de rseaux
Le trafic est commut sur le tronon Fast EtherChannel Z, si ncessaire. Le tronon Z est le chemin
de secours de niveau 2 de tous les VLAN du domaine, mais transporte galement le trafic en retour,
qui est rparti entre les commutateurs X et Y. Avec STP, la convergence se ferait en 40 50 secondes.
Avec UplinkFas, la reprise de fonction prend environ trois secondes.
Augmentation de la bande passante
Dans le modle multicouche, la capacit des tronons Ethernet peut tre accrue de diffrentes
manires. Ethernet peut migrer vers Fast Ethernet, qui, son tour, peut migrer vers Fast EtherChannel,
Gigabit Ethernet ou Gigabit EtherChannel. Les commutateurs de couche daccs peuvent grer de
nombreux VLAN qui comprennent de nombreux tronons. Le multiplexage VLAN avec ISL (ou
802.1q) peut ainsi tre mis en uvre sur les diffrents tronons.
Fast EtherChannel regroupe jusqu huit liaisons Fast Ethernet en un seul tronon de haute capacit.
Cette technologie est supporte par les familles de routeurs Cisco 7500 et 8500, et sur les sries de
commutateurs Catalyst 4000, 5000 et 6000. Son support a t annonc par plusieurs partenaires,
parmi lesquels Adaptec, Auspex, Compaq, Hewlett-Packard, Intel, Sun Microsystems et Znyx.
Grce aux tronons Fast EtherChannel, un serveur hautement performant peut tre connect
lpine dorsale avec une bande passante de 400 Mbit/s, pour un dbit total de 800 Mbit/s. Les
routeurs Cisco haut de gamme supportent galement Gigabit EtherChannel, et plusieurs fabricants
ont annonc des cartes rseau Gigabit.
La Figure 12.14 prsente les trois mthodes qui permettent daugmenter la bande passante entre un
commutateur de couche daccs et un commutateur de couche de distribution. Dans la configuration
"A optimale", tous les VLAN sont regroups sur Fast EtherChannel au moyen de ISL. La configuration
"B correcte" combine la segmentation et des tronons ISL. Enfin, la configuration "C acceptable"
illustre une segmentation simple.
Figure 12.14
Augmentation de
la bande passante
de tronons Ethernet.
A
optimale
B
correcte
VLANs
1, 2, 3, 4, 5, 6
VLANs
1, 2, 3, 4, 5, 6
FEC ISL
VLANS
1, 2, 3, 4, 5, 6
400 Mbit/s
duplex
Si
Fast
1, 2 3, 4 5, 6 Ethernet
ISL
Si
C
acceptable
VLANs
1
Si
Fast
Ethernet
Chapitre 12
409
Il est conseill dimplmenter la configuration A lorsque cela est possible, car Fast EtherChannel
permet une exploitation plus efficace de la bande passante, en multiplexant le trafic de plusieurs
VLAN sur un seul tronon. Si vous ne disposez pas dune carte de ligne Fast EtherChannel, choisissez la configuration B. Si ni Fast EtherChannel, ni les tronons ISL ne sont envisageables, utilisez la
configuration C. Dans le cas dune segmentation simple, chaque VLAN utilise un seul tronon, ce
qui signifie quun tronon peut tre congestionn alors quun autre reste inexploit. De plus, davantage de ports sont ncessaires pour obtenir des performances quivalentes aux deux premires
configurations. Laugmentation de la bande passante des pines dorsales ATM se fait par lajout de
tronons OC-3, OC-12 ou OC-48. Le routage intelligent fourni par le protocole PNNI (Private
Network-to-Network Interface) gre lquilibrage de charge et la reprise rapide de fonction.
Organisation de la couche centrale
Domaine A
Couche de
distribution
Couche
centrale
Domaine B
Si
Si
Si
VLAN
100
Sous-rseau IP
131.108.1.0
Distribution
de serveurs
Domaine C
Y
Si
Serveurs
Web IP
WWW
VLAN
200
Rseau IPX
BEEF0001
Si
Serveurs
de fichiers
Novell IPX
Serveurs
de groupe
de travail
410
Partie I
Architecture de rseaux
Bien entendu, il est prfrable que la topologie de lpine dorsale soit la plus simple possible. Un
nombre limit de VLAN ou ELAN est conseill. Les problmes dvolutivit relatifs un grand
nombre de commutateurs de niveau 3, relis deux par deux travers plusieurs rseaux, seront traits
plus loin, la section "Problmes dvolutivit".
Positionnement des serveurs
Les entreprises centralisent souvent leurs serveurs. Dans certaines situations, les services sont
regroups sur un seul serveur. Dans dautres, les serveurs sont regroups dans un centre de donnes,
pour des raisons de scurit physique ou de facilit dadministration. Dans un mme temps, il est de
plus en plus frquent que des groupes de travail ou des individus publient en local leur page sur le
Web et la rendent accessible pour lentreprise tout entire.
Dans le cas de serveurs centraliss relis directement lpine dorsale, tout le trafic client-serveur
passe dun sous-rseau de la couche daccs un sous-rseau de la couche centrale. Le contrle
stratgique de laccs aux serveurs dentreprise est implment au moyen de listes daccs, qui sont
appliques au niveau de la couche de distribution. Dans la Figure 12.16, le serveur W est rattach au
sous-rseau central via Fast Ethernet, et le serveur X via Fast EtherChannel. Comme mentionn
prcdemment, les serveurs relis directement lpine dorsale doivent utiliser Proxy ARP, IRDP,
GDP ou la surveillance RIP pour laborer leurs tables de routage. HSRP ne serait pas utilis sur les
sous-rseaux de couche centrale, car les commutateurs de la couche de distribution sont tous relis
diffrentes parties du rseau de campus.
Figure 12.16
Connexion de serveurs
dans le modle
multicouche.
VLANs
A,B,C,D
Couche
d'accs
Couche de
distribution
Serveur M
Groupe de travail D
Si
Si
Si
H
Serveur N
A,B,C,D
Couche
centrale
Distribution
de serveurs
X
HSRP
HSRP
Si
Serveur
d'entreprise
reli via FE
Si
Serveur
d'entreprise
reli via FEC
Les serveurs dentreprise Y et Z sont placs dans une ferme, en implmentant la commutation
multicouche sur les commutateurs de distribution de serveurs. Le serveur Y est reli par Fast Ethernet, et le serveur Z par Fast EtherChannel. Le moyen de contrler laccs ces serveurs est implment au moyen de listes daccs situes sur les commutateurs de couche centrale. Un autre
Chapitre 12
411
avantage important de la distribution de serveurs est quelle permet lutilisation de HSRP afin
dassurer la redondance avec reprise rapide de fonction. Elle permet galement de maintenir le
trafic interserveur en dehors de lpine dorsale.
Le serveur M se trouve dans le groupe de travail D, qui correspond un VLAN. Il est reli par
lintermdiaire de Fast Ethernet au port dun commutateur de couche centrale, puisque la majorit
du trafic vers ce serveur est interne au groupe de travail (rgle 80/20). Ce serveur pourrait tre dissimul lentreprise, grce la configuration dune liste daccs au niveau du commutateur H de
couche de distribution, si ncessaire.
Le serveur N est reli au commutateur H. Il sagit dun serveur dimmeuble, qui communique avec
les clients des VLAN A, B, C et D. Un chemin commut direct de niveau 2 entre le serveur N et les
clients des VLAN A, B, C et D peut tre implment de deux faons. A laide de quatre cartes
rseau, le serveur peut tre directement rattach chaque VLAN. A laide dune carte rseau ISL, il
peut communiquer directement avec les quatre VLAN, par lintermdiaire dun tronon VLAN.
A linstar du serveur M, le serveur N peut galement tre dissimul lentreprise, grce la configuration dune liste daccs au niveau du commutateur H, si ncessaire.
Epine dorsale LANE ATM
La Figure 12.17 illustre le modle de campus multicouche avec une pine dorsale LANE ATM.
Pour les clients qui requirent une qualit de service (QoS) garantie, ATM est une solution efficace.
Les applications relatives au transfert de la voix et de la vido en temps rel peuvent ncessiter des
fonctionnalits ATM, telles que la gestion de files dattente par flux, qui assure un contrle granulaire du dlai et de la gigue (jitter).
Figure 12.17
Modle multicouche,
avec couche centrale
LANE ATM.
Domaine A
Immeuble A
Couche de
distribution
Couche
centrale
LANE ATM
Distribution
de serveurs
Si
Domaine B
Immeuble B
Si
Si
Domaine C
Immeuble C
Si
Si
LECS de secours
LightStream
1010 ATM
LES/BUS
principal
Catalyst 5000
Serveurs
d'entreprise
Si
Lightstream 1010
ATM switch
LECS backup
Si
Si
Y
LES/BUS
de secours
Catalyst 5000
Serveur
d'entrepris
reli via FEC
Liaisons
montantes
OC-3 ou OC-12
LECS
principal
C7500
412
Partie I
Architecture de rseaux
Tous les commutateurs multicouches Catalyst 5000 de la couche de distribution sont quips dune
carte LANE, qui agit comme un client LEC, ce qui leur permet de communiquer travers lpine
dorsale. Cette carte est dote dune interface physique ATM OC-3 ou OC-12 redondante, appele
Dual-PHY. Dans la Figure 12.17, les lignes pleines reprsentent des lignes actives ; celles en pointills des lignes de secours dynamique (hot standby). Deux commutateurs LightStream 1010
forment la couche centrale ATM. Les routeurs et serveurs dots dinterfaces ATM natives sont
directement rattachs aux ports ATM de lpine dorsale. Les serveurs dentreprise situs dans la
ferme de serveurs sont relis par Fast Ethernet ou Fast EtherChannel aux commutateurs multicouches Catalyst 5000 X et Y. Ces derniers sont galement quips de cartes LANE, et agissent comme
LECS pour connecter les serveurs dentreprise bass Ethernet au rseau ELAN ATM de couche
centrale.
Les commutateurs de couche centrale LightStream 1010 peuvent tre relis par des tronons OC-3,
OC-12 ou OC-48, selon les besoins. Lorsque davantage de puissance est ncessaire, ces commutateurs peuvent tre remplacs par des routeurs multiservices Catalyst 8500. Le protocole PNNI gre
lquilibrage de charge ainsi que le routage intelligent entre les commutateurs ATM. Le routage
intelligent est dune importance capitale, au fur et mesure que le nombre de commutateurs de
couche centrale devient suprieur deux. Le protocole STP nest pas utilis sur lpine dorsale. Les
protocoles de routage intelligent, tels OSPF et EIGRP, assurent la dtermination de chemin ainsi
que la rpartition de la charge entre les commutateurs de la couche de distribution.
Cisco a implment le protocole SSRP (Simple Server Redundancy Protocol) afin dassurer la redondance des LECS et LES/BUS. Ce protocole est disponible sur les routeurs Cisco 7500, sur la srie de
commutateurs Catalyst 5000, et sur les commutateurs ATM LightStream 1010. Il est compatible avec
tous les LECS qui se conforment au standard LANE 1.0.
La carte LANE pour les commutateurs de la srie Catalyst 5000 est un BUS efficace qui affiche des
performances broadcast de 120 Kbit/s. Cette capacit suffit mme aux rseaux de campus les plus
grands. La Figure 12.17 prsente le couple LES/BUS principal sur le commutateur X et celui de
secours sur le commutateur Y. Sur un petit rseau de campus SSRP, la reprise de fonction LES/BUS
requiert seulement quelques secondes, mais peut atteindre plusieurs minutes sur un trs grand
rseau. Pour cette raison, des pines dorsales ELAN doubles sont souvent exploites sur les grands
rseaux de campus, afin doffrir une convergence rapide en cas de dfaillance LES/BUS.
Imaginez que deux ELAN, Rouge et Bleu, soient crs sur lpine dorsale. Si le couple LES/BUS
de lELAN Rouge est dconnect, le trafic est rapidement rerout vers lELAN Bleu, jusquau rtablissement de lELAN Rouge. Une fois ce dernier rtabli, les commutateurs multicouches de la
couche de distribution y rtablissent la communication et rinitient lquilibrage de charge sur les
deux ELAN. Ce processus sapplique aux protocoles routs, mais non aux protocoles ponts.
La base de donnes des LECS principal et de secours est configure sur les commutateurs ATM
LightStream 1010, en raison de leur position centrale. Lorsque ltat du ELAN est stable, le LECS
ne subit aucune surcharge processeur, puisquil est contact uniquement lorsquun nouveau LEC
rejoint lELAN. Par consquent, les performances ne rentrent pas vraiment en ligne de compte lors
du choix de lemplacement des LECS principal et de secours. Une option intressante pour un
LECS principal serait de le placer sur un routeur Cisco 7500, avec une connexion ATM directe
lpine dorsale, car il ne serait pas affect par le trafic de signalisation ATM dans le cas dune panne
LES/BUS.
Chapitre 12
413
La Figure 12.18 prsente une autre option dimplmentation de la couche centrale LANE qui utilise
des commutateurs Catalyst 5500. Ici, le Catalyst 5500 agit en tant que commutateur ATM, suite
lajout dune carte processeur ATM (ASP, ATM Switch Processor Card). De plus, il est configur en
tant que LEC au moyen dune carte LANE/MPOA OC-12, et en tant que commutateur de trames
Ethernet grce lajout de cartes de ligne Ethernet ou Fast Ethernet appropries. La ferme de
serveurs est implmente au moyen de la commutation multicouche. Le Catalyst 5500 combine les
fonctionnalits dun LightStream 1010 et dun Catalyst 5000 en un seul chssis. Grce au module
ATM FIM (Fabric Integration Module), il est galement possible de combiner en un seul chssis les
fonctionnalits du Catalyst 8510 SRP et celles du Catalyst 5500.
Figure 12.18
Couche centrale
LANE ATM, avec
des commutateurs
Catalyst 5500.
Domaine A
Immeuble A
Couche de
distribution
Si
Domaine B
Immeuble B
Si
Si
Domaine C
Immeuble C
Si
Si
Liaisons
montantes
OC-3 ou OC-12
Couche
centrale
LANE ATM
Distribution
de serveurs
Si
LES/BUS
principal
Catalyst 5500
LES/BUS de
secours
Catalyst 5500
Si
Serveurs
d'entreprise
Si
Serveur
d'entreprise
reli via FEC
Multicast IP
Les applications fondes sur le multicast IP occupent une place de plus en plus importante sur les
intranets dentreprise. Des applications telles IPTV, Microsoft NetShow et NetMeeting sont en
cours de dploiement. Plusieurs facteurs doivent tre pris en compte afin de pouvoir grer efficacement le trafic multicast :
m
les clients et les serveurs rejoignent des groupes multicast au moyen du protocole IGMP (Internet Group Management Protocol) ;
lagage darbres multicast avec CGMP (Cisco Group Multicast Protocol) et surveillance IGMP ;
stratgie multicast.
414
Partie I
Architecture de rseaux
Le protocole de routage multicast le plus utilis est PIM (Protocol-Independant Multicast). Il est
largement dploy sur lInternet et sur les rseaux dentreprise, et opre en collaboration avec de
nombreux protocoles de routage, tels que OSPF et EIGRP. Les routeurs PIM sont parfois
ncessaires pour pouvoir interagir avec DVMRP (Distance Vector Multicast Routing Protocol), qui
est un protocole de routage multicast existant dploy sur les pines dorsales multicast dInternet
(MBONE, Multicast backbone). Actuellement, 50 % des pines dorsales multicast lutilisent, et
lon sattend ce quil remplace un jour DVMRP.
PIM peut tre configur en mode dense (dense), clairsem (sparse), ou clairsem-dense (sparsedense). Le mode dense est utilis par des applications comme IPTV, cest--dire lorsque le rseau
de campus comprend un seul serveur multicast et de nombreux clients. Le mode clairsem est
utilis par les applications de groupe de travail, telles que NetMeeting. Dans les deux cas, PIM
labore des arbres multicast, afin de rduire la quantit de trafic qui circule sur le rseau, ce qui est
particulirement important pour les applications consommatrices en bande passante, comme la
vido en temps rel. Mais, dans la plupart des environnements, PIM est configur en mode clairsem-dense, de faon que le choix du mode se fasse automatiquement, selon les besoins. Cest-dire que le choix du mode dense ou clairsem est dtermin en fonction du mode utilis par le
groupe multicast.
IGMP est exploit par les clients et serveurs multicast afin de joindre ou dannoncer des groupes
multicast. Le routeur passerelle local transmet les diffusions multicast sur les sous-rseaux qui
comprennent des couteurs (listener) actifs, mais bloque le trafic dans le cas contraire. CGMP tend
llagage (prune) multicast jusquau commutateur Catalyst. Un routeur Cisco envoie un message
CGMP afin de fournir ladresse MAC de tous les htes qui appartiennent un groupe multicast.
Lorsque les commutateurs Catalyst reoivent le message CGMP, ils le transmettent uniquement aux
ports dont ladresse MAC se trouve dans leur table de transmission. Ce processus permet de bloquer
les paquets multicast en provenance de ports de commutateurs auxquels ne correspond aucun
membre de groupe en aval. En ce qui concerne les commutateurs de niveau 3, la surveillance IGMP
reprsente une solution plus efficace que CGMP, car elle leur fournit suffisamment de fonctionnalits pour pouvoir analyser les paquets IGMP en provenance de clients et crer les entres de table de
transmission appropries.
Larchitecture des commutateurs Catalyst leur permet de transmettre les flux multicast sur un port,
plusieurs ports ou tous les ports, sans que les performances en soient affectes. Ils peuvent grer un
ou plusieurs groupes multicast simultanment, la vitesse du cble.
Comme illustr la Figure 12.19, une faon dimplmenter une stratgie multicast est de regrouper
les serveurs multicast dans une ferme place derrire le commutateur Catalyst X. Ce dernier agit en
tant que pare-feu multicast. Il veille au respect des limitations de dbit et contrle laccs des
sessions multicast. Pour isoler davantage le trafic multicast, vous pouvez crer un VLAN/sousrseau multicast spar, au niveau de la couche centrale. Le VLAN multicast peut tre une partition
logique des commutateurs de couche centrale existants, ou un commutateur ddi, si le trafic est
trs dense. Un point de rendez-vous (RP, Rendezvous Point), cest--dire la racine dun arbre multicast, peut tre implment sur le commutateur X.
Chapitre 12
Figure 12.19
Pare-feu multicast
et pine dorsale.
Couche de
distribution
Si
Si
B
uniquement
415
C
uniquement
A
uniquement
X
Si
Si
Ferme de
serveurs
multicast
Ferme de
serveurs
multicast
Problmes dvolutivit
416
Partie I
Architecture de rseaux
de routage OSPF et la surcharge processeur augmentent en mme temps que le nombre de VLAN
ou ELAN. Cest pourquoi, il vaut mieux limiter le nombre de ces rseaux sur une pine dorsale. En
ce qui concerne les grandes pines dorsales LANE ATM, il est recommand de crer deux ELAN
(voir la section "Epine dorsale LANE ATM", plus haut dans ce chapitre).
Une autre considration importante relative lvolutivit de OSPF est la synthse de routage. Sur
un grand rseau de campus, il est recommand de configurer une zone OSPF par immeuble, et de
configurer les commutateurs de la couche de distribution en tant que routeurs interzones (ABR,
Area Border Router). La synthse de routage est mise en uvre en regroupant un bloc dadresses de
sous-rseaux contigus en une seule annonce au niveau du routeur interzones. Cela permet de
rduire la quantit dinformations de routage qui circulent sur le rseau, et damliorer la stabilit
de la table de routage. EIGRP peut tre configur de la mme manire pour cette fonctionnalit.
La surcharge de certains protocoles, tels que AppleTalk RTMP (Routing Table Maintenance Protocol), Novell SAP et Novell RIP, augmente en mme temps que le nombre dhomologues. Supposez
que douze commutateurs de couche de distribution soient relis lpine dorsale et excutent
Novell SAP. Si 100 services SAP sont annoncs sur le rseau de campus, chaque commutateur de
cette couche injecte 100 : 7 = 15 paquets SAP sur lpine dorsale toutes les 60 secondes. Tous ces
commutateurs reoivent et traitent donc 12 15 = 180 paquets SAP ce rythme. Le systme Cisco
IOS fournit des fonctionnalits comme le filtrage SAP, qui permet de bloquer les annonces SAP en
provenance de serveurs locaux lorsque cela est ncessaire. Nanmoins, 180 paquets est un nombre
raisonnable. Mais que dire de 100 commutateurs de couche de distribution qui annoncent 1 000 services SAP ?
La Figure 12.20 illustre la conception dune grande pine dorsale ATM redondante et hirarchique
de campus. Le couche centrale ATM, dsigne par la lettre B, consiste en huit commutateurs
LightStream 1010, avec un maillage partiel de tronons OC-12.
Figure 12.20
Epine dorsale ATM de
campus redondante
et hirarchique.
Si
Si
Si
C
Si
Si
Distribution
de serveurs
Si
Si
Si
Chapitre 12
417
Le domaine C est form de trois couples de commutateurs LightStream 1010, et peut tre configur
avec un prfixe dadresse ATM, rsum au niveau de sa connexion avec la couche centrale. Sur un
rseau de cette chelle, la configuration manuelle de la synthse de routage ne prsente pas vraiment davantage. La synthse par dfaut implique un maximum de 26 entres de routage, correspondant aux 26 commutateurs de la figure. Dans le domaine A, des couples de commutateurs de
couche de distribution sont rattachs au circuit de commutation ATM avec LANE OC-3. Une ferme
de serveurs situe derrire les commutateurs Catalyst X et Y est directement relie la couche
centrale, au moyen de cartes LANE/MPOA OC-12.
Stratgies de migration
Client
NetBIOS A
Migration FDDI et
Token Ring.
Couche
d'accs
Couche de
distribution
Client
SNA B
Token
Ring
Token
Ring
Si
Si
Si
Epine dorsale
Ethernet commute
Epine dorsale FDDI
double hbergement
FDDI
double
anneau
Si
Si
distribution
de serveurs
Serveurs
NetBIOS
Token
Ring
Token
Ring
418
Partie I
Architecture de rseaux
DLSw+ (Data Link Switching Plus) est limplmentation de Cisco du standard DLSw. Les trames
SNA en provenance du client SNA B natif sont encapsules dans TCP/IP par un routeur, ou un
commutateur de couche de distribution dans le modle multicouche. Un commutateur de couche de
distribution dsencapsule le trafic SNA vers un FEP (Front-End Processor, processeur frontal) reli
Token Ring dans le centre de donnes. Les commutateurs multicouches peuvent tre rattachs
Token Ring au moyen dune carte VIP (Versatile Interface Processor) et dun adaptateur de port
(Port Adapter) Token Ring.
Scurit dans le modle multicouche
Les listes de contrle daccs sont supportes par la commutation multicouche, sans entraner de
dgradation des performances. Etant donn que tout le trafic transite par la couche de distribution,
cest lendroit idal pour implmenter une stratgie de scurit fonde sur des listes de contrle
daccs. Celles-ci peuvent galement tre utilises dans le cadre de la scurit globale du rseau
afin de limiter laccs aux commutateurs eux-mmes. De plus, les protocoles TACACS+ et
RADIUS assurent un contrle centralis de laccs aux commutateurs. Le systme Cisco IOS fournit galement plusieurs niveaux dautorisation avec cryptage des mots de passe. Les responsables
de rseaux peuvent se voir assigner un niveau de permissions particulier qui leur donne accs des
ensembles de commandes spcifiques.
Limplmentation de la commutation de niveau 2 sur la couche daccs et sur la ferme de serveurs
prsente des avantages immdiats en matire de scurit. Sur un mdia partag, tous les paquets
sont visibles par tous les utilisateurs du rseau logique. Un utilisateur a ainsi la possibilit de visualiser des mots de passe ou des fichiers en clair. Sur un rseau commut, les conversations sont
accessibles uniquement lmetteur et au rcepteur ; avec une ferme de serveurs, tout le trafic interserveur est maintenu en dehors de lpine dorsale.
La scurit WAN est implmente au moyen de systmes pare-feu. Un pare-feu est constitu dun ou
de plusieurs routeurs et de systmes htes bastion placs sur un rseau spcial, appel zone dmilitarise (DMZ, Demilitarized Zone). Des serveurs de caches Web ainsi que dautres quipements parefeu peuvent tre relis la zone dmilitarise. Les routeurs pare-feu internes sont rattachs lpine
dorsale de campus au niveau de ce que lon pourrait appeler une couche de distribution WAN.
La Figure 12.22 illustre une conception avec couche de distribution WAN et des composants pare-feu.
Pontage dans le modle multicouche
En ce qui concerne les protocoles non routs, le pontage est configur. Le pontage entre les VLAN
de la couche daccs et lpine dorsale est gr par le module RSM (Route Switch Module), le Catalyst 6000 MSM/MSFC ou le routeur de commutation 8500. Etant donn que tous les VLAN de
couche daccs utilisent le protocole darbre recouvrant STP IEEE, le module RSM ne devrait pas
tre configur avec un groupe de pont (bridge group) IEEE. Le pontage IEEE a pour effet de
regrouper tous les arbres recouvrants de tous les VLAN en un seul arbre, avec un seul pont racine.
Configurez le module RSM avec un groupe de pont STP DEC afin de maintenir spars tous les
arbres recouvrants. Souvenez-vous que les commutateurs LAN excutent uniquement le protocole
STP IEEE. Il est recommand dutiliser une version rcente du systme IOS sur le module RSM
(ou MSM, ou encore SRP) afin de permettre aux units de donnes du protocole de pontage par
arbre recouvrant (BPDU, Bridge Protocol Data Units) DEC de circuler entre les modules RSM
jusquaux commutateurs Catalyst de couche 2, de faon transparente.
Chapitre 12
419
Figure 12.22
Distribution WAN
vers lInternet.
Si
Couche de
distribution
Si
Si
Si
Si
Si
Couche
centrale
distribution
WAN
X
Si
Si
Hte bastion
serveurs Web
quipements
pare-feu
dans la zone
dmilitarise
Commutateur
multicouche
comme routeur
pare-feu interne
Routeurs pare-feu
externes
ISPs
Ce chapitre a prsent plusieurs variantes du modle de conception multicouche. Quil soit implment avec des pines dorsales Ethernet commutation de trames ou avec des pines dorsales ATM
commutation de cellules, il prsente les mmes avantages de base. Le modle est hautement dterministe, ce qui facilite sa maintenance, au fur et mesure quil volue. Lapproche modulaire facilite lajout de nouveaux immeubles ou de fermes de serveurs. Des protocoles de routage intelligent
de niveau 3 grent lquilibrage de charge et la convergence rapide sur lpine dorsale. La structure
et ladressage logiques du modle hubs et routeurs sont prservs, ce qui rend la migration plus
aise. De nombreux services valeur ajoute du systme Cisco IOS, tels que les serveurs proxy, la
mise en uvre de tunnel et la synthse de routage, sont implments au moyen de listes daccs, au
niveau de la couche de distribution ou des commutateurs de distribution de serveurs.
La redondance et la convergence rapide sont assures par des fonctionnalits, telles que UplinkFast
et HSRP. La bande passante peut voluer depuis Fast Ethernet vers Fast EtherChannel ou Gigabit
Ethernet, sans quil soit ncessaire de modifier ladressage ou les stratgies en place. Grce aux
fonctionnalits du systme Cisco IOS, le modle multicouche supporte tous les protocoles de
campus courants, tels que TCP/IP, AppleTalk, Novell IPX, DECnet, IBM SNA, NetBIOS, etc. La
plupart des intranets les plus tendus et les plus russis sappuient sur ce modle. Il pargne tous les
420
Partie I
Architecture de rseaux
problmes dvolutivit rencontrs avec des conceptions pontes ou commutes linaires. Enfin,
grce la commutation multicouche, il peut grer la commutation de niveau 3 au niveau matriel,
sans provoquer de dgradation de performances, linverse de la commutation de niveau 2.
Rsum
Les conceptions de rseaux locaux de campus utilisent des commutateurs en remplacement des
hubs traditionnels, et emploient une combinaison approprie de routeurs afin de rduire la propagation des messages broadcast. Grce aux composants logiciels et matriels appropris en place et
une conception efficace, il est possible de construire des topologies semblables aux exemples
dcrits dans ce chapitre.
13
Protocole PIM Sparse Mode
Par Beau Williamson
Ce chapitre est extrait de louvrage Developing IP Multicast Networks, Volume I paru (en langue
anglaise) chez Cisco Press (ISBN : 1-57870-077-9).
Pour revoir les notions lmentaires du multicast IP, reportez-vous lAnnexe I.
A linstar du protocole PIM-DM (Protocol Independent Multicast Dense Mode), le protocole PIMSM (Protocol Independent Multicast Sparse Mode) utilise la table de routage unicast pour excuter
la fonction de contrle RPF (Reverse Path Forwarding, transmission sur chemin inverse) au lieu de
maintenir une table de routage multicast spare. Par consquent, quels que soient les protocoles
de routage unicast utiliss pour remplir la table de routage unicast (incluant les routes statiques),
PIM-SM utilise ces informations pour assurer la transmission multicast. Il est donc indpendant du
protocole.
Certaines des caractristiques essentielles de PIM-SM sont les suivantes :
m
pas de protocole de routage multicast spar du type protocole de routage multicast par
vecteur de distance (DVMRP, Distance Vector Multicast Routing Protocol) ;
sans classe ( condition que le routage unicast sans classe soit mis en uvre).
Ce chapitre prsente les mcanismes fondamentaux utiliss par PIM-SM, qui sont les suivants :
m
422
Partie I
arbres partags ;
enregistrement de source ;
basculement SPT ;
Architecture de rseaux
De plus, certains des mcanismes utiliss dans PIM-DM sont galement exploits par PIM-SM,
parmi lesquels :
m
valuations PIM.
Etant donn que ces mcanismes ne sont pas abords ici, tudiez-les avant de procder la lecture
de ce chapitre. Pour finir, ce chapitre se limite la prsentation du protocole PIM-SM, et donc ses
aspects lmentaires.
Chapitre 13
423
Les routeurs de dernier saut (cest--dire ceux auxquels sont directement connects des destinataires
pour un groupe multicast) qui doivent recevoir le trafic de la part dun groupe multicast spcifique
se joignent larbre partag. Lorsquun routeur de dernier saut na plus besoin de recevoir le trafic
dun groupe multicast spcifique (cest--dire lorsque plus aucun destinataire pour le groupe multicast nest directement connect au routeur), il sexclut lui-mme de larbre partag.
Etant donn que PIM-SM utilise un arbre partag unidirectionnel sur lequel le trafic peut seulement
circuler vers le bas de larbre, les sources multicast doivent senregistrer auprs du RP pour que leur
trafic multicast puisse tre transmis sur larbre (via le RP). Ce processus denregistrement dclenche
lenvoi dun message Join SPT par le RP vers la source lorsquil existe sur le rseau des destinataires
actifs pour le groupe multicast. Ces messages Join SPT sont dcrits plus en dtail la section "Arbres
de plus court chemin PIM-SM" et le processus denregistrement est dcrit la section "Enregistrement de source multicast".
Adhsion un arbre partag
La Figure 13.1 illustre la premire tape dadhsion un arbre partag dans le cas dune implmentation simple de PIM-SM. Dans cette tape, un seul hte (Destinataire 1) rejoint le groupe multicast G via un rapport dadhsion IGMP (Internet Group Membership Protocol).
Figure 13.1
Adhsion un arbre
partag PIM Etape 1.
A
RP
Rapport
d'adhsion
IGMP
Destinataire 1
(Groupe G )
Comme le destinataire 1 est le premier hte rejoindre le groupe multicast dans lexemple, le
routeur C doit crer une entre dtat (*,G) dans sa table de routage multicast pour ce groupe multicast. Il place ensuite linterface Ethernet dans la liste des interfaces sortantes de lentre (*,G) (voir
la flche, Figure 13.1). Etant donn que le routeur C d crer une nouvelle entre dtat (*,G), il
doit galement envoyer au RP un message Join PIM (*,G)(voir la flche en pointills, Figure 13.2),
afin de rejoindre larbre partag. Le routeur C sappuie sur sa table de routage multicast pour dterminer linterface utiliser en direction du RP.
424
Partie I
Architecture de rseaux
Figure 13.2
Adhsion un arbre
partag PIM Etape 2.
A
RP
Join (*,G)
Destinataire 1
(Groupe G )
Le RP reoit le message Join (*,G), et comme il navait pas non plus dentre dtat pour le groupe
multicast G, il cre une entre dtat (*,G) dans sa table de routage multicast et ajoute la route vers
le routeur C dans sa liste dinterfaces sortantes. A ce stade, un arbre partag pour le groupe multicast G a t construit entre le RP, le routeur C et le destinataire 1 (voir les flches en gras,
Figure 13.3). A prsent, tout le trafic adress au groupe multicast G qui atteint le RP peut circuler
vers le bas de larbre partag en direction du destinataire 1.
Figure 13.3
Adhsion un arbre
partag Etape 3.
A
RP
Destinataire 1
(Groupe G )
Poursuivons avec notre exemple en supposant quun autre hte (Destinataire 2) rejoigne le groupe
multicast G (voir Figure 13.4). A nouveau, cet hte fait part de son dsir de joindre le groupe multicast en envoyant un rapport dadhsion IGMP au routeur E.
Chapitre 13
425
Figure 13.4
Adhsion un arbre
partag Etape 4.
A
RP
E
Rapport d'adhsion IGMP
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Comme le routeur E navait pas dentre dtat pour le groupe multicast G, il cre une entre dtat
(*,G) dans sa table de routage multicast et ajoute linterface Ethernet dans sa liste dinterfaces
sortantes (voir la flche en gras au niveau du routeur E, Figure 13.5). De plus, puisquil a d crer
une entre dtat (*,G), il envoie au RP un message Join (*,G), (voir la flche en pointills,
Figure 13.5), afin de rejoindre larbre partag pour le groupe G.
Figure 13.5
Adhsion un arbre
partag Etape 5.
A
Destinataire 1
(Groupe G )
RP
Join (*,G)
Destinataire 2
(Groupe G )
Lorsque le routeur C reoit le message Join (*,G) du routeur E, il dcouvre quil possde dj une
entre dtat (*,G) pour le groupe G, cest--dire quil participe dj larbre partag pour ce
groupe. Par consquent, il ajoute simplement le lien vers le routeur E dans la liste dinterfaces
sortantes de son entre (*,G).
426
Partie I
Architecture de rseaux
La Figure 13.6 prsente larbre partag rsultant (signifi par les flches en gras), qui inclut les
routeurs C et E ainsi que leurs htes directement connects, cest--dire les destinataires 1 et 2.
Figure 13.6
Adhsion un arbre
partag Etape 6.
A
RP
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Etant donn que PIM-SM utilise le modle dadhsion explicite pour construire des arbres de distribution lorsque ncessaire, il emploie galement des messages dlagage (Prune) pour exclure des
branches lorsque celles-ci nont plus besoin de recevoir le trafic multicast. On pourrait tout aussi bien
stopper lenvoi priodique de messages Join servant lactualisation de larbre et autoriser les branches le quitter. Toutefois, il en rsulterait une exploitation peu efficace des ressources de rseau.
A titre dexemple, supposez que le destinataire 2 quitte le groupe multicast G en envoyant un message
Leave IGMP (de dpart) au routeur E (voir Figure 13.7).
Figure 13.7
Elagage darbre
partag Etape 1.
A
RP
E
Leave IGMP
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Chapitre 13
427
Comme le destinataire 2 tait le seul hte ayant rejoint le groupe multicast G sur linterface Ethernet du routeur E, cette interface est supprime de la liste dinterfaces sortantes de son entre (*,G)
(voir labsence de flche entre le routeur E et le destinataire 2, Figure 13.8). Une fois linterface
supprime, la liste dinterfaces sortantes pour cette entre se retrouve vide (nulle), ce qui veut dire
que le routeur E na plus besoin de recevoir de trafic pour ce groupe. Il envoie donc au RP un
message Prune (*,G) (voir Figure 13.8), pour sexclure de larbre partag.
Lorsque le routeur C reoit le message Prune, il supprime son lien vers le routeur E de sa liste
dinterfaces sortantes pour lentre (*,G) (voir labsence de flche entre ces deux routeurs,
Figure 13.9). Toutefois, comme le routeur C comprend toujours un hte directement connect pour
le groupe multicast (Destinataire 1), sa liste dinterfaces sortantes pour lentre (*,G) ne se retrouve
pas vide (non nulle). Par consquent, il demeure dans larbre partag et nenvoie pas de message
Prune au RP.
Figure 13.8
Elagage darbre
partag Etape 2.
A
Prune (*,G)
RP
Destinataire 1
(Groupe G )
Figure 13.9
Elagage darbre
partag Etape 3.
A
Destinataire 1
(Groupe G )
RP
428
Partie I
Architecture de rseaux
NOTE
Lexemple dlagage darbre partag prsent dans cette section naborde pas la situation dans laquelle un
message Prune (*,G) est envoy sur un rseau multiaccs (tel quun segment Ethernet) sur lequel plusieurs
routeurs PIM-SM continuent faire partie du mme arbre partag.
La prochaine section prsente le processus de construction dun arbre SPT au moyen de messages Join
et Prune (S, G). Ne perdez pas de vue que lobjectif est ici de comprendre les concepts lmentaires de
Chapitre 13
429
ladhsion. Les situations et conditions dans lesquelles des routeurs PIM-SM rejoignent habituellement
un arbre SPT seront traites plus loin dans ce chapitre.
Adhsion un arbre SPT
Dans la section "Adhsion un arbre partag" plus haut dans ce chapitre, nous avons vu quun
routeur envoie au RP un message Join (*,G) pour se joindre larbre partag et recevoir ainsi le
trafic multicast pour un groupe multicast, le groupe G. Toutefois, nous allons voir ici quen
envoyant un message Join (S, G) vers une source S, un routeur peut tout aussi facilement joindre
larbre SPT pour cette source et recevoir directement le trafic multicast envoy par S au groupe G.
La Figure 3.10 illustre lenvoi dun message Join (S, G) vers une source active pour participer
larbre SPT. Ici, le destinataire 1 a dj rejoint le groupe G, comme illustr par la flche en gras au
niveau du routeur E.
Figure 13.10
Source S1
(Groupe G )
Join (S1, G)
RP
SPT
Destinataire 1
(Groupe G )
Pour notre exemple, nous allons supposer que le routeur E sait (par magie) que la source S1 est active
pour le groupe G.
NOTE
En ralit, le routeur E aurait appris que la source S 1 est active suite la rception dun paquet provenant
de la source via larbre partag. Toutefois, pour mettre en vidence le fait que les arbres SPT sont indpendants des arbres partags (et pour simplifier lexemple), ignorons ce dtail et concentrons-nous sur la possibilit qua un routeur de joindre explicitement un arbre SPT, de la mme manire quil peut joindre un
arbre partag.
430
Partie I
Architecture de rseaux
Comme le routeur E souhaite joindre larbre SPT pour la source S1, il envoie un message Join (S1, G)
vers la source. Il dtermine linterface approprie pour envoyer ce message en calculant linterface
RPF en direction de la source S1. Le processus de calcul RPF sappuie sur la table de routage
unicast qui indique que le routeur de premier saut vers la source est le routeur C.
Lorsque le routeur C reoit le message Join (S1, G) du routeur E, il cre une entre (S1, G) dans sa
table de transmission multicast et ajoute linterface de rception du message dans la liste dinterfaces sortantes de lentre (voir la flche en gras entre les routeurs C et E, Figure 13.11). Etant donn
que le routeur C a d crer une entre dtat pour (S1, G), il envoie galement vers la source un
message Join (S1, G) (voir la flche en pointills, Figure 13.11).
Figure 13.11
Source S1
(Groupe G )
RP
Join (S1, G)
C
SPT
Destinataire 1
(Groupe G )
Lorsque le routeur A reoit le message Join (S1, G), il ajoute le lien vers le routeur C dans la liste
dinterfaces sortantes de son entre (S1, G) existante (voir la flche en gras entre ces deux routeurs,
Figure 13.12). Le routeur A, aussi appel routeur de premier saut pour la source S1, a dj cr une
entre (S1, G) lorsquil a reu le premier paquet multicast en provenance de la source.
Elagage dun arbre SPT
Un arbre SPT peut tre lagu au moyen de messages Prune (S1, G), de la mme manire quun
arbre partag peut ltre laide de messages Prune (*,G).
NOTE
A nouveau, lexemple dlagage darbre SPT prsent dans cette section naborde pas la situation dans
laquelle un message Prune (S, G) est envoy sur un rseau multiaccs (tel quun segment Ethernet) sur
lequel plusieurs routeurs PIM-SM continuent faire partie du mme arbre SPT.
Chapitre 13
431
Figure 13.12
Source S1
(Groupe G )
RP
Destinataire 1
(Groupe G )
Supposez maintenant que le routeur E ne possde plus de destinataire directement connect pour le
groupe G et quil na donc plus besoin de recevoir de trafic (S1, G). Il envoie donc vers la source S1
un message Prune (S1, G) (voir la flche en pointills, Figure 13.13).
Figure 13.13
Source S1
(Groupe G )
Prune (S1, G)
RP
Lorsque le routeur C reoit le message Prune (S1, G) du routeur E, il supprime linterface de rception
du message de la liste des interfaces sortantes de son entre (S1, G) (voir labsence de flche entre ces
deux routeurs, Figure 13.14). Comme le routeur C se retrouve avec une liste dinterfaces sortantes vide,
il doit envoyer vers la source S1 un message Prune (S1, G) (voir la flche en pointills, Figure 13.14).
432
Partie I
Architecture de rseaux
Figure 13.14
Source S1
(Groupe G )
RP
Prune (S1, G)
Lorsque le routeur A reoit le message Prune (S1, G) du routeur C, il supprime linterface de rception
du message de la liste des interfaces sortantes de son entre (S1, G) (voir labsence de flche entre ces
deux routeurs, Figure 13.15). Toutefois, comme le routeur A est le routeur de premier saut pour la
source S1, cest--dire quil y est directement connect la source, plus aucune action na lieu et il
continue simplement supprimer les paquets provenant de la source S1, car la liste des interfaces
sortantes pour lentre (S1, G) est vide.
Figure 13.15
Source S1
(Groupe G )
RP
NOTE
Les exemples darbres SPT utiliss ici ont t radicalement simplifis afin de faciliter la comprhension du
concept SPT dans PIM-SM. A nouveau, lobjectif tait de dmontrer que le mcanisme explicite dadhsion/
lagage PIM-SM peut aussi bien tre mis en uvre avec des arbres SPT quavec des arbres partags. Cette
possibilit prend toute son importance dans les prochaines sections relatives lenregistrement de source
et au basculement SPT.
Chapitre 13
433
Adresse source multicast. Adresse IP de la source multicast. Si le bit WC est activ, il sagit de
ladresse du RP.
Bit WC (Wildcard flag, indicateur gnrique). Signifie que les destinataires en aval du RP
sattendent recevoir des paquets de toutes les sources via cet arbre partag (*,G).
Bit RP (RP Tree flag, indicateur RPT). Cette information dadhsion/lagage sapplique
larbre partag et doit tre transmise vers son sommet.
En combinant ces informations dans chaque entre de liste dadhsion/lagage, diffrentes requtes
peuvent tre formules vers un routeur en amont.
Par exemple, un message Join/Prune PIM comprenant lentre suivante dans la liste dadhsion :
Adresse source = 192.16.10.1
Adresse de groupe = 224.1.1.1
Indicateurs = WC, RP
indique quil sagit dune requte Join (*, G) (signifi par les bits WC et RP activs) pour le groupe
224.1.1.1 dont le RP est 192.16.10.1.
Un message Join/Prune PIM comprenant lentre suivante dans la liste dlagage :
Adresse source = 191.1.2.1
Adresse de groupe = 239.255.1.1
Indicateurs = Aucun
indique quil sagit dune requte Prune (S, G) (signifi par la non activation des bits WC et RP)
pour la source 191.1.2.1, groupe 239.255.1.1.
NOTE
Les informations relatives au contenu des messages Join/Prune sont prsentes ici, car elles sont particulirement importantes pour comprendre le processus dlagage de flux de trafic provenant dune source
spcifique sur un arbre partag, dcrit plus loin dans la section "Basculement SPT".
434
Partie I
Architecture de rseaux
Chapitre 13
435
NOTE
On simagine souvent, tort, quune source doit senregistrer avant quun destinataire ne puisse participer
un arbre partag. En ralit, des destinataires peuvent joindre un arbre partag mme sil nexiste aucune
source active. Ainsi, lorsquune source devient active, le RP joint alors larbre SPT vers la source et commence
transmettre le trafic vers le bas de larbre partag. De la mme manire, une source peut senregistrer en
labsence de destinataires actifs sur le rseau. Ensuite, lorsquun destinataire rejoint le groupe, le RP joint
larbre SPT vers toutes les sources du groupe et commence transmettre le trafic sur larbre partag.
La section suivante dcrit le processus denregistrement dune source au moyen de messages PIM
Register et RegisterStop. Ce processus opre en signalant un RP une source active sur le rseau
et en transmettant les paquets multicast initiaux au RP pour quil les envoie vers le bas de larbre
partag. En fin de section, un exemple dtaill illustre ce processus.
Messages Register PIM
Les messages Register PIM sont envoys au RP par les routeurs DR (Designated Router) de
premier saut, cest--dire ceux qui sont directement connects une source multicast. Ces messages
remplissent deux objectifs :
1. Notifier le RP que la source S est active pour le groupe G.
2. Transmettre au RP les paquets multicast initiaux envoys par la source S1 (chacun encapsul
dans un seul message Register) pour quil les achemine sur son arbre partag.
Par consquent, lorsquune source multicast commence mettre, le DR qui lui est directement
connect reoit les paquets multicast quelle envoie et cre une entre dtat (S, G) dans sa table de
routage multicast. De plus, comme le DR est directement reli la source, il encapsule chaque
paquet multicast dans un message Register spar et les envoie au RP en mode unicast. La manire
dont le DR dcouvre ladresse du RP sera dcrite la section "Dcouverte de RP", plus loin dans ce
chapitre.
NOTE
Contrairement aux autres messages PIM qui sont envoys en mode multicast sur un segment local et qui
circulent de saut en saut travers le rseau, les messages PIM Register et RegisterStop sont transmis en
mode unicast entre le routeur de premier saut et le RP.
436
Partie I
Architecture de rseaux
Les messages RegisterStop PIM sont envoys par le RP au routeur DR de premier saut pour lui
demander de stopper lenvoi de messages Register (S, G) dans lune des situations suivantes :
m
Lorsque le RP commence recevoir du trafic multicast provenant de la source S via larbre SPT
(S, G).
Lorsque le RP na plus besoin de recevoir ce trafic, car il nexiste aucun arbre partag pour le
groupe.
Lorsquun DR de premier saut reoit un message RegisterStop, il sait que le RP a reu le message
Register et quil a rencontr lune des deux conditions prcites. Dans tous les cas, il met fin au
processus denregistrement et arrte dencapsuler les paquets (S, G) dans des messages Register.
Exemple denregistrement de source
Enregistrement de
source Etape 1.
Destinataire 1
(Groupe G )
RP
Destinataire 2
(Groupe G )
Etant donn que le routeur A est le DR de premier saut, il rpond au trafic multicast provenant de la
source S1 en encapsulant les paquets multicast dans des messages Register et en les envoyant au RP
en mode unicast (voir la flche en pointills, Figure 13.17). Notez que les messages Register ne sont
Chapitre 13
437
pas transmis saut par saut comme les autres messages PIM, mais sont envoys directement au RP
linstar dun paquet unicast normal.
Figure 13.17
Source S1
(Groupe G )
Enregistrement de
source Etape 2.
Register
Destinataire 1
(Groupe G )
RP
Destinataire 2
(Groupe G )
Lorsque le RP reoit le message Register, il le dsencapsule et dcouvre que le paquet est adress
au groupe multicast G. Comme il constate quil existe un arbre partag avec une liste dinterfaces
sortantes non vide, il envoie le paquet ainsi dsencapsul vers le bas de larbre (voir les flches en
gras, Figure 13.17). De plus, il envoie une requte Join (S1, G) vers la source S1 pour joindre larbre
SPT afin de recevoir le trafic (S1, G) et le transmettre sur larbre partag. La requte Join (S1, G)
circule de saut en saut jusquau DR de premier saut, le routeur A (voir Figure 13.18).
Une fois que la requte Join (S1, G) a atteint le routeur A, cela signifie quun arbre SPT (S1, G) a t
construit entre ce routeur et le RP (voir les flches en gras, Figure 13.19). Ds lors, le trafic (S1, G)
peut commencer circuler vers le RP via le nouvel arbre SPT (S1, G).
Mais tant donn que le RP na plus besoin de continuer recevoir le trafic (S1, G) encapsul dans
des messages Register, il envoie un message RegisterStop unicast vers le DR de premier saut
(Router A) (voir Figure 13.19).
Poursuivons avec notre exemple et imaginons quune autre source multicast (Source S2) connecte
au routeur D commence mettre vers le groupe G. Le mme processus denregistrement a lieu,
avec pour rsultat ladhsion du RP larbre SPT (S2, G) afin quil puisse recevoir le trafic (S2, G)
et lenvoyer sur larbre partag pour le groupe G.
438
Partie I
Architecture de rseaux
Figure 13.18
Source S1
(Groupe G )
Enregistrement de
source Etape 3.
Join (S1 , G)
RP
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Figure 13.19
Source S1
(Groupe G )
Enregistrement de
source Etape 4.
Register-Stop
Destinataire 1
(Groupe G )
RP
Destinataire 2
(Groupe G )
Le RP participe donc aux arbres SPT (S1, G) et (S2, G) pour les deux sources actives du groupe G
(voir Figure 13.20). Ce trafic est transmis vers le bas de larbre partag (*,G) en direction des destinataires 1 et 2. Les chemins sont prsents complets entre les sources et les destinataires et le trafic
multicast circule correctement.
Chapitre 13
439
Figure 13.20
Source S1
(Groupe G )
Enregistrement de
source Etape 5.
SPT (S1 , G)
SPT (S2 , G)
RP
RPT (*, G)
Source S2
(Groupe G )
C
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Basculement SPT
PIMSM autorise un routeur DR de dernier saut (cest--dire un DR avec des htes directement
connects qui ont joint un groupe multicast) basculer de larbre partag vers larbre SPT pour une
source spcifique. Ce processus est habituellement mis en uvre en spcifiant un seuil SPT relatif
la bande passante. Lorsque ce seuil est dpass, le DR de dernier saut joint le SPT. Sur les routeurs
Cisco, ce seuil est dfinit par dfaut avec la valeur zro, ce qui signifie que le SPT est rejoint ds
que le premier paquet multicast envoy par une source a t reu via larbre partag.
Exemple de basculement SPT
Revenons notre exemple au point o nous lavons laiss (voir Figure 13.20). Comme le routeur C
est un DR de dernier saut, il a la possibilit de basculer vers larbre SPT des sources S1 et S2. Nous
nous concentrerons sur la source S1, car elle reprsente un cas plus intressant pour notre exemple.
Pour accomplir ce basculement, le routeur C doit envoyer une requte Join (S1, G) vers la source S1
(voir la flche en pointills, Figure 13.21).
Lorsque le routeur A reoit cette requte Join, il ajoute linterface sur laquelle elle a t reue dans
la liste dinterfaces sortantes de lentre (S1, G) dans sa table de transmission multicast, ajoutant
ainsi le lien entre lui et le routeur C larbre SPT (S1, G) (voir Figure 13.22). A ce stade, le trafic
multicast (S1, G) peut circuler directement vers le routeur C via le SPT (S1, G).
440
Partie I
Architecture de rseaux
Figure 13.21
Source S1
(Groupe G )
Basculement SPT
Etape 1.
SPT (S1 , G)
RP
Join (S1 , G)
Source S2
(Groupe G )
C
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Figure 13.22
Source S1
(Groupe G )
Basculement SPT
Etape 2.
SPT (S1 , G)
RP
D
Source S2
(Groupe G )
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
NOTE
Normalement, les seuils SPT sont configurs de faon cohrente sur tous les routeurs du rseau. Dans une situation comme celle illustre ici, le routeur E initierait aussi un basculement vers le SPT en envoyant une requte
Join (S, G) au routeur en amont, vers la source, qui dans ce cas serait le routeur C. Toutefois, pour que cet exemple reste simple, nous examinerons uniquement le cas du routeur C. Pour finir, noubliez pas que ce sont les
routeurs, et non les destinataires, qui initient ce basculement vers le SPT.
Chapitre 13
441
Vous avez probablement remarqu que le trafic multicast (S1, G) peut maintenant emprunter deux
chemins pour atteindre le routeur C, savoir larbre partag et larbre SPT. Comme lutilisation de
ces deux chemins provoquerait la livraison de paquets dupliqus au routeur C et consommerait
inutilement la bande passante du rseau, il faut indiquer au RP dlaguer le trafic multicast (S1, G)
sur larbre partag.
Elagage de source sur larbre partag
Dans une situation comme celle illustr Figure 13.22, dans laquelle le trafic source circule vers le
bas de larbre partag, mais est galement reu via le SPT, un type spcial de message Prune est
utilis pour indiquer au RP dlaguer la source de ce trafic sur larbre partag. Ce message spcial
est appel Prune bit RP (S, G), car le bit RP est activ dans lentre de la liste dlagage. Comme
mentionn la section "Messages Join/Prune PIM", lindicateur RP (ou bit RP) signale que le
message en question sapplique larbre partag et doit tre transmis vers le RP. Le fait dactiver ce
bit dans un message Prune (S1, G) puis denvoyer ce dernier vers le sommet de larbre partag indique aux routeurs traverss dlaguer le trafic multicast de la source S1 sur larbre partag.
Dans la Figure 13.23, le routeur C envoie un message Prune bit RP (S1, G) vers le RP de larbre
partag afin de supprimer le trafic multicast S1 sur cet arbre. A rception de ce message, le RP
actualise son tat de transmission multicast de faon que le trafic (S1, G) ne soit plus transmis sur le
lien vers le routeur C. Toutefois, comme ce lien reprsentait la seule interface de larbre partag sur
laquelle le trafic (S1, G) circulait, le RP na lui aussi plus besoin de recevoir ce trafic.
Figure 13.23
Source S1
(Groupe G )
Elagage de source
sur larbre partag
Etape 1.
SPT (S1 , G)
RP
Prune bit RP
(S1 , G)
C
Destinataire 1
(Groupe G )
Source S2
(Groupe G )
E
Destinataire 2
(Groupe G )
Pour stopper le flux de trafic (S1, G) devenu inutile, le RP envoie un message Prune (S1, G) vers la
source S1. Ce message, reprsent par les flches en pointills dans la Figure 13.24, passe par le
routeur B avant datteindre le routeur de premier saut, cest--dire le routeur A.
442
Partie I
Architecture de rseaux
Figure 13.24
Source S1
(Groupe G )
Elagage de source
sur larbre partag
Etape 2.
Prune (S1 , G)
RP
D
Source S2
(Groupe G )
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
La Figure 13.25 prsente le rsultat. Larbre SPT (S1, G) a t lagu, laissant uniquement le lien
entre le routeur A et le routeur C. Le routeur E reoit toujours le trafic (S1, G) de la part du
routeur C (comme indiqu par la flche en gras entre ces deux routeurs) bien que le routeur E
ignore que son voisin en amont (Routeur C) a bascul vers le SPT pour la source S1.
Figure 13.25
Source S1
(Groupe G )
Elagage de source
sur larbre partag
Etape 3.
SPT (S2 , G)
RP
RPT (*, G)
SPT (S1 , G)
Source S2
(Groupe G )
C
Destinataire 1
(Groupe G )
Destinataire 2
(Groupe G )
Dans la Figure 13.25, le trafic (S2, G) continue de circuler vers le RP et vers le bas de larbre partag
en direction des destinataires 1 et 2.
Chapitre 13
443
Routeur DR PIMSM
PIM lit un routeur dsign ou DR (Designated Router) sur chaque rseau multiaccs (un segment
Ethernet, par exemple) en utilisant des messages Hello PIM. Dans le cas du protocole PIM-DM, le
rle de DR na de sens que si la version 1 de IGMP est utilise sur le rseau multiaccs, car elle ne
met pas en uvre de mcanisme IGMP dlection dinterrogateur (Querier Election). Si ctait le
cas, le routeur DR lu assurerait aussi la fonction dinterrogateur IGMP. Toutefois, comme nous
allons le voir, le rle dun DR est beaucoup plus important dans le cas du protocole PIM-SM.
Rle du routeur DR
Examinez lexemple de rseau illustr Figure 13.26, dans lequel deux routeurs PIM-SM sont
connects un rseau multiaccs commun comportant un destinataire actif pour le groupe G.
Comme le modle dadhsion explicite est mis en uvre, seul le DR (ici le routeur A) devrait
envoyer des requtes Join au RP pour construire larbre partag pour le groupe G. Si les deux
routeurs taient autoriss envoyer des requtes Join (*,G) au RP, des chemins parallles seraient
crs et lhte A recevrait un trafic multicast dupliqu.
Figure 13.26
Routeur DR PIM-SM.
Join (*, G)
RP
Routeur A
Routeur B
.254 (DR)
.253
192.16.1.1/24
.1
Hte A
(membre du groupe G)
De la mme manire, si lhte A commenait mettre du trafic multicast pour le groupe, cest le
DR qui serait charg denvoyer des messages Register au RP. A nouveau, si les deux routeurs
taient autoriss envoyer des messages Register, le RP recevrait des paquets dupliqus.
Reprise de fonction du routeur DR
Lorsque plusieurs routeurs sont connects un segment LAN, PIM-SM ne fournit pas seulement
une mthode permettant dlire le DR, mais offre galement le moyen de dtecter une dfaillance
au niveau du DR existant. Par exemple, si le DR de la Figure 13.26 (Routeur A) tombait en panne,
le routeur B dtecterait cette situation expiration de ses informations de voisinage pour le
routeur A. Une nouvelle lection de DR aurait ensuite lieu et le routeur B deviendrait le nouveau
DR actif pour ce rseau.
444
Partie I
Architecture de rseaux
Dans une telle situation, le routeur B sait dj quil existe un destinataire actif (Hte A) sur le
rseau, car il a reu le rapport dadhsion IGMP de ce dernier. Il dispose donc dune entre dtat
IGMP pour le groupe G sur cette interface, ce qui lamnerait envoyer une requte Join vers le RP
aussitt quil serait lu comme nouveau DR. La circulation du trafic serait alors tablie sur une
nouvelle branche de larbre partage via le routeur B. De plus, si lhte A mettait du trafic, le
routeur B initierait un nouveau processus Register immdiatement aprs avoir reu le paquet multicast de la part de lhte A, dclenchant ainsi ladhsion du RP au SPT pour lhte A via la nouvelle
branche passant par le routeur B.
Dcouverte de RP
Pour garantir un fonctionnement efficace de PIM-SM, tous les routeurs dans un domaine PIM-SM
doivent connatre ladresse du RP. Sur les rseaux de petite taille qui utilisent un seul RP pour tous
les groupes multicast, il serait possible de spcifier manuellement ladresse IP du RP dans la configuration de chaque routeur. Toutefois, sur un rseau en extension ou sur lequel le RP change
souvent, la configuration manuelle de chaque routeur peut rapidement devenir un cauchemar. De
plus, ce problme peut encore se compliquer lorsque plusieurs RP situs dans diffrents endroits du
domaine sont utiliss pour grer les groupes multicast, soit pour optimiser larbre partag ou pour
rpartir la charge de travail du RP entre plusieurs routeurs.
La version 2 de PIM dfinit un mcanisme appel Bootstrap qui permet tous les routeurs PIM-SM
dans un domaine de dcouvrir dynamiquement toutes les correspondances groupe-RP, vitant ainsi
le problme de configuration manuelle. Limplmentation Cisco de PIM fournit un autre
mcanisme appel AutoRP qui assure la mme fonction. Il a t dvelopp avant que ne soit
publie la spcification de PIMv2 pour permettre aux routeurs des rseaux PIM-SM existants de
connatre dynamiquement ces correspondances groupe-RP.
Evolutivit de PIM-SM
Etant donn que PIMSM utilise le modle dadhsion explicite, le trafic multicast est limit aux
portions du rseau sur lesquelles il est souhait. Par consquent, et comme mentionn prcdemment, PIM-SM est plus efficace que les protocoles par inondation et lagage (flood-and-prune) tels
que DVRMP et PIM-DM et convient donc mieux pour les rseaux multicast pouvant compter des
htes de lautre ct de liaisons WAN.
Outre les avantages vidents du modle dadhsion explicite, PIM-SM permet aux ingnieurs de
rseaux de mettre en uvre des arbres SPT afin de rduire la latence gnralement associe lutilisation darbres partags. Quant au choix dutiliser ou non ces arbres SPT, il peut tre effectu individuellement pour chaque groupe. Par exemple, dans le cas dune application multicast cooprative
et interactive (many-to-many) faible dbit, comme SDR, sexcutant sur un rseau avec une topologie en toile, lutilisation darbres SPT nest par forcment justifie. Dans ce cas, la dfinition
dun seuil SPT infini pourrait obliger tout le trafic de groupe demeurer sur larbre partag. Cette
possibilit de contrler lutilisation des arbres SPT offre aux ingnieurs de rseaux une meilleure
matrise de la quantit des tats crs sur les routeurs du rseau, sachant que le nombre de ces tats
reprsente lun des principaux facteurs affectant lvolutivit de nimporte quel protocole de
routage multicast.
Chapitre 13
445
Pour la plupart des rseaux multicast gnraux, PIM-SM savre tre le protocole de routage multicast intradomaine de choix. Il existe bien sr des exceptions, comme pour les rseaux usage plus
spcifique conus pour supporter des applications de rseau spcialises sexcutant sous le
contrle total des administrateurs de rseau. Dans ce genre de situation, PIM-SM pourrait toujours
reprsenter la solution la plus approprie, mais dautres protocoles pourraient galement tre dvelopps pour oprer efficacement dans le cadre dun contrle strict du rseau et des applications.
Rsum
Ce chapitre a prsent les notions lmentaires du protocole PIM-SM. Il se caractrise par lutilisation dun modle dadhsion explicite pour construire des arbres partags et des arbres SPT. De
plus, comme le trafic circule uniquement vers le bas dun arbre partag dans le cas dune implmentation traditionnelle de PIM-SM, le RP est autoris rejoindre larbre SPT en direction de la source
pour recevoir le trafic provenant de celle-ci. Toutefois, comme le RP doit auparavant connatre
lexistence de la source, un processus denregistrement de source (Register) est mis en uvre. Le
dernier point, et peut-tre le plus ignor des aspects de PIM-SM, est que les routeurs comportant
des destinataires directement connects rejoignent le plus souvent immdiatement le SPT vers une
source nouvellement dtecte pour contourner le RP.
II
Etudes de cas
14
15
16
17
18
19
Routage DDR
20
21
22
23
14
Gestion de rseau commut
Par Paul Della Maggiora et al.
Ce chapitre fait partie de louvrage Performance and Fault Management, paratre chez Cisco
Press (en langue anglaise).
Il runit un ensemble de directives concernant la surveillance des pannes et la corrlation dvnements, telles quelles sappliquent aux commutateurs et routeurs Cisco, dans le but daider les
administrateurs mieux grer leur rseau dquipements Cisco. Il dbute par une prsentation des
options de gestion de commutateurs et de routeurs, et se poursuit avec la dfinition plus spcifique
des objets MIB, des interceptions SNMP, et des messages Syslog associs aux problmes typiques
de fonctionnement ou de performances. Ces scnarios peuvent tre utiliss pour spcifier des
lments particuliers surveiller et implmenter des rgles de corrlation dvnements. Ce chapitre inclut une base de connaissances Cisco relative ses commutateurs et routeurs.
Il aborde aussi les erreurs et la corrlation dvnements pour les commutateurs et routeurs Cisco en
sappuyant sur les objets MIB et les messages Syslog. Comme les bases MIB prives de Cisco
voluent constamment, certains des scnarios dcrits dans ce chapitre peuvent ne pas sappliquer
votre installation si les objets MIB et/ou les messages Syslog ne sont pas supports ou applicables
dans votre environnement. Le site Web www.cisco.com contient un listing crois de toutes les bases
MIB et messages Syslog, de faon prsenter les objets ou messages supports par certaines platesformes et versions de IOS.
Ce chapitre tait lorigine un livre blanc crit par un groupe dingnieurs rseau de chez Cisco
pour sattaquer aux proccupations des clients lors de la migration de leurs rseaux de routeurs ou
de hub partags vers des rseaux de routeurs ou commuts. Ils constatrent que la stratgie de
450
Partie II
Etudes de cas
gestion de rseau qui tait oprationnelle pour les rseaux partags ntait pas suffisamment volutive pour supporter et surveiller efficacement les rseaux commuts.
Ce chapitre se termine par un ensemble dtudes de cas qui vous aideront dans la gestion de rseaux
commuts.
Prsentation
Ce chapitre est un condens dune grande quantit dinformations sur la gestion dquipements
Cisco prvu pour aider les utilisateurs finaux mieux grer leurs rseaux, mais aussi pour permettre
aux fournisseurs dapplications de gestion de rseaux damliorer leur offre de produits. Les directives prsentes ici, visant amliorer le suivi du rseau et mieux comprendre les interdpendances dvnements, correspondent aux conditions que lauteur juge essentiel de surveiller.
Outre la description des vnements de commutateur et de routeur les plus importants analyser
sur un seul quipement, ce chapitre prsente une srie de scnarios de mise en relation dvnements pour examiner un VLAN ou un sous-rseau, ou mme la totalit du rseau, travers plusieurs
dispositifs. Il introduit le modle vnementiel de Cisco ainsi quune description de tous les
moyens disponibles pour collecter des informations partir dun commutateur ou dun routeur.
Lectorat de ce chapitre
Ce chapitre sadresse aux ingnieurs en gestion de rseau qui doivent mettre en place une administration de rseau pour les commutateurs et routeurs Cisco. Il suppose que le lecteur dtient les
connaissances de base sur les thories de commutation et de routage, sur le protocole SNMP
(Simple Network Management Protocol), et sur les commutateurs et routeurs Cisco. Il sadresse
aussi aux fournisseurs de plates-formes et dapplications de gestion de rseau afin quils amliorent
leurs produits en intgrant des rgles spcifiques de surveillance et de corrlation dvnements
pour les quipements Cisco.
Description
802.10
ARP
ASIC
ATM
Chapitre 14
Description
BPDU
BRI
CAM
CDP
CLI
CPU
CRC
CRM
CWSI
DBMS
EARL
ECS
E-SPAN
event
(vnement)
FDDI
Fiber Distributed Data Interface (interface de donnes distribue sur fibre optique).
GUI
ISL
LANE
LLC
MAC
MAU
MIB
NIC
NMP
NMS
OID
OSI
PDU
PVID
451
452
Partie II
Etudes de cas
Description
RADIUS
Remote Access Dial-In User Service (service utilisateur daccs distant par liaison commute).
RMON
RNIS
severity
SLA
SNAP
SNMP
SPAN
SRAM
Static Random-Access Memory (mmoire statique accs slectif). Type de mmoire RAM
qui conserve son contenu tant quelle est sous tension. Elle ne requiert pas de rafrachissement
constant.
STP
syslog
Un service de journalisation derreurs support par les commutateurs et routeurs fonctionnant sous IOS.
syslogd
Le dmon syslogd consigne des messages systme dans un ensemble de fichiers dfinis par
le fichier de configuration /etc/syslog.conf.
TACACS
trap
VLAN
LAN virtuel.
VMPS
VTP
Dautres acronymes concernant la famille de Catalyst 5000 peuvent tre trouvs sur le site Web de
Cisco.
Chapitre 14
453
gestion de la configuration ;
gestion de la comptabilit ;
gestion de la scurit.
Le site Web de Cisco donne un aperu de ces domaines fonctionnels ainsi quune introduction la
conception de rseaux.
Etant donn quil existe dj plusieurs ouvrages consacrs la gestion des rseaux, ce chapitre est
uniquement consacr aux domaines de gestion des erreurs et des performances tels quils sappliquent aux commutateurs et routeurs Cisco.
Elle offre un excellent dbit car elle permet de fournir une bande passante ddie aux utilisateurs
individuels.
Elle prvient les goulets dtranglement provoqus par la commutation simple de niveau 2 lorsque plusieurs segments 10 Mbit/s convergent vers des connexions individuelles 10 Mbit/s en
direction de serveurs et de routeurs.
Comme un commutateur est un pont multiport, chaque port reprsente un segment ou un anneau
distinct avec une bande passante thorique de 10 Mo, la diffrence du hub qui partage une capacit de 10 Mo entre tous ses divers ports.
Comme tous les ports communiquant sont ponts, chacun deux ne voit que le trafic broadcast,
multicast, ou unicast quil reoit ou envoie. Par consquent, lorsquun quipement connect au
port 2 de commutateur communique avec un autre quipement connect au port 3, aucun autre port
ne verra le trafic chang. Mme un analyseur de rseau connect au port 4 ne verrait pas les trames
traversant ces ports.
Cette section dcrit les diffrents composants et protocoles qui constituent un commutateur.
Le site Web Cisco fournit une introduction dtaille aux bases de la commutation.
454
Partie II
Etudes de cas
A linstar des routeurs, les commutateurs sont dots dun processeur, et linverse des routeurs, ils
assurent la transmission de la majorit des paquets sans solliciter le processeur. Les dcisions de
commutation sont ralises au niveau du circuit ASIC, et selon le type de commutateur, la table
de pontage peut aussi tre stocke sur ce circuit.
Certaines des oprations ralises par le processeur du commutateur incluent la gestion de larbre
recouvrant (Spanning-Tree), des services Telnet, du protocole CDP, de la scurit (comme avec
TACACS), de la surveillance distance (RMON), du protocole VTP (VLAN Trunk Protocol), de
lagrgation de ports, des VLAN dynamiques, et de SNMP.
Par consquent, mesurer la capacit du processeur dun commutateur importe peu pour dterminer
les performances de ce dernier en matire de transmission de paquets.
Table CAM (Content-Addressable Memory)
Certains ponts/commutateurs gardent trace des ports sur lesquels ils ont reu certaines adresses
MAC (Media Access Control) afin disoler les conversations unicast sur les ports impliqus. Dans
dautres situations, tout le trafic unicast et broadcast est transmis vers tous les ports commuts, ce
qui savre excessif. Cette fonction de suivi est traditionnellement mise en uvre en utilisant une
base de donnes de transmission (parfois appel une table de pontage) et des tables CAM.
La base de donnes de transmission est habituellement une simple table ou base de donnes centralise dans laquelle le pont place toutes les adresses MAC (et leurs ports) quil dcouvre pour
pouvoir ensuite pour transmettre les paquets sur les ports appropris.
La table CAM est une mmoire accessible par son contenu (par opposition un accs par adresse).
Chaque port physique dispose de sa propre table CAM. Dans le mode non transparent (non-promiscuous mode), cest--dire en labsence de pontage, la CAM contient ladresse MAC grave
lorigine sur la carte rseau (NIC, Network Interface Card) ainsi que dautres adresses programmes (multicast, broadcast) quelle doit couter. Tout paquet ne faisant par lobjet dune recherche
CAM concluante est supprim.
Les ponts oprent en mode transparent ou sans distinction (promiscucous mode), ce qui signifie que
la CAM sur chaque port est initialement nettoye pour que toutes les adresses soient acceptes.
A mesure que la table de transmission se construit, la CAM dun port se remplit avec les adresses
MAC des stations qui gnrent du trafic sur ce port. Dans ce mode, les paquets reus sur un port et
comportant une adresse de destination pour laquelle une entre existe dans la CAM du port, sont
rejets, cest--dire quils ne traversent pas le pont. Lorsque la CAM contient des adresses MAC, la
lecture dune entre peut tre ralise de faon slective. Cette procdure est plus rapide quune
recherche squentielle dans la base de transmission. De nombreuses cartes rseau possdent une CAM,
mais le commutateur Catalyst 5000 nen possde pas sur ses ports Ethernet.
Sur le Catalyst 5000, le terme "CAM" est utilis pour des raisons historiques, car en ralit il
nexiste pas de CAM. En effet, il utilise un circuit de reconnaissance dadresses avance central,
appel EARL (Enhanced Address Recognition Logic), qui permet damliorer les performances et
dapporter des fonctionnalits additionnelles en combinant lidentifiant VLAN avec ladresse MAC
lors de lexcution des fonctions de dcouverte et de recherche. Ce circuit regroupe les fonctions de
la base de transmission (liste complte centralise de toutes les adresses MAC, des identifiants
Chapitre 14
455
VLAN, et des ports) et celles de la CAM (consultation rapide par contenu au lieu dune recherche
squentielle). Les adresses MAC sont stockes sur une puce SRAM situe sur le moteur superviseur
et leur usage naffecte pas lutilisation de la mmoire ou du processeur sur le NMP (Network Management Processeur, processeur de gestion de rseau). La puce est dote de suffisamment de SRAM
pour pouvoir stocker 16 000 adresses MAC.
Chemin dun paquet
Gnralement, le chemin parcouru par un paquet travers le commutateur ressemble ce qui suit :
1. Le commutateur reoit un paquet sur un port donn.
2. Il recherche ladresse MAC de destination et la compare aux entres contenues dans la base de
transmission. Il enregistre dans la table CAM (de pontage) ladresse MAC source ainsi que le
port sur lequel il a reu le paquet.
3. Si ladresse de destination est une adresse unicast qui a t enregistre dans la table CAM, le
commutateur transmet le paquet en sortie sur le port de destination associ sil sagit dun port
diffrent.
4. Si ladresse de destination ne se trouve pas dans la table ou sil sagit dune adresse broadcast ou
multicast, le commutateur transmet le paquet sur tous ses ports lexception de celui sur lequel
il a t reu.
Toutes ces oprations sont ralises sans affecter le processeur principal du commutateur.
Pont transparent et pont traducteur
Lorsque le pontage est mis en uvre, les commutateurs Catalyst peuvent raliser la fois un
pontage transparent et un pontage traducteur.
Le premier type de pontage dsigne la transmission du trafic provenant dun port dun type de
rseau donn, comme Ethernet, vers un autre port de mme mdia. Un paquet ainsi achemin dun
port dentre vers un port de sortie pour un mme mdia nest pas modifi.
Le deuxime type de pontage va plus loin en permettant de transmettre le trafic dun mdia donn
vers un mdia de destination diffrent, comme de Ethernet vers FDDI. Cette fonction ncessite une
tape de traduction du paquet, qui comprend au minimum le remplacement dune partie des informations du paquet relatives une certaine topologie par celles relatives une autre topologie. Un
temps supplmentaire de traitement est donc ncessaire pour recevoir le paquet, lanalyser, et le
traduire avant de le transmettre vers la destination.
Rseaux et services VLAN
Un VLAN est un domaine de broadcast dfini administrativement qui peut englober plusieurs
commutateurs. Les stations dun VLAN reoivent uniquement les paquets qui sont envoys en
mode unicast, broadcast, ou multicast (inonds) sur ce VLAN. Un tel rseau virtuel amliore les
performances en limitant lchange de trafic aux stations qui en font partie et en bloquant le trafic
des autres VLAN. Cette technologie peut permettre la mise en place dune barrire de scurit
(firewall) entre les stations finales de diffrents VLAN sur un mme commutateur.
456
Partie II
Etudes de cas
Tronons VLAN. Permettent dtendre des rseaux VLAN partir dun commutateur Catalyst
un ou plusieurs routeurs ou autres commutateurs Catalyst au moyen dinterfaces haute
vitesse, telles que Fast Ethernet, FDDI, et ATM. Deux protocoles de tronons de VLAN sont
supports actuellement (du moins lpoque de la conception de louvrage) : ISL (Inter-Switch
Link) pour Ethernet et Fast Ethernet, et 802.10 pour FDDI.
FastEtherChannel. Permet la rpartition du trafic sur plusieurs tronons ISL Fast Ethernet
parallles. En configurant des paramtres darbre recouvrant bass sur une organisation par
VLAN, vous pouvez dfinir les VLAN qui sont actifs sur un tronon et ceux qui devraient
emprunter le tronon comme solution de secours en cas de dfaillance.
VTP (VLAN Trunk Protocol). Permet de maintenir une dsignation cohrente et une connectivit entre tous les quipements dun domaine administratif. Lorsque de nouveaux VLAN sont
ajouts un commutateur Catalyst 5000 dans un domaine, le VTP distribue automatiquement
ces informations tous les quipements qui en font partie. Le VTP est transmis sur toutes les
connexions de tronons, incluant ISL, 802.10, et ATM LANE (LAN Emulation). En utilisant
plusieurs serveurs VTP pour assurer la modification et la maintenance des informations de
VLAN, vous pouvez implmenter une redondance dans un domaine de rseau. Seuls quelques
serveurs VTP sont ncessaires sur un grand rseau. Sur un petit rseau, tous les quipements sont
gnralement des serveurs VTP. La version 3.1 de Software Release pour la srie de Catalyst 5000 supporte la version 2 de VTP, qui est une extension de la version 1.
Lors de la cration dun rseau implmentant la tolrance aux pannes, un chemin exempt de
boucles doit exister entre tous ses nuds. Un algorithme par arbre recouvrant (Spanning-Tree) est
utilis pour calculer le meilleur chemin sans boucle travers un rseau commut au moyen de
commutateurs Catalyst. Les paquets STP sont envoys et reus rgulirement par les commutateurs
du rseau. Ceux qui participent larbre ne transmettent pas les paquets, mais les traitent pour dterminer larbre lui-mme. Le protocole de pont IEEE 802.1D, ou STP, assure cette fonction pour les
commutateurs Catalyst.
La famille de commutateurs Catalyst peut utiliser STP sur tous les VLAN. Ce protocole dtecte et
interrompt les boucles en plaant certaines connexions en mode de veille, qui sont actives en cas
de dfaillance. Un arbre recouvrant spar est mis en uvre sur chaque VLAN configur afin de
garantir la validit des topologies de niveau 2 sur le rseau.
Ce protocole supporte plusieurs tats de port :
m
dsactiv ;
en transmission ;
en apprentissage ;
en coute ;
bloquant.
Chapitre 14
457
Ltat de chaque port est dfini initialement lors de la configuration puis modifi ultrieurement par
le processus STP. Aprs configuration de ltat du port, la spcification 802.1D (RFC 1493) dtermine si le port transmet ou bloque les paquets.
Analyseur de port commut SPAN
La fonction SPAN (Switched Port Analyzer) permet de surveiller le trafic sur nimporte quel port au
moyen dun dispositif danalyse ou de sondage RMON. La fonction E-SPAN (Enhanced SPAN)
permet danalyser le trafic de plusieurs ports dun mme VLAN.
SPAN redirige le trafic dun port Ethernet, Fast Ethernet, FDDI, ou VLAN vers un port Ethernet ou
Fast Ethernet des fins danalyse ou de dpannage. Vous pouvez effectuer le suivi dun seul port
ou VLAN laide dun analyseur ddi tel quun sniffer gnral de rseau, ou dune sonde RMON
comme Cisco SwitchProbe.
Introduction aux routeurs
Les routeurs sont des quipements de commutation de niveau 3. Le routage inclut deux activits : la
dtermination ditinraires de routage optimaux travers un rseau et le transport (ou la commutation)
de groupes dinformations (gnralement appels paquets) travers un rseau. La commutation est
un processus relativement simple, contrairement au routage qui peut tre trs complexe. Les algorithmes de routage peuvent tre diffrencis grce plusieurs caractristiques essentielles. Tout
dabord, les objectifs particuliers du concepteur de lalgorithme influent sur le comportement du
protocole de routage rsultant. Deuximement, chaque algorithme a un impact diffrent sur le rseau
et les ressources du routeur. Pour finir, ils utilisent des mtriques varies qui affectent le calcul des
routes optimales.
Vous trouverez une prsentation dtaille des fondements du routage sur le site Web Cisco.
Introduction aux commutateurs de niveau 3
Les commutateurs de niveau 3 combinent les technologies de routage et de commutation pour assurer une commutation de niveaux 2 et 3.
Technologies communes aux commutateurs et aux routeurs
Cette section dcrit deux protocoles communs aux commutateurs et aux routeurs et qui permettent
dlaborer une reprsentation complte des quipements de niveaux 2 et 3 sur le rseau.
Protocole CDP (Cisco Discovery Protocol)
Le protocole CDP est indpendant du mdia et du protocole et peut fonctionner sur tous les quipements Cisco, dont les routeurs, les ponts, les serveurs daccs et de communication, et les commutateurs. Avec CDP, les applications dadministration de rseau peuvent obtenir le type dquipement
et ladresse de lagent SNMP des quipements voisins, ce qui leur permet denvoyer des requtes
SNMP ces derniers.
CDP a t conu pour rpondre un besoin n de lexistence de protocoles transparents virtuels de
niveau infrieur. Il permet aux applications dadministration de rseau de dcouvrir des quipements Cisco qui sont adjacents dautres quipements dj connus, en particulier ceux excutant
458
Partie II
Etudes de cas
des protocoles transparents de niveau infrieur. Il fonctionne sur tous les mdias qui supportent le
protocole SNAP (Subnetwork Access Protocol), y compris sur les rseaux LAN et Frame Relay. Il
opre uniquement au niveau de la couche liaison de donnes, pas au niveau rseau. Avec CDP, deux
systmes supportant des protocoles de niveau rseau diffrents peuvent se dcouvrir lun et lautre.
Les informations CDP places en cache sont disponibles pour les applications dadministration de
rseau. Les quipements Cisco ne transmettent jamais un paquet CDP. Lorsque de nouvelles informations sont reues, les anciennes sont alors ignores. Les outils CiscoWorks pour interrseaux
commuts (CSWI, CiscoWorks for Switched Internetworks) exploitent ces renseignements lors de
la dcouverte du rseau.
Le protocole CDP est galement trs utile pour le dpannage. Sur un rseau compos seulement de
routeurs, les tables ARP (Address Resolution Protocol), les tables de routage, ainsi que dautres
informations, sont utilises pour dcouvrir la topologie ou pour confirmer la connectivit de celle
qui est dj connue. Sur un rseau de ponts, ces tables ne sont pas utilises et lon utilise la place
une base de donnes de transmission (qui nest pas utile pour dcouvrir les ponts car elle sert pour
les stations finales) et des informations darbre recouvrant (qui peuvent tre dsactives, et sont
communiques uniquement en amont vers la racine). CDP est capable de dcouvrir tous les quipements Cisco voisins et peut fournir des informations telles que le nom dhte, la version du systme
Cisco IOS, et ladresse IP de gestion.
Visitez le site Web Cisco pour obtenir des informations sur la configuration de CDP sur un commutateur Catalyst 5000.
Fonction RMON imbrique
Le RFC 1757 dfinit une partie de la base dinformations dadministration MIB (Management Information Base) pour le suivi des informations de couche liaison de donnes de segments distants, et
plus particulirement des caractristiques de trafic et des taux derreurs.
Les quipements de surveillance de rseaux distance, souvent appels moniteurs ou sondes, sont
des instruments qui existent uniquement dans le but dadministrer un rseau. Il sagit souvent dquipements autonomes qui consacrent une quantit significative de leurs ressources internes la gestion
de rseau. Une entreprise peut dployer un grand nombre de ces dispositifs, un par segment de
rseau, pour administrer son interrseau. De plus, ils peuvent permettre un fournisseur de services
dadministration de rseau daccder aux rseaux de clients souvent loigns gographiquement.
Les objets dfinis dans le RFC 1757 sont prvus pour servir dinterface entre un agent RMON et
une application dadministration RMON et nont pas t conus pour tre manipuls directement
par des utilisateurs. Bien que certains puissent tolrer laffichage direct de certains de ces objets,
peu accepteront la complexit lie la manipulation directe des objets pour crer des lignes. Ces
fonctions devraient tre gres par lapplication dadministration. Cisco propose des applications
pour assurer ces fonctions.
La fonction RMON, comme dcrite dans le RFC 1757, est implmente sur les produits Catalyst et
les routeurs Cisco de la faon suivante :
m
Chapitre 14
459
5500 avec la version 2.1 ou ultrieure de Software Release, et sur tous les commutateurs de
groupe de travail Catalyst 2900 ;
m
tous les neufs groupes RMON sur des segments Ethernet des commutateurs de groupe de travail
Catalyst 1200 avec Software Release supportant DMP et NMP version 3.1 ou ultrieure ;
le systme IOS version 11.1 ou ultrieure supporte les fonctions EtherStats, EtherHistory,
dalarmes, ainsi que de groupes MIB dvnements.
Quatre types de protocoles sont disponibles pour administrer des quipements Cisco :
m
Telnet ;
SNMP ;
RMON ;
Syslog.
Telnet
Telnet (galement connu sous le nom de CLI) permet de se connecter directement un commutateur ou un routeur pour accder aux commandes de configuration et de surveillance.
SNMP
Comme dfini dans le RFC 1157, le protocole SNMP sappuie sur un concept de gestionnaire SNMP
communiquant avec un ou plusieurs agents SNMP. Les oprations Get, Get-Next, et Set de SNMP sont
ralises par le gestionnaire vers un agent pour recueillir ou dfinir des variables dadministration
supportes par ce dernier. Les informations dadministration disponibles via SNMP et Telnet sont
gnralement identiques. Les agents SNMP peuvent avertir le gestionnaire au moyen dinterceptions (traps), pouvant contenir nimporte quelle quantit dinformations dadministration afin de
mieux qualifier leur objectif.
RMON
Fondes sur la technologie SNMP, les fonctions de suivi de rseaux distance sont assures par un
ensemble de donnes RMON ddies et un moteur de suivi situ sur un quipement. La communication
460
Partie II
Etudes de cas
Le protocole Syslog est utilis par les quipements Cisco pour mettre des notifications non sollicites vers une station dadministration. Bien que semblable aux interceptions SNMP, il sert uniquement la notification dvnements. Lobjet CISCO-SYSLOG-MIB est implment sur les
quipements Cisco comme solution alternative lmission de messages Syslog pour autoriser
nimporte quel gestionnaire SNMP recevoir tous les vnements via SNMP.
Prsentation du modle dvnements
Cette section prsente le modle dvnements conceptuel de Cisco tel quil est appliqu sur ses
quipements. Nous commencerons par une introduction des types dvnements disponibles sur
ses commutateurs et ses routeurs.
Types dvnements
Tous les quipements Cisco gnrent des interceptions SNMP pour avertir les applications NMS de
certaines conditions dactivit et derreurs. De plus, les quipements utilisant le systme IOS gnrent des messages Syslog.
Messages Syslog
La fonction de journalisation Syslog du systme IOS est identique celle dUnix. Il sagit dun
mcanisme de journalisation bas sur UDP permettant aux applications et aux systmes dexploitation
de rapporter des conditions dactivit ou derreurs. Tous les routeurs et la plupart des commutateurs
gnrent des messages Syslog. Ceci signifie que nimporte quelle station dadministration Unix (de
prfrence la station dadministration du rseau Unix) peut servir de serveur Syslog pour nimporte
quel quipement Cisco. Lors de la journalisation, chaque message Syslog est accompagn dinformations de temps, de service, de niveau de gravit, et dune description.
Interceptions SNMP
Visitez le site Web Cisco pour obtenir une liste de toutes les interceptions SNMP supportes par
Cisco. Celles-ci peuvent galement tre obtenues dans les fichiers MIB de Cisco.
Interceptions SNMP publiques et prives. Tous les quipements Cisco gnrent des interceptions SNMP. De plus, comme la plupart dentre eux grent la fonction dalarme standard RMON et
les groupes dvnements MIB, une fonction supplmentaire dinterrogation locale de nimporte
quelle variable MIB peut tre configure sur un quipement pour assurer le suivi des seuils et gnrer
des interceptions SNMP selon les besoins.
Interceptions SNMP Syslog. De plus en plus de routeurs Cisco implmentent la fonction MIB
Syslog de Cisco pour gnrer des interceptions SNMP, la place ou en plus des messages Syslog.
Elle optimise ladministration des quipements Cisco par lintermdiaire de SNMP en ajoutant un
Chapitre 14
461
plus grand nombre de messages non sollicits pouvant tre reus par un processeur NMP, amliorant ainsi ladministration des routeurs.
Pour activer les interceptions Syslog sur un routeur, excutez la commande suivante :
snmp-server enable traps syslog
Evnements de plate-forme
Les plates-formes SNMP peuvent gnrer leurs propres vnements ou interceptions suite linterrogation distante dobjets MIB spcifiques et de lapplication de seuils ces objets. De plus, des
moteurs de corrlation dvnements et des applications de reporting sur les performance de rseau
peuvent aussi gnrer leurs propres vnements destination du NMP.
Traitement des vnements
Le traitement des vnements est caractris par les quatre activits dcrites ci-aprs.
Collecte dvnements
Lessentiel pour pouvoir tirer parti dun moteur de corrlation dvnements complet, est de
lalimenter avec autant dvnements que possible afin dobtenir le niveau maximal de filtrage et
de corrlation dsir.
Un moteur affichant de hautes performances est ncessaire pour pourvoir accepter tous les vnements reus. Il doit pouvoir traiter les interceptions SNMP et les messages Syslog.
Comprhension des vnements
Le traitement et le reporting dvnements doivent tre accompagns dune explication dtaille
pour chaque vnement et de sa relation avec le fonctionnement de lquipement, et ventuellement
du rseau.
Filtrage des vnements
Les vnements excessifs et rpts finissent gnralement par encombrer le systme dadministration du rseau un tel point que les oprateurs prfrent dsactiver la fonction et sappuyer sur leur
intuition et les plaintes des utilisateurs. Par consquent, il est important de fournir un moyen efficace de rduction du nombre des vnements rapports aux oprateurs en supprimant les messages
rptitifs (par exemple, les messages identiques qui se rptent dans un intervalle de temps donn)
et en liminant les vnements de basse priorit (par exemple, ceux dont la transmission est juge
inutile par loprateur).
Corrlation dvnements
Aprs avoir filtr les vnements, il est important de toujours valuer la nature et le niveau de
gravit de chaque vnement par rapport un quipement ou dautres vnements. Un vnement
signalant quun routeur est inoprant peut tre temporairement ignor si, par exemple, vous savez
quil est en train de redmarrer suite une erreur logicielle. Sil nest pas de nouveau en ligne aprs
cinq minutes, loprateur doit toutefois tre immdiatement averti.
462
Partie II
Etudes de cas
Cette section introduit un modle permettant de grer un volume lev dinterceptions et de messages Syslog et de les corrler avec votre rseau, faisant de ces informations un outil et non plus une
gne.
Modle dvnements thoriques
Le modle dvnements propos ici est un modle conceptuel permettant la corrlation des vnements Cisco. Il suppose que les interceptions SNMP et les messages Syslog sont gnrs directement
par lquipement ou bien en rsultat de la gestion de seuils SNMP via lalarme RMON et les groupes
dvnements. Tous ces types dvnements servent alimenter le modle dvnements.
Tous les vnements sont dabord filtrs pour liminer le plus grand nombre possible dvnements
jugs sans intrt par rapport une base de connaissances. Cette opration rduit le traitement qui
sera ncessaire dans des phases suivantes du modle de gestion dvnements.
Les vnements jugs intressants sont ensuite normaliss selon une forme commune pour faciliter
le traitement dans le moteur de corrlation dvnements. La normalisation peut galement
ncessiter la modification du niveau de gravit dun vnement pour quil reflte une priorit plus
prcise par rapport un site spcifique.
Le moteur de corrlation inclut plusieurs conditions de corrlation pouvant liminer les vnements, les transmettre directement systmatiquement, les transmettre directement uniquement si
une ou plusieurs conditions se produisent dans un intervalle de temps spcifique, les modifier, ou en
crer de nouveaux. Chaque condition est spcifique un quipement, un type dquipement, ou
tous les quipement selon la porte des rgles de corrlation. Celles-ci peuvent utiliser des informations externes, comme celles qui renseignent sur une topologie physique ou logique, afin de mieux
isoler un quipement fautif. Les rgles peuvent galement provoquer lmission de requtes supplmentaires vers un ou plusieurs quipements si davantage dinformations sont requises nimporte
quel stade de leur application.
La Figure 14.1 illustre le modle conceptuel.
Bien quelle prsente des commandes CLI utilises pour communiquer avec un quipement, cette
option nest gnralement pas ncessaire car les messages Syslog et les objets MIB SNMP fournissent toutes les informations requises pour grer ces quipements.
Systmes de corrlations dvnements tiers
Chaque systme de corrlation dvnements ou ECS (Event Correlation System) dispose de sa
propre mthode de mise en correspondance du modle conceptuel de Cisco avec son implmentation propritaire. Limplmentation du modle dans un moteur de corrlation tiers peut ncessiter
une programmation supplmentaire ou lcriture de scripts selon les capacits du moteur.
Le Tableau 14.2 identifie les composants du modle Cisco dcrits prcdemment qui peuvent exister dans un moteur de corrlation tiers.
Chapitre 14
Figure 14.1
Base de donnes
topologiques (type
d'quipement, attributs,
connectivit...)
Modle dvnements
conceptuel de Cisco.
463
Gravit
Interrogations
SNMP
Gestion. de
seuils SNMP
Evnements
intressants
Filtre
Log
Messages
Syslog
Collecteur de
messages Syslog
Evnements
intressants
Filtre
Log
Commandes
IOS
Gnrateur de
commandes IOS
Normalisation d'vnements
Gestion. de seuils
d'intercept. SNMP
Notifications :
Moteur de corrlation
d'vnements
Filtre
Log
Interceptions
SNMP
Horloge
Evnements
intressants
Rgles de corrlation
Radio-messagerie
E-mail
Journalisation
Actions correctives :
Oprations SNMP Set
Commandes IOS
Oprations
SNMP
Get et Set
Ping
Commandes
IOS
Evnements
intressants
Filtre
Base de connaissances
Il sagit dune base de donnes relationnelle contenant tous les messages Syslog et les recommandations du systme IOS de Cisco, ainsi que
les interceptions SNMP de Cisco. Elle devrait tre constitue partir
de la base de connaissances de messages Syslog existante de Cisco et
dautres programmes ou tables de correspondances de niveaux de
gravit.
Cette topologie est gnralement disponible partir de la plateforme NMS par lintermdiaire dAPI publies ou dune fonction
dexportation.
464
Partie II
Etudes de cas
Normalisation dvnements
Commandes IOS
Objets MIB
Actions correctives
Etant donn que la plupart des procdures de gestion derreurs impliquent leur dtection et
lanalyse des causes originelles, ce chapitre attache moins dimportance aux actions de correction
automatiques.
Ladministration efficace dun rseau commence par une conception efficace. Cette approche implique les tapes suivantes :
m
Scuriser les armoires de cblage et contrler les accs. Une armoire non verrouille est une
source de problmes.
Documenter le rseau physique, en incluant les quipements et le cblage. Vous devez connatre
les quipements connects aux diffrents ports de chaque commutateur et routeur et tre capable
didentifier les cbles connects ces quipements.
Chapitre 14
465
Comme le prix des commutateurs est de plus en plus abordable, ils tendent remplacer les hubs et
les MAU (Media Attachment Unit) dans les armoires de cblage. Gnralement, les clients oprent
une migration de leurs rseaux bass sur des hubs en remplaant les ports de ces derniers par des
ports de commutateurs. Les utilisateurs et les serveurs subissent une migration progressive par le
transfert de chaque connexion dun port de hub vers un port de commutateur.
Le domaine de broadcast ou le segment Ethernet qui tait traditionnellement utilis pour la
surveillance nexiste plus. Il sagissait dun mdia partag sur lequel nimporte quel port pouvait
permettre un utilisateur muni dun analyseur dobtenir une vue complte de ce qui se produisait
au niveau du trafic. Dans un environnement commut, le domaine de broadcast (VLAN) peut
stendre sur plusieurs commutateurs, armoires de cblage, et immeubles. Le trafic unicast et
parfois multicast est limit aux ports auxquels il se destine.
Habituellement, un analyseur de trafic peut tre utilis pour observer tout le trafic sur un segment et
dterminer les quipements qui sont les plus utiliss, surchargs, sous-exploits, etc. Dans un environnement commut, une telle vue densemble nest possible nulle part sur le rseau. Le trafic sur chaque
port dun VLAN est diffrent lexception des ports qui ne possdent quun quipement actif, le
commutateur. Mme si un port SPAN tait utilis, il indiquerait ce qui se passe sur un seul commutateur, ce qui ne reprsente quune partie dun VLAN implment sur plusieurs commutateurs.
Bien que le taux des diffusions broadcast limite toujours la croissance dun VLAN, comme ctait
dj le cas sur un mdia partag, il ne reprsente quun aspect parmi dautres. Comme il nest pas
pratique danalyser chaque port commut pour obtenir une vue complte, nous devons identifier,
documenter, et maintenir uniquement les ports commuts jugs critiques.
Un port commut critique est un port dont le fonctionnement est vital pour lexploitation du rseau.
Par exemples, les connexions de ports suivantes sont dune importance capitale :
m
ports de routeur ;
ports de tronon ;
ports de ligne vitale (pour ces employs dont les ports ne devraient jamais tomber en panne).
Les ports de clients ( lexception de ceux de ligne vitale) ne devraient jamais tre considrs
comme critiques. Tenter de maintenir des donnes dadministration pour tous ces ports peut se rvler une tche laborieuse pouvant surcharger les ressources du commutateur. De plus, obtenir une
alerte chaque fois quun utilisateur teint son PC nest daucune utilit compar un avertissement signalant quun port de tronon ou de routeur a t dsactiv de faon imprvue.
Une fois les ports critiques identifis, ils doivent tre documents, marqus physiquement, et maintenus par lintermdiaire dune stratgie administrant les dplacements, les ajouts, et les changements.
466
Partie II
Etudes de cas
Sinon, les oprateurs risquent de ragir des conditions de ports qui taient auparavant critiques
mais qui ne le sont plus suite un changement nayant pas t document.
Les sections suivantes traitent des stratgies dadministration pour les ports critiques. Ltablissement de rapports sur la disponibilit du rseau par quipement ou par port critique de commutateur
peut fournir la direction de lentreprise une rfrence importante partir de laquelle effectuer des
dcisions.
Mise en place du suivi derreurs
Le suivi derreurs consiste surveiller la disponibilit du rseau, journaliser et traiter les interceptions SNMP ainsi que les messages Syslog. Si ce nest pas dj le cas, vos quipements devraient
tre configurs pour pouvoir grer les accs SNMP, la gnration des interceptions SNMP, et la
gnration des messages Syslog avec des informations de temps. Synchronisez les horloges sur vos
quipements et votre station dadministration NMS (Network Management Station) avec NTP pour
amliorer les capacits de corrlation dvnements.
Surveillance de la disponibilit
La mthode la plus simple pour contrler la disponibilit des quipements est de vrifier les
rponses renvoyes aprs une requte ping (ICMP) ou get de SNMP. Les produits NMS standards
peuvent assurer le suivi de tous les objets quils grent par lintermdiaire de ces mcanismes
simples. Bien quune rponse ping ne garantit pas quun commutateur fonctionne correctement,
labsence dune telle rponse rvle manifestement un problme. Lutilisation dun dispositif NMS
avec contrle de disponibilit li la couleur dquipement sur une carte topologique est lexemple
le plus courant dun systme de contrle derreurs.
Mise en place de la journalisation Syslog
Configurez les routeurs et les commutateurs pour quils envoient leurs messages de console vers un
serveur Syslog, gnralement la station NMS. Un commutateur Catalyst 5000 peut placer dans
un tampon de 1 Ko les n derniers messages Syslog de console quil gnre. Bien quils soient utiles
pour une rfrence rapide partir de linterface en ligne de commande (CLI), il est recommand de
consigner ces messages sur un serveur Syslog pour disposer dinformations permanentes et pouvoir
les corrler ultrieurement.
Les messages de journaux sont des messages systme qui seraient normalement envoys sur le port
de console, par exemple : 11/4/1996,13:52:54:SYS-5: Module 3 failed configuration (chec de configuration du module 3). Les routeurs et les commutateurs Cisco gnrent de nombreux types de
messages systme diffrents.
Les messages Syslog de commutateur sont formats avec deux paramtres : le service et la gravit.
Vous devez choisir parmi huit services (local0 local7), en vous fondant sur ceux que le serveur
Syslog consigne dj. Il est prfrable de choisir un service qui sera ddi vos quipements de
rseau. Les routeurs Cisco choisissent par dfaut local7, qui est un choix appropri, sauf en cas
de conflit.
Vous pouvez configurer le niveau de gravit de chaque type de message que vous voulez que le
commutateur envoie. Vous devriez consigner un niveau de gravit "avertissement" infrieur celui
Chapitre 14
467
de chaque type de messages systme afin de ne pas encombrer les journaux avec des messages
superflus qui napporteraient pas dinformations utiles.
Bien que la fonction dinformation Syslog puisse tre utilise pour la gestion des erreurs, elle ne
reprsente pas un mcanisme dalerte en temps rel, contrairement une interception SNMP (
moins que vous neffectuiez un travail supplmentaire pour quelle le devienne). Les informations
Syslog sont toutefois utiles pour la corrlation dvnements. Lanalyse des fichiers Syslog la
recherche de messages se rapportant un vnement donn peut fournit des renseignements utiles
sur la cause dun problme. Vous pouvez configurer le serveur Syslog pour que les messages de
diffrents niveaux de gravit soient consigns dans des fichiers diffrents ou dans un seul fichier
volumineux. Vous pouvez ensuite utiliser des outils comme Perl pour y rechercher les informations
souhaites. Des outils comme le gestionnaire de ressources CRM (Cisco Resource Manager)
peuvent collecter des informations Syslog et crer des rapports bass sur les niveaux de gravit et
les dates. Ces outils peuvent galement synthtiser les messages pour en faciliter linterprtation.
Mise en uvre des interceptions SNMP
De nombreux produits NMS disposent de rcepteurs dinterceptions qui les consignent et qui
peuvent tre configurs pour y ragir de faon relativement sophistique. Vous pouvez demander
tre inform des interceptions au moyen dune fentre surgissante, dune alarme sonore, ou dun
signal lectronique de pager.
Collecte de donnes de rfrence
Aprs avoir document le rseau, identifi les ports commuts critiques pour la bonne marche de
lorganisation, et activ le suivi de ltat des commutateurs et des routeurs, il est temps dtudier la
vraie nature du rseau en surveillant rgulirement les donnes et en tudiant les flux du trafic.
En recueillant des informations de rfrence sur le rseau, vous obtiendrez une vue prcise du trafic
et disposerez de donnes pour valuer la croissance du rseau dans le temps et les goulets dtranglements. Avec le temps, cet ensemble dinformations pourra servir de rfrence pour fixer les
seuils utiles ltape suivante (traite dans la section "Dfinition de seuils"). Une base de valeurs de
rfrence reprsente galement un instrument prcieux lorsque vous tentez de dterminer les causes
de problmes de performances.
468
Partie II
Etudes de cas
La collecte de donnes de rfrence sur le rseau est galement une tape essentielle en raison de
limportance croissante de la planification des ressources. Selon Optimal (www.optimal.com),
85 % des nouveaux dploiements dapplications chouent aux tests de conformit de niveau service.
Voici quelques-unes des nombreuses raisons de cet chec :
m
lexploitation croissante du rseau pour des applications non ddies lentreprise (trafic Internet et Web) ;
La constitution dune base de rfrence est donc essentielle pour la planification des ressources. Elle
permet aux administrateurs de rseau de comprendre le niveau actuel des performances, ce qui est
crucial pour pouvoir envisager de nouvelles extensions du rseau ou des applications. Les valeurs de
rfrence doivent tre mises jour au moins tous les trimestres pour identifier les ressources et les
tendances.
Dterminez en premier lieu les informations que vous souhaitez observer dans la dure. Par exemple :
m
la consommation de la mmoire ;
le trafic multicast ;
le trafic broadcast.
Ces informations doivent tre collectes pendant une certaine priode, et au minimum pendant deux
semaines. Des mesures pouvant staler jusqu deux mois peuvent renseigner sur les fluctuations
normales qui doivent tre prises en compte. Cette dure minimale permet denregistrer le
"rythme" normal du trafic du rseau. Plus ltude sera longue, puis il sera possible de voir apparatre
les modles rels de comportement du trafic sur le rseau. Les chantillons devraient tre recueillis
assez frquemment pour pouvoir capturer prcisment les fluctuations, mais pas trop non plus, pour
viter que ces variations ne faussent pas les rsultats.
Aprs la collecte des donnes, vous pouvez crire des scripts ou acqurir des programmes pour
collationner les donnes et tablir des rapports comparatifs permettant didentifier les zones de
problmes ou celles de forte activit.
Vous pourriez par exemple collecter les informations de performances et derreurs pour les ports
critiques de commutateurs et de routeurs toutes les quinze minutes pendant deux semaines. A lissue
de cette priode de collecte, une analyse devrait mettre en vidence le trafic de rfrence et les taux
derreurs pour chaque port important. Ces moyennes seront ncessaires pour les tapes suivantes.
Chapitre 14
469
Utilisez linterrogation (polling) SNMP pour collecter les donnes ncessaires. Employez les
outils NMS pour dterminer des pourcentages de rfrence du trafic local et de celui traversant
le campus, et allouez ensuite la bande passante selon les rsultats obtenus. Il existe trois types de
modles de trafic qui devraient tre analyss :
Trafic local. Le trafic qui est confin une petite portion du rseau.
Trafic de niveau campus. Le trafic qui traverse lpine dorsale du rseau, ou un routeur, ou les
deux.
Trafic campus/Internet. Le trafic chang en sortie ou en entre entre le campus et lInternet.
Utilisez des outils tels que TrafficDirector avec des fonctions RMON intgres ou des sondes
RMON externes telles que SwitchProbes pour collecter des informations statistiques et historiques Ethernet, Token Ring, FDDI, et ATM partir des commutateurs et des routeurs. Bien que
RMON 1 puisse surveiller le trafic jusquau niveau 3, les sondes RMON 2 peuvent tre utilises
pour dterminer des valeurs de rfrence des couches suprieures du modle OSI (Open System
Interconnection). La base de rfrence recueillie dans un environnement de commutateurs ne
sapplique gnralement quau niveau physique et au niveau liaison de donnes de la pile OSI.
Utilisez linterface en ligne de commande (CLI) via Telnet pour collecter des statistiques. Ceci
devrait tre ralis au moyen de scripts, comme ceux de Expect ou de Perl. NMS ou dautres
applications commerciales de collecte dinformations peuvent aussi tre employes pour
recueillir ces donnes par lintermdiaire de SNMP.
Valeurs de seuils
Aprs avoir runi une base de valeurs de rfrence, vous devriez maintenant avoir une ide de ce qui
devrait tre considr comme un "comportement normal" pour diffrents segments de rseau, et en
particulier pour les ports critiques. Ltape suivante consiste configurer les seuils RMON.
Lalarme et les groupes dvnements RMON vous permettent de dfinir des seuils provoquant
lenvoi dune interception SNMP par le commutateur lorsquils sont franchis.
Pour contrler la gnration des alarmes, deux types diffrents de valeurs de seuils doivent tre
dfinis :
m
Valeurs de seuils en diminution. Elles provoquent la gnration dune alarme lorsque la valeur
de lobjet MIB diminue et passe en-dessous du seuil.
Ces alarmes ne sont pas mises chaque fois quun seuil est franchi. Il existe un mcanisme
dhystrsis permettant de limiter le nombre dalarmes gnres. Chaque seuil agit comme un
mcanisme de rarmement pour autoriser le seuil oppos gnrer une alarme. Par exemple, supposez
que pour un port le seuil en augmentation soit configur pour 40 %, et que le seuil en diminution
soit dfini 25 %. Lutilisation du port est normalement proche de 20 %. Si elle augmente soudain
pour atteindre 50 % puis redescend pour fluctuer entre 35 % et 50 %, une alarme sera envoye
uniquement la premire fois que le seuil en augmentation sera franchi. Lors des fluctuations conscutives de 35 50 %, aucune alarme ne sera mise. Lorsque lactivit du port retombe aux alentours
470
Partie II
Etudes de cas
de 20 %, le seuil en diminution est alors franchi. Une alarme est gnre et le seuil en augmentation
est rarm. On peut ainsi en dduire que la situation lorigine de la premire alarme est passe. Ce
mcanisme empche la rception dinformations redondantes sur une condition dj connue et
permet aussi dtre renseign sur la fin dun incident.
Configuration de seuils
Pour gnrer des alarmes utiles, vous devez dfinir des seuils sensibles. Ceci nest malheureusement pas toujours facile raliser. En rgle gnrale, vous devriez vous appuyer sur les donnes de
rfrence que vous avez recueillies. Dfinissez un seuil qui puisse vous alerter lorsquune condition
problmatique se produit et un seuil oppos qui vous avertit lorsque la situation est redevenue
normale.
Voici une liste de directives permettant de dterminer les seuils appropris :
m
Pour lutilisation des ports, cest--dire les niveaux de trafic multicast et broadcast, exploitez les
valeurs de rfrence que vous avez collectes.
Les seuils concernant les erreurs CRC devraient tre trs bas, cest--dire ne dpassant pas une
erreur par heure. Vous ne devriez pas tablir dinformations de rfrence pour les erreurs CRC car
le taux derreur pour Ethernet est trs bas daprs les spcifications. Les collisions tant normales,
elles devraient tre rfrences et les seuils devraient tre configurs de faon approprie.
Si vous dfinissez des valeurs de seuil trop faibles, de nombreuses alarmes seront gnres. Bien
que vous souhaitiez que les oprateurs soient avertis des vnements se produisant sur le rseau,
vous ne devez pas non plus les inonder de messages. Une trop grande quantit dalarmes risque
de provoquer lindiffrence des oprateurs qui finiront par les ignorer.
Si au contraire vous dfinissez des seuils trop levs, les oprateurs risquent de ne pas tre avertis
suffisamment tt de certains vnements, ou de prendre connaissance dune situation critique longtemps aprs la gnration de linterception SNMP. Par exemple, il nest pas logique de gnrer une
interception lorsque lutilisation dune liaison atteint 98 % car les utilisateurs finaux auront dj
souffert dune srieuse dgradation des performances, avant que le seuil de soit franchi.
Au cours des semaines suivantes, continuez observer les donnes collectes. En les analysant et en
surveillant le taux dalarmes, vous pourrez dterminer lefficacit des seuils que vous avez configurs et les ajuster au besoin.
Ladaptation des valeurs de seuils est un processus qui se poursuit mesure que le rseau se dveloppe, que le trafic augmente, et que ses comportements changent.
Rduction des donnes de la base de rfrence
Avec lintroduction des alarmes et des vnements, il nest plus ncessaire de procder une interrogation intensive pour obtenir des statistiques de trafic car lquipement peut assurer lui-mme son
suivi par lintermdiaire des vnements et des alarmes RMON. En revanche, une interrogation
visant connatre les erreurs, comme avec ICMP ou SNMP, reste toujours ncessaire car un quipement ne sera pas en tat dannoncer ses dfaillances sil devient inoprant.
Chapitre 14
471
Dune faon gnrale, vous pouvez dsactiver la collection des donnes historiques RMON lorsque
vous entrez dans la phase de collecte rgulire des donnes de rfrence. Ceci permet de rduire la
consommation de ressources processeur et mmoire sur le commutateur. Vous devriez toutefois
continuer surveiller les ports critiques de tronons de commutateur.
Analyse et collecte rgulires des donnes de rfrence
Aprs avoir dfini les ports critiques et les seuils dalarmes, il se peut que vous souhaitiez collecter
davantage de donnes de rfrence. Ces donnes sont pratiques pour analyser la croissance du
rseau dans le temps et mesurer les performances du rseau commut. Lanalyse des tendances de
comportement et la planification des ressources simpose lorsque vous collectez activement les
donnes de rfrence et sondez souvent votre rseau commut.
Rflchissez attentivement la frquence avec laquelle vous souhaitez interroger votre rseau. Une
interrogation toutes les cinq minutes pour de nombreux ports commuts serait excessive. La section
suivante donne des informations spcifiques sur les lments sonder et surveiller activement sur
un commutateur ou un routeur, et sur la faon de recueillir de faon continue des donnes utiles.
Linterrogation SNMP, les alarmes et les vnements RMON, et/ou les commandes CLI, font partie
de la panoplie des moyens dont vous pouvez disposer pour mener bien ces tches.
Avant de dployer des commutateurs sur le rseau, tenez compte des recommandations de conception et de configuration suivantes.
Conception du rseau
Les ponts racines devraient tre dfinis statiquement sur les commutateurs de distribution lorsque la
fonctionnalit darbre recouvrant (STP) est utilise. Elle devrait tre active sur tous les ports de
tronon. Vous pouvez aussi ventuellement lactiver sur les ports dutilisateurs finaux au cas o une
boucle viendrait se former par erreur sur le rseau. Cette simple prcaution peut permettre dviter
limmobilisation de votre rseau en cas de boucle.
472
Partie II
Etudes de cas
Acquisition de donnes
Vous pouvez obtenir les mmes donnes de diffrentes faons partir dun commutateur. La
mthode que vous utilisez dpend de nombreux facteurs :
m
les outils dont vous disposez pour collecter et traiter ces donnes.
Pour de trs petits rseaux, la simple interface CLI peut suffire. Pour des rseaux plus grands et plus
complexes, il peut savrer utile de mettre en place une station NMS avec des interrogateurs SNMP,
des gestionnaires dinterceptions SNMP, et une base de donnes relationnelle. Dans la plupart des
situations, on rencontre une combinaison de ces outils avec, en plus, lemploi de quelques scripts
Perl et Expect pour combler les manques. Les sections suivantes dcrivent les donnes collecter,
comment les obtenir, et comment les transformer en informations utiles. Elles prsentent les
donnes que vous pouvez obtenir partir des commandes CLI et des objets MIB de SNMP.
Cette section aborde galement la gestion de base des erreurs au moyen des interceptions SNMP et
des messages Syslog.
Telnet et linterface CLI
Vous pouvez collecter toutes les donnes de performances qui vous sont utiles pour interroger et
surveiller le rseau en ouvrant une session Telnet sur le commutateur et mettant diverses commandes CLI. Linterface en ligne de commande vous permet dobtenir des statistiques de trafic et
derreurs ainsi que des informations essentielles sur le fonctionnement gnral du commutateur. Il
est vident que cette mthode ne convient pas dans le cas dun grand nombre de commutateurs ou
pour raliser un suivi continu dun certain nombre dentre eux. Elle nen demeure pas moins efficace pour obtenir des donnes en temps rel lors du dpannage dun problme. Cest aussi un
instrument ncessaire pour collecter des renseignements qui ne sont pas disponibles via SNMP.
Vous pouvez recourir des langages dcriture de scripts tels que Expect et Perl pour recueillir ce
genre de donnes de faon rgulire ou en rponse la dtection de certaines conditions derreurs.
Les commandes CLI permettant lobtention de donnes spcifiques sont traites plus loin dans cette
section.
Interrogation SNMP
La mthode la plus couramment adopte pour recueillir des donnes de performances est SNMP.
Par lintermdiaire de linterrogation SNMP, vous pouvez collecter des informations MIB RMON,
MIB-2, et dautres donnes spcifiques de lentreprise. Ces informations incluent des statistiques de
trafic concernant les ports critiques et peuvent aussi comprendre des donnes spcifiques sur
lensemble des performances du commutateur, telles que lutilisation de la plaque de connexion
arrire.
Les plates-formes NMS commerciales comptent parmi les mthodes de gestion de rseau
sappuyant sur SNMP habituellement utilises. Vous pouvez galement utiliser les services dinterrogation de ce genre densembles logiciels pour recueillir priodiquement des informations spcifiques sur vos commutateurs et les conserver dans une base de donnes quelconque. Celle-ci peut tre
aussi simple quun ensemble de fichiers linaires ou aussi complexe quun systme de gestion de
Chapitre 14
473
base de donnes relationnelle (SGBDR). Des rapports peuvent ensuite tre gnrs partir de ces
donnes par importation des fichiers linaires dans un tableur ou avec lutilitaire de reporting du
SGBDR. Vous pouvez galement opter pour la cration de vos propres outils SNMP en utilisant un
langage de scripts tel que Perl. Celui-ci est galement utile pour crer des rapports partir de
fichiers linaires.
Cisco TrafficDirector est un exemple densemble de programmes spcialiss dans la gestion de
rseaux. Ils sont semblables aux produits NMS gnraux mentionns prcdemment, mais sont
spcifiques certains types de donnes, tels que les statistiques de trafic RMON ou MIB-2. Ces
ensembles proposent gnralement un certain nombre de rapports de base avec des options permettant de les adapter vos besoins.
Une fois que vous disposez de moyens pour collecter les donnes, vous devez dcider de celles
interroger. Plusieurs objets MIB peuvent contenir les mmes donnes. Par exemple, etherStatsTable
de RMON, ifTable de MIB-2, et la MIB dot3, sont tous des objets qui fournissent des statistiques
semblables sur le trafic et les erreurs des ports Ethernet. Toutefois, nous vous recommandons
dutiliser etherStatsTable pour la plupart des interrogations. De nombreuses applications commerciales sappuient dj sur cet objet pour recueillir des donnes et disposent doutils tout prts pour
les traiter et gnrer des rapports. Il est galement facile de tirer parti des fonctions RMON de
collecte de donnes historiques afin de rduire la charge de service des procdures dinterrogation.
Notez que certaines versions du systme Cisco IOS pour commutateur Catalyst autorisent la
dfinition de seuils RMON uniquement dans lobjet etherStatsTable. Comme nous voulons tablir
des objets de rfrence sur lesquels dfinir des seuils RMON, lobjet etherStatsTable convient bien
au dpart. Certains objets de statistiques utiles llaboration dune base de rfrence sont etherStatsOctets pour le trafic total, etherStatsMulticastPkts pour le trafic multicast, et etherStatsBroadcastPkts pour le trafic broadcast.
Les objets de statistiques derreurs surveiller sont ceux qui concernent les trames en erreur, comme
etherStatsCRCAlignErrors, et peut-tre aussi ceux qui concernent les fragments et les perturbations
(jabber) Ethernet, comme etherStatsFragments et etherStatsJabber. La surveillance des collisions
Ethernet sur un rseau commut nest gnralement utile que sur les segments partags.
Pour obtenir une dfinition dtaille des objets MIB que vous interrogez, il nexiste pas de
meilleure source que le document MIB lui-mme. Tous les documents sur les objets MIB supports
par les quipements Cisco sont disponibles au public dans la zone MIB du site Web de Cisco. Les
rpertoires "v1"et "v2" contiennent les objets MIB ASN.1 complets avec les dfinitions dans la
syntaxe SNMP v1 ou SNMP v2. La plupart des stations NMS peuvent compiler ces fichiers directement dans une base MIB sans aucune modification. Les rpertoires "oid" et "schema" sont fournis
pour dautres stations NMS qui requirent des donnes MIB dans ce format. Le rpertoire "oid" est
galement commode pour rechercher lidentificateur dobjet complet (OID) dun objet donn si
vous crivez vos propres scripts pour collecter ces donnes. Le rpertoire "support_list" est une
directive un peu vague permettant de dterminer les objets supports certains niveaux des quipements et du systme Cisco IOS.
Aprs avoir install et configur votre rseau commut, vous devez mettre en place la station NMS
qui se chargera du processus dinterrogation SNMP. Linterrogation des commutateurs ressemble
celle des routeurs, la seule diffrence tant la quantit et le type des variables MIB sollicites. Un
grand nombre de variables MIB pour les interfaces et les ports ne seront pas interroges avec SNMP
474
Partie II
Etudes de cas
en raison de la densit de ports sur les commutateurs et ltat inconnu des ports directement connects aux stations de travail ou PC pouvant tre teints tout moment. SNMP est trs utile pour
vrifier le bon fonctionnement des commutateurs et des ports de tronons. Les ports utilisateurs
peuvent tre grs uniquement en sappuyant sur les interceptions dvnements dtats de ligne,
tablie ou relche, ou en utilisant les fonctionnalits intgres de RMON. Les variables MIB de
commutateur tudies dans cette section proviennent directement des objets MIB suivants :
RFC1213, CISCO-STACK-MIB, ETHERLIKE-MIB, et BRIDGE-MIB.
Les trois sections suivantes sur les procdures dinterrogation de variables MIB sont tires des
directives contenues dans le guide Guidelines for Polling MIB Variables, telles quelles sappliquent
aux routeurs. Les mmes principes peuvent tre appliqus dans le cas dun environnement
commut, mais avec des variables MIB diffrentes.
Avant dtudier les lments qui doivent tre interrogs, nous devons dterminer lobjectif des
interrogations. On peut dire quil existe trois objectifs principaux aux interrogations : dterminer la
disponibilit dun quipement (interrogation de surveillance), dterminer si une condition derreur
sest produite ou est en passe de se produire (interrogation de seuils), ou analyser les donnes et
mesurer des tendances ou des performances (interrogation de performances).
Interrogation de surveillance
Lobjectif de linterrogation de seuils est de dterminer les conditions derreurs qui saggravent afin
dentreprendre les actions qui simposent avant que les performances ne soient rellement affectes.
Une grande varit de problmes apparat sous la forme de conditions derreurs aggraves. Elles
peuvent se transformer en erreurs "dures", ou se prsenter par intermittence. Linterrogation de
seuils est un outil qui permet de dtecter ces problmes.
Pour limplmenter, il faut en premier lieu dcider des variables MIB interroger (les variables
MIB pour les commutateurs suivent dans cette section). Les utilisateurs qui dbutent avec cette
forme dinterrogation peuvent commencer avec les variables qui sont suggres ci-aprs puis ajouter toute autre variable MIB qui serait approprie pour leur rseau.
Aprs avoir choisi les variables MIB interroger, vous devez leur dfinir des valeurs de rfrences.
Pour cela, vous pouvez dmarrer une procdure dinterrogation de ces variables pendant une
Chapitre 14
475
certaine priode (une semaine par exemple) et analyser ensuite les donnes produites. La
dtermination des valeurs de rfrence doit tre ralise lors de priodes de pointe de trafic pour
quelles soient les plus reprsentatives possibles de conditions inhabituelles. Plus votre rseau est
statique (changements annuels) et moins vous aurez renouveler les valeurs de rfrence, et plus il
est dynamique (changements mensuels), plus vous devrez mettre jour votre base de rfrence.
A laide de ces donnes talons, dterminez ensuite les valeurs situes en dehors des limites. Une
rgle gnrale est de dfinir des seuils dpassant de 10 20 % les valeurs maximales releves.
Les valeurs seuils pour nimporte quelle variable MIB peuvent tre appliques uniformment sur
tous les commutateurs, ou tre adaptes par groupes de commutateurs ayant des caractristiques
similaires (par exemple, commutateur central ou de distribution).
Une autre dcision devant tre prise concerne le choix des types de notification appropris mettre
lorsque les seuils sont franchis. Les dpassements de seuils ne sont pas indicateurs derreurs
"dures" et ne demandent gnralement pas une raction immdiate. La journalisation des valeurs
seuils et leur examen journalier est le meilleur moyen de rester inform. Il est trs important
danalyser les causes de dpassements rpts. Vous pouvez ainsi dterminer si un problme qui
sest produit peut tre corrig, ou si les valeurs hors limites sont simplement dues des seuils trop
faibles tant donn la situation.
Interrogation de performances
Lobjectif de linterrogation de performances est de collecter des donnes pouvant tre analyses
dans le temps pour dterminer les tendances et faciliter la planification des ressources. A linstar de
linterrogation de seuils, il faut commencer par dterminer les variables MIB interroger. Des
suggestions sont donnes plus loin dans cette section pour choisir les variables MIB qui seraient les
plus utiles linterrogation de performances des commutateurs.
Dans le cadre de ce processus, des points de donnes individuels (donnes brutes) sont stocks par
intermittence sur la machine assurant linterrogation. Selon le mcanisme dinterrogation utilis, les
donnes peuvent tre conserves dans un format brut ou dans une base de donnes relationnelle.
Afin damliorer la gestion des donnes, les informations brutes devraient tre priodiquement
compares et faire lobjet de calculs dont les rsultats seraient enregistrs dans une autre base de
donnes ou un autre fichier afin de gnrer des rapports ultrieurs. Les donnes brutes peuvent tre
conserves pendant un certain temps des fins de sauvegarde, mais il faut au final les supprimer et
ne conserver que les agrgats de performances. La dernire tape de ce processus est la production
de rapports partir des rsultats, qui seront examins priodiquement pour identifier les tendances
ou des fins de prvisions des ressources.
Pour mieux illustrer ce processus, voici un exemple de systme dinterrogation de performances
dune entreprise :
m
Les variables MIB individuelles sont assembles pour former des groupes dinterrogations.
Chaque groupe est interrog toutes les cinq minutes et les donnes sont stocks dans une base de
donnes Sybase en fonction du nom du groupe. Chaque matin 12h01, les donnes brutes de la
base sont traites afin de calculer les valeurs minimales, maximales, et moyennes pour chaque
heure, et les rsultats sont ensuite enregistrs dans une autre base de donnes Sybase (au moyen
de programmes SQL crits spcifiquement pour cette opration).
476
Partie II
Etudes de cas
Chaque samedi matin 1h00, les points de donnes brutes individuels de la semaine passe son
supprime de la base de donnes. Le premier jour du mois, les valeurs de minimum, maximum,
et de moyenne par heure sont traites avec dautres calculs pour dgager des valeurs de minimum,
maximum et de moyenne journalire. Ces rsultats sont nouveau stocks dans une autre bases
de donnes. Le premier mardi du mois, une srie de rapports sont gnrs partir des rsultats
horaires et journaliers pour tre examins lors de la runion de planification des ressources. Aprs
la gnration des tats, les donnes de rsultats par heure sont archives sur bande.
Comme mentionn prcdemment, la plupart des commutateurs Catalyst supportent une version
"allge" de RMON qui se compose de quatre groupes de base RMON-1 : statistiques, historiques,
alarmes, et vnements. Pour llaboration des valeurs de rfrence, le groupe etherStats propose un
ventail de statistiques utiles sur le trafic de niveau 2. Vous pouvez utiliser les objets du Tableau 14.3
pour recueillir des statistiques sur le trafic unicast, multicast, et broadcast, ainsi que sur une varit
derreurs de niveau 2. Lagent RMON sur le commutateur peut tre configur pour stocker ces
chantillons dans le groupe historiques. Ce mcanisme permet de rduire le volume dinterrogations
sans rduire le nombre dchantillons. Lemploi des historiques RMON permet dobtenir des valeurs
de rfrence plus prcises sans entraner trop de surcharge de service due aux interrogations. Plus
vous collectez dhistoriques, plus les ressources du commutateur sont sollicites.
La fonction la plus puissante de RMON-1 est le mcanisme de gestion des seuils fourni par les
groupes alarmes et vnements. Il permet de configurer le commutateur de faon quil envoie une
interception SNMP lorsquune condition anormale se prsente. Aprs avoir identifi tous les ports
jugs critiques et recueilli des donnes de rfrence refltant lactivit normale sur ces ports laide
des interrogations SNMP (et peut-tre aussi des historiques RMON), vous tes prt dfinir les
seuils RMON. Dfinissez-les pour quils gnrent une alarme lorsque des carts importants sont
constats par rapport aux valeurs de rfrence sur un de ces ports. Prvoyez aussi des seuils infrieurs afin dtre averti lorsque le trafic revient un niveau normal toujours par rapport aux valeurs
de rfrence.
Pour configurer ces seuils, la meilleure solution est dutiliser des ensembles logiciels dadministration RMON. La cration des lignes dans les tables dalarmes et dvnements est une tche laborieuse et complexe. Les ensembles logiciels RMON NMS, tels que TrafficDirector, proposent des
interfaces graphiques qui facilitent cette configuration.
Bien que les commutateurs fournissent seulement quatre groupes de base RMON-1, il est important
de ne pas oublier le reste des objets RMON-1 et RMON-2. Vous pouvez obtenir des informations de
niveau 3 et suprieur sur vos commutateurs laide de la fonction de port SPAN et dune sonde
RMON externe, comme SwitchProbe de Cisco. Cette sonde supporte RMON-2 et peut tre alimente partir dun port SPAN pour assurer le suivi complet des donnes RMON sur nimporte quel
port ou la totalit dun VLAN sur un commutateur donn. Vous pouvez utiliser cette combinaison
SwitchProbe et port SPAN pour capturer un flot de paquets sur un port spcifique (en utilisant le
Chapitre 14
477
groupe de capture de paquets de RMON-1) puis les tlcharger vers un logiciel dadministration
RMON des fins danalyse. La combinaison SwitchProbe et port SPAN peut galement servir
recueillir des statistiques de niveau couche rseau et couche application sur un port donn ou sur un
VLAN. Le port SPAN est contrlable via SNMP avec le groupe SPAN de lobjet CISCO-STACKMIB. Ce processus est donc facile automatiser. TrafficDirector utilise ces fonctions avec sa fonctionnalit dagent "errant" (roving).
Il y a certains risques sonder tout un VLAN. Mme si vous utilisez une sonde 100 Mbit/s, la totalit du flux de paquets dun VLAN, ou mme dun port duplex 100 Mbit/s, peut excder la bande
passante dun port SPAN. Prenez donc soin de ne pas le surcharger. Sil fonctionne continuellement
pleine charge, il est possible que des donnes soient perdues.
Contraintes de mmoire RMON
Il est important de se souvenir que la fonction principale dun commutateur est de commuter des
trames et non dagir comme une sonde RMON multiport. Lorsque vous prvoyez des historiques et
des seuils sur plusieurs ports pour toutes les conditions possibles, gardez lesprit que des ressources du commutateur seront monopolises pour ladministration et ne seront pas disponibles pour sa
fonction principale. Noubliez pas non plus la rgle prconisant dinterroger et de dfinir des seuils
uniquement pour les ports qui auront t identifis comme tant critiques.
En ce qui concerne les statistiques, les historiques, les alarmes, et les vnements RMON, la
consommation de la mmoire est constante sur toutes les plates-formes de commutateur. RMON
utilise un seau pour stocker les historiques et les statistiques sur lagent RMON (en loccurrence le
commutateur). La taille du seau est dabord dfinie sur la sonde RMON (SwitchProbe) ou sur
lapplication RMON (TrafficDirector), et le seau est ensuite envoy vers le commutateur pour y tre
configur.
Famille de commutateurs Catalyst 5000
Environ 450 Ko despace de code seront ajouts limage NMP pour supporter la version rduite
de RMON (quatre groupes RMON : statistiques, historiques, alarmes, et vnements). Les besoins
en mmoire dynamique pour les fonctions RMON varient car ils dpendent de la configuration
dexcution. Le Tableau 14.3 explique lutilisation de la mmoire RMON pour chaque groupe du
RMON rduit.
Tableau 14.3 : Utilisation de la mmoire RMON dexcution
Dfinition de groupe
Remarques
Statistiques
Par port.
Historiques
Alarmes et vnements
478
Partie II
Etudes de cas
Un seul pool de DRAM est ddi lallocation dynamique et chaque fonction/processus lutilise.
Sur le Catalyst 5000, version 3.1 ou ultrieure, utilisez la commande show version pour visualiser
la quantit de mmoire DRAM utilise et libre. En vous fondant sur les donnes prcdentes, dterminez les exigences de mmoire RMON. La sauvegarde de la configuration relative RMON
occupe approximativement les quantits de mmoire suivantes :
m
Limpact au niveau des ressources processeur de lutilisation des fonctions RMON de collecte
dinformations et dalarme sur un commutateur Cisco, peut tre dcrit de la faon suivante :
Groupe statistiques : Il utilise des cycles processeur uniquement lorsquil traite une requte
SNMP Get recueillant des statistiques RMON de port. Son impact est donc minimal car les
informations etherStats sont collectes au niveau matriel.
Groupes historiques et alarmes/vnements : Ces groupes utilisent peu de cycles processeur pour chaque priode dinterrogation par port (cest--dire, pour chaque clich dhistorique et chaque seuil dalarme valuer). Limpact dpend de lintervalle entre les
interrogations et du nombre de ports. La surcharge de processeur devrait tre minimale avec
un module superviseur 2 ou 3 (en supposant un nombre de ports infrieur 150 et des intervalles dinterrogation de 30 secondes ou davantage).
La configuration de Syslog sur les commutateur Catalyst 5000 consomme 1 Ko de mmoire (pour
les versions 2.2 et ultrieures) pour enregistrer les derniers message Syslog gnrs.
Indexation de chanes de communaut et VLAN
Certaines bases MIB standard supposent quune entit SNMP particulire ne contient quune
instance de la base MIB. Par consquent, la base standard ne dispose daucun index permettant aux
utilisateurs daccder directement une instance particulire de la MIB. Pour palier ce manque,
Cisco autorise lindexation de chane de communaut. La syntaxe utilise est chane_communaut
@numro_instance.
Par exemple, le commutateur Catalyst gre une instance de la base standard BRIDGE-MIB pour
chaque VLAN sur le commutateur. Si la chane de communaut en lecture seule est "public" et que
la chane de communaut en lecture-criture est "private", vous pourriez utiliser public@25 pour
lire la base BRIDGE-MIB pour le VLAN 25, et private@33 pour lire et crire dans la base
BRIDGE-MIB pour le VLAN 33. Si les chanes public ou private sont utilises seules sans
prcision de linstance, la base du VLAN 1 sera lue par dfaut.
Les interceptions envoyes partir dune base MIB indexe par une chane de communaut indiquent galement linstance de la base laquelle elles correspondent en utilisant lindexation. Par
exemple, une interception STP newRoot partir de BRIDGE-MIB pour le VLAN 25 utiliserait une
chane de communaut public@25 dans le champ de communaut de linterception, en supposant
que la chane de communaut en lecture seule soit "public".
Chapitre 14
479
Notez galement que lindexation de chane de communaut naffecte pas laccs aux bases MIB ne
comportant quune instance. Par consquent, public@25 peut tre utilis pour accder RFC1213MIB pendant quun accs BRIDGE-MIB pour le VLAN 25 se produit.
Un autre exemple pour le commutateur Catalyst est la base SNMP-REPEATER-MIB. Pour accder
cette MIB pour un rpteur donn sur le commutateur Catalyst, utilisez la syntaxe chane
_commmunaut@numro_module/numro_port. Si la chane de communaut en lecture seule est
par exemple, "public", vous pouvez utiliser public@3/1 pour lire SNMP-REPEATER-MIB pour le
rpteur attach au port 1 sur le module 3.
Pour dterminer les VLAN disponibles sur un commutateur Catalyst donn, vous devez interroger le
groupe MIB vlanTable de la base CISCO-STACK-MIB en utilisant lidentifiant de VLAN comme
index.
Depuis Cat5xxx version 4.1(1), lidentifiant vlanIndex a t ajout la liste varBind des interceptions newRoot et topologyChange dfinies dans la base BRIDGE-MIB. Ainsi, Les plates-formess et
les applications SNMP nont pas besoin de dcoder la chane de communaut dans linterception.
Voici deux exemples des nouvelles interceptions supportes :
Received SNMPv1 Trap:
Community: public@2
Enterprise: dot1dBridge
Agent-addr: 172.10.17.31
Enterprise Specific trap.
Enterprise Specific trap: 2
Time Ticks: 27654316
vtpVlanIndex.1.2 = 2
ifName.97 = 4/2
Received SNMPv1 Trap:
Community: public@3
Enterprise: dot1dBridge
Agent-addr: 172.10.17.31
Enterprise Specific trap.
Enterprise Specific trap: 1
Time Ticks: 27651818
vtpVlanIndex.1.3 = 3
(interception topologyChange)
(numro de VLAN)
(index de linterface)
(interception newRoot)
(numro de VLAN)
Lidentification du port ayant gnr une interception dvnement donne peut savrer difficile.
Savoir quune interception provient de lobjet ifIndex 100 naide pas identifier sa source. Mais savoir
quelle provient du port 1/1 est trs utile. Nous utilisons la base IF-MIB pour affecter lobjet ifIndex
un numro de port. Si vous interrogez lobjet ifXTable pour connatre ifName, vous pouvez obtenir une
correspondance entre ifIndex et le port en question. Si vous avez reu une interception, par exemple
pour ifIndex 17, vous pourriez interroger ifName afin de connatre le port, comme illustr dans lexemple suivant :
$ snmpwalk robotron ifName
ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName.1
ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName.2
ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName.3
ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName.4
ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName.5
ifMIB.ifMIBObjects.ifXTable.ifXEntry.ifName.6
:
:
:
:
:
:
DISPLAY
DISPLAY
DISPLAY
DISPLAY
DISPLAY
DISPLAY
STRINGSTRINGSTRINGSTRINGSTRINGSTRING-
(ascii):
(ascii):
(ascii):
(ascii):
(ascii):
(ascii):
sc0
sl0
1/1
1/2
2/1
2/2
480
Partie II
Etudes de cas
Utilisez les commandes set snmp pour dfinir tous les paramtres SNMP : chanes de communaut,
RMON, et autres interceptions SNMP. Le Tableau 14.4 dcrit ces commandes.
Tableau 14.4 : Commandes de configuration IOS pour SNMP
Commande
Description
set snmp ?
Active ou desactive les interceptions de liaison sur la base de chaque port. Si des stations finales sont connectes au commutateur, vous devriez prvoir des interceptions de
liaison uniquement pour les port jugs critiques.
show snmp
set span
set logging
Configure le commutateur pour quil envoie ses messages de console vers un serveur
Syslog. Nous vous recommandons dutiliser la commande set logging level pour dfinir
un niveau de gravit de 4 pour tous les services, ou le niveau avertissement (warning).
Vous trouverez des informations dtailles sur toutes les commandes set pour la version 4.2 sur le
site Web de Cisco.
Les mthodes habituelles de gestion derreur impliquent la journalisation des interceptions SNMP
(ce qui comprend des interceptions de seuils RMON) et des messages Syslog, puis le traitement des
donnes suivi des ractions appropries. La plupart des suites logicielles NMS fournissent un
dmon dinterception qui reoit et journalise les interceptions SNMP, ainsi que des mcanismes
permettant dy ragir. Parmi ces mcanismes, on trouve gnralement laffichage de messages,
lmission dalarmes sonores sur la station NMS, ou lexcution dun script de pager. Des actions
plus complexes peuvent comprendre lexcution dun script Expect qui collecte des donnes sensibles
Chapitre 14
481
au temps afin de dterminer ltat du commutateur immdiatement aprs lapparition dune erreur,
ou le dclenchement dune procdure de capture de paquets partir du port appropri en utilisant
une sonde RMON externe. Plusieurs scnarios du genre sont dcrits plus loin dans ce chapitre.
En ce qui concerne les messages Syslog, la plupart des systmes Unix (si ce nest pas tous) fournissent un dmon Syslog. Dautres dmons du domaine commercial ou public sont galement disponibles pour les systmes Win95 ou WinNT. Ces dmons journalisent gnralement tous les messages
de commutateur dans un fichier particulier. Un script ou un outil quelconque de reporting peut
ensuite tre utilis pour analyser le fichier afin de produire des informations utiles. Lutilitaire Cisco
Resource Manager possde un utilitaire Syslog Analyzer qui cre des rapports partir des messages
Syslog en se basant sur les niveaux de gravit ou les quipements qui les ont gnrs.
La plupart des produits NMS commerciaux grent les interceptions SNMP standard de base (telles
que linkUp et linkDown) ainsi que les seuils RMON. En ce qui concerne les interceptions spcifiques
Cisco, vous devez configurer NMS pour les formater afin quelles puissent tre lues et reconnues.
Le site Web Cisco fournit dans le fichier trapd.conf des informations sur le formatage des interceptions pour HP OpenView Network Node Manager et Tivoli NetView.
Les bases MIB spcifiques Cisco peuvent tre trouves dans les documents MIB, tels que ceux
lists dans le Tableau 14.5.
Tableau 14.5 : Liste des interceptions SNMP pour les commutateurs Cisco
Document MIB
Interceptions spcifiques
CISCO-STACK-MIB
Interceptions de module :
lerAlarmOn
lerAlarmOff
moduleUp
moduleDown
Interceptions de chssis :
chassisAlarmOn
chassisAlarmOff
Interceptions de permission IP :
IpPermitDeniedTrap
Interceptions STP
RFC 1157
Interception dauthentification
CISCO-VTP-MIB
Interceptions VTP :
vtpConfigRevNumberError
vtpConfigDigestError
vtpServerDisabled
vtpMtuTooBig
vtpVlanRingNumberConfigConflict
vtpVersionOneDeviceDetected
CISCO-VLAN-MEMBERSHIP-MIB
482
Partie II
Etudes de cas
Tableau 14.5 : Liste des interceptions SNMP pour les commutateurs Cisco (suite)
Document MIB
Interceptions spcifiques
Interceptions de rpteur
Il est important de connatre ltat des ressources dun commutateur pour pouvoir juger de son bon
fonctionnement en matire de trafic, de systme, de processeur, et dutilisation de la mmoire.
Bases MIB SNMP
Les variables suivantes sont utiles pour dterminer lutilisation de la plaque de connexion arrire du
commutateur. Les mmes compteurs sont utiliss lors de laffichage des indicateurs de niveau de
trafic rouges sur lavant de la carte superviseur. Ces variables ne devraient toutefois pas tre confondues avec lutilisation des ressources processeur ou mmoire.
Les informations suivantes sont disponibles sur le site Web Cisco :
m
SysTrafficPeak. Valeur de mesure de pointe de trafic depuis la dernire fois que les compteurs
du port ont t rinitialiss ou que le systme a dmarr (voir sysClearPortTime).
SysTrafficMeterTable. Trafic dans le processeur systme et sur les bus systme internes.
Sapplique uniquement aux modules superviseurs III du Catalyst 5000.
Interface CLI
Utilisez les commandes dcrites dans cette section comme mthodes additionnelles de collecte de
donnes sur les ressources de commutateur.
Commande show biga Erreurs de ressources de commutateur (RsrcErrors)
Cette commande indique les pertes en file dattente de superviseur, semblables aux pertes en files
dentres sur les routeurs, et rvle le trafic destin aux superviseurs, comme les units BPDU
(Bridge Protocol Data Unit). Cette commande sapplique aux moteurs superviseurs 1 et 2. Llment
dintrt principal du rsultat de cette commande est RsrcErrors :
switch 5000 (enable)
BIGA Registers:
cstat:
00
sist :
0018
dctrl:
F5FF
thead: 101F196C
tdsc : 00000500
rhead: 101F1220
show biga
upad :
FFFF
hica :
0000
dstat:
0000
ttail: 101F196C
tlen :
0000
rtail: 101F1204
pctrl :
0000
hicb :
0000
dctrl2:
80
ttmph : 101F196C
tqsel :
05
rtmph : 101F123C
nist
hicc
npim
tptr
:
0000
:
00
:
00F8
: 104347E2
rptr : 10586C80
Chapitre 14
483
FALSE
101EF894
101F1210
04572393
00000256
BIGA Transmit:
First TBD :
SoftTHead :
Free TBDs :
AcknowErrs:
QueuedPkts:
XmittedByt:
Frag<=4Byt:
101F1494
101F19D4
00000064
00000000
00000000
909016542
00000306
Last RBD :
SoftRTail :
BytesRcvd :
RsrcErrors:
101F1478
101F11F4
589914384
00000000
Last TBD :
SoftTTail :
No TBDs
:
HardErrors:
XmittedPkt:
Panic
:
101F1B78
101F19D4
00000000
00000000
11353833
00000000
A055E7A4(0 )
A055F5A4(112)
00000128
07626990
00000000
00000000
00000162
00000000
Last TBD :
TxTail
:
QueuedPkts:
XmittedByt:
PanicNullP:
Len0Errs :
SpursTxInt:
NullMbuf :
A055F784(0 )
A055F5A4(112)
00000000
581073462
00000000
00000000
00000000
00000000
Receive:
First RBD :
RxHead
:
AvailRBD :
PanicNullP:
FramesRcvd:
RuntsRcvd :
A0559FA4(0 )
A055AE44(104)
00000512
00000000
18507368
00000000
Last RBD :
RxTail
:
RsrcErrors:
PanicFakeI:
BytesRcvd :
HugeRcvd :
A055E780(511)
A055AE20(103)
00000824
00000000
1676456769
00000000
4ff10056
NRP
01c3e580
NRP
484
Partie II
0558590
Cntl :
Etudes de cas
55C0
: 0680
10224
9946
9935
clusters
clfree
lowest clfree
3932
3675
3665
Free Blocks
1
2
1
1
1
1
1
4
Commande psc
Cette commande permet dafficher des donnes dutilisation processeur du NMP. La dernire ligne
du listing reprsente le temps dinactivit. Dans cet exemple, le processeur du commutateur est actif
59 % (41 % dinactivit). Sur cette mme ligne, les champs "high" et "low" reprsentent les limites suprieures et infrieures depuis le dernier dmarrage du commutateur. Le champ "Average"
indique la dure moyenne dinactivit depuis le dernier dmarrage. La colonne dutilisation du
processeur "CPU-Usage" totalise 100 % (avec plus ou moins derreurs darrondi) et indique la
dure doccupation du processeur par ce processus. Dans cet exemple, le noyau (kernel) utilise
93 % de 59 %, ce qui reprsente environ 49 % des capacits du processeur :
switch 5000 (enable) ps -c
CPU usage information:
Name
CPU-Usage
--------------- ------------Kernel
93%
SynDiags
0%
Invokations
------------1
1
Chapitre 14
485
SynConfig
0%
1
Earl
1%
1
THREAD
0%
1
Console
0%
1
telnetd
0%
1
cdpd
0%
1
cdpdtimer
0%
1
SptTimer
0%
1
SptBpduRx
0%
1
VtpTimer
0%
1
VtpRx
0%
1
DISL_Rx
0%
1
DISL_Timer
0%
1
sptHelper
0%
1
..etc
..etc
System Idle - Current: 41% High: 51% Low: 8% Average: 47%
3
3
3
3
3
0
0
1
486
Partie II
Etudes de cas
00000001
10800000
50000200
107FFF80
NVRAM log:
01. 12/29/97,07:05:17:convert_post_SAC_CiscoMIB:Nvram block 0 unconvertable: 2(1)
02. 12/29/97,07:05:17:convert_post_SAC_CiscoMIB:Nvram block 1 unconvertable: 1(0)
03. 12/29/97,07:05:17:convert_post_SAC_CiscoMIB:Nvram block 5 unconvertable: 1(0)
04. 12/29/97,07:05:17: check_block_and_log:Block 59 has been deallocated: (0x500
191D8)
05. 12/29/97,07:05:17: convert_post_SAC_CiscoMIB:Nvram block 61 unconvertable:
1(0)
Module 2 Log:
Reset Count:
2
Reset History: Thu Mar 19 1998, 16:09:04
Wed Mar 11 1998, 12:05:57
FCP Flash Checksum Failures:
FCP Flash Program Failures:
FCP DRAM Failures:
FCP SRAM Failures:
FCP Exceptions:
Path Test Failures:
0
0
0
0
0
0
DMP
DMP
DMP
DMP
DMP
0
0
0
0
0
Module 3 Log:
Reset Count:
2
Reset History: Thu Mar 19 1998, 16:08:18
Wed Mar 11 1998, 12:05:11
Module 4 Log:
Reset Count:
1
Reset History: Mon Mar 23 1998, 10:50:06
Module 5 Log:
Reset Count:
2
Reset History: Thu Mar 19 1998, 16:08:18
Wed Mar 11 1998, 12:05:11
Les informations dtat de chssis et denvironnement sont utiles pour dterminer ltat fonctionnel
du chssis du commutateur et des sources dalimentation.
Bases MIB SNMP
Les objets MIB SNMP de cette liste devraient tre interrogs si linterception chassisAlarmOn se
produit.
Chapitre 14
487
chassisFanStatus. Etat du ventilateur du chssis. Sil nest pas oprationnel, la valeur de chassisFanTestResult donne davantage dinformations sur les conditions de panne qui se sont produites.
Lorsque le voyant systme passe au rouge, une alarme chassisMajorAlarm est gnre et lorsquil
passe lorange, une alarme chassisMinorAlarm est gnre. Linterception gnre sera chassisAlarmOn. Les informations dinterception sont accompagnes de variables qui indiquent si linterception provient dune alarme chassisTempAlarm, chassisMinorAlarm, ou chassisMajorAlarm.
Dchiffrer linterception permet de connatre lalarme qui la dclenche.
Les conditions suivantes provoquent une alarme majeure :
m
chec EEPROM ;
chec NVRAM ;
alarme de temprature ;
panne de ventilateur ;
Dans le cas dune alarme mineure ou majeure, le voyant dtat du systme sur le panneau avant
devient rouge. Ces informations sappliquent aux commutateurs de la famille Catalyst 5000.
Dautres produits qui utilisent la base CISCO-STACK-MIB sappuient sur des dfinitions diffrentes des alarmes majeures et mineures.
488
Partie II
Etudes de cas
Interface CLI
Cette section contient des exemples de rsultats provenant de commandes de linterface CLI qui
renseignent sur ltat du chssis et de lenvironnement.
Commande show system
Les informations affiches par cette commande peuvent aussi tre obtenues au moyen de SNMP :
switch 5000 (enable) show system
PS1-Status PS2-Status Fan-Status Temp-Alarm Sys-Status Uptime d,h:m:s Logout
---------- ---------- ---------- ---------- ---------- -------------- --------ok
none
ok
off
ok
14,21:20:38
20 min
PS1-Type
PS2-Type
Modem
Baud Traffic Peak Peak-Time
---------- ---------- ------- ----- ------- ---- ------------------------WS-C5008A none
disable 9600 0%
0%
Wed Oct 22 1997, 14:17:56
System Name
System Location
System Contact
------------------------ ------------------------ -----------------------switch 5000
PS2: .
.
.
.
.
.
.
.
.
.
(. = Pass, F = Fail,
.
Bootcsum : .
.
CBL
: .
.
Repeater : N
MII Status:
Ports 1 2
----------N N
SAINT/SAGE Status :
Ports 1 2 3
N = N/A)
Archsum : N
DPRAM
: .
FLASH
: N
SAMBA : N
Chapitre 14
489
-------------. . .
Packet Buffer Status :
Ports 1 2 3
-------------. . .
Loopback Status [Reported by Module 1] :
Ports 1 2 3
-------------. . .
Ltat de modules reprsente ltat fonctionnel des modules de commutateur et de leurs composants.
Bases MIB SNMP
Les bases MIB SNMP de cette liste devraient tre interroges si linterception moduleUp ou moduleDown est gnre.
Les informations suivantes sont disponibles sur le site Web Cisco :
m
moduleStatus. Ltat fonctionnel du module. Sil nindique pas que le module est oprationnel,
la valeur de moduleTestResult donnera davantage dinformations sur les conditions de la panne
du module.
moduleAction. Lorsque cet objet est interrog, il renvoie les informations suivantes :
other(1) Module activ en permanence.
enable(3) Module actuellement activ.
disable(4) Module actuellement dsactiv.
La dfinition de cet objet avec lune des valeurs acceptables peut donner les rsultats suivants :
other(1) Produit une erreur.
reset(2) Rinitialise le circuit de contrle du module.
enable(3) Si ltat du module est configurable, active le module ou produit une erreur.
disable(4) Si ltat du module est configurable, dsactive le module ou produit une erreur.
La dfinition de cet objet avec nimporte quelle autre valeur produit une erreur.
Interface CLI
Cette section contient des exemples de rsultats de commandes CLI qui renseignent sur ltat des
modules.
490
Partie II
Etudes de cas
MAC-Address(es)
Hw
Fw
Sw
------------------------------------ ------ ------ ----------------00-60-47-96-f2-00 thru 00-60-47-96-f5-ff 1.4
2.1
2.1(9)
00-60-3e-d1-86-e4 thru 00-60-3e-d1-86-ef 1.3
1.2
2.1(9)
00-60-3e-c9-90-54 thru 00-60-3e-c9-90-5f 1.1
1.2
2.1(9)
5
00-40-0b-d5-0e-10 thru 00-40-0b-d5-0e-1b 1.4
1.2
2.1(9)
Module 4 (. = Pass, F =
Sprom
: .
Bootcsum
LTL
: .
CBL
Pkt Bufs : .
Repeater
Fail, N = N/A)
: .
Archsum
: .
DPRAM
: N
FLASH
: N
: N
: N
SAMBA : .
SAINT/SAGE Status :
Ports 1 2 3 4 5 6 7 8 9 10 11 12
----------------------------------------. . . . . . . . . . . .
Packet Buffer Status :
Ports 1 2 3 4 5 6 7 8 9 10 11 12
----------------------------------------. . . . . . . . . . . .
Loopback Status [Reported by Module 1] :
Ports 1 2 3 4 5 6 7 8 9 10 11 12
----------------------------------------. . . . . . . . . . . .
Channel Status :
Ports 1 2 3 4 5 6 7 8 9 10 11 12
----------------------------------------. . . . . . . . . . . .
Topologie STP
Ces commandes show et variables MIB permettent dobtenir ltat de la topologie darbre recouvrant STP (Spanning-Tree) sur le commutateur. Reportez-vous aux prcdentes sections relatives au
protocole STP et lindexation base sur les communauts SNMP.
Chapitre 14
491
Les bases MIB SNMP de cette liste devraient tre interroges si linterception newRoot ou topologyChange se produit.
Les informations suivantes sont disponibles sur le site Web Cisco :
m
dot1dStpRootPort. Le numro du port qui offre le chemin de plus faible cot vers le pont racine
partir de ce pont.
Interface CLI
Vlan
---1
1
1
1
1
00-60-47-96-f2-00
32768
Hello Time 2 sec
Forward Delay 15 sec
Port-State
------------not-connected
not-connected
disabled
disabled
not-connected
Cost
----10
10
10
10
10
Priority
-------32
32
32
32
32
Fast-Start
---------disabled
disabled
disabled
disabled
disabled
492
Partie II
Etudes de cas
Les informations MIB et de la commande show suivantes renseignent sur le contenu et ltat de la
base de transmission du commutateur. Reportez-vous la section "Table CAM (Content-Addressable Memory)", plus haut dans ce chapitre pour obtenir davantage dinformations ce sujet.
Pour dterminer le port sur lequel une adresse MAC donne est relie un commutateur Catalyst,
vous devez recherchez ladresse MAC dans la table dot1dTpFdbTable (1.3.6.1.2.1.17.4.3) et dterminer le port de pont associ en utilisant lobjet dot1dTpFdbPort (1.3.6.1..1.17.4.3.1.2). Il se peut
que vous ayez utiliser lindexation de chane de communaut si plusieurs VLAN sont associs
ce commutateur.
Convertissez ensuite cet index de pont en un ifIndex en utilisant lobjet dot1dBasePortIfIndex
(1.3.6.1.2.1.17.1.4.1.2). Vous pouvez ensuite utiliser lobjet ifName (1.3.6.1.2.1.31.1.1.1.1) de la
base IF-MIB (RFC 1573) pour obtenir le numro de connecteur/port auquel ladresse MAC est
associe.
NOTE
Le pont transparent Ethernet est le seul quipement trait ici.
La base de donnes de transmission de pont est utilise par le circuit EARL et est disponible via
lobjet MIB suivant :
m
dot1dTpFdbTable. Une table qui contient des informations sur les entres unicast pour lesquelles le pont transmet et/ou filtre des donnes. Ces donnes sont utilises par la fonction de pont
transparent pour dterminer la faon de propager une trame reue.
Interface CLI
Les exemples suivants prsentent les informations affiches par les commandes CLI, et qui renseignent sur la table CAM.
Commande show cam count dynamic
Cette commande affiche le nombre total dentres de la CAM dcouvertes par le commutateur. Ces
donnes devraient tre collectes lorsque les valeurs de rfrence initiales ont t dfinies pour
suivre la croissance des adresses MAC sur un commutateur.
switch 5000> show cam count dynamic
Total Matching CAM Entries = 200
Chapitre 14
493
Erreurs de port
Les variables MIB et les rsultats Telnet qui suivent rapportent des erreurs survenues sur les interfaces de commutateur.
Bases MIB SNMP
dot3StatsAlignmentErrors. Un compte des trames reues sur une interface, dont la longueur en
octets nest pas intgrale et pour lesquelles le contrle FCS (Frame Check Sequence) a chou.
Le total indiqu par une instance de cet objet est incrment lorsque ltat alignmentError est
renvoy par le service MAC vers la couche LLC (Logical Link Control) (ou un autre utilisateur
du service MAC). Les trames reues avec plusieurs conditions derreurs sont, selon les conventions IEEE 802.3 Layer Management, comptes exclusivement en fonction du statut derreur
prsent la sous-couche LLC.
dot3StatsFCSErrors. Un compte des trames reues sur une interface, dont la longueur en octets
est intgrale et pour lesquelles le contrle FCS (Frame Check Sequence) a chou.
Le total indiqu par une instance de cet objet est incrment lorsque ltat frameCheckError est
renvoy par le service MAC vers la couche LLC (ou un autre utilisateur du service MAC). Les
trames reues avec plusieurs conditions derreurs sont, selon les conventions les conventions
IEEE 802.3 Layer Management, comptes exclusivement en fonction du statut derreur prsent
la sous-couche LLC.
dot3StatsSingleCollisionFrames. Un compte des trames transmises avec succs sur une interface donne pour laquelle la transmission est bloque si une seule collision se produit.
Une trame qui est compte par une instance de cet objet est aussi compte par linstance correspondante de lun des objets ifOutUcastPkts, ifOutMulticastPkts, ou ifOutBroadcastPkts, mais
pas par celle de lobjet dot3StatsMultipleCollisionFrames.
dot3StatsLateCollisions. Le nombre de fois quune collision est dtecte sur une interface
particulire, aprs un dlai de 512 bits-temps dans la transmission du paquet.
512 bits-temps correspondent 51,2 microsecondes sur un systme 10 Mbit/s. Une collision
(tardive) incluse dans un compte reprsent par une instance de cet objet est considre comme
tant une collision (gnrique) en vue dautres statistiques relatives aux collisions.
494
Partie II
Etudes de cas
dot3StatsFrameTooLongs. Un compte des trames reues sur une interface donne, dont la taille
excde le maximum autoris.
Le compte reprsent par une instance de cet objet est incrment lorsque ltat frameTooLong
est renvoy par le service MAC la sous-couche LLC (ou un autre utilisateur MAC). Les trames
reues avec plusieurs conditions derreurs sont, selon les conventions IEEE 802.3 Layer Management, comptes exclusivement en fonction du statut derreur prsent la sous-couche LLC.
Interface CLI
Voici un exemple des rsultats renvoys par la commande CLI qui renseigne sur les comptes
derreurs par port.
Commande show port counters
Cette commande affiche les compteurs derreurs de ports tels que ceux derreurs dalignement,
derreurs FCS, de statistiques de collisions, etc. :
switch 5000 (enable) show port counters
Port Align-Err FCS-Err
Xmit-Err
Rcv-Err
UnderSize
----- ---------- ---------- ---------- ---------- --------1/1
0
0
0
0
0
1/2
0
0
0
0
0
2/7
0
0
0
0
0
2/8
428
159
0
0
718
2/9
0
0
0
0
0
Port Single-Col Multi-Coll Late-Coll
Giants
Chapitre 14
495
Les administrateurs de rseau sont confronts au problme de taux de trafic broadcast sur les ports
commuts. Comme ce trafic est transmis vers tous les ports dun VLAN, vous pouvez configurer un
port "fictif" participant au VLAN, et ne capturer que le trafic broadcast. Vous pouvez ensuite
comparer ce taux au taux maximal thorique de la ligne.
Bases MIB SNMP
Voici les objets MIB SNMP utiliss dans ce contexte. Les informations peuvent tre trouves sur le
site Web Cisco :
m
dot1dTpPortInFrames. Le nombre de trames qui ont t reues sur ce port sur son segment.
Notez quune trame reue sur une interface correspondant ce port nest compte par cet objet
que sil sagit dun protocole en cours de traitement par la fonction locale, y compris pour les
trames de gestion de pont.
dot1dTpPortOutFrames. Le nombre de trames qui ont t transmises par ce port sur son
segment. Notez quune trame transmise sur linterface correspondant ce port nest compte par
cet objet que sil sagit dun protocole en cours de traitement par la fonction locale de pontage,
y compris pour les trames de gestion de pont.
496
Partie II
Etudes de cas
etherStatsBroadcastPkts. Le nombre total de paquets corrects reus qui ont t dirigs vers
ladresse de broadcast. Notez quil ninclut pas les paquets multicast.
etherStatsMulticastPkts. Le nombre total de paquets corrects reus qui ont t dirigs vers une
adresse multicast. Notez quil ninclut pas les paquets envoys vers ladresse broadcast.
Interface CLI
Voici un exemple de rsultats renvoys par la commande CLI fournissant des statistiques de niveau
MAC.
Commande show mac
Cette commande affiche des statistiques de niveau MAC, telles que le nombre de trames reues/transmises, le nombre de paquets multicast reus/transmis, et le nombre de paquets broadcast reus/transmis :
switch 5000 (enable) show mac
MAC
Rcv-Frms
------- -------1/1
0
1/2
0
2/1
7564831
2/2
839319
2/3
40744
2/4
40989
2/5
87858
2/6
0
2/7
53448
2/8
1646786
2/9
45666
2/10
44872
2/11 24269744
Utilisation client
Certains clients sappuient sur leurs commutateurs pour obtenir des informations dutilisation relatives aux utilisateurs et aux applications, afin de dterminer le niveau de respect de laccord SLA
(Service-Level Agreement, accord de niveau de service), et aussi des fins de facturation par utilisateur ou par groupe. Pour cela, il est recommand dexaminer les couches situes au-dessus du
niveau 2 OSI. Dans cette situation, les commutateurs devraient tre traits comme des hubs ou des
MAU, et vous devriez exploiter les protocoles de niveaux suprieurs (qui voyageront "au-dessus"
du commutateur) pour collecter ces informations.
Si vous voulez connatre le niveau de disponibilit dun serveur pour ses utilisateurs, vous devriez
priodiquement excuter un ping du serveur (mais pas trop frquemment pour ne pas le congestionner)
et mesurer le temps de rponse. Partez du principe que la commutation est ralise la vitesse de la
ligne, moins que des donnes nindiquent que le commutateur reprsente un goulet dtranglement.
Ce chapitre de traite pas de la commutation Cisco Netflow ou multicouche.
Chapitre 14
497
Le reporting de temps de rponse est la mesure du temps de rponse entre deux points de rseau
pour dterminer les dlais dacheminement. Bien que la plupart des NMS soient capables de
raliser des ping partir dune station centrale, vous pouvez galement utiliser la base CISCOPING-MIB pour demander aux routeurs Cisco et certains commutateurs deffectuer un ping
dquipements spcifiques et de renvoyer le temps aller-retour. Vous pouvez galement dcouvrir
tous les quipements Cisco voisins de routeurs et de commutateurs Cisco en interrogeant la base
CISCO-CDP-MIB.
Variables MIB pour les environnements commuts
Cette section identifie, au moyen des Tableaux 14.6 et 14.7, les variables MIB qui sont gnralement intressantes pour ladministration des erreurs et des performances, et explique les erreurs les
plus couramment rencontres.
Tableau 14.6 : Performances densemble de commutateur
Fichier MIB
Objets MIB
CISCO-STACK-MIB
SysTraffic
SysTrafficPeak
SysTrafficPeaktime
SysConfigChangeTime
ChassisPs1Status
ChassisPs2Status
ChassisFanStatus
ChassisMinorAlarm
ChassisMajorAlarm
ChassisTempAlarm
ModuleStatus
ModulePortStatus
ModuleStandbyStatus
Objets MIB
PortOperStatus
VlanPortIslOperStatus (trunk ports only)
PortAdminSpeed
PortDuplex
PortSpantreeFastStart
498
Partie II
Etudes de cas
Objets MIB
Dot3StatsAlignmentErrors
Dot3StatsFCSErrors
dot3StatsSingleCollisionFrames
dor3StatsMultipleCollisionFrames
dot3StatsLateCollisions
dot3StatsExcessiveCollisions
dot3StatsInternalMacTransmitErrors
dot3StatsInternalMacReceiveErrors
dot3StatsDeferredTransmissions
dot1dStpPortStatus
dot1dStpPortForwardTransitions
dot1dTpLearnedEntryDiscards
if.ifInDiscards
if.ifInErrors
if.ifOutDiscards
if.ifOutErrors
if.ifInOctets
if.ifOutOctets
if.ifInUcastPkts
if.ifInNUcastPkts
if.ifOutUcastPkts
if.fOutNUcastPkts
ip.ipInRequests
ip.ipInDelivers
ip.ipForwDatagrams
Erreurs dalignement
Les erreurs dalignement reprsentent un compte des trames reues qui ne se terminent pas par un
nombre pair doctets et qui affichent un CRC incorrect.
A rception de paquets dune taille infrieure 64 octets et ne se terminant par sur une limite
doctet (par exemple, un fragment provenant dune collision), le commutateur Catalyst incrmentera les compteurs runts counter et align-err counter.
Une erreur dalignement est rvlatrice dun problme de cble ou dun transmetteur dfaillant sur
lquipement de rseau connect lautre extrmit. La valeur de ce compteur devrait tre gale
zro ou en tout cas trs faible. Des erreurs de ce type peuvent se produire lorsque le cble est
connect la premire fois. De plus, si un hub est connect, des collision entre dautres quipements
qui y sont connects peuvent aussi provoquer ce genre derreurs.
Chapitre 14
499
Erreurs FCS
Le compte derreurs FCS reprsente le nombre des trames qui ont t transmises et reues avec une
somme de contrle incorrecte (valeur CRC) dans la trame Ethernet. Elles sont ignores et ne sont
pas propages sur les autres ports. Un faible nombre derreurs de ce genre est acceptable mais il
pourrait aussi indiquer la prsence de cbles, de cartes, ou dautres composants dfectueux.
Runts
Les trames runts (nains) sont trop petites pour un segment Ethernet.
Le comportement de ces trames se caractrise comme suit :
m
Avec les paquets dune taille infrieure 64 octets (par exemple, des fragment provenant dune
collision) et un CRS incorrect, le commutateur Catalyst incrmentera le compteur runts counter.
Avec les paquets dune taille infrieure 64 octets et ne se terminant pas sur une limite doctet
(par exemple, des fragment provenant dune collision), le commutateur Catalyst incrmentera
les compteurs runts counter et align-err counter.
Aucune erreur FCS-err nest journalise avec des paquets dune taille infrieure 64 octets.
Une erreur FCS-err est journalise lorsquun paquet de 63 octets est reu et que 4 bits sont ajouts pour lerreur align et lerreur dribble, provoquant un paquet incorrect de 64 octets (voir
Tableau 14.8).
Un faible nombre derreurs de ce genre est acceptable mais il pourrait aussi indiquer la prsence de
cbles, de cartes, ou dautres composants dfectueux. Dans un environnement Ethernet partage,
les trames runts sont presque toujours provoques par des collisions. Si ces trames apparaissent et
que le niveau de collisions nest pas lev ou sil sagit dun environnement Ethernet, elles peuvent
rsulter de livraisons incompltes (underruns) ou dun programme dfaillant sur une carte rseau.
Connectez un analyseur de protocole pour tenter didentifier la carte dfectueuse en dterminant
ladresse source de ces trames.
Le Tableau 14.8 dcrit les compteurs qui sont incrments dans certaines situations derreurs.
Tableau 14.8 : Conditions derreurs associes des compteurs derreurs
Taille de paquets (octets)
Erreur
66-1500
63
Undersize
63
CRC
Runts
63
align
align-err et runts
63
dribble
Undersize
63
symbol
Runts
63
CRC/align
align-err et runts
63
CRC/align/dribble
FCS-err
500
Partie II
Etudes de cas
Erreur
63
CRC/align/dribble/symbol
FCS-err
63
align/dribble
FCS-err
62
align/dribble
Runts
54
align/dribble
Runts
44
align/dribble
Runts
symbol. Sur le premier octet prcdant le CRC, le premier groupe de quatre bits gnrera un
symbole invalide.
En rgle gnrale, un rseau doit tre surveill aprs quil ait atteint un tat stable. Lorsquun soussystme (que ce soit une configuration de modules, de ports, de VLAN, ou dune autre entit)
atteint un niveau stable de fonctionnement, des seuils et des scnarios de corrlation supplmentaires doivent tre activs pour le sous-systme.
Objets MIB simples
Cette section liste les objets MIB qui devraient tre interrogs ainsi que les informations quils
fournissent.
MIB-II
Les objets MIB-II lists dans le Tableau 14.9 doivent tre surveills dans le cadre de ladministration de ports.
Tableau 14.9 : Objets MIB-II
Objet MIB
Description
Raison du suivi
ifEntry.ifOperStatus
Etat de fonctionnement
de base de port.
ifEntry.ifLastChange
Chapitre 14
501
Description
Raison du suivi
ifEntry.ifInDiscards
ifInErrors
IfUnknownProtos
ifOutDiscards
ifOutErrors
IpInHdrErrors
ipInAddrErrors
ipInUnknownProtos
ipInDiscards
ipOutDiscards
ipOutNoRoutes
ipReasmReqds
ipReasmFails
ipFragFails
ipFragCreates
TcpInErrs
tcpOutRsts
udpInErrors
SnmpInBadCommunity
Names
snmpInBadVersions
snmpInASNParseErrs
snmpInTooBigs
snmpInNoSuchNames
snmpInBadValues
snmpOutTooBigs
Dtecte si un NMS gnre trop de requtes invalides, ou de requtes valides qui conduisent un
nombre excessif de rponses invalides.
snmpInGenErrs
Surveille le comportement
des agents SNMP.
snmpEnableAuthenTraps
502
Partie II
Etudes de cas
CISCO-STACK-MIB
Plusieurs objets MIB de la base CISCO-STACK MIB doivent tre surveills pour garantir une
certaine exactitude.
Groupes systme et chssis
Le Tableau 14.10 liste les objets MIB des groupes systme et chssis qui devraient tre surveills.
Tableau 14.10 : Objets MIB systme et chssis
Objet MIB
Description
Raison du suivi
sysIpVlan
sysClearPortTime
sysEnableChassisTraps
sysEnableModuleTraps
sysEnableBridgeTraps
sysEnableRepeaterTraps
sysEnableIpPermitTraps
sysEnableConfigTraps
sysConfigChangeTime
Dtecte si cet objet prsente une interruption (sauf rollover) pour surveiller
les changements de configuration.
Chapitre 14
503
Description
Raison du suivi
sysEnableEntityTrap
sysEnableStpxTrap
chassisPs1Status
chassisPs2Status
chassisFanStatus
chassisMinorAlarm
chassisMajorAlarm
chassisTempAlarm
Conditions de modules
Le Tableau 14.11 liste les objets MIB de modules (cartes de lignes) qui devraient tre surveills.
504
Partie II
Etudes de cas
Description
Raison du suivi
moduleEntry.moduleSerialNumber
moduleEntry.moduleSwVersion
moduleEntry.moduleStatus
moduleEntry.moduleStandbyStatus
Surveille si un module
superviseur est en mode actif
ou en mode veille.
Conditions de ports
Le Tableau 14.12 liste les objets MIB de ports qui devraient tre surveills.
Tableau 14.12 : Objets MIB de ports
Objet MIB
Description
Raison du suivi
portEntry.portDuplex
portEntry.portSpantreeFastStart
portEntry.portLinkFaultStatus
moduleEntry.modulePortStatus
Chapitre 14
505
Description
Raison du suivi
portEntry.portOperStatus
portEntry.portLinkFaultStatus
Conditions de tronons
Le Tableau 14.13 liste les objets MIB de tronons qui devraient tre surveills.
Tableau 14.13 : Objets MIB de tronons
Objet MIB
Description
Raison du suivi
vlanPortEntry.vlan
PortIslAdminStatus
Conditions de VLAN
Le Tableau 14.14 liste les objets MIB de VLAN qui devraient tre surveills.
Tableau 14.14 : Objets MIB de VLAN
Objet MIB
Description
Raison du suivi
vlanEntry.vlanSpnTreeEnable
Surveille lactivation
de STP par VLAN.
vlanEntry.vlanPortVlan
506
Partie II
Etudes de cas
Description
Raison du suivi
vlanEntry.vlanPortIslOperStatus
vlanEntry.vlanPortOperStatus
Conditions EtherChannel
Le Tableau 14.15 liste les objets MIB pour EtherChannel qui devraient tre surveills.
Tableau 14.15 : Objets MIB pour EtherChannel
Objet MIB
Description
Raison du suivi
portChannelEntry.portChanelPorts
portChannelOperStatus
PortChannelNeighbourDeviceId
portChannelNeighbourPortId
Surveille si lautre
extrmit de lEtherChannel est modifie.
Conditions RSM
Le Tableau 14.16 liste les objets MIB pour le module RSM qui devraient tre surveills.
Tableau 14.16 : Objets MIB pour module RSM
Objet MIB
Description
Raison du suivi
moduleIpAddress
Chapitre 14
507
Conditions diverses
Le Tableau 14.17 liste les objets MIB gnriques qui devraient tre surveills.
Tableau 14.17 : Objets MIB divers
Objet MIB
Description
Raison du suivi
tftpHost
tftpFile
tftpModule
Surveille lorsque
de nouvelles images
peuvent tre charges.
tftpResult
Surveille la configuration
du pont-routeur (brouter).
Ce groupe sapplique
FDDI.
brouterPortEntry.brouterPortBridgeVlan
Surveille lappartenance
VLAN du port de
pont-routeur.
mcastRouterEntry.mcastRouterOperStatus
mcastEnableCgmp
mcastEnableIgmp
Surveille si le multicast
est activ sur le routeur.
dnsGrp.dnsenable
Surveille la configuration
DNS.
dnsServerEntry.dnsServerType
Dtecte un changement de
type dune entre DNS.
Gnre une alerte critique si
une entre est supprime.
syslogServerEntry.syslogHostEnable
Surveille la configuration
Syslog du commutateur.
syslogServerEntry
Surveille la configuration
Syslog du commutateur.
508
Partie II
Etudes de cas
Description
Raison du suivi
syslogMessageControlEntry.syslogMessageFacility
syslogMessageSeverity
Surveille la configuration
Syslog du commutateur.
tacacsGrp.tacacsLoginAuthentication
tacacsEnableAuthentication
tacacsLocalLoginAuthentication
tacacsLocalEnableAuthentication
tacacsDirectedRequest
Surveille la configuration
TACACS. Seulement
applicable si TACACS est
utilis sur le commutateur.
ipPermitEnable
ipPermitListEntry
ipPermitDeniedListEntry
Autres corrlations
Les scnarios de corrlation dvnements de cette section peuvent tre dvelopps pour un
commutateur Catalyst 5000.
Scnario 1. Dtecter que tous les modules ont t activs comme prvu. Ce scnario demande de
connatre le nombre de modules existants sur le commutateur. Il peut tre extrait de chassisGrp.chassisNumSlots.
Aprs le redmarrage dun commutateur (SYS-5: system reset) ou la rception dune interception
coldStart, vrifiez que tous les modules voulus sont nouveau en ligne, par lintermdiaire du
message Syslog SYS-5: Module x is online, o x est lindice de module. Un autre mthode permettant de dtecter cette situation est de traiter linterception sysConfigChangeTrap (avec varBind
contenant lindice de module). Corrlez linterrogation et linterception pour viter lenvoi de notifications dupliques loprateur. Incluez dans la notification, la valeur de lobjet moduleEntry
correspondant en fonction de lindice de module donn.
Chapitre 14
509
Sinon, vous pouvez surveiller la valeur de chassisSlotConfig pour voir si la valeur na pas chang.
Scnario 2. Distinguer les erreurs mineures de source dalimentation des erreurs majeures.
Gnrez une notification mineure ou majeure loprateur selon le niveau derreur de la source
dalimentation (selon la valeur des objets chassisPs1Status ou statusPs2Status).
Scnario 3. Effectuer la corrlation des interceptions dalarmes de chssis avec linterrogation
dobjet MIB pour rechercher un changement dtat.
Associez tout changement dtat de chassisTempAlarm, chassisMinorAlarm, ou chassisMajorAlarm avec une interception chassisAlarmOn pour vous assurer quune seule notification est
envoye loprateur pour le mme problme, selon la nouvelle valeur de lun de ces objets. Emettez,
intensifiez, ou supprimez lalarme en consquence.
Assurez-vous que lobjet sysEnableChassisTraps est activ pour que ce scnario puisse fonctionner.
Scnario 4. Surveiller les modules superviseurs.
Pour tous les modules dont le type (moduleType) correspond un module superviseur (valeur = 23,
38 42, 57, 78, ou 300), effectuez les contrles priodiques suivants. Dans les notifications
loprateur, incluez moduleName, moduleModel, moduleHwVersion, moduleFwVersion, et moduleSwVersion.
Surveillez leur tat avec moduleStatus et gnrez une alarme correspondant au niveau de gravit du
champ dtat. Ajoutez lobjet moduleTestResult dans la notification loprateur.
Vrifiez que la version de microprogramme est correcte en contrlant que les champs moduleHwVersion, moduleFwVersion, et moduleSwVersion contiennent les valeurs attendues. Si le moteur
de corrlation ne peut pas comparer les chanes, les objets MIB moduleHwHiVersion, moduleHwLoVersion, moduleFwHiVersion, moduleFwLoVersion, moduleSwHiVersion, et moduleSwLoVersion sont conformes ce quils sont supposs tre.
Dtectez lorsquune carte superviseur passe de ltat actif en mode veille, ou vice versa, en
surveillant lobjet moduleStandbyStatus. Dtectez aussi lorsque cet objet nest ni actif ni en veille.
A partir de tous les modules superviseurs installs (comme dfini par moduleType), assurez-vous
que lun dentre eux est actif (moduleStandbyStatus est actif) et que tous les autres sont en mode
veille.
Scnario 5. Surveiller les ports de cartes superviseurs.
Pour tous les modules dont le type (moduleType) correspond un module superviseur (valeur = 23,
38 42, 57, 78, ou 300), effectuez les contrles priodiques suivants sur les ports dont les objets
portModuleIndex (dans la table portTable) se vrifient avec lindice dun module superviseur (dans
la table moduleTable). Dans les notifications envoyes loprateur, incluez moduleName et moduleModel, et moduleHwVersion, moduleFwVersion, et moduleSwVersion.
Surveillez modulePortStatus (dcoder la chane doctet comme spcifi dans la MIB). Rapportez
tout changement dtat.
Vrifiez que lorsquun objet moduleStandbyStatus de module est active(2), les ports sur ce module
prsentent un tat correct sils sont utiliss, en contrlant le champ portOperStatus dans la table
portTable. Notez quune prochaine version de Catalyst 5000 rendra actifs les ports mme sur les
cartes superviseurs en mode veille, ce qui affectera ce scnario.
510
Partie II
Etudes de cas
portAdminRxFlowControl et portOperRxFlowControl
portAdminTxFlowControl et portOperTxFlowControl
Scnario 7. Vrifier que les liens sont connects aux ports appropris sur les autres commutateurs.
En utilisant la base CDP MIB de Cisco, vrifier que chaque port connu comme tant un tronon
(tant donn les valeurs prdfinies de portEntry.portModuleIndex et portEntry.portIndex) sur un
commutateur est configur avec CDP. Par exemple, cdpInterfaceEntry.cdpInterfaceEnable = true
lorsque cdpInterface.cdpInterfaceIfIndex correspond portEntry.portIfIndex.
Pour les mmes ports identifis dans ltape prcdente, vrifiez les entres de cdpCacheEntry avec
les expressions suivantes :
m
cdpCacheEntry.cdpCacheDeviceIndex = 1..N
Vrifiez que les ports de tronons prvus pour tre configurs dans ce VLAN existent. Si un port
existe :
Vrifiez quils sont configurs comme ISL.
Vrifiez que le port est configur pour un VLAN statique (supposition adopte dans ce scnario).
Vrifiez que STP est activ sur le port.
Recueillez son tat STP et rapportez les diffrences avec un tat prcdent connu.
Vrifiez que les ports avec vlanPortEntry.vlanPortIslOperStatus configurs avec la valeur trunking(1) ont leur objet vlanPortEntry.vlanPortIslAdminStatus correspondant configur sur on(1)
ou noNegotiate(5).
Recherchez dans la table vlanTable des entres pour lesquelles vlanEntry.vlanIfIndex correspond
au module/port prdfini par tronons, et vrifiez que son vlanEntry.vlanSpantreeEnable =
enabled (1).
Utilisez lobjet portEntry.portCrossIndex correspondant pour lire via index dans RFC1493
.dot1dStpPortEntry (ou portEntry.portCrossIndex = RFC1493.dot1dStpPortEntry.dot1dStpPort)
afin de recueillir RFC1493.dot1dStpPortEntry. dot1dStpPortState et rapporter tout changement
dtat.
Chapitre 14
511
Lobjectif principal de la gestion des erreurs est de dtecter les problmes et den informer les utilisateurs le plus tt possible pour que des mesures soient adoptes avant que les performances ne se
dgradent. Cette section dbute par un examen des fonctions de la gestion derreurs puis se concentre sur les diffrentes options disponibles pour limplmentation.
Voici la liste des principales fonctions :
m
La capacit de dtecter rapidement les problmes survenant sur le rseau est primordial. Le personnel dexploitation du rseau peut sappuyer sur une carte graphique du rseau pour afficher les tats
oprationnels des lments vitaux tels que les routeurs et les commutateurs. La plupart des logiciels
commerciaux de gestion de rseau peuvent assurer la dcouverte des diffrents quipements.
Chacun deux est reprsent par un lment graphique sur la console dadministration de la plateforme. Diffrentes couleurs sur les lments graphiques reprsentent ltat oprationnel actuel des
quipements. Ces produits peuvent aussi recevoir et afficher des vnements gnrs partir
des quipements de rseau.
Les quipements de rseau peuvent tre configurs pour envoyer des notifications aux plates-formes
dadministration du rseau. A rception des notifications, les lments graphiques figurant les quipements changent de couleur selon le niveau de gravit de la notification reue.
Dtection et notification des problmes
Il existe des mthodes permettant de dtecter les erreurs survenant sur un rseau compos de
routeurs et de commutateurs Cisco. Les plus courantes font usage des messages Syslog, des interceptions SNMP, et de RMON. Les quipements Cisco sont capables denvoyer des messages
Syslog un serveur Syslog. Il sagit de messages systme manant de routeurs/commutateurs et
dcrivant diffrentes conditions de lquipement. Les interceptions SNMP transmises par les quipements sont utiles pour signaler les conditions derreurs.
Tous les messages Syslog et les interceptions nindiquent pas forcment une condition derreur sur
un quipement. Certains messages sont informatifs et ne ncessitent pas dactions de la part de
lutilisateur. Le volume des messages Syslog et des interceptions envoys par un quipement peut
tre limit par lapplication de commandes spcifiques dans le fichier de configuration.
512
Partie II
Etudes de cas
Messages Syslog
Les messages Syslog envoys par les routeurs et les commutateurs peuvent tre dirigs vers un ou
plusieurs serveurs Syslog. Les quipements peuvent tre configurs pour nenvoyer que certains
messages. En limitant leur nombre, un utilisateur peut se concentrer sur certains aspects spcifiques
de fonctionnement du rseau. Par exemple, le message Syslog suivant apparat lorsquune interface
sur un routeur tombe en panne :
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1, changed state to down
Les messages Syslog envoys par les quipements peuvent tre collects par nimporte quel dmon
Syslog de type Unix des fins danalyse mais aussi de cration de rapports et dadoption de mesures appropries.
SNMP
Les quipements Cisco configurs avec SNMP peuvent tre interrogs en vue dobtenir diverses
informations. De plus, ils peuvent envoyer des interceptions vers une station dadministration lorsque des conditions spcifiques se produisent. En configurant ces quipements pour la gestion des
interceptions SNMP, des conditions rvlatrices peuvent tre dtectes rapidement. Un utilisateur
peut rapidement dterminer ltat fonctionnel de toutes les interfaces sur un routeur, via SNMP par
exemple, sans avoir entrer les commandes CLI ordinaires. Le Tableau 14.18 prsente un chantillon des informations retournes via SNMP.
Tableau 14.18 : Etat des interfaces de rseau obtenu via SNMP
Index
Description
AdminStatus
OperStatus
Ethernet0
Up
Up
Ethernet1
Up
Up
FastEthernet0
Up
Up
Fddi0
Up
Up
Tunnel0
Up
Down
Outre les bases MIB standards, les routeurs et les commutateurs Cisco supportent une varit de
bases MIB spcifiques aux quipements Cisco. Elles vous permettent de collecter des donnes
de fonctionnement sur chaque dispositif. En voici une liste partielle :
Chapitre 14
513
Bases spcifiques aux technologies. RNIS (ISDN), LANE, CIP, DLSW+, Frame Relay, ATM,
etc.
Bases spcifiques aux routeurs. Pool de mmoire, chssis, processeur, mmoire flash, etc.
La plupart des fichiers MIB dfinissent aussi des interceptions SNMP. Chaque dfinition dinterception liste les objets MIB inclus dans la PDU dinterception et les conditions layant gnre. Le
Tableau 14.19 liste par catgories les interceptions SNMP dfinies dans les fichiers MIB de routeur.
Tableau 14.19 : Liste des interceptions SNMP pour les routeurs Cisco
Fichier MIB
Interceptions supportes
ciscoFlashCopyCompletionTrap
ciscoFlashPartitioningCompletionTrap
ciscoFlashMiscOpCompletionTrap
ciscoFlashDeviceChangeTrap
CISCO-ACCESS-ENVMON
caemTemperatureNotification
CISCO-ENVMON
ciscoEnvMonShutdownNotification
ciscoEnvMonVoltageNotification
ciscoEnvMonTemperatureNotification
ciscoEnvMonFanNotification
ciscoEnvMonRedundantSupplyNotification
CISCO-CONFIG-MAN
ciscoConfigManEvent
SNA
CISCO-RSRB
rsrbPeerStateChangeNotification
CISCO-DLSW
ciscoDlswTrapTConnPartnerReject
ciscoDlswTrapTConnProtViolation
ciscoDlswTrapTConnUp
ciscoDlswTrapTConnDown
ciscoDlswTrapCircuitUp
ciscoDlswTrapCircuitDown
CISCO-CHANNEL
cipCardLinkFailure
cipCardDtrBrdLinkFailure
CISCO-DSPU
newdspuPuStateChangeTrap
newdspuPuActivationFailureTrap
newdspuLuStateChangeTrap
dspuLuActivationFailureTrap
dspuSapStateChangeTrap
514
Partie II
Etudes de cas
Tableau 14.19 : Liste des interceptions SNMP pour les routeurs Cisco (suite)
Fichier MIB
Interceptions supportes
CISCO-CIPCSNA
cipCsnaOpenDuplicateSapFailure
cipCsnaLlc2ConnectionLimitExceeded
CISCO-BSTUN
bstunPeerStateChangeNotification
CISCO-STUN
stunPeerStateChangeNotification
CISCO-SNA-LLC
llcCcStatusChange
CISCO-SDLLC
convSdllcPeerStateChangeNotification
RNIS
CISCO-ISDN
demandNbrCallInformation
demandNbrCallDetails
FRAME RELAY
RFC 1315 (Frame Relay)
frDLCIStatusChange
X.25
RFC 1382 (X.25)
x25Restart
x25Reset
RMON
La section prcdente a montr comment les interceptions SNMP pouvaient envoyer des alertes
une station dadministration. Cette approche ractive est utile pour informer les oprateurs de
rseau dun problme. Une approche encore plus proactive serait dinformer les oprateurs avant
quun problme potentiel naffecte lquipement. Par exemple, les performances deviendraient
problmatique si le pourcentage dutilisation du processeur sur un routeur atteignait une valeur
leve. Lapproche ordinaire qui consiste interroger le routeur avec SNMP pour connatre son
taux dutilisation pourrait manquer lvnement en raison de lintervalle dinterrogation choisi. En
utilisant le support RMON sur les quipements Cisco, ceux-ci peuvent tre configurs pour
surveiller lutilisation du processeur et envoyer une alerte seulement lorsquun seuil est atteint
(cest--dire lorsque le taux dutilisation atteint 90).
La Figure 14.2 montre comment RMON peut tre exploit pour contrler lusage du processeur.
Lquipement prlve la valeur dutilisation du processeur intervalles prdfinis. Si elle atteint le
Seuil 1, un vnement peut tre gnr pour en informer lutilisateur ou une entre peut tre consigne dans la table RMON consultable. Le Seuil 2 est dfini pour ractiver la surveillance lorsque
lutilisation du processeur atteint cette valeur. RMON limine le besoin dinterrogation rgulire
partir dune console dadministration et rduit le volume du trafic SNMP sur le rseau.
Dautres statistiques pouvant tre surveilles au moyen de RMON incluent les pertes en entre/
sortie, les checs de tampon, les tempratures internes, le nombre de paquets BECN/FECN Frame
Relay, etc.
Chapitre 14
515
Figure 14.2
Dfinition des seuils pour lutilisation
du processeur au moyen de RMON.
Seuil 1
Utilisation du
processeur
Seuil 2
Temps
Les vnements observs sur la console dadministration doivent tre diagnostiqus pour dterminer
le niveau de gravit dun problme et laction corrective entreprendre. Avec les messages Syslog, la
gravit et la description du problme peuvent tre dtermins rapidement grce au texte quils contiennent. Les mesures correctives peuvent tre adoptes aprs avoir dtermin la nature du problme.
Mcanismes internes du systme
Les messages Syslog du Tableau 14.20 ont t identifis comme tant des conditions que vous
pourriez vouloir surveiller. La liste nest pas exhaustive et ne traite que les messages lis au
systme. Elle ne tient pas compte de ceux concernant les protocoles de routage et les interfaces de
rseau spcifiques comme X.25, RNIS, Frame Relay, etc.
Tableau 14.20 : Messages Syslog surveiller
Message Syslog
Description
Raison du suivi
%SYS-4-SNMP_HOSTCONFIGSET:
SNMP hostConfigSet request. Loading
configuration from...
%SYS-4-SNMP_NETCONFIGSET:
SNMP netConfigSet request. Loading
configuration from...
%IP-4-DUPADDR
%IPRT-3-NOMEMORY
Ce message rapporte
une insuffisance de
mmoire sur le routeur.
%SYS-...
516
Partie II
Etudes de cas
Surveillance de lenvironnement
Certains modles de routeurs Cisco peuvent raliser un suivi des dispositifs environnementaux pour
surveiller les conditions dalimentation et de temprature. Des capteurs sur la carte obtiennent
priodiquement des mesures concernant le chssis et vrifient quils se situent dans les limites
voulues. Des messages davertissement sont affichs sur la console pour les valeurs hors limites.
Ltat de lenvironnement est accessibles via SNMP partir des routeurs supportant les bases MIB
OLD-CISCO-ENV-MIB, CISCO-ENVMON-MIB, ou CISCO-ACCESS-ENVMON-MIB. Les objets
dfinis dans les fichiers MIB peuvent renvoyer des informations similaires celles fournies par les
commandes CLI.
Dans le Tableau 14.21, les valeurs de tension sont obtenues partir dobjets dfinis dans la base
CISCO-ENVMON-MIB. Les valeurs renvoyes correspondent celles obtenues avec la commande
CLI de lIOS show environmental. En plus de fournir des objets SNMP pour surveiller la temprature et la tension, les bases CISCO-ENVMON-MIB et CISCO-ACCESS-ENVMON-MIB disposent aussi dinterceptions prdfinies. Elles sont envoyes vers une console dadministration
lorsque les mesures sortent des limites normales. Reportez-vous la section "Gestion des erreurs"
plus haut dans ce chapitre pour obtenir davantage dinformations concernant les interceptions
supportes.
Tableau 14.21 : Table dtat de la tension
Description
Valeur
Limite inf.
Limite sup.
LastShutdown
Etat
Tension +12
12308
10904
13384
12308
Normal
Tension +5
5171
4606
5698
5171
Normal
Tension 12
12073
10146
13859
12073
Normal
Tension +24
24247
20377
27646
24247
Normal
Rfrence 2.5
2490
1250
3714
Normal
Description
Raison du suivi
%ENV-, %ENVM-,
%CI-3-BLOWER,
%CI-1-BLOWSHUT,
%CI-2-ENVCRIT,
%CI-4-ENVWARN,
%SYS-1-OVERTEMP
Ces messages signalent des problmes lis au ventilateur et la temprature lintrieur du routeur.
%CI-3-PSFAIL
Chapitre 14
517
Il sagit dun domaine fonctionnel qui traite de divers aspects des performances du rseau. On peut
valuer les performances dun rseau en mesurant les temps de rponse, lutilisation de la ligne, le
dbit, etc. Une base de rfrence peut tre labore et servir comparer les mesures prleves
priodiquement. Il est ainsi possible de dterminer si les performances relles sont alignes par
rapport aux mtriques dfinies dans laccord de niveau de service. Cette section tudie brivement
plusieurs aspects de la gestion des performances en gnral. Lobjectif principal est de dmontrer la
faon dont les valeurs de performances dun routeur peuvent tre prleves et examines en utilisant SNMP.
Les tches impliques dans cette gestion sont les suivantes :
1. Dfinition des valeurs de rfrence pour les performances du rseau.
2. Dfinition dun accord de niveau de service et de mtriques.
3. Suivi et mesure des performances.
4. Dfinition du reporting des seuils et des exceptions.
5. Analyse et mise au point.
Dfinition des valeurs de rfrence pour les performances du rseau
Pour dfinir des valeurs de rfrence, il faut prlever de faon continue pendant une certaine priode
des chantillons de statistiques sur les performances du rseau. Ces informations peuvent tre
collectes au moyen dune sonde autonome relie un segment de LAN ou une liaison WAN. Les
donnes sont ensuite utilises pour dterminer un modle de comportement du trafic qui est jug
comme normal pour le rseau. Les mesures qui seront prises dans le futur pourront ainsi tre
compares avec ces rsultats de rfrence afin de pouvoir juger de la qualit des performances.
Dfinition dun accord de niveau de service et de mtriques
Laccord de niveau de service ou SLA (Service Level Agreement) implique la dfinition de caractristiques spcifiques de performances du rseau. Laccord prvoit certaines mtriques de performances qui sont utilises pour mesurer le niveau de service rel offert par rapport celui qui aura
t prvu. Cest un accord qui est couramment conclu entre un fournisseur de services et un utilisateur. Parmi les mtriques de performances du rseau, on peut citer les temps de rponse, la disponibilit, etc.
Suivi et valuation des performances
Les performances dun rseau sont directement lies ltat fonctionnel de ses quipements. Les
composants matriels et logiciels dun quipement de rseau peuvent aussi influer sur les performances, et un seul composant dfectueux peut mme provoquer une interruption totale des services.
Il est vital de surveiller aussi lenvironnement du rseau, et tout particulirement des lments
comme lalimentation, la temprature, la ventilation, et sassurer que ceux-ci fonctionnent conformment aux spcifications donnes. Des composants logiciels tels que les tampons, la mmoire,
etc., peuvent galement avoir un impact significatif sur les protocoles excuts sur lquipement.
518
Partie II
Etudes de cas
QTy
Mwe
Lst
Cwe
Mst
PC Runtime (ms)
6039CCC8
2203448
60133594
329612
6011D820
0
6015FAA8
0
Invoked
9944378
34288
1
2
uSecs
221
9613
0
0
Lutilisation des ressources processeur peut tre dcouverte au moyen des objets MIB du Tableau 14.23.
Tableau 14.23 : Objets MIB de la base OLD-CISCO-CPU-MIB pour surveiller les ressources
processeur
Objets
Description
OID
busyPer
1.3.6.1.4.1.9.2.1.56
avgBusy1
1.3.6.1.4.1.9.2.1.57
AvgBusy5
1.3.6.1.4.1.9.2.1.58
La quantit de mmoire principale restante quun processeur peut utiliser a une influence prpondrante sur les performances. Les tampons sont allous partir de la mmoire dans diffrents pools
utiliss par un protocole. Les paquets IPX SAP, par exemple, utilisent les tampons de "taille
moyenne" (middle buffer) lors de lenvoi de paquets. Les commandes CLI suivantes sont habituellement utilises pour assurer un suivi des statistiques de mmoire et de tampon sur un routeur :
m
show memory ;
show buffers ;
show interface.
Les valeurs collectes au moyen des commandes CLI sont accessibles via SNMP. A cet effet, Cisco
fournit les fichiers MIB suivants qui permettent dobtenir des informations quivalentes celles
renvoyes par les commandes : CISCO-MEMORY-POOL-MIB, OLD-CISCO-INTERFACESMIB, et OLD-CISCO-MEMORY-MIB.
Chapitre 14
519
Processor
Fast
Head
60DB19C0
60D919C0
Total(b)
119858752
131072
Used(b)
1948928
69560
Free(b)
117909824
61512
Lowest(b)
117765180
61512
Largest(b)
117903232
61468
Lallocation mmoire peut tre dcouverte au moyen des objets MIB du Tableau 14.24.
Tableau 14.24 : Objets MIB de la base CISCO-MEMORY-POOL-MIB pour surveiller les ressources
mmoires
Objets
Description
OID
CiscoMemoryPoolName
1.3.6.1.4.1.9.9.48.1.1.1.2
CiscoMemoryPoolUsed
1.3.6.1.4.1.9.9.48.1.1.1.5
CiscoMemoryPoolFree
1.3.6.1.4.1.9.9.48.1.1.1.6
CiscoMemoryPoolLargestFree
1.3.6.1.4.1.9.9.48.1.1.1.7
NOTE
Vous pouvez utiliser les objets MIB freemem de la base CISCO-MEMORY-MIB pour les versions de IOS antrieures la version 11.1.
520
Partie II
Etudes de cas
Lespace allou dans les tampons de mmoire peut tre dcouvert au moyen des objets MIB du
Tableau 14.25.
Tableau 14.25 : Objets MIB de la base OLD-CISCO-MEMORY-MIB pour surveiller les tampons
de mmoire
Objets
Description
OID
1.3.6.1.4.1.9.2.1.9
bufferElMax
1.3.6.1.4.1.9.2.1.10
bufferElHit
1.3.6.1.4.1.9.2.1.11
bufferElMiss
1.3.6.1.4.1.9.2.1.12
bufferElCreate
1.3.6.1.4.1.9.2.1.13
1.3.6.1.4.1.9.2.1.14
bufferSmTotal
1.3.6.1.4.1.9.2.1.15
bufferSmFree
1.3.6.1.4.1.9.2.1.16
bufferSmMax
1.3.6.1.4.1.9.2.1.17
bufferSmHit
1.3.6.1.4.1.9.2.1.18
bufferSmMiss
1.3.6.1.4.1.9.2.1.19
bufferSmTrim
1.3.6.1.4.1.9.2.1.20
bufferSmCreate
1.3.6.1.4.1.9.2.1.21
1.3.6.1.4.1.9.2.1.22
bufferMdTotal
1.3.6.1.4.1.9.2.1.23
bufferMdFree
1.3.6.1.4.1.9.2.1.24
bufferMdMax
1.3.6.1.4.1.9.2.1.25
bufferMdHit
1.3.6.1.4.1.9.2.1.26
bufferMdMiss
1.3.6.1.4.1.9.2.1.27
bufferMdTrim
1.3.6.1.4.1.9.2.1.28
bufferMdCreate
1.3.6.1.4.1.9.2.1.29
Chapitre 14
521
Tableau 14.25 : Objets MIB de la base OLD-CISCO-MEMORY-MIB pour surveiller les tampons
de mmoire (suite)
Objets
Description
OID
1.3.6.1.4.1.9.2.1.30
bufferBgTotal
1.3.6.1.4.1.9.2.1.31
bufferBgFree
1.3.6.1.4.1.9.2.1.32
bufferBgMax
1.3.6.1.4.1.9.2.1.33
bufferBgHit
1.3.6.1.4.1.9.2.1.34
bufferBgMiss
1.3.6.1.4.1.9.2.1.35
bufferBgTrim
1.3.6.1.4.1.9.2.1.36
bufferBgCreate
1.3.6.1.4.1.9.2.1.37
1.3.6.1.4.1.9.2.1.38
bufferLgTotal
1.3.6.1.4.1.9.2.1.39
bufferLgFree
1.3.6.1.4.1.9.2.1.40
bufferLgMax
1.3.6.1.4.1.9.2.1.41
bufferLgHit
1.3.6.1.4.1.9.2.1.42
bufferLgMiss
1.3.6.1.4.1.9.2.1.43
bufferLgTrim
1.3.6.1.4.1.9.2.1.44
bufferLgCreate
1.3.6.1.4.1.9.2.1.45
1.3.6.1.4.1.9.2.1.62
bufferHgTotal
1.3.6.1.4.1.9.2.1.63
bufferHgFree
1.3.6.1.4.1.9.2.1.64
bufferHgMax
1.3.6.1.4.1.9.2.1.65
bufferHgHit
1.3.6.1.4.1.9.2.1.66
bufferHgMiss
1.3.6.1.4.1.9.2.1.67
bufferHgTrim
1.3.6.1.4.1.9.2.1.68
bufferHgCreate
1.3.6.1.4.1.9.2.1.69
1.3.6.1.4.1.9.2.1.46
bufferNoMem
1.3.6.1.4.1.9.2.1.47
522
Partie II
Etudes de cas
Les informations dinterfaces peuvent tre obtenues au moyen des objets MIB du Tableau 14.26.
Tableau 14.26 : Objets MIB de la base OLD-CISCO-INTERFACES-MIB pour surveiller
les interfaces
Objets
Description
OID
cisco.local.lifTable.locIfIn
BitsSec
1.3.6.1.4.1.9.2.2.1.1.6
locIfInPktsSec
1.3.6.1.4.1.9.2.2.1.1.7
interfaces.ifTable.ifInErrors
1.3.6.1.2.1.2.2.1.14
interfaces.ifTable.ifOutError
1.3.6.1.2.1.2.2.1.20
ifInNUcastPkts
1.3.6.1.2.1.2.2.1.12
locIfInRunts
Nombre de paquets en entre dune taille infrieure celle autorise par le mdia.
1.3.6.1.4.1.9.2.2.1.1.10
locIfInGiants
Nombre de paquets en entre dune taille suprieure celle autorise par le mdia.
1.3.6.1.4.1.9.2.2.1.1.11
locIfInCRC
1.3.6.1.4.1.9.2.2.1.1.12
Chapitre 14
523
Description
OID
locIfInOverrun
1.3.6.1.4.1.9.2.2.1.1.14
locIfInIgnored
1.3.6.1.4.1.9.2.2.1.1.15
locIfInAbort
1.3.6.1.4.1.9.2.2.1.1.16
locIfInputQueueDrops
1.3.6.1.4.1.9.2.2.1.1.26
locIfOutBitsSec
1.3.6.1.4.1.9.2.2.1.1.8
locIfOutPktsSec
1.3.6.1.4.1.9.2.2.1.1.9
ifOutErrors
1.3.6.1.2.1.2.2.1.20
locIfCollisions
1.3.6.1.4.1.9.2.2.1.1.25
locIfResets
1.3.6.1.4.1.9.2.2.1.1.17
locIfRestarts
1.3.6.1.4.1.9.2.2.1.1.18
locIfCarTrans
1.3.6.1.4.1.9.2.2.1.1.21
locIfOutputQueueDrops
1.3.6.1.4.1.9.2.2.1.1.27
Une autre faon daborder les objets MIB est de les trier par types dinterfaces, comme prsent
dans le Tableau 14.27.
Tableau 14.27 : Objets MIB relatifs aux interfaces
Objets
Description
cisco.local.lifTable.locIfInbitsSec
cisco.local.lifTable.locIfOutbitsSec
mib-2.interfaces.ifTable.ifInErrors
mib-2.interfaces.ifTable.ifOutErrors
cisco.local.lifTable.locIfInputQueueDrops
cisco.local.lifTable.locIfOutputQueueDrops
cisco.local.lifTable.locIfInIgnored
cisco.local.lifTable.locIfResets
cisco.local.lifTable.locIfRestarts
524
Partie II
Etudes de cas
Description
cisco.local.lifTable.locIfCRC
cisco.local.lifTable.locIfAbort
cisco.local.lifTable.locIfFrame
cisco.local.lifTable.locIfCarTrans
cisco.local.lifTable.locIfOverrun
cisco.local.lifTable.locIfCollisions
cisco.local.lifTable.locIfRunts
cisco.local.lifTable.locIfGiants
cisco.local.lifTable.locIfFrame
dot5StatsLineErrors
dot5StatsBurstErrors
dot5StatsACErrors
dot5StatsAbortTransErrors
dot5StatsInternalErrors
dot5StatsFrameCopiedErrors
dot5StatsTokenErrors
dot5StatsSoftErrors
dot5StatsSignalLoss
dot5StatsFreqErrors
snmpFddiMACLostCts
snmpFddiMACErrorCts
Les tches finales lies la gestion des performances sont la dfinition de seuils, la gnration de
rapports dexceptions, lanalyse, et lapplication de mesures doptimisation.
Nous supposerons ici que tous les quipement de rseau sont interrogs soit par lintermdiaire de
ICMP (ping) ou de SNMP (ou bien les deux) pour dterminer leur accessibilit partir de la plateforme NMS. Chaque fois quun quipement nest pas accessible, un vnement DEVICE_DOWN
est gnr par NMS vers le moteur de corrlation dvnements.
La plupart des NMS supportent cette fonctionnalit.
Chapitre 14
525
Nous supposerons que la topologie logique (cest--dire de niveau 3) du rseau est disponible de
faon que le moteur de corrlation puisse comprendre la connectivit de sous-rseau logique et
dterminer si un quipement donn est "logiquement" positionn avant ou aprs un autre quipement selon le point de vue de NMS.
La plupart des NMS supportent cette fonctionnalit.
Base de donnes de topologie physique
Certains scnarios de corrlation dvnements impliquent lvaluation des diffrences dtat des
objets grs avant et aprs la survenance dun vnement. Le moteur de corrlation dvnements
doit maintenir de telles variables ou y avoir accs et tre en mesure de collecter le nouvel tat lorsque cest ncessaire.
Le mcanisme de gestion de seuils requiert galement que les seuils soient dfinis des niveaux
reprsentatifs du rseau du client. Comme chaque rseau est diffrent et affiche des modles de trafic
diffrents, ce chapitre ne peut pas indiquer des valeurs de seuil fixes. A la place, les objets MIB et les
vnements les plus reprsentatifs pour lapproche la plus proactive possible seront traits.
Personnalisation
Le moteur de corrlation dvnements doit autoriser une certaine forme de personnalisation des
rgles de corrlation pour chaque client. Des rgles par dfaut devraient tre fournies pour reflter
les situations les plus courantes.
Scnarios de situations problmes
Pour illustrer le modle dvnements de la Figure 14.1, les conditions dcrites dans les sections
suivantes ont t identifies comme tant les plus critiques dans le cadre dun rseau typique de
commutateurs et de routeurs. Cette tude a port essentiellement sur la famille de commutateurs
Catalyst 5000 et sur le routeur Cisco 7500.
Les rgles de gestion de seuils impliquant des situations simples de cause effet (comme un compteur qui excde une certaine valeur, provoquant de ce fait une notification de loprateur) ont t
volontairement ignores dans ce chapitre car elles ne requirent aucune forme de corrlation.
Certains scnarios prsentent des dfinitions pour une rgle de corrlation simple et une rgle de
corrlation avance permettant des implmentations progressives. La rgle simple reprsente
lensemble minimal de fonctionnalits fournies pour rsoudre une situation problmatique, et la
rgle avance assure une rsolution plus tendue.
526
Partie II
Etudes de cas
Certains indications relatives aux intervalles dinterrogation sont fournies. Toutefois, chaque site devrait
rvaluer ces intervalles en fonction de ses modles de trafic et de la capacit de ses quipements.
Fonctions de filtrage de base
Un petit nombre de messages Syslog essentiels doivent tre filtrs pour rduire le nombre de notifications des oprateurs de rseau. Ces filtres doivent pouvoir supprimer des messages identiques
rpts toutes les n minutes.
Ces messages Syslog sappliquent aux routeurs Cisco 7500 et sont prsents dans le Tableau 14.28.
Tableau 14.28 : Messages Syslog filtrs
Type de message/Description
Codage du message
SYS-5-CONFIG
SYS-5-CONFIG_I
SYS-5-CONFIG_L
SYS-5-CONFIG_M
SYS-5-CONFIG_NV
SYS-5-CONFIG_NV_M
Ces messages sappliquent aux routeurs Cisco 7500 et dautres routeurs
utilisant IOS. Lidentifiant situ aprs le mot CONFIG spcifie lorigine
du changement de configuration. Tous ces messages sont considrs
comme tant identiques pour la corrlation dvnements car les oprateurs sont concerns par tous les changements de configuration, quelle
que soit la manire dont ils ont t mis en uvre. Le filtrage doit tre
appliqu si plusieurs messages sont envoys en n minutes par le mme
quipement.
Recommandation : n = 5 minutes
Ce message sapplique aux routeurs Cisco 7500 et dautres routeurs utilisant IOS. Ces derniers gnrent un message Syslog SYS-3-CPUHOG.
Ce message se rpte lorsque le processeur est occup pendant un long
moment. Le filtrage doit tre appliqu pour liminer les messages dupliqus envoys en n minutes par le mme routeur.
Recommandation : n = 5 minutes
snmpAuthenticationFailure
Chapitre 14
527
528
Partie II
Etudes de cas
corrlation simple ;
corrlation avance.
Pour une corrlation simple, si la chane BRI est contenue dans le message, il devrait tre supprim.
Pour une corrlation avance, si le message ne contient pas la chane BRI, la base de donnes de
topologie physique devrait tre interroge pour dterminer le type du lien, cest--dire sil connecte
deux routeurs, un routeur et un commutateur, ou un routeur et un port dutilisateur.
Le message Syslog devrait tre trait uniquement sil sagit dun lien entre deux quipements Cisco.
Cause probable : Le lien a t dconnect ou rompu.
Actions/Rsolution : Notifier loprateur de rseau, sauf si linterface est celle dun utilisateur
final, ou une interface ASCII ou BRI.
Changements de topologie STP
Chapitre 14
529
Ou une des interceptions SNMP du RFC 1493 (Bridge MIB) est reue :
m
topologyChange
newRoot
corrlation simple ;
corrlation intermdiaire ;
corrlation avance.
La corrlation simple consiste faire en sorte que chaque quipement qui signale un changement
STP en utilisant les moyens dcrits prcdemment soit surveill afin de sassurer quil est rtabli
dans tat valide. Pour cela, le processus dcrit ci-aprs est accompli, en se basant sur la MIB du
Catalyst 5000.
Tout dabord, il faut vrifier que lobjet sysEnableBridgeTraps de la base CISCO-STACK-MIB a
t configur pour tre activ(1). Si ce nest pas le cas, une alerte devrait tre dclenche.
Le champ de communaut dans linterception topologyChange ou newRoot doit tre lu et utilis
pour continuer interroger le commutateur metteur. Vous pouvez ainsi interroger le VLAN sur
lequel le changement de topologie a eu lieu.
Il faut galement identifier les ports qui taient des tronons avant le changement STP. Pour cela,
une liste de tous les tronons par VLAN doit tre maintenue. Vous devez donc comparer la liste
prcdant le changement avec celle lui succdant. Un port de tronon est dfini comme ayant son
objet MIB vlanPortIslOperStatus dans la table vlanPortTable de la base CISCO-STACK-MIB avec
une valeur trunking(1).
Ensuite, il faut identifier les ports de tronons de ce VLAN qui ont connu un changement dtat en
recherchant dans la table vlanPortTable les entres pour lesquelles la valeur de vlanPortVlan a t
dfinie avec lidentifiant de VLAN spcifi dans linterception.
Pour chacun des ports slectionn, identifiez lobjet MIB vlanPortIslOperStatus avec une valeur
trunking(1). Vous devez surveiller ltat de chaque tronon comme spcifi dans le RFC 1493. Vous
pouvez procder de la manire suivante.
Consultez lobjet vlanPortIslAdminStatus dans la table vlanPortTable et assurez-vous quil ne soit
pas dfini avec la valeur off(2). Sinon, gnrez une alerte indiquant que le port a t dsactiv.
Pour chaque port de tronon dans le VLAN slectionn, consultez les objets vlanPortModule et
vlanPort correspondants partir de la table vlanPortTable. Utilisez ces deux valeurs pour lire via
index dans la table portTable de la base CISCO-STACK-MIB afin dextraire la valeur portIfIndex
correspondante. Utilisez cette valeur pour lire ltat MIB-II ifOperStatus et dterminer si linterface
est toujours active. Si ce nest pas le cas, gnrez une alerte.
530
Partie II
Etudes de cas
Lisez la valeur portCrossIndex dans la table the portTable de la base CISCO-STACK-MIB pour lentre
slectionne et utilisez cette valeur pour lire via index dans la table RFC 1493 dot1dStpPortTable afin
de vrifier que dot1dStpPortEnable est dfini avec la valeur enabled(1).
Ensuite, utilisez la mme valeur portCrossIndex dans la table portTable de la base CISCO-STACKMIB pour localiser lentre correspondante dans la table RFC 1493 dot1dStpPortTable et vrifier
que dot1dStpPortState est dfini pour le mode blocking(2) ou forwarding(5), 2 minutes aprs que
linterception ait t reue. Autrement, envoyez une alerte.
Vrifiez galement que les ports identifis comme tronons avant que linterception nait eu lieu
soient ensuite toujours oprationnels en tant que tels. Sinon, il faut gnrer une alerte. De la mme
manire, une situation dans laquelle un port qui ntait pas un tronon avant le changement STP est
identifi au cours du traitement de linterception comme tant devenu un tronon, devrait tre
rapporte.
Les alertes devraient aussi inclure un message e-mail rsumant les contradictions mises en vidence
lors de cette corrlation. Le fait quun e-mail spar soit gnr pour chaque non concordance de
port ou bien que toutes les non concordances de port associes au changement STP soient regroupes dans un seul e-mail dpend de limplmentation.
NOTE
Une alternative au traitement des interceptions consisterait interroger lobjet MIB RFC 1493 dot1dStpTopChanges afin de dterminer sil a t au minimum incrment de 1 ou dcrment (indiquant une
rinitialisation dagent) depuis la dernire interrogation.
Le deuxime type de corrlation est appel intermdiaire. Une reconfiguration STP est toujours
limite au sous-rseau. En supposant que le moteur de corrlation dvnements connaisse tous les
quipements sur le sous-rseau avant la reconfiguration, une corrlation simple pourrait garantir
quils sont toujours actifs et oprationnels (en ralisant un test daccessibilit) et quils nont pas
chang (en comparant la chane RFC1213-MIB sysDescr prcdente avec celle existante pour
chaque quipement). Une dcouverte de topologie logicielle sera galement initie pour dtecter si
de nouveaux quipements ont t ajouts au rseau. Une alternative est de sappuyer sur les
commutateurs nouvellement ajouts au rseau pour gnrer des interceptions, afin que le systme
ECS puisse les dtecter.
Bien quimparfaite, cette rgle de corrlation peut aider un oprateur de rseau cerner ltendue
du problme plus rapidement.
Le dernier type de corrlation est appel avanc. Un moyen de connatre les raisons dune reconfiguration STP est dobtenir la liste des quipements impliqus dans chaque arbre recouvrant sur le
rseau. Une topologie STP peut tre connue en interrogeant le groupe MIB dot1Stp de la base MIB
RFC 1493. CWSI version 1.2 et ultrieure peut aussi tre utilis pour afficher une reprsentation
graphique de larbre STP sur la topologie physique dcouverte via CDP. Notez que Cisco supporte
un seul arbre recouvrant par VLAN. Lidentifiant de VLAN est fourni soit dans le message Syslog,
soit dans la chane de communaut contenue dans linterception SNMP. Si aucun VLAN nest
configur sur le rseau, on suppose alors lexistence dun seul VLAN avec un identifiant de VLAN
Chapitre 14
531
de 1. Par consquent, le terme VLAN est utilis dans cette section pour reprsenter le sous-rseau
lorsquaucun VLAN nest configur.
Lorsque larbre recouvrant dun VLAN est reconfigur, le moteur de corrlation dvnements peut
alors identifier le VLAN concern et dterminer les changements qui ont eu lieu dans larbre.
La logique de corrlation dvnements coute les interceptions SNMP newRoot ou topologyChange du RFC 1493 (Bridge MIB) afin de dtecter le moment o la reconfiguration STP se
produit. Ces interceptions sont toujours envoyes par un quipement dont le port a chang dtat,
comme dfini dans le RFC.
Si une interception topologyChange est reue, le moteur de corrlation dvnements peut facilement compiler la liste des quipements impliqus dans la reconfiguration STP.
Si le systme ECS ne parvient pas extraire la chane de communaut de linterception et ne traite
pas les messages Syslog, la rgle de corrlation dvnement doit associer linterception un
VLAN en dtectant celui dont le compteur de changements de topologie a t incrment de 1.
Pour cela, le groupe vlanTable CISCO-STACK-MIB peut tre interrog pour tablir une liste des
VLAN configurs sur le commutateur. En utilisant la chane de communaut SNMP pour adresser
des VLAN individuels (avec communaut@ID_vlan), le systme NMS pourrait aussi interroger
lobjet MIB RFC 1493 dot1dStpTopChanges, qui indique le nombre de changements de topologie
depuis le redmarrage ou la rinitialisation de lquipement. Cette mthode peut vous permettre
disoler le VLAN concern par le changement de faon que les vrifications suivantes portent
uniquement sur lui.
Etant donn que la reconfiguration STP est automatique, la logique de corrlation dvnements
doit dterminer les lments suivants :
m
Si une nouvelle racine a t dfinie, dterminer si lquipement racine prcdent est inactif, et si
la nouvelle racine est un nouvel quipement ajout au rseau.
Dans nimporte laquelle de ces situations, le moteur de corrlation dvnements doit identifier les
ports participants un arbre recouvrant qui sont passs dun tat de transmission un tat bloquant,
ou bien dun tat dapprentissage un tat de transmission. Il doit galement contrler si lobjet
MIB RFC1213-MIB operStatus de lun de ces ports nest pas pass dun tat activ (up) un tat
dsactiv (down), lors dune tentative visant identifier une dfaillance ou une dconnexion de
port.
532
Partie II
Etudes de cas
Loprateur sera ensuite inform de lquipement et du port qui ont provoqu le changement. Il se
peut que la rgle de corrlation dvnements identifie plusieurs causes de dfaillance possibles ou
quipements responsables, auquel cas il faudrait en informer loprateur.
La notion dexactitude peut tre trs complexe, selon les caractristiques du rseau.
La mthode la plus simple permettant de dterminer lexactitude dune configuration STP est de
sassurer que tous les quipements de larbre recouvrant du VLAN sont joignables. Par consquent,
la rgle de corrlation dclenchera un test daccessibilit vers tous les quipements connus comme
ayant t membres de larbre recouvrant avant la reconfiguration. Elle initiera galement une
dcouverte du nouvel arbre STP afin de dtecter si de nouveaux quipements ont t ajouts.
Le moteur de corrlation dvnements de lquipement (ou des quipements) impliqu dans la
reconfiguration STP informera loprateur de rseau et spcifiera la cause la plus vraisemblable,
savoir :
m
Le plus difficile est de dterminer les interfaces qui ont t actives ou dsactives, et qui ont donc
pu provoquer la reconfiguration, sans indiquer celles qui taient connues comme tant inactives
avant le changement de topologie STP. Cette rgle de corrlation peut tre applique par lintermdiaire des mmes mcanismes que ceux dcrits prcdemment. La dcouverte STP doit inclure les
ports participant un arbre STP avec leurs objets operStatus et adminStatus tels quil sont t
dfinis dans la table ifTable de la MIB RFC1213, et comparer les valeurs des ces objets MIB avant
et aprs la reconfiguration STP. Une autre mthode permettant de savoir si la reconfiguration a t
provoque par une interface inactive est de la mettre en corrlation avec une interception SNMP
linkDown ou un message Syslog reu quelques secondes aprs une interception SNMP topologyChange ou newRoot ou un message Syslog de changement de topologie sur un VLAN.
Une alternative serait de surveiller lobjet MIB dot1dStpPortForwardTransitions afin de dtecter
quel moment il est incrment de 1.
Cause probable : Un quipement impliqu dans larbre recouvrant a t teint, est tomb en panne,
ou a t ajout au rseau. Ou bien un lien a t ajout ou supprim entre deux quipements.
Actions/Rsolution : Notifier loprateur comme mentionn prcdemment. Aucune action automatique nest prvue.
Problme de dfaillance de routeur/commutateur
Chapitre 14
533
Logique de corrlation : Une base de donnes de topologie logique (couche 3) peut servir dtecter un routeur dfaillant dans un groupe de routeurs inaccessibles. Toutefois, une base de donnes
de topologie logique (couche 2) est ncessaire pour dtecter un commutateur dfaillant dans un
groupe de commutateurs injoignables.
Pour chaque quipement signal comme inaccessible au bout de n minutes, une interrogation de son
objet RFC1213-MIB sysObjectID sera initie et utilisera la table de correspondances de Cisco.
Ensuite, le moteur de corrlation dvnements excutera une corrlation simple ou avance. La
recommandation est n = 5 minutes.
La corrlation simple implique lutilisation de la base de donnes de topologie NMS existante.
Cette mthode convient tout fait pour identifier un routeur dfaillant parmi dautres routeurs, mais
ne permet pas deffectuer cette diffrenciation pour les commutateurs (car la plupart des NMS ne
supportent pas la topologie de niveau 2).
La corrlation avance autorise lidentification dun commutateur dfaillant partir dun groupe de
commutateurs sur un sous-rseau en utilisant la base de donnes de connectivit physique qui dcrit
la faon dont les commutateurs sont interconnects. Le systme ECS devrait commencer par utiliser la
topologie de niveau 3 pour reprer le sous-rseau concern, puis une base de donnes de topologie
de niveau 2 afin didentifier le commutateur faisant lobjet de la dfaillance.
NOTE
Il est prfrable de connecter la station NMS directement un rseau commut car le systme NMS nest
pas capable disoler un commutateur pouvant se trouver "derrire" dautres commutateurs, moins que le
moteur de corrlation dvnements ne dtermine sur quel commutateur la station NMS est connecte.
Cette solution peut tre mise en uvre en interrogeant les tables MAC sur chaque commutateur et en associant les adresses MAC la station NMS. Ce processus peut tre trs long car il se peut que des milliers
dadresses doivent tre collectes.
534
Partie II
Etudes de cas
Chapitre 14
535
Problme environnemental n 1
ENV-2-TEMP
ENV-1-SHUTDOWN
ENVM-2-TEMP
ENVM-1-SHUTDOWN
Les messages -TEMP gnreront une alarme majeure, et les messages SHUTDOWN une alarme
critique.
Une plus grande granularit peut tre mise en uvre si le systme ECS peut dcoder la temprature
indique dans le message Syslog et appliquer ses propres seuils et niveaux dalarme.
Lalarme devra ventuellement tre efface manuellement par loprateur.
Cause probable : Le systme dair conditionn dans la pice ou le ventilateur est tomb en panne.
Actions/Rsolution : Notifier loprateur.
Rsum
Lobjectif de ce chapitre est de servir de rfrence sur les composants de routeurs et commutateurs
Cisco pouvant tre grs par des clients Cisco. Il vous a appris identifier et grer les lments
essentiels dun commutateur Catalyst, et a mis en vidence les diffrences de gestion qui existent
entre un commutateur et un routeur.
536
Partie II
Etudes de cas
thorie et implmentation du pontage sur des commutateurs et des routeurs Cisco et technologies communes ces deux types dquipements ;
15
Architecture de
commutation de paquets
Par Russ White
Ce chapitre figurera dans louvrage Inside Cisco IOS, paratre chez Cisco Press (en langue
anglaise).
Lobjectif principal dun routeur multiprotocole est bien sr de commuter les paquets dun segment
de rseau vers un autre. Si le planificateur (scheduler) et le gestionnaire de mmoire constituent
linfrastructure logicielle du routeur, larchitecture de commutation du systme IOS reprsente ses
fondements. Les mthodes et structures de commutation mises en uvre par ce systme dterminent essentiellement la faon dont le routeur assure sa fonction principale. Aussi, des efforts considrables ont t dploys pour concevoir et optimiser cet aspect primordial du systme IOS.
Nanmoins, le processus de commutation de paquets demeure assez simple. Lorsquun paquet est
reu, son adresse de destination est examine et compare avec les entres dune liste de destinations connues. Si une correspondance est trouve, le paquet est transmis vers linterface approprie,
sinon il est supprim. Par consquent, le problme nest pas de savoir comment commuter les
paquets, mais plutt comment les commuter rapidement. La commutation de paquets est une opration consommatrice de donnes, par opposition aux oprations consommatrices de calculs. Aussi,
pour acclrer son excution, il ne suffit pas dutiliser un processeur plus rapide. Dautres facteurs,
tels que les performances de bus en E/S et la vitesse de la mmoire de donnes, peuvent avoir un
impact considrable sur le fonctionnement de ce processus. Pour les dveloppeurs du systme IOS,
538
Partie II
Etudes de cas
le dfi consistait obtenir les meilleures performances de commutation possibles en fonction des
limites des ressources disponibles (CPU, bus E/S et mmoire).
Au fur et mesure que la taille et le nombre des rseaux routs augmentaient, les dveloppeurs IOS
ont d travailler sans relche la rsolution de ce problme de performances. Il en a rsult une
rvision et un perfectionnement continuels des mthodes de commutation du systme IOS. Lorsque
ce systme a t initialement dvelopp, il nexistait quune seule mthode de commutation, appele aujourdhui commutation par processus. Les versions suivantes ont introduit de nouvelles
mthodes de commutation, certaines sappuyant sur des optimisations matrielles spcifiques,
dautres exploitant des techniques logicielles et supportant de nombreuses plates-formes.
Aujourdhui, le systme IOS fournit des mthodes de commutation qui permettent de commuter
plusieurs centaines de milliers de paquets par seconde, au moyen de tables de routage qui contiennent des centaines de milliers de routes, et qui peuvent tre implmentes au niveau de lpine
dorsale de lInternet.
La liste suivante rsume les mthodes de commutation dveloppes depuis la version 12.0 du
systme Cisco IOS :
m
commutation rapide ;
commutation autonome ;
commutation optimale ;
Quatre de ces mthodes (commutation par processus, commutation rapide, commutation optimale
et transmission CEF) sont traites en dtail dans ce chapitre.
Bien que ce chapitre utilise des exemples de routage IP pour illustrer les diffrentes mthodes de
commutation, bon nombre dentre elles fonctionnent galement avec dautres protocoles de rseau,
tel IPX, ainsi quavec la technique de pontage. Mme si les structures employes sont souvent indpendantes pour chaque protocole par exemple, IP et IPX exploitent un cache rapide (Fast Cache)
diffrent , leur contenu est semblable, et les mthodes fonctionnent pratiquement de la mme
manire pour tous les protocoles.
Chapitre 15
539
Pour comprendre le fonctionnement de la commutation par processus, nous allons examiner les
tapes ncessaires afin de commuter un paquet au moyen de cette mthode. La Figure 15.1 illustre
le chemin commut par processus dun paquet IP.
Figure 15.1
ip_input
4
3
processeur
5
2
1
processeur d'interface
Mdia de
rseau
mmoire E/S
6
processeur d'interface
Mdia de
rseau
Tout dabord, linterface de rseau du routeur dtecte sur le cble un paquet traiter. Elle reoit
donc ce paquet, puis le transfre en mmoire dentre/sortie (tape 1 de la Figure 15.1).
Linterface de rseau interrompt le processeur central, pour lui signaler quun paquet a t plac en
mmoire dentre/sortie, en attente de traitement. Le programme dinterruption du systme IOS
examine les informations contenues dans len-tte du paquet (type dencapsulation, en-tte de
couche rseau, etc.), dtermine quil sagit dun paquet IP, puis le place dans la file dentre du
processus de commutation appropri (tape 2 de la Figure 15.1). Pour les paquets IP, le processus
de commutation est appel ip_input.
La prsence dun seul paquet dans la file dentre du processus ip_input suffit pour que ce dernier
soit autoris sexcuter (tape 3 de la Figure 15.1).
Lorsque lexcution du processus ip_input (tape 4 de la Figure 15.1) est engage, lopration de
transmission du paquet peut commencer. Toutes les dcisions relatives la direction dans laquelle il
sera envoy sont prises cette tape. Dans cet exemple, le processus ip_input consulte la table de
routage, afin de dterminer sil existe une route vers ladresse IP de destination. Si cest le cas, il
extrait ladresse de prochain saut (cest--dire le prochain routeur sur le chemin ou la destination
finale) dans lentre de la table de routage, et consulte ensuite le cache ARP, afin dobtenir les informations ncessaires la cration dun nouvel en-tte MAC (Media Access Control, contrle de
laccs au mdia) pour le prochain saut. Le processus cre ensuite len-tte MAC, qui remplace les
donnes de len-tte existant dans le paquets reu. Enfin, le paquet est plac dans la file dattente de
linterface de rseau en sortie pour tre transmis (tape 5 de la Figure 15.1).
540
Partie II
Etudes de cas
Lorsque linterface de rseau en sortie dtecte la prsence dun paquet en attente dtre envoy, elle
le retire de la mmoire dentre/sortie, puis le transmet sur le rseau (tape 6 de la Figure 15.1).
Une fois que linterface a termin lenvoi du paquet, elle interrompt le processeur central, afin de le
lui signaler. Le systme IOS met ensuite jour ses compteurs de paquets envoys, puis libre
lespace occup prcdemment par le paquet en mmoire dentre/sortie (tape 7 de la Figure 15.1).
Equilibrage de charge avec la commutation par processus
Lun des avantages de la commutation par processus est quelle supporte lquilibrage de charge par
paquets, ce qui reprsente un moyen relativement simple doptimiser lutilisation du mdia lorsquil
existe plusieurs routes (chemins) vers une destination. Dans ce cas, les paquets commuts par
processus sont automatiquement distribus sur les chemins disponibles, en fonction de la mtrique
de routage (ou cot) assigne chaque chemin.
Le cot de chaque chemin dans la table de routage est utilis afin de calculer un compte de parts de
trafic (traffic share count), qui permet de dterminer le chemin emprunter. Pour mieux comprendre comment fonctionne cette rpartition, examinons la Figure 15.2.
Figure 15.2
paquets 1, 3, 5, 7, 9
10.1.3.0/24
.1
10.1.4.0/24
.2
.1
.1
A
.2
10.1.2.0/24
.38
paquets 2, 4, 6, 8, 10
Dans cet exemple, le routeur A dispose de deux chemins de mme cot vers le rseau 10.1.4.0/24.
Sa table de routage devrait donc ressembler ce qui suit :
RouterA#show ip route 10.1.4.0 255.255.255.0
Routing entry for 10.1.4.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
10.1.2.1
Route metric is 0, traffic share count is 1
* 10.1.3.1
Route metric is 0, traffic share count is 1
Lastrisque (*) en regard de lun des chemins signifie que le chemin en question sera utilis afin de
transmettre le prochain paquet commut vers le rseau 10.1.4.0/24. Le compte de parts de trafic est
gal 1 pour les deux chemins, ce qui signifie quils seront exploits tour de rle pour envoyer les
paquets.
Dans cet exemple, le prochain paquet reu pour ce rseau sera rout vers le prochain saut, 10.1.3.0/24,
le deuxime paquet sera envoy vers le prochain saut, 10.1.2.0/24, le troisime vers 10.1.3.0/24, et
ainsi de suite (voir la numrotation des paquets la Figure 15.2).
Certains protocoles de routage pour IP, en particulier IGRP (Interior Gateway Routing Protocol) et
EIGRP (Enhanced IGRP), peuvent inclure des chemins de cots ingaux dans leur table de routage.
Chapitre 15
541
Dans ce cas, lalgorithme de partage du trafic fonctionne un peu diffremment. Si un des liens de
lexemple prcdent changeait de telle sorte que la quantit de bande passante doublait sur un des
deux chemins, la rpartition de charge serait modifie (voir Figure 15.3).
Figure 15.3
paquets 1, 2, 4, 5, 7
10.1.3.0/24
.1
10.1.4.0/24
.2
.1
.1
A
.2
10.1.2.0/24
.38
paquets 3, 6
Examinez les comptes de parts de trafic dans cette sortie de la commande show ip route. Le
chemin de cot le plus faible qui passe par 10.1.3.1 possde un compte de 1 ; celui de cot le plus
lev qui passe par 10.1.2.1 prsente un compte de 2. A prsent, pour chaque paquet commut sur le
chemin de cot le plus lev, deux paquets seront commuts sur celui de cot le plus faible, tel que
signifi par la numrotation des paquets la Figure 15.3.
NOTE
Bien que le partage de charge par paquet soit trs efficace pour quilibrer la charge sur plusieurs liaisons,
il prsente un inconvnient de taille, savoir que les paquets peuvent arriver dans le dsordre sur leur destination. Le traitement des paquets dsordonns peut considrablement dgrader les performances des
stations finales. Ce risque est dautant plus important dans le cas dune grande variation de latence entre
les routes disponibles.
542
Partie II
Etudes de cas
du processeur, ainsi que sur la latence de routage (cest--dire le dlai coul entre larrive dun
paquet sur le routeur et son dpart).
Un autre facteur important qui affecte les performances de la commutation par processus est le
temps de transfert des donnes en mmoire. Sur certaines plates-formes, les paquets reus doivent
tre copis depuis la mmoire dentre/sortie vers une autre mmoire, avant de pouvoir tre
commuts. Une fois le processus de routage termin, ils doivent tre recopis en mmoire dentre/
sortie, en vue de leur transmission. Ces oprations de copie de donnes en mmoire sont coteuses
en ressources processeur, et peuvent par consquent affecter les performances de cette mthode de
commutation sur les plates-formes concernes.
Pour que le systme IOS prenne sa place dans le monde des rseaux routs en constante volution,
une mthode de commutation globalement plus efficace tait ncessaire. Les premiers dveloppeurs
IOS lont rapidement mise en uvre. Pour mieux comprendre la solution propose, examinons les
aspects de la commutation par processus qui doivent faire lobjet dune optimisation.
Pour reprendre lexemple prcdent de commutation par processus IP, le processus ip_input
requiert trois lments dinformation essentiels pour commuter un paquet :
m
Accessibilit. Cette destination est-elle accessible ? Si oui, quelle est ladresse de rseau IP du
prochain saut vers la destination ? Cette information se trouve dans la table de routage,
galement appele table de transmission.
Interface. Sur quelle interface ce paquet devrait-il tre transmis afin datteindre cette destination ? Cette information est contenue dans la table de routage.
En-tte de couche MAC. Quel en-tte MAC doit tre plac dans ce paquet pour adresser correctement le prochain saut ? Les donnes den-tte MAC proviennent de la table ARP pour IP, ou
dautres tables de correspondances, telle la table Frame Relay.
Etant donn que chaque paquet entrant peut tre diffrent, le processus ip_input doit examiner ces
lments dinformation essentiels chaque fois quil commute un paquet. Il doit rechercher dans une
table de routage parfois trs volumineuse les donnes daccessibilit et dinterface, puis examiner
une autre table, qui peut elle aussi tre trs volumineuse, afin dy trouver les donnes den-tte
MAC. Une amlioration consquente serait de permettre au processus ip_input de "mmoriser" le
rsultat des recherches quil effectue pour certaines destinations. Par exemple, il pourrait maintenir
une table plus rduite de combinaisons accessibilit/interface/MAC pour les destinations les plus
frquentes, ce qui rduirait considrablement le temps de recherche pour la plupart des paquets
entrants. De plus, tant donn que la recherche est la tche la plus intensive, une table plus petite
acclrerait suffisamment son excution, de faon que lopration de commutation complte puisse
tre ralise par le programme dinterruption qui reoit le paquet (liminant ainsi le besoin de
copier les donnes en mmoire, do une conomie supplmentaire de temps). Par consquent, pour
permettre au systme IOS de maintenir une table de recherche rduite, et obtenir ainsi une amlioration des performances, la solution propose a t lutilisation dun cache rapide (Fast Cache).
Chapitre 15
543
ip_input
processeur
3
6
Cache de routes
4
2
mmoire E/S
1
processeur d'interface
Mdia de
rseau
5
processeur d'interface
Mdia de
rseau
Examinons de nouveau la mthode de commutation par processus, avec cette fois lintroduction du
cache rapide. Linterface physique commence donc par dtecter la prsence dun paquet sur le
mdia. Elle le reoit, puis le transfre en mmoire dentre/sortie (tape 1 de la Figure 15.4).
544
Partie II
Etudes de cas
A ltape 2, linterface physique interrompt le processeur central afin de lui signaler quun paquet
reu se trouve en mmoire dentre/sortie, en attente de traitement. Le programme dinterruption du
systme IOS examine les informations den-tte du paquet, et dtermine quil sagit dun paquet IP.
A prsent, au lieu de placer le paquet dans la file dentre du processus ip_input, comme prcdemment, le programme dinterruption consulte directement le cache rapide, afin de vrifier si des
informations dinterface sortante et den-tte MAC relatives cette destination y ont t consignes.
Sil trouve dans le cache une entre correspondante, il lit les informations den-tte MAC quelle
contient, puis les crit dans le paquet. Cette entre lui indique galement un pointeur vers linterface
de sortie approprie. Ltape 3 de la Figure 15.4 reprsente la lecture en cache et lopration dcriture des donnes MAC.
Le processeur central (toujours dans le cadre de la mme interruption) signale linterface physique
de sortie quun paquet plac en mmoire dentre/sortie est prt tre envoy. Il met fin linterruption, afin de permettre dautres processus de poursuivre leur excution (tape 4 de la Figure 15.4).
A ltape 5, linterface retire le paquet de la mmoire dentre/sortie, puis le transmet. Elle interrompt ensuite le processeur central pour mettre jour ses compteurs, et librer lespace mmoire
occup prcdemment par le paquet (tape 6 de la Figure 15.4).
Lexemple dcrit ici illustre le fonctionnement de la commutation rapide. Notez que le processus
ip_input nest jamais impliqu dans la commutation dun paquet. En fait, aucun processus planifi
nest impliqu dans la commutation rapide dun paquet, ds lors quil existe en cache une entre
correspondante. Grce cette fonctionnalit de cache rapide, le systme IOS peut maintenant
excuter une opration complte de commutation de paquets dans le laps de temps trs court dune
interruption. La mise en cache a permis au systme IOS de sparer la tche consommatrice en
ressources qui consiste pendre une dcision de routage de la tche moins coteuse qui
consiste transmettre un paquet. La commutation rapide a donc introduit le concept "router une
fois, transmettre plusieurs fois".
Une remarque importante doit tre faite ici. Comme vous avez pu le constater, les entres du cache
rapide sont gnres au fur et mesure que les paquets sont commuts par processus. Par consquent, tant donn que cest lopration de commutation par processus qui cre les entres en
cache, le premier paquet envoy vers une destination donne est toujours commut par processus,
mme lorsque la commutation rapide est active. Une fois lentre enregistre dans le cache, les
paquets ultrieurs vers cette mme destination peuvent tre traits par commutation rapide.
De plus, certaines conditions sont ncessaires pour permettre un remplissage efficace du cache
rapide, au moyen de la commutation par processus. Notamment, le rseau doit tre globalement
stable, avec peu de changements de routes, et le trafic doit plutt circuler en direction dun sousensemble particulier de destinations. Dans certains environnements de rseau, telle lpine dorsale
de lInternet, ces conditions ne sont pas prsentes. Les conditions de rseau existantes peuvent alors
induire un trs faible taux de correspondance des entres en cache, ce qui entrane un grand nombre
de paquets commuts par processus. Dans dautres cas, par exemple lorsque le cache nest pas assez
grand pour contenir toutes les entres ncessaires, les conditions de rseau peuvent provoquer le
remplacement systmatique des entres les plus anciennes par celles nouvellement cres. De tels
environnement seront traits plus loin dans ce chapitre.
Chapitre 15
545
Pour comprendre le fonctionnement du cache rapide et sa capacit fournir rapidement les informations de transmission, nous allons tudier sa structure.
Tout dabord, pour avoir une ide prcise de son contenu, examinons le rsultat de la commande
show ip cache verbose :
router#show ip cache verbose
IP routing cache 1 entry, 172 bytes
124 adds, 123 invalidates, 0 refcounts
Minimum invalidation interval 2 seconds, maximum interval 5 seconds,
quiet interval 3 seconds, threshold 0 requests
Invalidation rate 0 in last second, 0 in last 3 seconds
Prefix/Length
Age
Interface
Next Hop
10.1.1.16/32-24
1w4d
Ethernet0
10.1.1.16
14 00403337E5350060474FB47B0800
Daprs ce rsultat, on peut voir que le routeur conserve des informations sur le prfixe de destination, la longueur du prfixe, linterface de sortie, ladresse IP de prochain saut et len-tte MAC.
Toutes les donnes ncessaires la commutation dun paquet vers une destination spcifique sont
contenues dans cette entre.
Le cache rapide possde une autre caractristique, qui napparat pas de faon vidente dans cette
sortie. A linverse des tables principales, partir desquelles les entres du cache sont gnres, et
qui ne sont finalement rien de plus que de longues listes, le cache est implment au moyen dune
structure de donnes spciale, qui autorise lextraction rapide de nimporte quel membre. Avec les
tables principales, le temps de recherche augmente proportionnellement leur taille. Grce sa
structure, le cache rapide autorise un temps de recherche minimal qui, de plus, demeure relativement constant, indpendamment du nombre total dentres.
Table de hachage
Le cache rapide IP a t initialement implment sous forme dune structure de donnes, appele
table de hachage (voir Figure 15.5).
Figure 15.5
10.1.11.0
172.16.188.0 192.168.104.0
10.89.83.0
10.1.111.0
10.84.55.0
172.147.9.1.0
192.168.14.0
172.16.218.0
10.89.53.0
10.254.144
192.168.12.0
192.168.0.0
10.1.99.0
10.89.54.0
10.1.109.0
192.168.15.0
10.89.52.0
10.1.108.0
10.254.156.0
172.16.212.0
172.147.87.0
10.1.244.0
172.16.67
Prfixes IP
En-ttes MAC
10.89.59.0
546
Partie II
Etudes de cas
Dans la table de hachage, chaque prfixe IP pointe vers un emplacement particulier de la table. Une
entre particulire peut tre trouve en excutant des oprations boolennes (avec OU exclusif sur
les 16 bits de poids le plus faible et les 16 bits de poids le plus fort de ladresse IP de 32 bits recherche). Le rsultat de ce calcul pointe vers lemplacement de la table de hachage souhait, appel
compartiment de hachage (hash bucket). Chaque compartiment de hachage contient une entre de
cache, dont un en-tte MAC prcalcul pour le prochain saut.
Une opration de hachage ne produit pas toujours un hachage unique pour chaque adresse IP. Une
situation dans laquelle plusieurs adresses IP pointent vers le mme compartiment de hachage est
appele collision. Lorsquune collision survient, le systme IOS regroupe les entres de cache qui
font lobjet dune collision en une liste place dans le compartiment de hachage, avec un maximum
de six entres. De cette manire, aucune recherche portant sur plus de six entres dans le cache
nest ncessaire pour trouver une correspondance particulire.
Dans la version 10.2 de Cisco IOS, la table de hachage a t remplace par une structure de donnes,
appele arbre binaire (radix tree), cest--dire deux voies. Dans cette implmentation, les en-ttes
MAC sont toujours stocks dans un cache.
Arbre binaire
A linstar de la table de hachage, larbre binaire est une structure de donnes spciale, utilise pour
amliorer le temps dextraction de donnes membres.
Larbre binaire tire son nom de la faon dont les donnes sont stockes, cest--dire en fonction de
leur valeur binaire. Dans la pratique, cela signifie que les informations sont stockes dans une structure arborescente fonde sur la reprsentation binaire de la cl (champ unique, qui identifie de faon
unique chaque ensemble de donnes). Par exemple, examinez les chiffres suivants :
m
Vous pourriez stocker ces chiffres dans une structure darbre binaire (voir Figure 15.6).
Figure 15.6
Un arbre binaire.
Racine
0
10
1010
2
0010
7
0111
Chapitre 15
547
Les branches de larbre sont bases sur la reprsentation binaire de chaque chiffre, nimporte quel
niveau. Par exemple, pour stocker ou trouver le chiffre 10, vous commencez votre recherche par la
racine, en examinant le premier bit contenu dans 1010, qui est 1. Le nombre 1 signifie que vous
devez choisir la branche de droite, ce qui vous conduit un nud de larbre. Etant donn que ce
nud ne possde pas denfants, vous comparez le nombre quil contient avec celui que vous recherchez, en vue de trouver une correspondance. Dans ce cas, il y a correspondance.
Autre exemple. Pour trouver ou stocker le nombre 7, vous dbutez galement par la racine. Etant
donn que le premier bit de la reprsentation binaire de ce nombre est 0, vous devez choisir la branche gauche, qui conduit un nud avec enfants. Vous devez donc de nouveau choisir quelle branche
emprunter. Pour cela, vous examinez le second bit du nombre 7 qui est 1, ce qui vous conduit vers la
brande droite. Comme prcdemment, puisque ce nud ne possde pas denfants, vous comparez le
nombre quil contient avec celui que vous recherchez, en vue de trouver une correspondance.
Limitations du cache rapide pour le routage IP
Le cache rapide prsente une limitation importante relative au stockage des prfixes IP, savoir
quil nautorise pas le chevauchement des entres. Par exemple, imaginez que des entres en cache
soient cres pour les prfixes IP suivants :
m
172.31.46.0/24 ;
172.31.46.128/25 ;
172.31.46.129/32.
Etant donn que le cache rapide ne tient pas compte du masque de sous-rseau (ou longueur de prfixe),
il nexiste aucun moyen, lors dune opration de recherche, de savoir que lentre 172.31.46.129 utilise
un prfixe de 32 bits et que lentre 172.31.46.128 utilise un prfixe de 25 bits.
Pour contourner cette limitation, une solution simple consiste crer une entre de cache pour chaque
hte de destination. Mais, en raison du grand nombre dentres qui seraient ainsi cres, cette solution
imposerait une charge de traitement trop importante, et consommerait une trop grande quantit
despace mmoire.
Par consquent, une autre solution, fonde sur lensemble de rgles suivant, a t adopte :
m
Si la destination est directement connecte, mettre en cache avec une longueur de prfixe de 32 bits.
Si plusieurs chemins de mme cot existent vers cette destination, mettre en cache avec une
longueur de prfixe de 32 bits.
Sil sagit dun superrseau, mettre en cache, en utilisant la longueur de prfixe du superrseau.
Sil sagit dun rseau principal sans sous-rseau, mettre en cache, en utilisant la longueur de
prfixe du rseau principal.
Sil sagit dun rseau principal avec sous-rseaux, mettre en cache, en utilisant le prfixe de plus
grande longueur sur le rseau principal.
548
Partie II
Etudes de cas
Par consquent, en sappuyant sur lextrait de table de routage IP suivant, qui provient dun routeur
Cisco, on pourrait dterminer les longueurs de prfixe quil utilise pour diffrentes destinations :
router#show ip route
....
O
172.31.0.0 [110/11] via 172.25.10.210,
2d01h, Ethernet0
[110/11] via 172.25.10.215,
2d01h, Ethernet0
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
D EX 172.16.180.0/25 [170/281600] via 172.25.10.210,
3d20h, Ethernet0
D EX 172.16.180.24/32 [170/281600] via 172.25.10.210,
3d20h, Ethernet0
O
10.0.0.0 [110/11] via 172.25.10.210,
2d01h, Ethernet0
O
192.168.0.0/16 [110/11] via 172.25.10.210,
2d18h, Ethernet0
172.25.0.0/24 is subnetted, 1 subnet
C
172.25.10.0 [0/0] via connected, Ethernet0
Chaque destination sur le rseau 172.31.0.0/16 sera place en cache, avec une longueur de prfixe
de 32 bits, car il existe deux chemins de mme cot vers ce rseau, prsent dans la table de
routage.
Chaque destination sur le rseau 172.16.0.0/16 sera place en cache, avec une longueur de
prfixe de 32 bits, car il existe une route dhte dans cette plage.
Le rseau 10.0.0.0/8 recevra une entre en cache, car il sagit dune route vers un rseau principal qui ne comprend pas de sous-rseau, de route dhte, de chemins de mme cot, etc.
Le rseau 192.168.0.0/16 recevra une entre en cache, car il sagit dune route de superrseau
sans sous-rseau.
Toutes les destinations sur le rseau 172.25.10.0/24 seront places en cache, avec une longueur
de prfixe de 32 bits, car ce rseau est directement connect au routeur.
Il est important dassurer la maintenance des donnes places en cache, pour viter quelles ne
soient primes et quelles ne perdent leur synchronisation avec les informations matres qui ont
servi llaboration initiale du cache. Pour cela, deux mthodes sont mises en uvre, savoir
linvalidation dentres spcifiques et linvalidation alatoire dentres.
Dans le cas de la commutation rapide, la difficult consiste garantir la mise jour du cache rapide,
afin que son contenu corresponde celui de la table de routage et du cache ARP (ou dautres tables
partir desquelles les en-ttes MAC sont constitus).
Invalidation dentres spcifiques
La difficult de maintenir le cache de routes synchronis avec la table de routage crot avec lutilisation de la commutation de paquets IP, en raison dun phnomne appel rcursivit, qui est expliqu
plus bas.
Routage rcursif
Etant donn que le routage rcursif est un aspect trs important, li au fonctionnement dun cache
de routes, il peut tre utile den examiner un exemple. La Figure 15.7 illustre le phnomne de
rcursivit sur un rseau.
Chapitre 15
Figure 15.7
10.1.1.0/24
10.1.2.0/24
.1 .2
.1 .2
549
10.1.3.0/24
B
10.1.2.2/24 via 10.1.1.2
.1
C
.38
A la Figure 15.7, le routeur A doit rechercher une route vers lhte 10.1.3.38, et dterminer quels
prochains saut et en-tte MAC utiliser. Lorsquil examine sa table de routage, il dcouvre que cette
destination est accessible via 10.1.2.2.
Etant donn que cette destination nest pas directement connecte au routeur A, il doit de nouveau
consulter sa table de routage afin de dterminer comment atteindre le prochain saut. Il recherche
donc une route vers 10.1.2.2, et constate quil est accessible via 10.1.1.2, qui lui est directement
connect.
Le routeur A envoie donc 10.1.1.2 tout le trafic destin 10.3.3.38, afin quil continue de lacheminer.
Lorsque la commutation rapide est utilise, le problme de rcursivit est rsolu au moment de la
cration dune entre en cache plutt que lors de la commutation dun paquet. Cest--dire que le
cache de routes contient len-tte MAC et linterface de sortie qui correspondent au prochain saut
pour chaque destination. Les entres en cache rapide sont donc indpendantes de celles de la table
de routage et du cache ARP.
Puisque la rcursivit est rsolue lors de la cration dune entre en cache, il nexiste aucune corrlation directe entre le cache rapide, dune part, et la table de routage et le cache ARP, de lautre. Par
consquent, il faut trouver un moyen de maintenir la synchronisation du cache avec les donnes des
tables originales. La meilleure solution consiste invalider, ou supprimer, les entres de cache qui
correspondent des donnes modifies dans les tables principales.
Des entres peuvent tre supprimes du cache rapide pour les raisons suivantes :
m
Lentre de cache ARP pour le prochain saut est modifie, supprime ou prime.
Lentre de table de routage pour le prochain saut vers cette destination est modifie.
Le systme IOS invalide de petites portions du cache rapide toutes les minutes, afin dviter que sa
taille naugmente excessivement, et galement de resynchroniser rgulirement les entres avec la
table de routage et le cache ARP. Lorsque la quantit de mmoire disponible dpasse 200 Ko, le
processus dinvalidation des entres de cache supprime 1/20e du total des entres de cache de faon
alatoire. Lorsque lespace disponible est infrieur 200 Ko, le processus sintensifie, invalidant 1/5e
du total des entres par minute.
550
Partie II
Etudes de cas
10.1.1.0/24
Equilibrage de charge
avec le cache rapide.
.148
10.1.4.0/24
.220
.42
A
B
10.1.2.0/24
.38
Clients
10.1.3.0/24
Serveur
A la Figure 15.8, plusieurs stations de travail sont connectes un segment de rseau reli au
routeur A. Chacune delles communique avec le mme serveur, situ sur un autre segment de
rseau, reli au routeur B. Le routeur A dispose de deux chemins parallles vers le routeur B. En
supposant quils soient de mme cot, il serait souhaitable de pouvoir les exploiter tous les deux,
pour y quilibrer le trafic. Voyons donc ce qui se produirait.
En partant dun cache rapide vide, le routeur A reoit un paquet de la part du client 10.1.1.220,
destin au serveur 10.1.4.42. Comme nous lavons vu plus haut, ce premier paquet est commut par
processus, et le routeur A cre une entre dans le cache rapide pour la destination 10.1.4.42. Etant
donn quil existe deux chemins de mme cot vers cette destination (via le routeur B), le routeur A
doit choisir lun des deux chemins lorsquil cre lentre dans le cache. Il utilise pour cela lalgorithme de rpartition de charge par paquet, dcrit prcdemment, afin de prendre une dcision.
Lorsque le routeur A reoit un autre paquet destin au serveur 10.1.4.42, il est trait par commutation rapide, car il existe dj une entre dans le cache rapide pour cette destination. Etant donn que
le pointeur vers linterface de transmission est intgr au cache, le routeur A commute ce paquet sur le
mme chemin que le premier. Il continuera ainsi envoyer tous les paquets destins au serveur
10.1.4.42 sur ce chemin, jusqu ce que lentre en cache soit prime ou invalide. Si cette entre
est supprime, lautre chemin pourra ensuite tre choisi, mais les paquets seront de nouveau
envoys vers le serveur 10.1.4.42 uniquement sur ce chemin.
Sil existait plusieurs serveurs sur le rseau 10.1.4.0/24, le mme processus se reproduirait pour
chacun deux. Cest--dire que, mme si le chemin plac en cache tait diffrent pour chaque
Chapitre 15
551
serveur, les paquets de clients adresss lun dentre eux seraient nanmoins achemins uniquement sur le chemin qui lui est associ.
Imaginons maintenant que le trafic circule dans lautre sens. Le routeur B place en cache les destinations sur le rseau de clients de la mme manire que le routeur A. Dans ce cas, le routeur B cre
trois entres, les deux premires associes un des deux chemins, et la troisime associe lautre
chemin. Il se peut que le routeur B dcide denvoyer du trafic pour deux clients sur le chemin qui
na pas t utilis par le routeur A, ce qui entranerait une distribution efficace de la charge de trafic
sur les chemins parallles. Mais, le routeur B peut galement associer deux entres de cache au
mme chemin que celui choisi par le routeur A pour envoyer le trafic vers le serveur, ce qui entrane
cette fois une utilisation non quilibre des chemins.
Cette absence de stratgie dquilibrage de charge dterministe reprsente une source de difficults
pour de nombreux concepteurs de rseaux. Cest pourquoi de nouvelles mthodes de commutation
ont t dveloppes, en vue de supporter des stratgies dterministes qui rsolvent ce problme,
parmi lesquelles on trouve la transmission expresse Cisco ou CEF (Cisco Express Forwarding),
dcrite plus loin dans ce chapitre.
Commutation optimale
La commutation optimale met en uvre une commutation rapide, avec des optimisations relatives
la gestion de cache. A linstar de la commutation rapide, elle commute un paquet au cours dune
seule interruption. La principale diffrence rside au niveau de laccs au cache de routes. De plus,
le programme de commutation optimale a t conu de faon tirer parti darchitectures de processeur spcifiques, tandis que le code pour la commutation rapide est gnrique, et na pas t optimis pour un processeur particulier. A noter galement que la commutation optimale est disponible
uniquement pour le protocole IP.
Plus haut dans ce chapitre, vous avez appris que laccs au cache rapide se faisait par lintermdiaire dune table de hachage, avec les premires versions du systme Cisco IOS, puis via un arbre
binaire, partir de la version 10.2. Lorsque la commutation optimale est utilise, laccs au cache
se fait via un arbre multivoie (256 voies), appel mtrie (multiway trie). La Figure 15.9 illustre un
arbre mtrie.
Les informations daccessibilit sont stockes sous forme dun ensemble de nuds qui comprennent chacun 256 enfants. Les en-ttes MAC prcalculs sont stocks au niveau des nuds. Bien que
cette structure autorise des recherches plus rapides que larbre binaire, elle souffre nanmoins des
limitations du cache rapide.
La commutation optimale partage les caractristiques suivantes avec la commutation rapide :
m
Les entres de cache sont cres lorsque le premier paquet est commut par processus vers une
destination.
Les entres de cache sont invalides au fur et mesure que la table de routage ou dautres informations en cache sont modifies.
Les mme rgles sont appliques afin de dterminer quelle entre sera cre pour une destination
donne.
552
Partie II
Etudes de cas
Figure 15.9
1.0.0.0
racine
Le cache optimal.
2.0.0.0
3.0.0.0
256 enfants
10.1.0.0
10.0.0.0
10.2.0.0
10.3.0.0
256 enfants
10.10.1.0
10.10.0.0
10.10.2.0
10.10.3.0
256 enfants
10.10.10.1
10.10.10.0
10.10.10.2
10.10.10.3
256 enfants
10.10.10.4
En-tte MAC
Age
1w4d
Interface
Ethernet0
Next Hop
10.1.1.16
Chapitre 15
553
Tout changement dans la table de routage ou dans le cache ARP entrane linvalidation de grandes sections du cache de routes, en raison dune absence de corrlation entre ces zones de stockage dinformations de routage.
Le premier paquet envoy vers une destination quelconque doit tre commut par processus, afin
quune entre soit cre dans le cache de routes.
La plupart de ces inconvnients ne posent pas de problmes sur un rseau dentreprise moyen, car
les routes ne changent pas souvent, et les tables de routage conservent une taille acceptable. Mais il
en va tout autrement dans un environnement tel que lpine dorsale de lInternet.
Les routeurs dpine dorsale Internet doivent grer des tables de routage trs volumineuses (qui affichaient, en 1999, une moyenne de 56 000 routes), qui continuent daugmenter. Certains de ces
routeurs grent plus de 100 000 routes. Leur table de routage change galement constamment, ce
qui entrane linvalidation frquente des entres. En fait, ces entres sont invalides suffisamment
souvent, de faon quune quantit importante du trafic trait par ces routeurs soit commute par
processus. La commutation CEF a t spcifiquement dveloppe pour amliorer les performances
de routage dans ce type denvironnements.
Cette mthode de commutation a t initialement teste sur lInternet. Des sries dimages logicielles IOS spciales, qui implmentent la commutation CEF, ont t distribues aux fournisseurs de
services Internet, afin dobserver leur fonctionnement dans des conditions dutilisation extrmes.
Cette technologie a dmontr sa capacit grer la charge de trafic de lpine dorsale de lInternet.
Par consquent, elle t intgre dans le produit Cisco IOS pour devenir le mode de commutation
par dfaut dans la version 10.2 du systme. Cest actuellement la seule mthode de commutation
disponible sur certaines plates-formes, en particulier sur le Cisco 12000 et le Catalyst 8500.
Fonctionnement de la commutation CEF
table CEF ;
table de voisinage.
554
Partie II
Etudes de cas
Table CEF
La table CEF est une version allge de la table de routage, implmente sous forme dun arbre
mtrie 256 voies, afin de permettre des performances dextraction optimales. Sa taille, ainsi que
dautres informations dordre gnral, peuvent tre affiches en excutant la commande show ip
ced summary :
router#show ip cef summary
IP Distributed CEF with switching (Table Version 96)
33 routes, 0 reresolve, 0 unresolved (0 old, 0 new)
33 leaves, 31 nodes, 36256 bytes, 96 inserts, 63 invalidations
1 load sharing elements, 328 bytes, 2 references
1 CEF resets, 8 revisions of existing leaves
refcounts: 8226 leaf, 8192 node
Adjacency Table has 5 adjacencies
Dans une structure darbre mtrie 256 voies, chaque nud peut comprendre jusqu 256 enfants.
Dans une table CEF, chaque enfant (ou lien) est utilis pour reprsenter une adresse diffrente dans
un octet dune adresse IP (voir Figure 15.10).
Par exemple, avec ladresse IP 10.10.10.4, les donnes seraient localises en extrayant le dixime enfant
partir de la racine, puis le dixime enfant partir de ce nud, puis de nouveau le dixime enfant
partir de ce nud, et, enfin, le quatrime enfant partir du dernier nud, ou nud final. Celui-ci
contient un pointeur vers une entre dans une autre table, appele table de voisinage, qui contient
len-tte MAC et dautres informations ncessaires la commutation du paquet.
NOTE
Un arbre mtree stocke les donnes dans la structure arborescente elle-mme. Par exemple, lorsque cette
structure est employe avec la commutation optimale, les donnes den-tte MAC utilises afin de transmettre les paquets y sont donc stockes directement. Dans un arbre mtrie, la structure est uniquement utilise
pour localiser les donnes recherches, qui sont situes ailleurs.
Table de voisinage
La table dinformations de voisinage (adjacency table) contient les donnes den-tte MAC qui
permettent de se connecter directement aux prochains sauts. Ces donnes proviennent du cache
ARP, de la table Frame Relay, ainsi que dautres tables de ce type. La commande show adjacency
permet dafficher son contenu, par exemple :
router#show adjacency
Protocol Interface
IP
POS0/0/0
IP
Serial1/0/0
IP
FastEthernet6/0/0
IP
Ethernet4/0
IP
Ethernet4/0
Router#
Address
point2point(15)
point2point(5)
17.1.1.2(16)
10.105.1.1(9)
10.105.1.179(5)
Chapitre 15
Figure 15.10
555
Table CEF
racine
1.0.0.0
2.0.0.0
3.0.0.0
256 enfants
10.1.0.0
10.0.0.0
10.2.0.0
10.3.0.0
256 enfants
10.10.1.0
10.10.0.0
10.10.2.0
10.10.3.0
256 enfants
10.10.10.1
10.10.10.0
10.10.10.2
10.10.10.3
256 enfants
10.10.10.4
00e0.1ece.557a
0000.0c93.1a32
Table de voisinage
Voisin en cache. Un en-tte MAC prcalcul pour le prochain saut vers cette destination.
Punt. Les paquets destins cette adresse doivent tre transfrs sur le prochain chemin de
commutation.
Route dhte. Cette destination est celle dun hte directement connect.
556
Partie II
Etudes de cas
Incomplet. Len-tte MAC pour cette destination est incomplte, ce qui signifie habituellement
que lentre correspondante dans le cache ARP est galement incomplte ou incorrecte.
Interrogation. Il sagit dune destination directement connecte, mais pour laquelle il nexiste
pas den-tte MAC prcalcul. Une requte ARP doit tre envoye afin de permettre la constitution de cet en-tte.
A linstar de la commutation rapide, la commutation CEF sappuie sur les entres en cache pour
commuter les paquets lors dune interruption de processeur. La diffrence entre ces deux mthode
rside au niveau de la cration des entres dans le cache. La commutation rapide requiert que le
premier paquet envoy vers une destination spcifique soit commut par processus pour crer une
entre dans le cache. Dans le cas de commutation CEF, la table CEF est labore directement
partir de la table de routage, et la table de voisinage directement partir du cache ARP. Ces structures CEF sont constitues avant que nimporte quel paquet soit commut.
Avec la commutation CEF, chaque paquet reu pour une destination accessible peut donc tre transmis
par le programme dinterruption du systme IOS, et na pas besoin dtre commut par processus pour
quune entre vers la destination correspondante soit cre. Cela permet damliorer considrablement les performances de routage sur les routeurs qui doivent grer une grande quantit dentres de
table de routage. Lorsque la commutation rapide classique est mise en uvre, il arrive que le systme
IOS soit submerg de trafic de niveau processus, avant que les entres en cache de routes naient pu
tre cres. La commutation CEF limine cette lourde charge, ce qui vite que le goulet dtranglement provoqu par la charge de commutation ne fasse planter le systme IOS lorsque les routes du
rseau sont instables.
La rpartition des donnes daccessibilit/interface et des donnes den-ttes MAC dans deux structures relies directement leur source dinformations limine galement la ncessit dun processus
de synchronisation.
Les entres contenues dans les structures CEF ne sont jamais primes. Tout changement qui
survient dans la table de routage ou le cache ARP est facilement reflt dans ces structures, ce qui
limine le besoin dinvalider un grand nombre dentres dans le cache pour garantir leur pertinence.
Equilibrage de charge avec la commutation CEF
La rpartition de la charge de trafic avec la commutation CEF peut tre ralise en fonction des
informations de source/destination (par dfaut), ou par paquets. La premire forme dquilibrage
rsout les problmes dcrits prcdemment dans lexemple de commutation rapide, o tout le trafic
destin au serveur empruntait un seul lien, car les informations contenues dans le cache se fondent
sur la destination. Pour cela, une entre de la table CEF peut galement pointer vers une structure de
partage de charge, au lieu de pointer directement vers une entre dans la table de voisinage (voir
Figure 15.11).
Chapitre 15
Figure 15.11
557
Table CEF
La structure de partage
de charge CEF.
racine
1.0.0.0
2.0.0.0
3.0.0.0
256 enfants
10.1.0.0
10.0.0.0
10.2.0.0
10.3.0.0
256 enfants
10.10.1.0
10.10.0.0
10.10.2.0
10.10.3.0
256 enfants
10.10.10.1
10.10.10.0
10.10.10.2
10.10.10.3
Partage de charge
256 enfants
10.10.10.4
hachage
A
B
A
B
A
B
A
B
A
B
A
B
A
B
A
B
00e0.1ECE.567
0000.0C93.1A32
Table de voisinage
Lorsque le processus de commutation examine la table de partage de charge (plutt que la table
de voisinage), la suite dune recherche dans la table CEF, il se base sur les adresses source et de
destination pour dcider des entres de partage de charge utiliser. Chacune de ces entres pointe
vers une entre de la table de voisinage qui contient len-tte MAC et dautres informations
ncessaires la transmission du paquet.
558
Partie II
Etudes de cas
Rvision de CEF
Pour mieux comprendre la relation qui existe entre les structures de commutation CEF, examinez la
Figure 15.12.
10.1.1.0/24
Tables CEF.
192.168.30.0/24
Figure 15.12
10.1.3.0/24
10.1.2.0/24
Next Hop
Interface
10.1.1.1
10.1.2.1
10.1.3.1
Serial0
Serial1
Serial2
172.16.30.0/24
172.16.30.0/24
OK
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Y
Interface
Serial0
Serial1
Serial0
Serial1
Serial0
Serial1
Serial0
Serial1
Serial0
Serial1
Serial0
Serial1
Serial0
Serial1
Serial0
Serial1
router#show adjacency
Protocol Interface
....
IP
Serial0
IP
Serial1
IP
Serial2
....
Address
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
point2point
Address
point2point(33)
point2point(32)
Point2point(31)
Packets
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Chapitre 15
559
Dans cette figure, le routeur A dispose de trois tables CEF, utilises pour commuter les paquets vers
le rseau 192.168.30.0/24, savoir la table CEF, la table de voisinage et la table de partage de
charge. En revanche, pour commuter les paquets vers le rseau 172.16.30.0/24, seules deux tables
sont ncessaires : la table CEF et celle de voisinage.
Rsum
Les routeurs Cisco commutent les paquets sur un chemin choisi parmi plusieurs. Les caractristiques
dun chemin de commutation diffrent selon quun cache est utilis ou non, selon le moyen daccs
ce cache et sa constitution, et selon le contexte de commutation (processus ou interruption) :
m
La commutation par processus ne place aucune information en cache, et commute les paquets
dans le contexte dun processus.
La commutation rapide place en cache dans une table de hachage ou un arbre binaire les
informations daccessibilit ainsi que les en-ttes MAC ncessaires pour acheminer les paquets,
et les commute dans le contexte dune interruption.
La commutation CEF place les informations daccessibilit dans une structure mtrie, et les enttes MAC ncessaires pour acheminer les paquets dans une table de voisinage. Les paquets sont
commuts dans le contexte dune interruption.
Type de cache
Caractristiques de traitement
Aucun
Commutation rapide
Les paquets sont commuts par le processeur central lors dune interruption.
Commutation optimale
Les paquets sont commuts par le processeur central lors dune interruption.
Commutation CEF
(Cisco Express Forwarding)
Les paquets sont commuts par le processeur central lors dune interruption.
16
Redistribution EIGRP et OSPF
Par Anthony Bruno
Cette tude de cas traite des problmes dintgration de rseaux EIGRP (Enhanced Interior
Gateway Routing Protocol) avec des rseaux OSPF (Open Shortest Path First). Cisco supporte ces
deux protocoles et offre un moyen dchanger des informations de routage entre des rseaux
EIGRP et OSPF. Ces deux protocoles sans classe sont capables de grer les masques de sous-rseau
de longueur variable (VLSM, Variable-Length Subnet Mask) et la synthse de routes. Cette tude de
cas donne des exemples de redistribution dinformations de routage entre des rseaux implmentant
ces protocoles et aborde les sujets suivants :
m
562
Partie II
Etudes de cas
car il assure la fonction de routeur intersystmes autonomes (ASBR, Autonomous System Border
Router) entre ces deux nuages. Le routeur C est un routeur interzones (ABR, Area Border Router)
situ sur le nuage OSPF qui joue galement le rle de routeur ASBR pour le rseau externe 170.10.0.0.
Figure 16.1
Redistribution
mutuelle entre
des rseaux EIGRP
et OSPF.
Routeur C
Routeur B
Routeur A
E
OSPF
ZONE 1
OSPF
ZONE
EIGRP 100
S1
S1
160.10.8.2/30
130.10.9.1/24
160.10.7.1/24
160.10.8.1/30
E1
130.10.9.2/24
130.10.62.1/28
EZ
S
130.10.63.1/28
170.10.0.0
Dans la Figure 16.1, il nexiste pas de routeur secondaire ou redondant reliant directement les
nuages EIGRP et OSPF. Pourtant, un rseau traditionnel offre souvent des chemins parallles ou de
secours, introduisant dailleurs des risques de boucles de rinjection de routes. Afin dempcher les
boucles de routage potentielles, des cartes de routage et des listes daccs peuvent tre utilises
pour configurer les routes qui doivent tre annonces et acceptes par chaque routeur. A laide des
commandes suivantes, les routes OSPF sont redistribues dans EIGRP :
!
router eigrp 100
default-metric 10000 1000 255 1 1500
network 160.10.0.0
redistribute ospf 109 route-map OSPFtoEIGRP
!
route-map OSPFtoEIGRP permit 10
match ip address 11
!
access-list 11 permit 130.10.0.0 0.0.255.255
!
Utilisez default-metric pour dfinir les mtriques dune route redistribue dans les mises jour
EIGRP. Toutes les routes redistribues dans EIGRP possdent par dfaut les mtriques suivantes :
default-metric bande-passante dlai fiabilit charge mtu
Le Tableau 16.1 prsente les plages de valeurs pour chaque paramtre de cette commande.
Dans la configuration du routeur B, la liste daccs 11 autorise la redistribution du rseau
130.10.0.0 dans EIGRP. Par contre, le rseau OSPF externe 170.10.0.0 nest pas redistribu dans
EIGRP. Ce chapitre dcrit plus loin comment ajouter ce rseau dans la liste de redistribution.
Chapitre 16
563
Plage de valeurs
1-4294967295
0-4294967295
0-255
0-255
1-4294967295
Cette section prsente les configurations des routeurs A, B et C visant implmenter la redistribution. Sur le routeur B, des cartes de routage sont combines avec des listes daccs pour spcifier les
rseaux qui doivent tre redistribus. Le routeur A est configur avec EIGRP et le routeur C avec
OSPF.
La configuration du routeur A est la suivante :
!
hostname routerA
!
interface Ethernet0
ip address 160.10.7.1 255.255.255.0
!
interface Serial1
ip address 160.10.8.2 255.255.255.252
!
router eigrp 100
network 160.10.0.0
!
La configuration du routeur A est simple et dfinit deux interfaces ainsi que le processus EIGRP 100.
Comme aucune redistribution na lieu sur ce routeur, aucune carte de routage ou commande de
redistribution nest utilise. Le routeur B est le voisin EIGRP du routeur A :
Il est configur comme suit :
!
hostname routerB
!
interface Ethernet0
ip address 130.10.9.1 255.255.255.0
!
interface Serial1
ip address 160.10.8.1 255.255.255.252
!
router eigrp 100
redistribute ospf 109 route-map OSPFtoEIGRP
network 160.10.0.0
default-metric 10000 1000 255 1 1500
!
router ospf 109
redistribute eigrp 100 subnets route-map EIGRPtoOSPF
network 130.10.9.0 0.0.0.255 area 0
564
Partie II
!
access-list 10 permit
access-list 10 deny
access-list 11 permit
access-list 11 deny
!
route-map OSPFtoEIGRP
match ip address 11
!
route-map EIGRPtoOSPF
match ip address 10
!
Etudes de cas
160.10.0.0 0.0.255.255
any
130.10.0.0 0.0.255.255
any
permit 10
permit 10
Chapitre 16
565
La configuration du routeur C indique quil sagit dun routeur ABR OSPF pour les zones 0 et 1.
area range est utilise pour rsumer les sous-rseaux dune zone particulire sur un routeur ABR.
area 1 range 130.10.62.0 255.255.255.0 synthtise les 16 sous-rseaux suivants (en supposant que
le masque 255.255.255.240 soit utilis sur le rseau 130.10.62.0) en une seule entre de route. Le
rseau 130.10.63.0 est galement ramen 24 bits avec area 1 range 130.10.63.0 255.255.255.0.
Si le routeur C avait dautres routeurs voisins OSPF avec ces sous-rseaux, ils seraient synthtiss
au niveau de ce routeur avant que la route ne soit transmise vers la zone 0.
Le routeur C est galement un routeur ASBR OSPF pour le rseau 170.10.0.0. A laide de redistribute static metric 1000, la route statique est enregistre dans la base de donnes OSPF en tant que
route externe de type 2 avec une mtrique (cot) de 1000.
Examinons maintenant la table de routage du routeur B. Une route OSPF externe de type 2 (O E2)
provient du routeur C. Il sagit dune route statique qui a t redistribue dans OSPF sur le routeur C.
Le routeur B connat aussi les routes OSPF interzones (O IA) communiques par le routeur C. La
seule route EIGRP prsente est 160.10.7.0/24, car 160.10.8.0/30 est directement connect ce
routeur. La table de routage nindique pas si les commandes de redistribution ont t excutes
correctement. Pour le vrifier, examinez la table topologique EIGRP et la base de donnes OSPF.
routerB#show ip ro
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
566
Partie II
Etudes de cas
La table topologique EIGRP prsente les routes OSPF redistribues, qui seront propages sur le
nuage EIGRP. Notez que la route OSPF externe 170.10.0.0 napparat pas dans cette table :
routerB#show ip eigrp topology
IP-EIGRP Topology Table for process 100
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 130.10.9.0/24, 1 successors, FD is 512000
via Redistributed (512000/0)
P 160.10.8.0/30, 1 successors, FD is 2169856
via Connected, Serial1
P 160.10.7.0/24, 1 successors, FD is 2297856
via 160.10.8.2 (2297856/128256), Serial1
P 130.10.63.0/24, 1 successors, FD is 512000
via Redistributed (512000/0)
P 130.10.62.0/24, 1 successors, FD is 512000
via Redistributed (512000/0)
routerB#
show ip ospf database affiche tous les tats de liens (Link States) prsents dans la base de donnes
OSPF pour tous les types dtats de liens. Comme il existe deux routeurs OSPF, il y a donc deux
tats de liens de routeur (Router Link States). Comme il existe un rseau broadcast (Ethernet) dans
la zone 0, il y a donc un tat de lien de rseau (Net Link State). Les deux tats de liens de rseau
rsums (Summary Net Link States) proviennent du routeur ABR C. On peut galement remarquer
trois tats de liens externes (External Link States), deux provenant de la redistribution locale sur le
routeur B (160.10.8.1) et un provenant du routeur C (130.10.63.1) :
routerB#show ip ospf data
OSPF Router with ID (160.10.8.1) (Process ID 109)
Router Link States (Area 0)
Link ID
130.10.63.1
160.10.8.1
ADV Router
130.10.63.1
160.10.8.1
Age
1627
1852
Seq#
Checksum Link count
0x80000009 0xF164
1
0x80000002 0x3A57
1
ADV Router
130.10.63.1
Age
47
Seq#
Checksum
0x80000002 0x60F3
Chapitre 16
567
ADV Router
130.10.63.1
130.10.63.1
Age
47
47
Seq#
Checksum
0x80000004 0x168A
0x80000004 0xB94
ADV Router
160.10.8.1
160.10.8.1
130.10.63.1
Age
506
527
1647
Seq#
0x80000001
0x80000001
0x80000001
Checksum
0xC575
0xA894
0x88BE
Tag
0
0
0
Passons maintenant la table de routage du routeur C. Elle contient une entre statique pour le
rseau 170.10.0.0. Les routes provenant du nuage EIGRP apparaissent comme tant des routes
OSPF externes (E2). Les autres rseaux sont directement connects :
routerC#show ip ro
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route, o - ODR
T - traffic engineered route
Gateway of last resort is not set
S
568
Partie II
Etudes de cas
Figure 16.2
Rseau 170.10.0.0
Route externe
EIGRP.
OSPF
EIGRP
Routeur B
Routeur C
Routeur A
Route
EIGRP
externe
Route
OSPF
externe
Route
statique
170.10.0.0
Chapitre 16
569
A prsent que cette route figure dans la table topologique du routeur B, on peut voir que la table
topologique du routeur A linclut galement :
routerA>show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route, o - ODR
T - traffic engineered route
Gateway of last resort is not set
D EX 170.10.0.0/16 [170/2425856] via 160.10.8.1, 00:01:11, Serial1
160.10.0.0/16 is variably subnetted, 2 subnets, 2 masks
C
160.10.8.0/30 is directly connected, Serial1
C
160.10.7.0/24 is directly connected, Loopback0
130.10.0.0/16 is variably subnetted, 3 subnets, 2 masks
D EX
130.10.9.0/24 [170/2425856] via 160.10.8.1, 00:20:47, Serial1
D EX
130.10.63.0/24 [170/2425856] via 160.10.8.1, 00:01:12, Serial1
D EX
130.10.62.0/24 [170/2425856] via 160.10.8.1, 00:01:12, Serial1
routerA>
La route vers le rseau 170.10.0.0 est maintenant prsente dans le nuage EIGRP et cette tude de
cas se termine. Les cartes de routage et listes daccs ont t utilises pour contrler la redistribution des rseaux EIGRP et OSPF, et les commandes area-range et summary-address ont servi
synthtiser les routes dans OSPF.
Rsum
Sachant quil est possible de combiner lutilisation de OSPF et de EIGRP, il est important de sen
tenir aux mthodes dcrites dans ce chapitre pour pouvoir exploiter les fonctionnalits de ces deux
protocoles sur un interrseau. Configurez des routeurs ASBR supportant la fois EIGRP et OSPF et
redistribuez les routes EIGRP dans OSPF, et inversement. Dans OSPF, utilisez summary pour rsumer davantage des rseaux redistribus. Utilisez des cartes de routages et des listes daccs pour
contrler la redistribution des rseaux. Vous pouvez galement crer des zones OSPF au moyen de
routeurs ABR assurant la synthse de routes.
17
Configuration de EIGRP
sur des rseaux Novell
et AppleTalk
Par Anthony Bruno
Outre IP, EIGRP (Enhanced IGRP) supporte deux autres protocoles de niveau rseau, AppleTalk et
Novell IPX (Internetwork Packet Exchange). Chacun deux prsente des fonctionnalits spcifiques
valeur ajoute. EIGRP pour Novell IPX supporte les mises jour SAP (Service Advertisement
Protocol) limine la limitation de mtrique de 15 sauts impose par RIP (Routing Information
Protocol), et garantit lutilisation dun chemin optimal. Un routeur qui excute EIGRP pour AppleTalk supporte les mises jour de routage partielles et assure la rpartition de charge ainsi que lutilisation dun chemin optimal.
Deux tudes de cas prsentent les avantages et les aspects relatifs lintgration de EIGRP sur les
types de rseaux suivants :
m
AppleTalk. Le rseau AppleTalk existant excute le protocole RTMP (Routing Table Maintenance Protocol).
572
Partie II
Etudes de cas
Les aspects essentiels lis cette intgration sur un rseau IPX excutant RIP et SAP sont les suivants :
m
slection de route ;
Limplmentation Cisco du protocole IPX de Novell fournit toutes les fonctions dun routeur
Novell. Cette tude de cas prsente la configuration des routeurs pour quils puissent excuter ce
protocole (voir Figure 17.1).
Figure 17.1
Rseau 3bc
Routeur A
E1
E0
Routeur B
Rseau 2ad
Routeur D
Routeur C
Les commandes de configuration qui activent le routage IPX sur le routeur A sont les suivantes :
ipx routing
interface ethernet 0
ipx network 2ad
interface ethernet 1
ipx network 3bc
NOTE
A partir de la version 9.21 de System Software, la commande servant activer le routage Novell IPX est ipx
et non plus novell.
Le protocole EIGRP pour un rseau Novell IPX prsente les mmes fonctionnalits de reroutage
rapide et de mises jour partielles que EIGRP pour IP. De plus, il dispose de plusieurs fonctionnalits facilitant la conception de grands rseaux Novell IPX fiables.
Chapitre 17
573
La premire caractristique de ce protocole est le support des mises jour SAP incrmentielles. Les
routeurs RIP IPX envoient des mises jour RIP et SAP compltes toutes les 60 secondes, qui
peuvent consommer une quantit considrable de bande passante. EIGRP pour IPX envoie des
mises jour uniquement lorsque des changements se produisent sur le rseau, et ne transmet que les
informations modifies.
La deuxime caractristique est quil permet de construire de grands rseaux. Les rseaux RIP IPX sont
limits une tendue de 15 sauts (hops), alors que les rseaux EIGRP peuvent atteindre 224 sauts.
La troisime caractristique est la slection du chemin optimal. La mtrique utilise par RIP pour la
dtermination de route sappuie sur le nombre de tics (ticks) (sachant quun tic quivaut 1/18e de
seconde). Lorsque deux routes prsentent le mme nombre de tics, le compte de sauts est utilis
pour les dpartager et cest la route possdant le compte de sauts le plus faible qui est choisie. A la
place des mtriques de saut et de tic, EIGRP pour IPX utilise une mtrique combine base sur le
dlai et la bande passante. La Figure 17.2 illustre le fonctionnement de la slection du chemin optimal avec EIGRP pour IPX.
Figure 17.2
Slection de chemin
optimal avec EIGRP
pour Novell IPX.
Rseau 1
Routeur A
Rseau 5
Rseau 2
Rseau 3
FDDI
FDDI
Routeur B
Routeur C
Routeur D
Rseau 4
Les interfaces Ethernet et FDDI possdent une valeur de tic de 1. Lorsque le routeur A est configur
pour Novell RIP, il choisit la connexion Ethernet via le rseau 4 pour atteindre le rseau 5, car le
routeur D ne se situe qu un saut de lui. Toutefois, le chemin le plus rapide pour atteindre le rseau 5
comprend deux sauts, via les anneaux FDDI. Avec EIGRP pour IPX, le routeur A choisit automatiquement le chemin optimal qui passe ici par les deux routeurs B et C pour atteindre le rseau 5.
Pour ajouter EIGRP sur un rseau Novell RIP et SAP, configurez ce protocole sur les interfaces
dun routeur Cisco, qui est reli dautres routeurs Cisco excutant galement EIGRP, et configurez RIP et SAP sur les interfaces connectes vers des htes et routeurs Novell ne supportant pas
EIGRP.
Dans la Figure 17.3, les routeurs E, F et G excutent EIGRP pour IPX. Le routeur E redistribue les
informations de route EIGRP vers le routeur D via le rseau AA.
574
Partie II
Etudes de cas
Figure 17.3
Rseau 3bc
Routeur A
Routeur B
Rseau 2ad
IPX
Rseau BB
Serveur IPX
Routeur D
Routeur C
100
Rseau AA
Serveur IPX
E0
200
Routeur E
S0
20
S1
30
Routeur G
Routeur F
E0
45
Lorsque EIGRP est configur, les mises jour SAP priodiques sont remplaces par des mises
jour EIGRP incrmentielles ds quun homologue EIGRP est localis. A moins que RIP ne soit
explicitement dsactiv pour une adresse de rseau IPX, comme cest le cas pour le rseau 20, les
deux protocoles RIP et EIGRP restent actifs sur linterface associe ce rseau. En se basant sur la
configuration prcdente et en supposant la prsence dun homologue EIGRP sur chaque interface
EIGRP, les mises jour RIP sont envoyes aux rseaux AA et 30, tandis que les mises jour de
routage EIGRP sont envoyes aux rseaux 20 et 30. Les mises jour SAP incrmentielles sont
envoyes aux rseaux 20 et 30, et les mises jour SAP priodiques sont envoyes au rseau AA.
La configuration du routeur F est la suivante :
ipx routing
interface ethernet 0
ipx network 45
Chapitre 17
575
interface serial 0
ipx network 30
ipx router eigrp 10
network 30
network 45
Une partie de la sortie produite par show ipx route sur le routeur E indique que le rseau 45 a t
dcouvert par EIGRP (E), alors que le rseau BB la t via une mise jour RIP (R) :
R
R
C
C
E
C
R
Net
Net
Net
Net
Net
Net
Net
3bc
2ad
20 (HDLC), is directly connected, 66 uses, Serial0
30 (HDLC), is directly connected, 73 uses, Serial1
45 [2195456/0] via 30.0000.0c00.c47e, age 0:01:23, 1 uses, Serial1
AA (NOVELL-ETHER), is directly connected, 3 uses, Ethernet0
BB [1/1] via AA.0000.0c03.8b25, 48 sec, 87 uses, Ethernet0
Une partie de la sortie produite par show ipx route sur le routeur F indique que les rseaux 20, AA
et BB ont t dcouverts par EIGRP (E) :
E
C
C
E
E
Net
Net
Net
Net
Net
20
30
45
AA
BB
show ipx servers excute sur le routeur E indique que des informations de serveur ont t
recueillies via les mises jour SAP priodiques (P) :
Codes: S - Static, I - Incremental, P - Periodic, H - Holddown
5 Total IPX Servers
Table ordering is based on routing and server info
Type Name
Net Address
Port Route Hops Itf
P
4 Networkers
100.0000.0000.0001:0666 2/02
2
Et1
P
5 Chicago
100.0000.0000.0001:0234 2/02
2
Et1
P
7 Michigan
100.0000.0000.0001:0123 2/02
2
Et1
P
8 NetTest1
200.0000.0000.0001:0345 2/02
2
Et1
P
8 NetTest
200.0000.0000.0001:0456 2/02
2
Et1
show ipx servers excute sur le routeur F indique que des informations de serveur ont t
recueillies via les mises jour SAP incrmentielles (I) autorises avec EIGRP :
Codes: S - Static, I - Incremental, P - Periodic, H - Holddown
5 Total IPX Servers
Table ordering is based on routing and server info
Type Name
Net Address
Port Route
Hops Itf
I
4 Networkers 100.0000.0000.0001:0666 268416000/03 3
Se0
I
5 Chicago
100.0000.0000.0001:0234 268416000/03 3
Se0
I
7 Michigan
100.0000.0000.0001:0123 268416000/03 3
Se0
I
8 NetTest1
200.0000.0000.0001:0345 268416000/03 3
Se0
I
8 NetTest
200.0000.0000.0001:0456 268416000/03 3
Se0
show ipx servers excute sur le routeur E montre que ltat des rseaux est passif (P) et que chaque
rseau fournit un successeur avec une distance possible (FD, Feasible Distance) via un voisin vers la
destination. Par exemple, pour le rseau 45, le voisin est situ ladresse 0000.0C00.C47E et la mtrique calcule/annonce pour ce voisin vers la destination est 2195456/281600 :
IPX EIGRP Topology Table for process 10
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 20, 1 successors, FD is 1
576
Partie II
Etudes de cas
La sortie de show ipx eigrp topology excute sur le routeur F liste les informations suivantes :
IPX EIGRP Topology Table for process 10
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 20, 1 successors, FD is 2681856
via 30.0000.0c01.f0ed (2681856/2169856), Serial0
P 30, 1 successors, FD is 1
via Connected, Serial0
P 45, 1 successors, FD is 1
via Connected, Ethernet0
P AA, 1 successors, FD is 267008000
via 30.0000.0c01.f0ed (267008000/266496000), Serial0
P BB, 1 successors, FD is 268416000
via 30.0000.0c01.f0ed (268416000/267904000), Serial0
Slection de route
Les routes EIGRP pour IPX sont automatiquement prioritaires par rapport aux routes RIP, et ce
indpendamment des mtriques, moins quune route RIP ne possde un compte de sauts infrieur
au compte de sauts externe spcifi dans la mise jour EIGRP (par exemple, un serveur annonant
son propre rseau interne).
Redistribution et gestion de mtriques
La redistribution est automatique entre RIP et EIGRP et peut tre dsactive au moyen de la commande
no redistribute. Par contre, elle ne se fait pas automatiquement entre diffrents systmes autonomes
EIGRP.
La mtrique utilise pour lintgration de RIP avec EIGRP combine la bande passante et le dlai,
avec un dcalage de 8 bits vers la gauche. La mtrique utilise pour intgrer EIGRP avec RIP
sappuie sur la mtrique externe plus 1. Un routeur avec EIGRP pour IPX, qui redistribue RIP dans
EIGRP, prend en compte la mtrique RIP associe chaque route RIP, lincrmente puis la stocke
dans la table de routage EIGRP comme mtrique externe.
Dans la Figure 17.4, un serveur Novell IPX avec une adresse de rseau interne de 100 annonce cette
adresse au moyen de RIP sur le rseau 222. Le routeur A reoit cette annonce et la place dans sa
table de routage comme tant loigne de 1 saut et de 1 tic. Le routeur A lannonce ensuite au
routeur B sur le rseau 501 au moyen de EIGRP.
Chapitre 17
Figure 17.4
Rseau 100
Rseau 222
(Enhanced IGRP
et RIP)
Routeur A
Rseau 501
(Enhanced IGRP)
Routeur B
Rseau 601
Routeur C
(Enhanced IGRP
et RIP)
Rseau 333
Routeur D
(RIP)
Rseau AAA
577
578
Partie II
Etudes de cas
!
interface serial 0
ipx network 501
Net
Net
Net
Net
Net
Net
100
222
333
501
601
AAA
Net
Net
Net
Net
Net
Net
100
222
333
501
601
AAA
Chapitre 17
579
Net
Net
Net
Net
Net
Net
100
222
333
501
601
AAA
Net
Net
Net
Net
Net
Net
100
222
333
501
601
AAA
18
18
18
17
18
20
La mtrique EIGRP est cre en utilisant les tics RIP comme vecteur de dlai. Le compte de sauts
est incrment et stock comme mtrique externe. Le dlai externe est galement enregistr. Le
routeur B calcule la mtrique vers le rseau 100 en fonction des informations reues du routeur A et
la place dans sa table de routage. Dans ce cas, la valeur de tics pour le rseau 100 est de 8.
Le "2" aprs la barre oblique dans lentre de routage pour le rseau 100 est la mtrique externe. Ce
nombre naugmente pas lorsque la route est dans le systme autonome EIGRP. Le routeur C calcule
la mtrique vers le rseau 100 par lintermdiaire du routeur B, et la place dans sa table de routage.
Finalement, le routeur C redistribue ces informations dans RIP avec un compte de sauts de 2 (la
mtrique externe) et une valeur de tics drive de la valeur de tics originale de la route RIP (1), plus
le dlai EIGRP, via le systme autonome, converti en tics.
Rduction du trafic SAP
Les routeurs RIP Novell IPX envoient des mises jour RIP et SAP compltes toutes les 60 secondes,
indpendamment du fait quil y ait eu ou non des changements ; do une consommation trs importante de bande passante. Rduisez le trafic des mises jour SAP pour configurer EIGRP. Il gnre
alors des mises jour SAP incrmentielles qui sont transmises uniquement en cas de changement sur
le rseau, et transportant uniquement des informations qui ont t modifies, conomisant ainsi la
bande passante.
Lorsque vous configurez EIGRP pour des mises jour SAP incrmentielles, vous disposez de deux
solutions :
m
Conserver RIP. Dans ce cas, seul le transport fiable de EIGRP est utilis pour lmission des
mises jour SAP incrmentielles. Cest la configuration choisie sur des connexions sensibles au
niveau dutilisation de la bande passante.
Dsactiver RIP. Dans ce cas, EIGRP remplace RIP comme protocole de routage.
La Figure 17.5 illustre une topologie sensible au niveau dexploitation de la bande passante, et sur
laquelle la configuration des mises jour SAP incrmentielles est particulirement utile. Cette topologie consiste en un rseau dentreprise qui utilise une connexion Frame Relay 56 Kbit/s pour communiquer avec une agence distante. Le rseau dentreprise supporte plusieurs serveurs Novell, annonant
chacun de nombreux services. Selon le nombre de serveurs et de services annoncs, une grande partie
de la bande passante disponible pourrait facilement tre consomme par les mises jour SAP.
580
Partie II
Figure 17.5
Exemple de mises jour
SAP incrmentielles.
Etudes de cas
Rseau
100
Rseau
300
E0
S0
Frame relay
Routeur A
S0
E0
Routeur B
Rseau 200
Rseau
distant
Rseau
d'entreprise
La commande de configuration globale ipx routing active le routage IPX sur le routeur.
La commande de configuration dinterface ipx network active le routage IPX sur linterface Ethernet 0 pour le rseau 100.
Pour linterface srie 0, la commande de configuration dinterface encapsulation frame-relay
tablit lencapsulation Frame Relay au moyen de la mthode dencapsulation Cisco, qui consiste en
un en-tte de 4 octets, avec 2 octets pour identifier le DLCI et 2 octets pour identifier le type de
paquet.
La commande de configuration globale interface serial tablit une sous-interface point--point
(0.1). Les sous-interfaces reprsentent des interfaces logiques associes une interface physique.
Lemploi de sous-interfaces permet au routeur A de recevoir plusieurs connexions simultanes sur
une seule interface Frame Relay.
La commande de configuration dinterface ipx network active le routage IPX sur la sous-interface
srie 0.1 pour le rseau 200.
Chapitre 17
581
La commande de configuration globale ipx routing active le routage IPX sur le routeur.
La commande de configuration dinterface ipx network active le routage IPX sur linterface Ethernet 0 pour le rseau 300.
Sur linterface srie 0, la commande de configuration dinterface encapsulation frame-relay
tablit lencapsulation Frame Relay au moyen de la mthode dencapsulation Cisco, qui consiste en
un en-tte de 4 octets, avec 2 octets pour identifier le DLCI et 2 octets pour identifier le type de
paquet.
La commande de configuration dinterface ipx network active le routage IPX sur la sous-interface
srie 0.1 pour le rseau 200.
La commande de configuration dinterface ipx spa-incremental active la fonction de mises jour
SAP incrmentielles. Le mot cl eigrp active EIGRP et son mcanisme de transport, et dans ce cas
spcifie un numro de systme autonome de 90. Comme cette commande utilise le mot cl rsuponly, le routeur envoie des mises jour SAP incrmentielles sur cette liaison.
La commande de configuration globale ipx router eigrp dmarre un processus EIGRP et lui assigne le numro de systme autonome 90.
La commande de configuration de routeur ixp network active EIGRP pour le rseau 200.
582
Partie II
Etudes de cas
NOTE
Labsence de la commande ipx router rip signifie que RIP IPX est toujours utilis pour le routage IPX, et
lemploi du mot cl rsup-only signifie que le routeur envoie des mises jour SAP incrmentielles sur la
liaison Frame Relay.
Rseau AppleTalk
Cette tude de cas illustre lintgration de EIGRP sur un rseau AppleTalk existant en deux temps :
la configuration dun rseau AppleTalk et lajout de EIGRP sur le rseau. Les aspects essentiels
considrer lors de cette intgration sont les suivants :
m
slection de route ;
gestion de mtriques ;
Les routeurs Cisco supportent AppleTalk Phase 1 et AppleTalk Phase 2. Pour ce dernier, les routeurs
Cisco supportent la fois les rseaux tendus et non tendus. Dans cette tude de cas, les routeurs A,
B et C excutent AppleTalk (voir Figure 17.6).
Figure 17.6
Ethernet 0
Routeur A
Routeur B
routing
ethernet 0
cable-range 10-10
zone casestudy
serial 0
cable-range 50-50
zone casestudy
Routeur C
Chapitre 17
583
Pour intgrer EIGRP sur un rseau AppleTalk, configurez ce protocole sur linterface qui est connecte aux routeurs. Ne dsactivez pas RTMP sur les interfaces connectes vers les htes ou routeurs
AppleTalk qui ne supportent pas EIGRP. RTMP est activ par dfaut lorsque le routage AppleTalk
est activ et lorsquune plage de cble (cable range) AppleTalk est assigne une interface.
Dans cette tude de cas, les routeurs D et E excutent EIGRP pour AppleTalk. Les routeurs F et G
excutent la fois AppleTalk et EIGRP pour AppleTalk. Le routeur G redistribue les routes du
rseau AppleTalk vers le rseau EIGRP, et inversement (voir Figure 17.7).
Figure 17.7
Exemple dajout de
EIGRP sur un rseau
AppleTalk.
EIGRP AppleTalk
E0
Routeur D
Routeur E
Zone WAN
S1
126-126
Routeur G
S1
S0
E1
E1
Routeur F
125-125
Routeur A
AppleTalk
103-103
Routeur B
Routeur C
104-104
127-127
Zone Networkers
584
Partie II
Etudes de cas
show appletalk route sur le routeur G montre que le premier ensemble de routes provient dune
mise jour RTMP, que le deuxime ensemble concerne des routes directement connectes, et que la
dernire route est communique par EIGRP via linterface srie 1 :
R
R
R
R
C
C
E
Net
Net
Net
Net
Net
Net
Net
103-103
104-104
105-105
108-108
125-125
126-126
127-127
show appletalk route sur le routeur F montre que les routes proviennent de EIGRP :
E
E
E
E
E
C
C
Net
Net
Net
Net
Net
Net
Net
103-103
104-104
105-105
108-108
125-125
126-126
127-127
Lab
Lab
Lab
Lab
Lab
Slection de route
Les routes EIGRP sont prioritaires par rapport aux routes du protocole RTMP (Routing Table Maintenance Protocol). Alors que la mtrique AppleTalk pour la dtermination de route se base uniquement sur le compte de sauts, EIGRP utilise une combinaison des mtriques configurables
suivantes : dlai, bande passante, fiabilit et charge.
Gestion de mtriques
La formule permettant de convertir des mtriques RTMP en mtriques EIGRP multiplie le compte de
sauts par 252 524 800. Il sagit dune constante base sur la bande passante associe une ligne srie
9,6 Kbit/s et incluant un facteur RTMP. Un saut RTMP distribu dans EIGRP apparat comme un
chemin lgrement moins performant quune liaison srie 9,6 Kbit/s en mode EIGRP natif. La
formule pour convertir EIGRP vers RTMP ajoute 1 la valeur de la mtrique externe EIGRP.
Chapitre 17
585
Redistribution
La redistribution entre AppleTalk et EIGRP est automatique par dfaut et implique la conversion de
la mtrique EIGRP en une mtrique de compte de sauts RTMP. En ralit, il ny a pas de conversion
proprement parler dune mtrique EIGRP compose en une mtrique RTMP. En effet, un compte
de sauts est transport dans une mtrique EIGRP combine mesure que la route EIGRP est propage sur le rseau. La valeur 1 est ajoute au compte de sauts, transporte dans les blocs de mtrique
EIGRP sur le rseau, puis place dans la mtrique de routage RTMP gnre.
Il ny a donc pas de conversion de mtrique EIGRP en mtrique RTMP, puisque le compte de sauts
que RTMP utilise pour mtrique est transport en mme temps que la mtrique EIGRP sur le
rseau. Cette remarque est vraie pour les routes recueillies par EIGRP, mais aussi pour celles qui
sont propages sur le rseau et qui taient, lorigine, drives dune route RTMP.
Rsum
Cette tude de cas a illustr lintgration de EIGRP sur des rseaux Novell et AppleTalk. Pour ajouter EIGRP sur des rseaux IPX, il est capital de configurer RIP et SAP sur les interfaces connectes
aux htes ou routeurs Novell qui ne supportent pas EIGRP. Lors de lintgration de EIGRP sur des
rseaux AppleTalk, dsactivez RTMP sur les interfaces qui sont configures pour supporter EIGRP.
18
Conception, configuration
et dpannage de MPOA
Par Himanshu Desai
Introduction
Ce chapitre traite des mthodes employes pour transfrer des protocoles existants vers ATM.
Des protocoles comme IP, IPX, SNA et autres sont depuis longtemps ports sur des mdias WAN
comme Frame Relay et SMDS. ATM autorise ces protocoles tre ports sur des environnements
de campus, ainsi que sur des connexions WAN. Afin dopter pour la solution qui convient pour
votre environnement, les aspects relatifs la conception doivent tre tudis attentivement. Habituellement, MPOA (Multiprotocole sur ATM) avec AAL5 (RFC 1483) est utilis sur les connexions
WAN et LANE sur les pines dorsales ATM de campus.
Ce chapitre couvre ces mthodes sparment en sappuyant sur des exemples de configuration. Les
aspects de conception spcifiques chacune sont galement dcrits. Nanmoins, il nentre pas dans
les dtails dimplmentation de ces solutions. La section "Considrations relatives la conception"
dcrit chaque mthode en mettant en vidence ce qui la distingue des autres, et les sections "Configuration" et "Dpannage" reprennent ces considrations dans un contexte pratique.
Ce chapitre dbute par une analyse du RFC 1483 sur les circuits virtuels permanents (PVC, Permanent Virtual Circuit) et les circuits virtuels commuts (SVC, Switched Virtual Circuit), en exposant
leurs avantages. Le RFC 1577 est galement dcrit, car il simplifie les difficults de fonctionnement
rencontres avec le RFC 1483. Toutefois, cette section sur le RFC 1577 naborde pas en dtail le
dploiement de protocoles de routage de niveau 3. Par consquent, pendant la lecture de ce chapitre,
tudiez les problmes lis au dploiement de protocoles de routage avec chacune de ces mthodes.
588
Partie II
Etudes de cas
Le principal objectif de ce chapitre est de mettre en vidence les diffrences qui existent entre ces
solutions de dploiement de protocoles existants sur ATM et de dterminer dans quel contexte
chacune delle doit tre applique.
La troisime mthode de dploiement, appele mulation LAN (LANE, LAN Emulation), est principalement exploite sur les rseaux dpine dorsale de campus. La section qui lui est consacre dbute
par une prsentation des aspects de conception LANE. Avant dimplmenter une solution LANE sur
une pine dorsale de campus, tudiez attentivement ces considrations afin de garantir lvolutivit
de lpine dorsale ainsi quun dpannage ais. La comprhension de la structure topologique et la
distribution des services LANE vers les diffrents composants sont des aspects essentiels. Cisco a
publi un excellent article sur la conception de rseaux LANE intitul Campus ATM LANE Design.
La dernire section est consacre MPOA, qui fonctionne en conjonction avec LANE. Elle dcrit
brivement le procd mis en uvre par MPOA pour crer un chemin de commutation direct (cutthrough) sur un domaine LANE, amliorant ainsi les performances de rseaux LANE et rduisant la
charge du routage de niveau 3 lors de la traverse dun nuage LANE vers un autre.
Ce chapitre dcrit donc brivement chaque mthode, incluant des considrations de conception, des
exemples de configuration et des conseils pour dpanner les fonctionnalits lmentaires. Reportezvous aussi la section "Considrations de conception" pour obtenir une prsentation synthtique de
chaque mthode, puis examinez les sections "Configuration" et "Dpannage" en rapport avec la
mthode que vous aurez choisie, pour obtenir des conseils dimplmentation.
Familiarisez-vous avec les notions fondamentales de la technologie ATM avant de lire ce chapitre,
car il naborde pas la thorie de base.
Le RFC 1483 dcrit deux mthodes permettant de transporter un trafic de rseau sans connexion sur
un nuage ATM :
m
Chapitre 18
589
Les protocoles supports au moyen de ces mthodes dencapsulation ATM incluent IP, IPX, AppleTalk, CLNS, DECnet, VINES et le pontage. Cette section aborde les considrations de conception,
de configuration et de dpannage de rseaux ATM mettant en uvre la spcification du RFC 1483
avec des produits Cisco et AAL5SNAP ou AAL5MUX.
Considrations de conception
Les rseaux sappuyant sur la spcification du RFC 1483 sont gnralement dploys sur une petite
chelle. Ce type de rseau convient parfaitement pour des pines dorsales de campus ou de WAN,
constitues de 5 10 nuds avec peu de commutateurs intermdiaires. En partant du rseau de trois
nuds de notre exemple (voir Figure 18.1), huit paires VPI/VCI doivent tre configures et trois instructions map sont ncessaires (une pour chaque routeur) pour former un nuage ATM totalement maill.
A mesure que le nombre de protocoles et de nuds dextrmit augmente, la spcification du
RFC 1483 ne sadapte pas, et il devient par consquent trs difficile de grer et dpanner le rseau.
Par contre, si vous remplacez lpine dorsale FDDI (ou autre mdia) existante par une pine dorsale
ATM, vous pouvez assurer la transition aise dun tel rseau. Un rseau de ce type dbutant avec
deux nuds de routeur et un couple de commutateurs intermdiaires peut crotre simplement en
transfrant le nud dextrmit de lancienne pine dorsale vers lpine dorsale ATM et en ajoutant
ce nud au nuage nouvellement form au moyen de linstruction map. Bien que ce procd assure
une transition en douceur, lpine dorsale requiert une maintenance considrable.
NOTE
Un VPI (Virtual Path Identifier) est un identifiant de chemin virtuel. Il sagit en fait dun champ de 8 bits inclus
dans len-tte dune cellule ATM. Cet identifiant, associ celui de canal virtuel (VCI, Virtual Channel Identifier), qui est un champ de 16 bits galement inclut dans len-tte dune cellule ATM, est utilis pour identifier
la prochaine destination dune cellule mesure quelle traverse une srie de commutateurs ATM. Ces
derniers utilisent les champs VPI/VCI pour identifier le prochain VCL par lequel une cellule doit transiter pour
atteindre sa destination.
Le RFC 1483 dfinit un concept simple, facile configurer et ncessitant une faible surcharge de
protocole. Il reprsente galement une solution fiable et reconnue. Toutefois, comme il nest pas
volutif, il ne sadapte pas sur de grands rseaux. De plus, il requiert une configuration manuelle
importante et ne supporte pas la technologie ATM sur lordinateur de bureau.
Topologie ATM avec PVC
La Figure 18.1 illustre un exemple de topologie ATM. Le nuage ATM dans cette topologie pourrait
tout aussi bien tre constitu de plusieurs commutateurs ATM placs au mme endroit que les
routeurs dans un environnement LAN, ou de plusieurs commutateurs sur un nuage doprateur.
590
Partie II
Etudes de cas
Figure 18.1
Chicago
Adresse ct ATM
IP: 172.10.10.2
7000
A2/0
A3/0/2
4700
A0
A1/1/1
A1/1/2
LS1010
San Jose
Adresse ct ATM
IP: 172.10.10.1
Denver
A3/0/0
Nuage ATM
A3/0/1
A0
4700
LS1010
Iowa
New York
Adresse ct ATM
IP: 172.10.10.3
Configuration de PVC
Chapitre 18
591
La configuration du commutateur Denver inclut une paire VPI/VCI 0/40 entrante sur linterface 1/1/1
provenant du routeur San Jose et une paire VPI/VCI 1/40 sortante sur linterface 1/1/2 vers le commutateur Iowa. La configuration prsente ici reflte le point de vue de linterface 1/1/2. Elle inclut
galement une autre paire VPI/VCI 0/50 entrante sur linterface 1/1/1 en provenance du routeur
San Jose et une paire VPI/VCI 1/50 en sortie sur linterface 1/1/2.
La configuration du commutateur LS1010 Denver est la suivante :
interface ATM1/1/2
no keepalive
atm pvc 1 40 interface ATM1/1/1 0 40
atm pvc 1 50 interface ATM1/1/1 0 50
interface ATM1/1/1
La configuration du commutateur Iowa inclut une paire VPI/VCI 1/40 entrante provenant du
commutateur Denver et une paire sortante VPI/VCI 0/40 sur linterface 3/0/2 vers le routeur
Chicago, permettant de crer un PVC de bout en bout entre les routeurs San Jose et Chicago. Le
commutateur Iowa possde une autre paire VPI/VCI 1/50 entrante provenant du commutateur
Denver avec une paire sortante VPI/VCI 0/50 sur linterface 3/0/1 vers le routeur New York. Pour
finir, une paire VPI/VCI 0/60 provenant du routeur Chicago sur linterface 3/0/2 est commute en
sortie sur linterface 3/0/1 avec une paire VPI/VCI 0/60 vers le routeur New York. Un nuage ATM
totalement maill est ainsi form avec tous les routeurs directement connects entre eux.
La configuration du commutateur LS1010 Iowa est la suivante :
interface ATM3/0/0
no keepalive
interface ATM3/0/1
no keepalive
atm pvc 0 50 interface ATM3/0/0 1 50
interface ATM3/0/2
no keepalive
atm pvc 0 40 interface ATM3/0/0 1 40
atm pvc 0 60 interface ATM3/0/1 0 60
592
Partie II
Etudes de cas
Dpannage de PVC
Une planification efficace est la cl dun dploiement russi et stable de rseaux issus de la spcification du RFC 1483.
Tout dabord, crez une table de paires VPI/VCI pour chaque quipement que vous voulez connecter au nuage. Concevez ensuite un modle de configuration et commencez configurer les routeurs
et commutateurs individuels. Puis excutez les commandes dcrites ci-dessous pour vrifier que la
configuration et la conception dploye fonctionnement comme prvu.
Le rsultat de la commande suivante indique que deux PVC sont actifs sur linterface ATM0. Ces
deux circuits virtuels ou VC (Virtual Circuit) ont une signification locale et indiquent lexistence
dune connexion active vers le commutateur le plus proche. Ces valeurs VC ne se rfrent pas une
connexion ATM entre deux routeurs. Pour cela, examinez chaque quipement situ entre les deux
routeurs dextrmit et vrifiez ltat de linterface et la paire VPI/VCI entrante. La paire VPI/VCI
sortante du routeur San Jose devrait correspondre la paire VPI/VCI entrante du commutateur
Denver. Si ce nest pas le cas, le routeur continuera envoyer des cellules ATM, mais elles seront
supprimes par le commutateur considrant quelles proviennent dune paire VPI/VCI inconnue :
SanJose#show atm vc
Interface VCD VPI VCI Type AAL/
Encapsulation
ATM0
1
0
40 PVC AAL5-SNAP
ATM0
2
0
50 PVC AAL5-SNAP
Peak
KBPS
155000
155000
Avg.
KBPS
155000
155000
Burst
Cells
94
94
Status
Active
Active
NOTE
Un VC (circuit virtuel) est un circuit logique tabli pour garantir une communication fiable entre deux quipements de rseau. Un VC est dfini par une paire VPI/VCI et peut tre soit permanent (PVC) soit commut
(SVC).
NOTE
Une VCC (Virtual Channel Connection, connexion de canal virtuel) est une connexion logique entre deux
quipements de frontires excutant ATM (qui peuvent tre des htes, des routeurs ou des commutateurs
ATM). Les VCC sappuient sur de nombreux VC pour assurer la connexion.
La commande suivante affiche les correspondances dadresses IP de couche 3 avec des adresses VC
ATM, et indique galement que la diffusion broadcast est active en sortie sur les VC :
SanJose#show atm map
Map list 1483pvc : PERMANENT
ip 172.10.10.2 maps to VC 1, broadcast
ip 172.10.10.3 maps to VC 2 , broadcast
Sur le commutateur Denver, on peut voir que ltat de linterface est actif :
Denver#show atm statistics
NUMBER OF INSTALLED CONNECTIONS: (P2P=Point to Point,
P2MP=Point to MultiPoint)
Type
PVCs
SoftPVCs
SVCs
PVPs
SoftPVPs
P2P
11
0
0
0
0
P2MP
0
0
0
0
0
SVPs
0
0
Total
11
0
Chapitre 18
1998:
SSCOP
State
Idle
Idle
Idle
Idle
Idle
Idle
Active
Idle
Idle
Idle
Idle
593
Hello
State
n/a
n/a
n/a
n/a
n/a
n/a
2way_in
n/a
n/a
n/a
n/a
La commande suivante indique que la paire VPI/VCI 0/40 entrante provenant du routeur San Jose
sur linterface ATM 1/1/1 est commute en sortie sur linterface ATM 1/1/2 vers le commutateur
Iowa :
Denver#show
Interface
ATM1/1/1
ATM1/1/1
ATM1/1/1
ATM1/1/1
ATM1/1/1
atm vc int
VPI VCI
0
5
0
16
0
18
0
40
0
50
atm 1/1/1
Type
X-Interface
PVC
ATM2/0/0
PVC
ATM2/0/0
PVC
ATM2/0/0
PVC
ATM1/1/2
PVC
ATM1/1/2
X-VPI
0
0
0
1
1
X-VCI
47
48
49
40
50
Status
UP
UP
UP
UP
UP
La commande suivante indique que la paire VPI/VCI 1/40 entrante provenant du commutateur
Denver sur linterface ATM 3/0/0 est commute en sortie sur linterface ATM 3/0/0 vers le routeur
Chicago :
Iowa#show atm vc
Interface
VPI
ATM3/0/0
0
ATM3/0/0
0
ATM3/0/0
0
ATM3/0/0
1
ATM3/0/0
1
X-VPI
0
0
0
0
0
X-VCI
32
33
34
40
50
Status
UP
UP
UP
UP
UP
Aprs avoir contrl les paires VPI/VCI et les instructions de correspondance pour chaque quipement, vous devriez pouvoir effectuer un ping des routeurs Chicago et New York partir du routeur
San Jose :
SanJose#ping 172.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.10.10.2, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
SanJose#ping 172.10.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.10.10.3, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
594
Partie II
Etudes de cas
Cette section traite de lutilisation de circuits SVC dans le cadre de la spcification du RFC 1483.
Elle dcrit la configuration de SVC sur des routeurs et commutateurs, ainsi que certaines techniques
de dpannage.
Topologie ATM avec SVC
Chicago
Adresse ct ATM
IP: 172.10.10.2
ATM:47.009181000000006
170595C01.200000000000
7000
A2/0
A3/0/2
4700
A0
A1/1/1
A1/1/2
LS1010
San Jose
Adresse ct ATM
IP: 172.10.10.1
ATM:47.0091810000000061705
98A01.100000000000.00
Denver
A3/0/1
A3/0/0
Nuage ATM
A0
4700
LS1010
Iowa
New York
Adresse ct ATM
IP: 172.10.10.3
ATM:47.00918100000000617
0595C01.300000000000.00
Configuration de SVC
La configuration de lencapsulation multiprotocole sur AAL5 ATM (RFC 1483) avec SVC est semidynamique. Elle requiert toujours la dfinition manuelle de correspondances entre toutes les adresses
de nuds NSAP ATM et les adresses de protocole, mais nimplique aucune dfinition de correspondances au niveau des commutateurs ATM qui interconnectent les routeurs. Cette configuration est
assure dynamiquement par le protocole PNNI.
NOTE
NSAP (Network Service Access Point, point daccs au service de rseau) est une adresse de rseau,
comme spcifi par lISO. Un service de rseau OSI est accessible au niveau de ce point daccs pour
une entit de couche transport (couche 4).
PNNI possde deux dfinitions :
1. Private Network to Network Interface. Il sagit dune spcification du Forum ATM pour la distribution dinformations topologiques entre des commutateurs et des clusters de commutateurs.
Ces informations sont utilises pour calculer des chemins travers le rseau. La spcification
sappuie sur des techniques connues de routage par tat de lien et inclut un mcanisme pour la
configuration automatique de rseaux sur lesquels la structure dadresse reflte la topologie.
2. Private Network to Node Interface. Il sagit dune spcification du Forum ATM pour une signalisation visant tablir des connexions point--point et point-multipoint sur un rseau ATM. Le
protocole sappuie sur la spcification UNI du Forum ATM et sur des mcanismes additionnels
de routage par la source, de renvoi dappels vers la source (crankback) et de routage alternatif de
demandes de connexion.
Chapitre 18
595
Dans la topologie de la Figure 18.2, trois routeurs sont configurs pour ATM, savoir San Jose,
Chicago et New York. Ils sont interconnects physiquement par lintermdiaire de deux commutateurs ATM, Denver et Iowa. A nouveau, imaginez que vous souhaitiez implmenter un nuage ATM
totalement maill entre les trois routeurs.
Linstruction atm pvc 10 0 5 qsaal permet de configurer un PVC, fournissant un canal pour lenvoi
des messages de signalisation demandant ltablissement de circuits SVC. Les valeurs dfinies pour
les identifiants VPI et VCI doivent correspondre celles du commutateur local. Les valeurs VPI et
VCI standard sont respectivement 0 et 5. Cette configuration utilise un type spcial dencapsulation
de la couche dadaptation ATM appel qsaal.
Linstruction atm pvc 20 0 16 ilmi permet de configurer un PVC, fournissant un canal pour lenvoi
de messages ILMI (Interim Local Management Interface) vers le commutateur ATM. Pour ILMI,
les valeurs VPI et VCI standard sont respectivement 0 et 16. ILMI assure de nombreuses fonctions.
Ici, il permet denregistrer le prfixe de ladresse dinterface ATM. Pour cela, il envoie au commutateur une interception lors du redmarrage de linterface ATM, lui demandant denregistrer son
prfixe de 13 octets auprs du routeur. Ce prfixe est ensuite utilis pour constituer une adresse
dinterface ATM de 20 octets.
NOTE
ILMI est une spcification dveloppe par le Forum ATM pour intgrer des fonctionnalits de gestion de
rseau dans UNI ATM.
Linstruction atm esi-address 100000000000.00 configure les sept derniers octets de ladresse
dinterface ATM. A laide du prfixe de 13 octets appris via ILMI et de ladresse de 7 octets provenant de lidentifiant ESI (End System Identifier), le routeur forme une adresse dinterface ATM de
20 octets. Cette adresse devrait tre unique pour chaque quipement sur le nuage ATM. Lidentifiant
ESI devrait tre configur de faon permettre la cration dune adresse NSAP unique.
NOTE
ESI est un identifiant de systme terminal qui permet de distinguer de nombreux nuds dun mme niveau
lorsque le groupe dhomologues de plus bas niveau est partitionn.
Linstruction map-group 1483svc applique la liste map-list 1483svc sur linterface ATM, qui son
tour associe les adresses IP de routeur distant avec leurs adresses NSAP respectives pour les demandes de connexion. Vous pouvez obtenir les adresses NSAP de routeur distant en excutant la
commande show interface ATM x/x. Linstruction map associe ladresse IP du routeur Chicago
ladresse NSAP.
La configuration du routeur San Jose est la suivante :
interface ATM0
ip address 172.10.10.1 255.255.255.0
atm esi-address 100000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
596
Partie II
Etudes de cas
map-group 1483svc
map-list 1483svc
ip 172.10.10.2 atm-nsap
47.009181000000006170595C01.200000000000.00 broadcast
ip 172.10.10.3 atm-nsap
47.009181000000006170595C01.300000000000.00 broadcast
Les deux autres routeurs sont configurs de la mme manire avec le protocole appropri pour les
adresses NSAP ATM. La configuration du routeur Chicago est la suivante :
interface ATM2/0
ip address 172.10.10.2 255.255.255.0
map-group 1483svc
atm esi-address 200000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
map-list 1483svc
ip 172.10.10.1 atm-nsap
47.009181000000006170598A01.100000000000.00 broadcast
ip 172.10.10.3 atm-nsap
47.009181000000006170595C01.300000000000.00 broadcast
Champ ESI
Octet de slection
47
00 91
81 00 00 00
Adresse MAC
00
3 octets
4 octets
6 octets
1 octet
Linstruction atm router pnni active PNNI sur toutes les interfaces NNI (Network-to-Network Interface) aprs que ILMI ait dtermin le type dinterface. Linstruction node 1 level 56 lowest configure
le commutateur pour un nud PNNI avec un indice de nud de 1 au plus bas niveau de 56.
Chapitre 18
597
NOTE
NNI est un standard du Forum ATM qui dfinit linterface entre deux commutateurs ATM situs tous les
deux sur un rseau priv ou sur un rseau public. Linterface entre un commutateur priv et un commutateur public est dfinie par le standard UNI.
Linterface ATM du routeur San Jose est directement connecte linterface ATM 1/1/1 du commutateur Denver. Comme le rvle la configuration de ce dernier, aucun paramtre nest dfini pour
linterface ATM 1/1/1, ni pour linterface ATM 1/1/2 en direction du commutateur Iowa. La liaison
entre le routeur San Jose et linterface 1/1/1 du commutateur Denver ATM est appele UNI (UserNetwork Interface), et celle entre linterface ATM 1/1/2 du commutateur Denver et linterface ATM
3/0/0 du commutateur Iowa est appele NNI. PNNI est excut sur les liaisons NNI.
NOTE
UNI est une spcification du Forum ATM qui dfinit un standard dinteroprabilit pour linterface entre
des quipements ATM (routeur ou commutateur ATM) situs sur un rseau priv et les commutateurs ATM
situs sur un rseau doprateur public.
Dpannage de SVC
598
Partie II
Etudes de cas
Le rsultat de la commande suivante indique que le routeur San Jose reu le prfixe
47.009181000000006170598A01 de la part du commutateur ATM. Il peut alors constituer ladresse
NSAP de linterface ATM en ajoutant ce prfixe ladresse ESI. Il senregistre ensuite dans la table
du commutateur pour permettre PNNI de propager ces informations. Il signale galement
linterface homologue sil sagit dun quipement Cisco :
SanJose#show atm ilmi
Interface
ATM0
ILMI VCC:
(0, 16)
ILMI Keepalive:
Disabled
Address Registration:
Enabled
Addr Reg State:
UpAndNormal
Peer IP Addr:
0.0.0.0
Peer IF Name:
Prefix(s):
47.009181000000006170598A01
Addresses Registered:
Local Table :
47.009181000000006170598A01.100000000000.00
Remote Table :
47.009181000000006170598A01.100000000000.00
ATM1/1/1
Dans le rsultat de la commande suivante, on constate que ILMI fonctionne correctement entre le
routeur et le commutateur puisquune adresse NSAP a t associe linterface ATM. ILMI
change aussi des informations sur la version UNI utilise et sur la position du routeur, savoir sil
est situ du ct utilisateur ou du ct rseau. Dans cet exemple, le routeur excute UNI Version 3 et
se trouve du ct utilisateur :
SanJose#show int atm 0
ATM0 is up, line protocol is up
Hardware is ATMizer BX-50
Internet address is 172.10.10.1/24
MTU 4470 bytes, sub MTU 4470, BW 156250 Kbit, DLY 100 usec,
rely 210/255, load 1/255
NSAP address: 47.009181000000006170598A01.100000000000.00
Encapsulation ATM, loopback not set, keepalive set (10 sec)
Encapsulation(s): AAL5 AAL3/4, PVC mode
1024 maximum active VCs, 1024 VCs per VP, 4 current VCCs
VC idle disconnect time: 300 seconds
Signalling vc = 10, vpi = 0, vci = 5
UNI Version = 3.0, Link Side = user
Last input 00:00:20, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Chapitre 18
599
Le rsultat de la commande suivante affiche les messages ILMI ct commutateur. Vous pouvez
voir que le commutateur envoie son prfixe rception de linterception.
600
Partie II
Etudes de cas
Il valide galement ladresse pour que la station finale puisse tre enregistre dans la table distante
du systme terminal :
Denver#debug atm ilmi ATM 1/1/1
ILMI: Querying peer device type. (ATM1/1/1)
ILMI : (ATM1/1/1) From ilmiIntfDeviceTypeComplete To
ilmiIntfAwaitPortType <ilmi_initiate_portquery>
ILMI: The Maximum # of VPI Bits (ATM1/1/1) is 3
ILMI: The Maximum # of VCI Bits (ATM1/1/1) is 10
ILMI: Response Received and Matched (ATM1/1/1)
The peer UNI Type on (ATM1/1/1) is 2
The Peer UNI Version on (ATM1/1/1) is 2
ILMI: Assigning default device type (ATM1/1/1)
ILMI: My Device type is set to Node (ATM1/1/1)
ILMI: Auto Port determination enabled
ILMI: For Interface (ATM1/1/1)
ILMI: Port Information Complete :
ILMI: Local Information :Device Type = ilmiDeviceTypeNode Port
Type = ilmiPrivateUNINetworkSide
ILMI: Peer Information :Device Type = ilmiDeviceTypeUser Port
Type = ilmiUniTypePrivate
MaxVpiBits = 3 MaxVciBits = 10
ILMI: KeepAlive disabled
ILMI : (ATM1/1/1) From ilmiIntfAwaitPortType To
ilmiIntfPortTypeComplete <ilmi_find_peerPort>
Restarting Interface (ATM1/1/1)
ILMI : (ATM1/1/1) From ilmiIntfPortTypeComplete To
AwaitRestartAck <ilmi_process_intfRestart>
ILMI: Response Received and Matched (ATM1/1/1)
ILMI: Errored response <No Such Name> Intf (ATM1/1/1) Function
Type = ilmiAddressTableCheck
ILMI : (ATM1/1/1) From AwaitRestartAck To UpAndNormal
<ilmi_process_response>
ILMI: Response Received and Matched (ATM1/1/1)
ILMI: The Neighbors IfName on Intf (ATM1/1/1) is ATM0
ILMI: The Neighbors IP on Intf (ATM1/1/1) is 2886339073
ILMI: Trap Received (ATM1/1/1)
ILMI: Sending Per-Switch prefix
ILMI: Registering prefix with end-system
47.0091.8100.0000.0061.7059.8a01
ILMI: Response Received and Matched (ATM1/1/1)
ILMI: Validating address
47.0091.8100.0000.0061.7059.8a01.1000.0000.0000.00
ILMI: Address considered validated (ATM1/1/1)
ILMI: Address added :
47.0091.8100.0000.0061.7059.8a01.1000.0000.0000.00
(ATM1/1/1)
ILMI: Sending Per-Switch prefix
ILMI: Registering prefix with end-system
47.0091.8100.0000.0061.7059.8a01
ILMI: Response Received and Matched (ATM1/1/1)
Le rsultat de la commande debug suivante affiche les vnements de signalisation qui se produisent sur le routeur San Jose. Si le VC vers le routeur distant nest pas prsent et si vous tentez de
vous y connecter au moyen dun ping, il tablit lappel en utilisant le protocole de signalisation et,
une fois connect, il commence envoyer des paquets de donnes.
Chapitre 18
601
Ce processus est trs rapide, mais dpend du nombre de demandes dappel que cet quipement doit
grer ce moment et du nombre de commutateurs ATM sur le chemin :
SanJose#debug atm sig-events
ATMAPI: SETUP
ATMSIG: Called len 20
ATMSIG: Calling len 20
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) build Setup msg, Null(U0)
state
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) API - from sig-client
ATM_OWNER_SMAP
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Input event : Req Setup in
Null(U0)
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Output Setup
msg(XferAndTx), Null(U0) state
ATMSIG: Output XferSetup
ATMSIG: Called Party Addr:
47.009181000000006170595C01.200000000000.00
ATMSIG: Calling Party Addr:
47.009181000000006170598A01.100000000000.00
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Null(U0) -> Call Initiated(U1)
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Input event : Rcvd Call
Proceeding in Call Initiated(U1)
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:0) Call Initiated(U1) ->
Outgoing Call Proceeding(U3)
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:0) Input event : Rcvd
Connect in Outgoing Call Proceeding(U3)
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:114) API - notifying Connect
event to client ATM0
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:114) Input event : Req
Connect Ack in Active(U10)
Le rsultat de la commande debug suivante affiche les vnements de signalisation qui se produisent sur le commutateur ATM Denver lorsque le routeur New York tente dappeler le routeur
San Jose. Ce commutateur jour le rle dun nud de transit pour cet appel :
Denver#debug atm sig-events
ATMSIG(1/1/2:0 0 - 161222): Input Event : Rcvd Setup in Null(N0)
ATMSIG(1/1/2:0 0 - 161222):Call Control Rcvd Setup in state : Call
Initiated(N1)
ATMSIG: Called Party Addr:
47.009181000000006170598A01.100000000000.00
ATMSIG: Calling Party Addr:
47.009181000000006170595C01.300000000000.00
ATMSIG(1/1/2:0 215 - 161222): Input Event : Req Call Proceeding in
Call Initiated(N1)
ATMSIG(1/1/2:0 215 - 161222): Output Call Proc msg, Call
Initiated(N1) state
ATMSIG(1/1/2:0 215 - 161222): Call Initiated(N1) -> Call Proceeding
sent (NNI) (N3)
ATMSIG: 1/1/1:0 findSvcBlockByCr, Svc not found, callref = 219
ATMSIG: 1/1/1:0 findSvcBlockByCr, Svc not found, callref = 220
ATMSIG(1/1/1:0 36 - 0220): Input Event : Req Setup in Null(N0)
ATMSIG(1/1/1:0 36 - 0220): Output Setup msg(XferAndTx), Null(N0)
state
ATMSIG(1/1/1:0 36 - 0220): Null(N0) -> Call Present(N6)
ATMSIG: openTransitConnection, svc 0x60685D68, partnerSvc
0x606863A0
ATMSIG(1/1/2:0 215 - 161222): Null(N0) -> Call Proceeding sent
(NNI) (N3)
602
Partie II
Etudes de cas
La commande CLI show atm map indique lassociation de ladresse de protocole (IP) avec ladresse
ATM (NSAP). Elle indique galement que les connexions vers les routeurs distants sont actives :
SanJose#show atm map
Map list 1483svc : PERMANENT
ip 172.10.10.2 maps to NSAP
47.009181000000006170595C01.200000000000.00, broadcast,
connection up, VC 2, ATM0
ip 172.10.10.3 maps to NSAP
47.009181000000006170595C01.300000000000.00, broadcast,
connection up, VC 1, ATM0
La commande CLI show atm vc indique les valeurs VCD utilises par le routeur pour se connecter
un routeur distant (voir commande prcdente). Elle indique aussi les valeurs VPI/VCI qui leur
sont associes :
SanJose#show atm vc
Interface VCD VPI VCI Type AAL/
Encapsulation
ATM0
1
0
32 SVC AAL5-SNAP
ATM0
2
0
33 SVC AAL5-SNAP
Peak
Kbps
155000
155000
Avg
Kbps
155000
155000
Burst
Cells
94
94
Status
ACTIVE
ACTIVE
La commande CLI show atm vcn fournit le dtail des VCD associs au routeur local. Cette
commande est utile pour dpanner la connectivit vers le routeur distant, car elle peut indiquer que
le routeur local transmet des cellules et quil ne reoit rien en retour :
SanJose#show atm vc 1
ATM0: VCD: 1, VPI: 0, VCI: 32, etype:0x0, AAL5 - LLC/SNAP, Flags:
0x50
PeakRate: 155000, Average Rate: 155000, Burst Cells: 94,
VCmode: 0x1
OAM DISABLED, InARP DISABLED
InPkts: 42, OutPkts: 46, InBytes: 3796, OutBytes: 4172
InPRoc: 42, OutPRoc: 12, Broadcasts: 34
InFast: 0, OutFast: 0, InAS: 0, OutAS: 0
Chapitre 18
603
604
Partie II
Etudes de cas
passer par un routeur IP qui est configur comme membre des deux groupes LIS, cest--dire assurant le routage de niveau 3 mme sil tait possible douvrir un VC direct entre les deux sur le nuage
ATM.
Considrations de conception
La spcification du RFC 1577 est trs simple et rapide implmenter. Cette simplicit provient de
la facilit de configuration et de dpannage quelle offre. Ce type de rseau est appropri pour dix
quinze nuds avec un sous-rseau IP logique. Toutefois, il nest pas capable dvoluer en raison de
problmes de localisation des voisins au niveau du protocole de routage lorsque des circuits virtuels
ne sont pas dj tablis. Gnralement, dans un environnement RFC 1577 compos dquipements
multifabricants, la moindre panne (single point of failure) peut entraner un risque dimmobilisation
en raison de son serveur ARP centralis. Cisco supporte donc plusieurs serveurs ARP pour un
mme LIS, mais il sagit dune solution propritaire.
Topologie
Chicago
Adresse ct ATM
IP: 172.10.10.2
ATM:47.00918100000000617059
5C01.200000000000.00
7000
A2/0
A3/0/2
4700
A0
A1/1/1
A1/1/2
LS1010
San Jose
Adresse ct ATM
IP: 172.10.10.1
ATM:47.00918100000000617059
8A01.100000000000.00
Denver
A3/0/1
A3/0/0
A0
4700
LS1010
Iowa
Nuage ATM
New York
Adresse ct ATM
IP: 172.10.10.3
ATM:47.00918100000000617059
5C01.300000000000.00
Configuration
Un rseau bas sur la spcification du RFC 1755 requiert la configuration dun serveur ARP ATM.
Des routeurs Cisco dots dune interface ATM ou des commutateurs ATM LS1010 peuvent jouer le
rle de serveur ARP ATM pour un tel rseau. Dans lexemple suivant, le commutateur Denver est
un serveur ARP.
La commande atm arp-server self active la carte processeur du commutateur Denver pour quil
agisse comme serveur ARP pour le groupe LIS 172.10.x.x.
La configuration du commutateur Denver est la suivante :
interface ATM2/0/0
ip address 172.10.10.4 255.255.255.0
Chapitre 18
605
no keepalive
am esi-address 123456789000.00
atm arp-server self
Dpannage
Classical IP sur ATM ncessite la dfinition dune mme taille de MTU sur tous les clients ATM et
serveurs ARP dun mme LIS. Comprendre linteraction client-serveur facilite les procdures de
dpannage. Les commandes show et debug donnent les dtails de cette interaction.
La commande CLI suivante show atm map indique que lorsque linterface du client est active, il
se connecte au serveur ARP via le VC 159. La commande CLI debug atm arp sur le mme client
rvle quil reoit une requte InARP du serveur ARP (172.10.10.4) pour rsoudre ladresse ATM
NSAP en adresse IP et mettre jour sa table. Le client rpond avec son adresse IP et le serveur
alimente sa table ARP. Chaque client ainsi activ est enregistr dans la table au moyen du mme
processus.
SanJose#show atm map
Map list ATM0_ATM_ARP : DYNAMIC
arp maps to NSAP
47.009181000000006170598A01.123456789000.00
, connection up, VC 159, ATM0
606
Partie II
Etudes de cas
10 0
20 0
159 0
5
16
62
PVC
PVC
PVC
AAL/
Encapsulation
AAL5-SAAL
AAL5-ILMI
AAL5-SNAP
Peak
Kbps
155000
155000
155000
Avg
Kbps
155000
155000
155000
Burst
Cells
94
94
94
Status
ACTIVE
ACTIVE
ACTIVE
La commande CLI suivante affiche le VC correspondant vers le serveur ATM ARP et indique que
lappel a t initi localement :
SanJose#show atm vc 159
ATM0: VCD: 159, VPI: 0, VCI: 62, etype:0x0, AAL5 - LLC/SNAP,
Flags: 0xD0
PeakRate: 155000, Average Rate: 155000, Burst Cells: 94,
VCmode: 0x1
OAM DISABLED, InARP DISABLED
InPkts: 1, OutPkts: 5, InBytes: 52, OutBytes: 376
InPRoc: 1, OutPRoc: 0, Broadcasts: 4
InFast: 0, OutFast: 0, InAS: 0, OutAS: 0
OAM F5 cells sent: 0, OAM cells received: 0
Status: ACTIVE , TTL: 0
interface = ATM0, call locally initiated, call reference = 112
vcnum = 159, vpi = 0, vci = 62, state = Active
aal5snap vc, point-to-point call
Retry count: Current = 0, Max = 10
timer currently inactive, timer value = 00:00:00
Remote ATM Nsap address:
47.009181000000006170598A01.123456789000.00
La commande CLI show atm map rvle maintenant une entre avec une correspondance entre
ladresse IP et ladresse NSAP du serveur ARP :
SanJose#show atm map
Map list ATM0_ATM_ARP : DYNAMIC
arp maps to NSAP
47.009181000000006170598A01.123456789000.00, connection
up, VC 159, ATM0
ip 172.10.10.4 maps to NSAP
47.009181000000006170598A01.123456789000.00, broadcast,
connection up, VC 159, ATM0
La commande CLI debug atm arp sur le serveur ARP indique que chaque fois quun client devient
actif, il tablit une connexion ATM avec le serveur ARP au moyen dune adresse ATM de serveur
ARP prdfinie. Le serveur ARP envoie une requte InARP pour obtenir ladresse IP de chaque
client. Daprs le texte en gras, vous pouvez constater que le serveur a transmis la requte InARP
au client 172.10.10.2, quil reoit une rponse, et met jour sa table ARP :
Denver#debug atm arp
ARPSERVER (ATM2/0/0): tx InARP REQ on vc 254
ATMARP(ATM2/0/0)O: INARP_REQ to VCD#254 for link 7(IP)
ARPSERVER (ATM2/0/0): tx InARP REQ on vc 255
ATMARP(ATM2/0/0)O: INARP_REQ to VCD#255 for link 7(IP)
ATMARP(ATM2/0/0)I: INARP Reply VCD#254 from 172.10.10.2
ARPSERVER (ATM2/0/0): rx InARP REPLY from 172.10.10.2 (vc
254)
Chapitre 18
607
Jusqu prsent, vous avez vu comment un client est enregistr dans la table ARP. Lanalyse suivante
illustre linteraction entre ces clients enregistrs, et ce qui se produit si un client nexiste pas.
A partir du routeur San Jose, vous effectuez un ping du routeur Chicago (172.10.10.2), mais vous
ne connaissez par son adresse ATM. Le routeur San Jose envoie donc une requte ARP au serveur et
reoit en rponse ladresse NSAP correspondante :
SanJose#ping 172.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.10.10.2, timeout is 2
seconds:
Success rate is 60 percent (3/5), round-trip min/avg/max = 1/1/1 ms
SanJose#debug atm arp
ATMARP(ATM0): Sending ARP to 172.10.10.2
ATMARP:(ATM0): ARP reply from 172.10.10.2 ->
47.009181000000006170595C01.200000000000.00
ATMARP(ATM0): Opening VCC to
47.009181000000006170595C01.200000000000.00..!!!
Le rsultat suivant, obtenu partir du serveur ARP, indique quil a reu la requte ARP de 172.10.10.1
demandant ladresse NSAP ATM de 172.10.10.2. Il rpond en incluant ladresse approprie :
Denver#debug atm arp
ATMARP:(ATM2/0/0): ARP Request from 172.10.10.1 ->
47.009181000000006170598A01.100000000000.00
ATMARP(ATM2/0/0): ARP VCD#0 172.10.10.1 replacing NSAP
ARPSERVER (ATM2/0/0): rx ARP REQ from 172.10.10.1 to
172.10.10.2 (vc 257)
ARPSERVER (ATM2/0/0): tx ARP REPLY from 172.10.10.2 to
172.10.10.1 (vc 257)
ATMARP:(ATM2/0/0): ARP Request from 172.10.10.2 ->
47.009181000000006170595C01.200000000000.00
ATMARP(ATM2/0/0): ARP VCD#0 172.10.10.2 replacing NSAP
608
Partie II
Etudes de cas
Voyons maintenant ce qui se produit si vous tentez un ping dun client non existant dans le LIS :
SanJose#ping 172.10.10.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.10.10.10, timeout is 2
seconds:
Success rate is 0 percent (0/5)
La commande ping sur ladresse 172.10.10.10 dun client non existant choue. En supposant que
vous ne sachiez pas que le client nexiste pas, vous pourriez penser que le serveur ARP est inoprant. La commande debug atm arp indique nanmoins quil est actif et quil envoie une rponse
ARP_NAK signifiant que le client nexiste pas, ou quil nest pas enregistr sur ce serveur :
SanJose#debug
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
ATMARP(ATM0):
atm arp
Sending
ARP_NAK
Sending
ARP_NAK
Sending
ARP_NAK
Sending
ARP_NAK
Sending
ARP_NAK
ARP to 172.10.10.10
received on VCD#159.
ARP to 172.10.10.10
received on VCD#159.
ARP to 172.10.10.10
received on VCD#159.
ARP to 172.10.10.10
received on VCD#159.
ARP to 172.10.10.10
received on VCD#159.
La commande CLI debug atm arp sur le serveur ARP affiche la rponse du serveur au client
demandant la rsolution ARP dune adresse IP non existante en adresse NSAP :
Denver#debug atm arp
ATMARP:(ATM2/0/0): ARP Request from 172.10.10.1 ->
47.009181000000006170598A01.100000000000.00
ATMARP(ATM2/0/0): ARP Update from VCD#257 172.10.10.1 MAP
VCD#0
ARPSERVER (ATM2/0/0): rx ARP REQ from 172.10.10.1 to
172.10.10.10 (vc 257)
ARPSERVER (ATM2/0/0): tx ARP NAK to 172.10.10.1 for
172.10.10.10 (vc 257)
ATMARP:(ATM2/0/0): ARP Request from 172.10.10.1 ->
47.009181000000006170598A01.100000000000.00
ATMARP(ATM2/0/0): ARP Update from VCD#257 172.10.10.1 MAP
VCD#0
ARPSERVER (ATM2/0/0): rx ARP REQ from 172.10.10.1 to
172.10.10.10 (vc 257)
ARPSERVER (ATM2/0/0): tx ARP NAK to 172.10.10.1 for
172.10.10.10 (vc 257)
ATMARP:(ATM2/0/0): ARP Request from 172.10.10.1 ->
47.009181000000006170598A01.100000000000.00
ATMARP(ATM2/0/0): ARP Update from VCD#257 172.10.10.1 MAP
VCD#0
ARPSERVER (ATM2/0/0): rx ARP REQ from 172.10.10.1 to
172.10.10.10 (vc 257)
ARPSERVER (ATM2/0/0): tx ARP NAK to 172.10.10.1 for
172.10.10.10 (vc 257)
ATMARP:(ATM2/0/0): ARP Request from 172.10.10.1 ->
47.009181000000006170598A01.100000000000.00
Chapitre 18
609
La commande CLI show atm map montre que le routeur San Jose peut maintenant communiquer
directement avec tous les autres routeurs du mme LIS en utilisant des circuits SVC. Il na donc pas
besoin que le serveur lui fournisse ladresse NSAP du routeur de lautre ct. Cette table reste
effective tant que les deux routeurs continuent dchanger des paquets/cellules. Dans cette tude de
cas, les paquets Hello OSPF sont changs intervalles rguliers et maintiennent le circuit virtuel
actif.
De plus, il est important de noter que le paquet broadcast ne peut pas initier de circuit virtuel dans le
nuage ATM, car ATM lui-mme est un mdia NBMA, cest--dire non broadcast. Un moyen doit
donc tre mis en uvre pour permettre au routeur de trouver tous ses voisins dans le nuage ATM ou
dans le mme LIS. Pour cela, effectuez un ping de chaque routeur du LIS ou bien configurez
manuellement ses voisins :
SanJose#show atm map
Map list ATM0_ATM_ARP : DYNAMIC
arp maps to NSAP
47.009181000000006170598A01.123456789000.00,
up, VC 159, ATM0
ip 172.10.10.1 maps to NSAP
47.009181000000006170598A01.100000000000.00,
connection up, VC 162, ATM0
ip 172.10.10.2 maps to NSAP
47.009181000000006170595C01.200000000000.00,
connection up, VC 160, ATM0
ip 172.10.10.3 maps to NSAP
47.009181000000006170595C01.300000000000.00,
connection up, VC 163, ATM0
ip 172.10.10.4 maps to NSAP
47.009181000000006170598A01.123456789000.00,
connection up, VC 159, ATM0
connection
broadcast,
broadcast,
broadcast,
broadcast,
La commande CLI show atm arp affiche la table ARP du serveur avec toutes les entres relatives
aux clients actifs :
Denver#show atm arp
Note that a * next to an IP address indicates an active call
IP Address ATM2/0/0:
TTL
ATM Address
* 172.10.10.1
19:29
47009181000000006170598a0110000000000000
* 172.10.10.2
12:56
47009181000000006170595c0120000000000000
* 172.10.10.3
19:31
47009181000000006170595c0130000000000000
* 172.10.10.4
9:23
47009181000000006170598a0112345678900000
* 172.10.10.5
16:02
47009181000000006170595c0150000000000000
Introduction LANE
LANE (LAN Emulation) est une mthode dmulation de rseau local (LAN) sur une infrastructure
ATM. Les standards pour lmulation Ethernet 802.3 et Token Ring 802.5 sont dfinis. Comme la
technologie ATM est par nature oriente connexion, il devient difficile de supporter plusieurs protocoles populaires comme IP et IPX qui fonctionnent en mode non connect. En laissant ATM muler
Ethernet, il devient plus facile de supporter MPOA (Multiprotocols Over ATM) et ne pas avoir
crer de nouveaux protocoles. Il est aussi possible de concevoir plusieurs LAN sur la mme infrastructure ATM. Ces LAN muls ou ELAN ne peuvent communiquer directement entre eux au
niveau 2 et doivent tre routs. Par consquent, une telle configuration ncessite toujours limplmentation dun routeur excutant plusieurs ELAN.
610
Partie II
Etudes de cas
Considrations de conception
La conception de LANE dans un environnement de campus ncessite une planification et une allocation soigneuse des quipements pour mettre en place des services LANE. Il existe de nombreuses
documentations sur ce sujet. Cette section souligne certains des problmes les plus couramment
rencontrs avec limplmentation de LANE dans un environnement de campus. Finalement, la mise
en uvre des services LANE dpend des modles de comportement du trafic qui est chang sur le
rseau et de la faon dont les ressources ATM sont alloues pour rpondre cette communication.
Lun des composants les plus utiliss avec LANE est le serveur BUS, car tous les paquets broadcast
lui parviennent avant dtre retransmis vers tous les clients LEC sur un ELAN. Les capacits de
traitement BUS de la carte LANE du commutateur Cisco Catalyst 5000 avoisinent 120 Kbit/s et
celles de la carte AIP de routeur approchent 60 Kbit/s.
NOTE
Le serveur BUS (Broadcast-and-Unknown Server) est un serveur multicast utilis sur les ELAN qui est utilis
pour diffuser par inondation le trafic destination dune adresse inconnue et transmettre le trafic multicast
et broadcast aux clients appropris.
Un autre facteur important intervenant dans la conception de rseaux avec LANE est la consommation
de circuits virtuels sur les quipements de frontires et dans le nuage ATM lui-mme. LEquation 18.1
illustre cette consommation.
Equation 18.1 : Calcul de la consommation maximale de VC avec LANE
Total de circuits virtuels = E((2N + 2) +
(Nx(N1)/2)) +
Chapitre 18
611
Topologie
Chicago
Emulation LAN.
A2/0
ELAN Red
A3/0/2
Denver
A1/1/1
ELAN BLUE
A1/1/2
Iowa
A3/0/0
A1/1/3
A0
Nuage ATM
San Jose
A3/0/1
A0
New York
ELAN GREEN
Catalyst 5000
LECS/LES/BUS
NOTE
Lmulation LAN est habituellement utilise dans un environnement de campus. Mme si les routeurs
portent des noms de ville ils appartiennent au mme campus. Ils peuvent tre considrs comme des
dsignations dimmeubles.
Configuration
La configuration de lmulation LAN ncessite que les trois serveurs LECS/LES/BUS soient tout
dabord configurs avec leurs pleines fonctionnalits. Ces composants LANE peuvent tre configurs sur des routeurs ou des commutateurs Catalyst activs pour ATM. La diffrence entre ces deux
types dquipements rside dans leurs performances. Un commutateur Catalyst offre de meilleures
performances quun routeur pour assurer ces services.
NOTE
Un LEC (LAN Emulation Client, client LANE) est une entit sur un systme dextrmit qui ralise la transmission de donnes, la rsolution dadresses et dautres fonctions de contrle au sein dun seul ELAN. Un LEC
fournit aussi une interface de service LAN standard pour nimporte quelle entit de couche suprieure qui
sinterface avec lui. Chaque LEC est identifi par une adresse ATM unique et est associ une ou plusieurs
adresses MAC accessibles par lintermdiaire de cette adresse ATM.
Un LECS (LAN Emulation Configuration Server, serveur de configuration LANE) est une entit qui
assigne les clients LANE individuels des ELAN (ou LAN muls) donns en les orientant vers le
612
Partie II
Etudes de cas
LES correspondant lELAN concern. Il existe logiquement un LECS par domaine administratif
et il sert tous les ELAN du domaine.
Un LES (LAN Emulation Server, serveur LANE) est une entit qui assure le contrle dun ELAN
particulier. Il ny a quun LES logique par ELAN et il est identifi par une adresse ATM unique.
La configuration illustre dans cette section sur un Catalyst 5000 activ pour ATM, implmente les
serveurs LECS/LES/BUS.
La commande lane database ABC cre une base de donnes nomme pour le serveur de configuration LANE (LECS). Cette base contient ladresse ATM dun serveur LANE (LES) diffrent ainsi que
dautres informations. Elle contient des donnes caractristiques du LANE. Lorsquun quipement
veut joindre un LANE particulier dans une base de donnes avec une caractristique spcifique, le
LECS examine la requte, et si les donnes conviennent, il rpond avec ladresse ATM du LES pour
poursuivre le processus de connexion du LEC.
La commande name red server-atm-address 47.009181000000006170598A01.00602FBCC511.01
relie le LANE red avec ladresse ATM approprie du serveur LANE. Il en va de mme pour les nuages
LANE blue et green. Reportez-vous au manuel de configuration concernant lassignation dadresses
ATM aux divers services LANE sur les quipements Cisco.
La commande lane config database ABC relie le nom de la base de donnes du serveur de configuration LANE linterface principale spcifie et active le serveur.
La commande lane auto-config-atm-address indique que ladresse ATM du serveur de configuration est calcule par la fonction Cisco dattribution automatique dadresses aux divers services
LANE.
La commande lane server-bus ethernet red active un serveur LANE et un serveur BUS pour le
premier LAN mul. De la mme faon pour les LAN muls green et blue sur des sous-interfaces
diffrentes, cette commande cre un nuage LANE spar avec les sous-rseaux IP distincts.
La commande lane client ethernet 1 green active le client LANE green et relie VLAN1 lELAN
green sur le Catalyst 5000. Avec cette configuration, VLAN1 et lELAN green englobent un gros
sous-rseau IP. Ainsi, un ELAN est en fait une extension de VLAN dans le rseau commut ATM
du rseau commut Ethernet/Token.
En bref, le Catalyst 5000 agit dans cet exemple comme LECS pour un grand domaine LANE, et
comme serveurs LES/BUS pour les ELAN red, green et blue. Il agit aussi comme LEC pour
lELAN green.
La configuration du Catalyst 5000 est la suivante :
lane database ABC
name red server-atm-address
47.009181000000006170598A01.00602FBCC511.01
name blue server-atm-address
47.009181000000006170598A01.00602FBCC511.03
name green server-atm-address
47.009181000000006170598A01.00602FBCC511.02
!
interface ATM0
atm pvc 1 0 5 qsaal
atm pvc 2 0 16 ilmi
lane config database ABC
Chapitre 18
613
lane auto-config-atm-address
!
interface ATM0.1 multipoint
lane server-bus ethernet red
!
interface ATM0.2 multipoint
lane server-bus ethernet green
lane client ethernet 1 green
!
interface ATM0.3 multipoint
lane server-bus ethernet blue
Dans la configuration suivante du routeur San Jose, linterface ATM agit comme client LANE pour
trois ELAN diffrents, crant trois sous-rseaux IP diffrents. Par consquent, San Jose est un
routeur avec une interface commune pour le routage ou la connectivit intra-ELAN. Le LEC dans le
LANE red ne peut pas communiquer au niveau de la couche ATM directement avec le LEC de
lELAN green. Il doit passer par le routeur San Jose et le routage de niveau 3 :
interface ATM0
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
interface ATM0.1 multipoint
ip address 192.10.10.1 255.255.255.0
lane client ethernet red
!
interface ATM0.2 multipoint
ip address 195.10.10.1 255.255.255.0
lane client ethernet green
!
interface ATM0.3 multipoint
ip address 198.10.10.1 255.255.255.0
lane client ethernet blue
Dans la configuration suivante du routeur Chicago, linterface ATM agit comme LEC pour lELAN
red :
interface ATM2/0
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
interface ATM2/0.1 multipoint
ip address 192.10.10.2 255.255.255.0
lane client ethernet red
Dans la configuration suivante du routeur New York, linterface ATM agit comme LEC pour
lELAN blue :
interface ATM0
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
!
interface ATM0.1 multipoint
ip address 198.10.10.2 255.255.255.0
lane client ethernet blue
Dans la configuration suivante des commutateurs ATM Denver et Iowa, il ny a pas de configuration
ncessaire sur les interfaces si vous excutez PNNI entre eux. La commande atm lecs-addressdefault 47.0091.8100.0000.0061.7059.8a01.0060.2fbc.c513.00 1 fournit ladresse LECS pour
nimporte quel LEC connect directement lors de linitialisation. Cette commande est absolument
ncessaire pour que les services LANE fonctionnent sur tous les commutateurs ATM de frontire
614
Partie II
Etudes de cas
directement connects aux routeurs, ou sur le Catalyst 5000 agissant comme LEC, si vous utilisez
loption de configuration automatique pour lattribution de ladresse du LECS.
La configuration du commutateur Denver est la suivante :
atm lecs-address-default
47.0091.8100.0000.0061.7059.8a01.0060.2fbc.c513.00 1
atm address
47.0091.8100.0000.0061.7059.8a01.0061.7059.8a01.00
atm router pnni
node 1 level 56 lowest
redistribute ATM-static
interface ATM1/1/1
no keepalive
interface ATM1/1/2
no keepalive
interface ATM1/1/3
no keepalive
Dpannage
Le dpannage dun environnement utilisant LANE est plus complexe. Gnralement, les points
problmatiques sont les performances des serveurs LES/BUS ou la connectivit vers le LANE. Les
performances des serveurs LES/BUS sont lies la conception et impliquent de nombreux facteurs.
Quant au problme de connectivit, il sagit le plus souvent dun LEC qui ne peut joindre un LANE
donn. Le problme de connectivit intra-LANE dpend davantage du routage IP que de LANE. Examinez donc le fonctionnement du LEC et sa phase de connexion. Lorsquil est oprationnel avec un
LANE donn, il devrait tre en mesure de communiquer directement avec dautres LEC.
Pour tre oprationnel, un LEC doit disposer de tous les circuits virtuels (VCC) suivants, lexception de Data Direct.
m
Control Direct et Control Distribute. Circuits de contrle et de distribution entre LEC et LES.
Multicast Send and Multicast Forward. Phase de connexion entre LEC et BUS.
La Figure 18.5 illustre ces connexions. Cette section traite du dpannage de ces connexions.
Chapitre 18
615
Figure 18.5
LEC
DATA DIRECT
LEC
LECS
CONFIGURE DIRECT
CONTROL DIRECT
CONTROL DISTRIBUTE
LES
MULTICAST SEND
BUS
MULTICAST FORWARD
Lanalyse suivante examine la faon dont le LEC sur lELAN blue sur le routeur New York joint le
LANE et devient oprationnel, et comment il communique avec les autres LEC du LANE en question.
NOTE
La mention de couleur nest en fait pas une couleur, mais le nom dun LAN logique cr par la technologie
ATM LANE. Il y a un LAN logique entre le routeur New York et le routeur San Jose.
NOTE
Mme si les routeurs portent des noms de villes, ils appartiennent au mme campus. Ils peuvent tre considrs comme des dsignations dimmeubles.
Pour quun LEC puisse appartenir un ELAN, les serveurs LECS/LES/BUS doivent tre oprationnels avant que le LEC ne tente de joindre LANE.
La commande show lane brief sur le Catalyst rvle ladresse du LES et du BUS de lELAN blue,
et confirme quils sont dans le mode oprationnel. Cest ncessaire avant quun LEC puisse se
connecter lELAN blue :
Catalyst#show lane brief
LE Server ATM0.3 ELAN name: blue Admin: up State: operational
type: ethernet Max Frame Size: 1516
ATM address: 47.009181000000006170598A01.00602FBCC511.03
LECS used: 47.009181000000006170598A01.00602FBCC513.00
connected, vcd 261
control distribute: vcd 159, 2 members, 4022 packets
LE BUS ATM0.3 ELAN name: blue Admin: up State: operational
type: ethernet Max Frame Size: 1516
ATM address: 47.009181000000006170598A01.00602FBCC512.03
data forward: vcd 163, 2 members, 6713 packets, 0 unicasts
616
Partie II
Etudes de cas
La commande show lane config rvle que le LECS configur sur le Catalyst 5000 est oprationnel
avec ladresse du LECS correspondant. Elle indique aussi quil sert trois ELAN et quils sont tous
actifs :
Catalyst#show lane config
LE Config Server ATM0 config table: ABC
Admin: up State: operational
LECS Mastership State: active master
list of global LECS addresses (12 seconds to update):
47.009181000000006170598A01.00602FBCC513.00 <-------- me
ATM Address of this LECS:
47.009181000000006170598A01.00602FBCC513.00
vcd rxCnt txCnt callingParty
252 1
1
47.009181000000006170598A01.00602FBCC511.01 LES red 0 active
256 2
2
47.009181000000006170598A01.00602FBCC511.02 LES green 0 active
260 6
6
47.009181000000006170598A01.00602FBCC511.03 LES blue 0 active
cumulative total number of unrecognized packets received so far: 0
cumulative total number of config requests received so far: 100
cumulative total number of config failures so far: 29
cause of last failure: no configuration
culprit for the last failure:
47.009181000000006170595C01.00000C7A5660.01
Cette section couvre lobtention dune adresse de LECS via ILMI. Le LEC Cisco peut localiser le
LECS en utilisant lune des trois mthodes suivantes :
m
La commande debug lane client all rvle que le LEC sur ATM0.1 tente dobtenir ladresse du
LECS du commutateur qui lui est directement connect :
NewYork#debug lane client all
LEC ATM0.1: predicate PRED_LEC_NSAP TRUE
LEC ATM0.1: state IDLE event LEC_TIMER_IDLE =>
REGISTER_ADDR
LEC ATM0.1: action A_POST_LISTEN
LEC ATM0.1: sending LISTEN
LEC ATM0.1: listen on
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: state REGISTER_ADDR event
LEC_CTL_ILMI_SET_RSP_POS => POSTING_LISTEN
LEC ATM0.1: received LISTEN
LEC ATM0.1: action A_ACTIVATE_LEC
LEC ATM0.1: predicate PRED_CTL_DIRECT_NSAP FALSE
LEC ATM0.1: predicate PRED_CTL_DIRECT_PVC FALSE
LEC ATM0.1: predicate PRED_LECS_PVC FALSE
LEC ATM0.1: predicate PRED_LECS_NSAP FALSE
LEC ATM0.1: state POSTING_LISTEN event
LEC_SIG_LISTEN_POS => GET_LECS_ADDR
LEC ATM0.1: action A_ALLOC_LECS_ADDR
LEC ATM0.1: state GET_LECS_ADDR event
LEC_CTL_ILMI_SET_RSP_POS => GET_LECS_ADDR
LEC ATM0.1: action A_REGISTER_ADDR
Chapitre 18
617
ConFigure Direct :
m
tablissement dun VCC bidirectionnel par un LEC dans la phase de connexion avec LECS ;
C ON FI GU R E D I R E C T
LEC
LECS
LES
LEC
BUS
Le listing suivant rvle quaprs obtention de ladresse du LECS, un LEC tablit une connexion
avec le LECS. Ce VCC est appel ConFigure Direct. Il envoie ensuite la requte de configuration
au LECS sur ce mme VCC avec ses propres informations, demandant une adresse de LES correspondant cet ELAN. Le LECS rpond en confirmant que les informations de lELAN blue sollicites
sont dfinies et fournit au LEC ladresse du LES en question :
NewYork#debug lane client all
LEC ATM0.1: action A_SEND_LECS_SETUP
LEC ATM0.1: sending SETUP
LEC ATM0.1: callid 0x60AC611C
LEC ATM0.1: called party
47.009181000000006170598A01.00602FBCC513.00
LEC ATM0.1: calling_party
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: state GET_LECS_ADDR event
LEC_CTL_ILMI_SET_RSP_NEG => LECS_CONNECT
LEC ATM0.1: received CONNECT
LEC ATM0.1: callid 0x60AC611C
LEC ATM0.1: vcd 28
LEC ATM0.1: action A_SEND_CFG_REQ
LEC ATM0.1: sending LANE_CONFIG_REQ on VCD 28
LEC ATM0.1: SRC MAC address 0000.0c5c.a980
LEC ATM0.1: SRC ATM address
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: LAN Type 1
LEC ATM0.1: Frame size 1
LEC ATM0.1: LAN Name blue
LEC ATM0.1: LAN Name size 4
LEC ATM0.1: state LECS_CONNECT event LEC_SIG_CONNECT
=> GET_LES_ADDR
618
Partie II
Etudes de cas
Aprs que le LEC a obtenu ladresse du LES de lELAN appropri, il tablit les VCC suivants :
Control Direct :
m
circuit point point bidirectionnel avec le LES pour lenvoi de trafic de contrle ;
Control Distribute :
m
circuit unidirectionnel point multipoint entre le LES et un ou plusieurs LEC pour distribuer le
trafic de contrle.
LEC
LECS
CONFIGURE DIRECT
CONTROL DIRECT
CONTROL DISTRIBUTE
LES
LEC
BUS
Le listing de debug suivant rvle que le LEC tablit le VCC Control Direct avec le LES. Sur ce VCC,
il envoie la rponse LANE_JOIN_REQ. Le LES rpond avec LECID sur le mme VCC. A ce stade, le
LES ouvre le circuit Control Distribute avec le LEC et celui-ci doit accepter ce VCC pour permettre
au LES de distribuer le trafic de contrle.
NewYork#debug lane client all
LEC ATM0.1: action A_SEND_LES_SETUP
LEC ATM0.1: sending SETUP
LEC ATM0.1: callid 0x60ABEDF4
LEC ATM0.1: called party
47.009181000000006170598A01.00602FBCC511.03
LEC ATM0.1: calling_party
47.009181000000006170595C01.00000C5CA980.01
Chapitre 18
619
Aprs que le LEC se soit connect au LES, il sollicite via ARP ladresse ATM du BUS, et le LES lui
rpond avec ladresse voulue. Le LEC et le BUS tablissent ensuite entre eux les VCC suivants :
m
Multicast Send :
Le LEC tablit ce VCC point--point bidirectionnel avec le BUS.
Utilis pour lenvoi de donnes broadcast/multicast vers le BUS.
Multicast Forward :
Le BUS tablit ce VCC point multipoint vers les LEC.
Utilis pour la transmission de trafic multicast/broadcast vers tous les LEC.
620
Partie II
Etudes de cas
Figure 18.8
Circuits tablis entre LEC et BUS.
LEC
LECS
CONFIGURE DIRECT
CONTROL DIRECT
CONTROL DISTRIBUTE
LEC
LES
MULTICAST SEND
BUS
MULTICAST FORWARD
Le listing debug suivant rvle que le LEC envoie une requte LANE_ARP_REQ au LES sur le
VCC Control Direct pour connatre ladresse ATM du BUS. Le LES rpond en la lui communiquant sur le VCC Control Distribute. Le LEC tablit ensuite une connexion directe avec le BUS.
Ce VCC est appel Multicast Send et est utilis pour la transmission de trafic broadcast vers les
autres LEC. Le BUS tablit aussi un VCC Multicast Forward point multipoint vers les LEC.
Chaque fois quun nouveau client est connect, il lajoute ce VCC.
Ce VCC est utilis par le BUS pour transmettre le trafic broadcast et multicast vers tous les LEC de
lELAN.
A ce stade, le client LEC sur le routeur New York de lELAN blue prsente un tat actif et devient
oprationnel. Il est prt communiquer avec les autres LEC du mme ELAN.
NewYork#debug lane client all
LEC ATM0.1: action A_SEND_BUS_ARP
LEC ATM0.1: sending LANE_ARP_REQ on VCD 97
LEC ATM0.1: SRC MAC address 0000.0c5c.a980
LEC ATM0.1: SRC ATM address
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: TARGET MAC address ffff.ffff.ffff
LEC ATM0.1: TARGET ATM address
00.000000000000000000000000.000000000000.00
LEC ATM0.1: received LANE_ARP_RSP on VCD 98
LEC ATM0.1: SRC MAC address 0000.0c5c.a980
LEC ATM0.1: SRC ATM address
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: TARGET MAC address ffff.ffff.ffff
LEC ATM0.1: TARGET ATM address
47.009181000000006170598A01.00602FBCC512.03
LEC ATM0.1: action A_SEND_BUS_SETUP
LEC ATM0.1: predicate PRED_MCAST_SEND_NSAP FALSE
LEC ATM0.1: predicate PRED_MCAST_SEND_PVC FALSE
LEC ATM0.1: sending SETUP
LEC ATM0.1: callid 0x60AC7418
LEC ATM0.1: called party
47.009181000000006170598A01.00602FBCC512.03
LEC ATM0.1: calling_party
47.009181000000006170595C01.00000C5CA980.01
Chapitre 18
621
LEC
LEC
LEC
LEC
LEC
LEC
LEC
La commande show lane client sur le routeur New York montre le LEC oprationnel avec tous les
VCC correspondants que celui-ci a tablis avec les diffrents services LANE.
Notez que si le LEC choue dans ltablissement dun de ces VCC, il doit recommencer le processus dadhsion depuis le dbut et le poursuivre jusqu ce quil le russisse. Par consquent, examinez ltat de fonctionnement du client pour dterminer lorigine du problme et raliser des actions
de dbogage supplmentaires.
NewYork#show lane client
LE Client ATM0.1 ELAN name: blue Admin: up State: operational
Client ID: 1 LEC up for 1 hour 35 minutes 35 seconds
Join Attempt: 1
HW Address: 0000.0c5c.a980 Type: ethernet Max Frame Size: 1516
ATM Address: 47.009181000000006170595C01.00000C5CA980.01
VCD
0
97
98
99
100
rxFrames
0
1
1
0
190
txFrames
0
2
0
95
0
Type
configure
direct
distribute
send
forward
ATM Address
47.009181000000006170598A01.00602FBCC513.00
47.009181000000006170598A01.00602FBCC511.03
47.009181000000006170598A01.00602FBCC511.03
47.009181000000006170598A01.00602FBCC512.03
47.009181000000006170598A01.00602FBCC512.03
Aprs quun LEC est oprationnel, il peut se connecter aux autres LEC du mme ELAN. Cest ce
quillustre lanalyse suivante.
Ce listing debug montre que le LEC envoie une requte LANE_ARP_REQ au LEC avec lequel il
souhaite communiquer sur le VCC Control Direct. Il reoit une rponse LANE_ARP_RSP sur le
VCC Control Distribute avec ladresse ATM correspondante. Il lenregistre celle-ci dans sa table
de correspondance en cache et tablit un VCC Data Direct directement avec le LEC :
NewYork#debug lane client all
LEC ATM0.1: state ACTIVE event LEC_CTL_READY_IND =>
ACTIVE
622
Partie II
Etudes de cas
LEC
LEC
LEC
LEC
La Figure 18.9 illustre le VCC Data Direct entre deux clients LANE.
Figure 18.9
LEC
DATA DIRECT
LEC
LECS
CONFIGURE DIRECT
CONTROL DIRECT
CONTROL DISTRIBUTE
LES
MULTICAST SEND
BUS
MULTICAST FORWARD
Chapitre 18
623
La commande show lane client montre le VCC Data Direct en cours dtablissement vers le LEC
distant. Comme ce LEC cre des connexions individuelles vers des LEC distants, dautres VCC
Data Direct apparaissent dans ce listing. Ce VCC est supprim sil y a une absence dactivit entre
les deux LEC pendant une certaine priode :
NewYork#show lane client
LE Client ATM0.1 ELAN name: blue Admin: up State: operational
Client ID: 1 LEC up for 1 hour 35 minutes 35 seconds
Join Attempt: 1
HW Address: 0000.0c5c.a980 Type: ethernet Max Frame Size: 1516
ATM Address: 47.009181000000006170595C01.00000C5CA980.01
VCD
rxFrames txFrames Type
ATM Address
0
0
0
configure
47.009181000000006170598A01.00602FBCC513.00
97
1
2
direct
47.009181000000006170598A01.00602FBCC511.03
98
1
0
distribute 47.009181000000006170598A01.00602FBCC511.03
99
0
95
send
47.009181000000006170598A01.00602FBCC512.03
100
190
0
forward
47.009181000000006170598A01.00602FBCC512.03
101
6
4
data
47.009181000000006170598A01.00E01EAEFA38.03
MPOA convient bien un environnement de campus dune grande entreprise, et lorsquune pine
dorsale ATM relie diffrents campus. Cette infrastructure ATM courante peut tre divise en
plusieurs sous-rseaux logiques de niveau 3 pour rduire la transmission broadcast son minimum
tout en autorisant les connexions directes entre sous-rseaux, amliorant ainsi les performances.
Vous pouvez voir MPOA comme une solution pour tendre la porte de LANE dans lenvironnement de campus sans provoquer de goulet dtranglement sur le routeur.
624
Partie II
Etudes de cas
Topologie
La topologie suivante possde deux ELAN, lun entre les routeurs Chicago et San Jose, et lautre
entre les routeurs New York et San Jose. Par consquent, si lquipement situ derrire le routeur
Chicago doit communiquer avec celui situ aprs le routeur New York, il passe par le routeur San
Jose, car il excute plusieurs LEC et doit raliser le routage de niveau 3. Bien quil soit vident que
les routeurs Chicago et New York sont connects au mme commutateur ATM, lquipement doit
nanmoins utiliser le routeur San Jose pour toute transmission entre sous-rseaux. Cest un emploi
inefficace de linfrastructure ATM et qui dgrade aussi les performances.
NOTE
MPOA est habituellement utilis dans un environnement de campus. Mme si les routeurs portent des noms
de ville ils appartiennent au mme campus. Ils peuvent tre considrs comme des dsignations dimmeubles.
Lutilisation de MPOA dans ce scnario autorise une connexion directe du routeur Chicago vers le
routeur New York, mme sils se trouvent dans des sous-rseaux diffrents. Cest possible en activant le client MPC sur les routeurs Chicago et New York, et le serveur MPS sur le routeur San Jose.
La Figure 18.10 illustre la topologie pour cet exemple.
Figure 18.10
Chicago
MPC
Exemple de topologie
avec MPOA.
A2/0
pa
ut
fau
d
o
nr
mi
he
San Jose
MPS
VC
ELAN
Red
ec
Nuage ATM
A3/0/2
Denver
A0
dir
A1/1/1
A1/1/2
A1/1/3
New York
MPC
Iowa
A3/0/0
A3/0/1
A0
ELAN Blue
Configuration MPOA
La configuration MPOA fonctionne en relation avec LANE. Lexemple suivant illustre la configuration des MPC et du MPS sur divers quipements supportant ATM.
Dans cet exemple de configuration, le routeur Chicago agit comme client MPOA, le MPC. La
commande mpoa client config name CHI dfinit un MPC avec un nom spcifique. Mais le MPC
nest pas fonctionnel tant quil nest pas li une interface. La commande mpoa client name CHI
dmarre un processus MPC sur une interface, le rendant totalement oprationnel. Le MPC a obtenu
une adresse ATM en utilisant un algorithme particulier et est prt accepter des appels. La
Chapitre 18
625
commande lane client mpoa client name CHI associe un client LANE red avec le MPC CHI
spcifi. La configuration du routeur Chicago est la suivante :
mpoa client config name CHI
interface Loopback1
ip address 40.1.1.1 255.255.255.0
interface ATM2/0
no ip address
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
mpoa client name CHI
!
interface ATM2/0.1 multipoint
ip address 192.10.10.2 255.255.255.0
lane client mpoa client name CHI
lane client ethernet red
Dans lexemple de configuration suivant, le routeur New York agit comme client MPOA pour les
quipements situs derrire lui. La configuration du routeur New York est la suivante :
mpoa client config name NY
!
interface Loopback0
ip address 50.1.1.1 255.255.255.0
interface ATM0
no ip address
no ip mroute-cache
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
mpoa client name NY
!
interface ATM0.1 multipoint
ip address 198.10.10.2 255.255.255.0
lane client mpoa client name NY
lane client ethernet blue
Dans lexemple de configuration suivant, le routeur San Jose agit comme serveur MPOA pour
lELAN red et blue.
La commande mpoa server config name SJ dfinit un MPS avec le nom spcifi, mais il nest pas
encore oprationnel tant quil nest pas li une interface.
La commande mpoa server name SJ lie un MPS une interface principale. A ce stade, le MPS
peut obtenir une adresse ATM gnre automatiquement et une interface par laquelle il peut
communiquer aux quipements MPOA voisins. Un MPS nest fonctionnel que lorsquil est dfini
globalement puis attach une interface.
La commande lane client mpoa server name SJ associe un LEC avec le MPS nomm. Celui-ci
doit dj exister pour que cette commande soit accepte.
La configuration du routeur San Jose est la suivante :
lane database ABC
name red server-ATM-address
47.009181000000006170598A01.00E01EAEFA39.01
name red elan-id 10
name blue server-ATM-address
47.009181000000006170598A01.00E01EAEFA39.03
name blue elan-id 30
!
626
Partie II
Etudes de cas
Dpannage
Le dpannage de MPOA devient plus facile lorsque vous comprenez linteraction de ses composants logiques, les MPC et les MPS. La Figure 18.11 illustre le fonctionnement de MPOA.
Figure 18.11
Fonctionnement de MPOA.
MPC d'entre
Chicago
A
E
B
San Jose
C
A
MPC de sortie
New York
Requte de rsolution MPOA. Une requte dun MPC pour rsoudre une adresse de protocole
de destination en adresse ATM pour tablir un circuit virtuel commut direct (SVC) avec lquipement dentre.
Requte dimposition de cache MPOA. Une requte dun MPS vers un MPC dentre, fournissant les informations de rcriture MAC pour une adresse de protocole de destination.
Chapitre 18
627
Rponse dimposition de cache MPOA. Rponse de la part dun MPC dentre correspondant
une requte MPS prcdente dentre.
Rponse de rsolution MPOA. Rponse dun MPS, rsolvant une adresse de protocole vers une
adresse ATM.
Lanalyse de dpannage suivante utilise diffrentes commandes show et debug pour illustrer
linteraction entre le MPC et le MPS pour crer un VCC direct.
La commande show mpoa client sur le routeur Chicago montre quil ne connat pas dautres MPS
ou MPC.
Dcouverte du MPS
Le listing suivant montre quil ny a pas de MPS connu. Aprs linitiation de la requte LE_ARP,
comme montr dans le listing debug, le client obtient ladresse MPS. La fin du listing montre le
MPS dcouvert :
Chicago#show mpoa client
MPC Name: CHI
Interface: ATM2/0
State: Up
MPC ATM Address:
47.009181000000006170595C01.006070CA9045.00
Shortcut-Setup Count: 1
Shortcut-Setup Time: 1
LECs bound to CHI: ATM2/0.1
MPS Neighbors of CHI:
ATM Address
MPS-ID
VCD
rxPkts
txPkts
Remote Devices known to CHI:
ATM Address
VCD
rxPkts
txPkts
Le listing de la commande debug lane client mpoa montre que le MPC local obtient ladresse
ATM du MPS. Chaque fois quune requte LEC_ARP_REQ ou une rponse LEC_ARP_RESP est
envoye partir dun LEC, un TLV (type, longueur, valeur) est inclus, spcifiant ladresse ATM du
MPC associ au LEC :
Chicago#debug lane client mpoa
LEC ATM2/0.1: received lec_process_lane_tlv: msg
LANE_ARP_REQ, num_tlvs 1
LEC ATM2/0.1: process_dev_type_tlv: lec
47.009181000000006170598A01.00E01EAEFA38.01,
tlv 0x61039220
LEC ATM2/0.1: type MPOA_MPS, mpc
00.000000000000000000000000.000000000000.00
mps 47.009181000000006170598A01.00E01EAEFA3C.00 mac
00e0.1eae.fa38
LEC ATM2/0.1: process_dev_type_tlv: create le_arp for le_mac
00e0.1eae.fa38
LEC ATM2/0.1: create mpoa_lec
LEC ATM2/0.1: new mpoa_lec 0x611401D4
LEC ATM2/0.1: process_dev_type_tlv: type MPS, tlv>num_mps_mac 1
LEC ATM2/0.1: lec_add_mps: remote lec
47.009181000000006170598A01.00E01EAEFA38.01
mps 47.009181000000006170598A01.00E01EAEFA3C.00
num_mps_mac 1,
mac 00e0.1eae.fa38
LEC ATM2/0.1: lec_add_mps: add mac 00e0.1eae.fa38, mps_mac
0x611407C0
LEC ATM2/0.1: lec_append_mpoa_dev_tlv:
628
Partie II
Etudes de cas
NOTE
Le protocole LE_ARP (LAN Emulation Address Resolution Protocol) fournit ladresse ATM qui correspond
une adresse MAC.
La commande show mpoa client rvle maintenant les adresses ATM du MPS et du MPC voisins
avec les circuits virtuels associs :
Chicago#show mpoa client
MPC Name: CHI
Interface: ATM2/0
State: Up
MPC ATM Address: 47.009181000000006170595C01.006070CA9045.00
Shortcut-Setup Count: 1
Shortcut-Setup Time: 1
LECs bound to CHI: ATM2/0.1
MPS Neighbors of CHI:
ATM Address
MPS-ID VCD
rxPkts
txPkts
47.009181000000006170598A01.00E01EAEFA3C.00 1
20
1256
836
Remote Devices known to CHI:
ATM Address
VCD
47.009181000000006170595C01.00E01EAEFA6D.00
257------MPC on New York Router
Dans lexemple de dpannage suivant, effectuer un suivi de la route 50.1.1.1 partir de Chicago
requiert que les paquets de donnes soient envoys par le routeur San Jose, car il excute les deux
ELAN red et blue. Mais avec le protocole MPOA activ et une infrastructure ATM commune
permettant ltablissement du VCC direct, le MPC CHI enverra une requte MPOA de rsolution de
ladresse IP 50.1.1.1 en adresse ATM par laquelle il peut atteindre ce rseau.
Le MPS San Jose rpond la requte avec ladresse ATM. Une fois en possession de ladresse ATM
du rseau 50.1.1.1, le routeur Chicago tablit un VCC direct travers le nuage ATM. Cela peut tre
confirm en effectuant une autre procdure de suivi vers 50.1.1.1 qui montre quil peut tre atteint
avec un saut via 198.10.10.2 au lieu de deux.
Chicago#trace 50.1.1.1
Tracing the route to 50.1.1.1
1 192.10.10.1 0 msec
198.10.10.2 0 msec 0 msec
Chicago#debug mpoa client all
MPOA CLIENT: mpc_trigger_from_lane: mac 00e0.1eae.fa38 on out
ATM2/0.1
MPOA CLIENT: Is MAC 00e0.1eae.fa38 interesting on i/f: ATM2/0.1
MPOA CLIENT: MAC 00e0.1eae.fa38 interesting
MPOA CLIENT CHI: Ingress Cache entry created for 50.1.1.1
MPOA CLIENT CHI: manage_hw_ingress_cache: msgtype
QUERY_DATA_FLOW_ACTIVE for ip 50.1.1.1
MPOA CLIENT CHI: ipcache not exist
MPOA CLIENT CHI: mpc_manage_ingress_cache(): called with
MPC_IN_CACHE_UPDATE_ADD for destIp=50.1.1.1
MPOA CLIENT CHI: Ingress Cache- curr state=
MPC_IN_CACHE_INITIALIZED, event=
MPC_ELIGIBLE_PACKET_RECEIVED, dest IP= 50.1.1.1
MPOA CLIENT CHI: Flow detected for IP=50.1.1.1
MPOA CLIENT CHI: MPOA Resolution process started for 50.1.1.1
MPOA CLIENT CHI: Sending MPOA Resolution req for 50.1.1.1
Chapitre 18
629
A rception de la requte de rsolution MPOA, le MPS San Jose envoie une requte dimposition
de cache au MPC de sortie, comme le montre le listing debug suivant. Il obtient la rponse du MPC de
sortie avec les informations de la couche liaison de donnes DLL (Data Link Layer) sous la forme
dune rponse MPOA dimposition de cache. Le MPS convertit ensuite cette rponse en rponse de
rsolution pour la renvoyer au MPC dentre.
Le listing de la commande show suivant montre que le MPC dentre possde maintenant le cache
pour ladresse IP de destination et quil peut maintenant tablir la commutation directe de niveau 2
avec le MPC de sortie de destination, en vitant ainsi la commutation de niveau 3 du routeur :
SanJose#debug mpoa server
MPOA SERVER: received a MPOA_RESOLUTION_REQUEST
(134) packet of size 64 bytes on ATM0 vcd 342
MPOA SERVER SJ: packet came from remote MPC
47.009181000000006170595C01.006070CA9045.00
MPOA SERVER SJ: process_mpoa_res_req called
MPOA SERVER SJ: mps_next_hop_info activated
MPOA SERVER SJ: next hop interface and next hop ip address are
NOT known, trying to find them
MPOA SERVER SJ: mps_next_hop_info: next hop interface:
ATM0.3, next hop ip address: 198.10.10.2
MPOA SERVER SJ: ingress cache entry created for:
47.009181000000006170595C01.006070CA9045.00, 50.1.1.1
MPOA SERVER SJ: ingress cache entry is not yet valid, started the
giveup timer (40 secs) on it
MPOA SERVER: next_hop_mpoa_device: returning type MPC for
198.10.10.2
MPOA SERVER SJ: I am the egress router: starting mpoa cache
630
Partie II
Etudes de cas
Chapitre 18
631
Rsum
Ce chapitre a trait de LANE et des diverses mthodes de dploiement de MPOA (Multiprotocols
Over ATM). Vous pouvez appliquer des mthodes appropries en fonction des exigences de votre
rseau et de votre environnement, puis utiliser les exemples de configuration prsents pour vous
familiariser avec les diffrentes mthodes. Vous pouvez, bien sr, galement tester certaines procdures de dpannage avant de dployer une mthode. Aprs la mise en uvre dune mthode sur le
rseau, gardez lesprit les points suivants :
m
Le recours au dbogage nest pas aussi simple quil ne parat. Il peut en rsulter des problmes
de performances au niveau des ressources processeur. Utilisez cette procdure avec prcaution.
Essayez les commandes show autant que possible avant dactiver le dbogage.
En ce qui concerne le dbogage du RFC 1483, ILMI ne sollicite pas autant les ressources processeur, mais cela peut tre le cas pour les vnements de signalisation.
Concernant le RFC 1577, le dbogage du ct du client ARP procure une excellente mthode
didentification des problmes. Evitez lanalyse du ct du serveur ARP.
Le dbogage de LANE est trs sensible du ct des clients LEC et des serveurs LES/BUS.
Essayez dutiliser la commande show pour identifier le point de blocage de la connexion du LEC
avec lELAN. Si vous excutez plusieurs LEC sur le routeur/commutateur, excutez debug
uniquement sur le client posant problme.
Evitez dactiver le dbogage sur les serveurs LES/BUS, car ils sont utiliss intensment et
peuvent gnrer en sortie de gros volumes de donnes et ralentir le processeur.
Pour MPOA, le dbogage sur le MPC avec dsactivation du dbogage keepalive, fournira les
informations les plus utiles.
19
Routage DDR
Par Salman Asad
634
Partie II
Etudes de cas
Ltude de cas que nous prsentons ici dcrit lutilisation de DDR afin de connecter un rseau
mondial compos dun site central situ San Francisco et de sites distants situs Tokyo, Singapour, et Hong Kong. Ce chapitre examine les exemples de scnarios et de fichiers de configuration
suivants :
m
Configuration du site central et des sites distants pour les appels entrants et sortants.
Configuration du site central et des sites distants pour trois types dinstallations : un site central
avec une interface pour chaque site distant ; une seule interface pour plusieurs sites distants ;
plusieurs interfaces pour plusieurs sites distants. Lutilisation de lencapsulation PPP (Point-toPoint Protocol) et du protocole CHAP (Challenge Handshake Authentication Protocol) est
galement aborde.
Utilisation de DDR en tant que solution de secours pour des liaisons loues.
Emploi de DDR en tant que mthode de secours pour des liaisons loues. Des exemples de
lutilisation de routes statiques flottantes (floating static routes) sur des interfaces individuelles
et partages sont fournis.
La Figure 19.1 illustre la topologie du rseau DDR qui fait lobjet de cette tude de cas.
NOTE
Tous les exemples et descriptions de cette tude de cas font rfrence des fonctionnalits disponibles dans
System Software, version 9.1(9) ou suprieure. Certaines de ces fonctionnalits sont prsentes dans les
versions antrieures ; les fonctionnalits disponibles uniquement dans la version 9.21 sont spcifies.
Chapitre 19
Routage DDR
635
Figure 19.1
Topologie du rseau
DDR.
Tokyo
128.10.204.1
E0
CGS
128.10.204
.55
Liaison srie 1
Station de travail
Hong Kong
128.10.204
.55
.65
128.10.200
1
Liaison srie
CGS
E0
San Francisco
.66
128.10.200
E0
6
02.6
0.2
28.1
128.10.200.1
Station de travail
Singapour
CGS
5
02.6
1
.10.2
128 on srie
Liais
Hte A
Hte B
Hte C
Hte D
E0
128.10.202.1
Station de travail
Initialement, le site central situ San Francisco est configur de faon disposer dune interface
pour chaque site distant.
Site central : appels sortants uniquement
Dans la configuration suivante, le site central effectue des appels laide dune interface spare,
configure pour chaque site distant. Aucun support pour rpondre aux appels entrants nest configur ici :
interface serial 5
description DDR connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118527351625
pulse-time 1
dialer-group 1
636
Partie II
Etudes de cas
!
interface serial 6
description DDR connection to Singapore
ip address 128.10.202.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 011653367085
pulse-time 1
dialer-group 1
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
redistribute static
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
La configuration des interfaces et des adresses IP (Internet Protocol) individuelles est simple.
Ladresse IP de chaque interface est fournie. Lexemple utilise une portion hte de 6 bits de ladresse
IP. La commande dialer-in-band active DDR, ainsi que la numrotation V.25bis sur linterface.
Comme mentionn prcdemment, la numrotation V.25bis est un standard de lUIT-T pour la signalisation intrabande vers des quipements de communication de donnes synchrones (DCE). Une
varit de dispositifs supportent ce standard, depuis les modems analogiques V.32 jusquaux adaptateurs terminaux, en passant par les multiplexeurs inverses.
La commande dialer wait-for-carrier-time est dfinie avec une valeur de 60 secondes. Lorsque
la numrotation V.25bis est utilise, le routeur nanalyse aucune des rponses reues de la part de
lquipement DCE. A la place, il sappuie sur le signal de dtection de porteuse (CD, Carrier
Detect) pour savoir si un appel a t connect. Si le signal CD du modem nest pas activ durant la
priode de temps alloue par la commande dialer wait-for-carrier-time, le routeur suppose que
lappel a chou, et dconnecte la ligne. Comme il sagit ici dappels internationaux, qui prennent
donc plus de temps sinitialiser que les appels locaux, le temps dattente du signal est dfini
60 secondes. Dans le cas dappels locaux, les modems analogiques mettent parfois 20 30 secondes pour se synchroniser, temps de numrotation et de rponse inclus.
La commande dialer string identifie le numro de tlphone de la destination cible. Etant donn
que le site central appelle une seule destination par interface, la configuration de cette chane de
Chapitre 19
Routage DDR
637
Le protocole IGRP (Interior Gateway Routing Protocol) est utilis afin de router le trafic sur le
rseau. Les deux premires commandes qui apparaissent dans la section de routage du fichier de
configuration sont router igrp et network. Elles dfinissent le numro du routeur IGRP, ainsi que
le rseau sur lequel est excut le protocole.
La commande redistribute provoque lenvoi des informations de routes statiques (dfinies laide
des commandes ip route illustres dans lexemple de configuration) vers les autres routeurs situs
dans la mme zone IGRP. En labsence de cette commande, les autres routeurs connects au site
central ne disposent daucune route vers les routeurs distants. Les trois routes statiques dfinissent
les sous-rseaux sur lpine dorsale Ethernet des routeurs distants. DDR a tendance utiliser largement les routes statiques, car les mises jour de routage ne sont pas reues lorsque la connexion par
circuit commut nest pas active.
Configuration de listes daccs
La dernire section du fichier de configuration contient les listes daccs utilises par DDR afin de
classer les paquets intressants et inintressants. Les paquets intressants sont soumis aux critres
de slection des listes daccs. Ces paquets initient un appel sil ny en a pas dj un en cours ; dans
le cas contraire, ils rinitialisent le temporisateur dinactivit (idle timer). Les paquets inintressants
sont transmis seulement si la liaison est active ; ils sont supprims si elle est inactive. Ces paquets
ne dclenchent pas dappel et ne rinitialisent pas non plus le temporisateur dinactivit. La liste
daccs 101 fournit les filtres suivants :
m
Les paquets IGRP qui sont envoys vers ladresse de broadcast (255.255.255.255) ne dclenchent pas la numrotation.
Tous les autres paquets IP sont intressants et peuvent par consquent dclencher la numrotation et rinitialiser le temporisateur dinactivit.
A lexception de ladresse IP et de la route par dfaut, chaque site distant est configur de faon
identique, en tant que site rpondant uniquement. Lexemple suivant illustre la configuration de
Hong Kong :
interface serial 1
description interface to answer calls from San Francisco
ip address 128.10.200.65 255.255.255.192
638
Partie II
Etudes de cas
dialer in-band
!
ip route 0.0.0.0 0.0.0.0 128.10.200.66
Le site rpondant ne dconnectera pas lappel, car cest le site appelant qui sen charge lorsque la
ligne est inactive. Dans ce cas, le site qui rpond utilise le routage statique. La route par dfaut
pointe sur linterface srie du site central.
Configuration dune seule interface pour plusieurs sites distants
Il est possible dutiliser une seule interface pour appeler plusieurs destinations, un site situ
Melbourne et un site situ Paris, par exemple. Eu gard aux diffrences de fuseaux horaires, ces
sites nauront jamais besoin dtre connects au mme moment. Par consquent, une seule interface
peut tre utilise pour ces deux sites, sans risque de contention pour linterface, ce qui limine le
cot associ aux ports srie et modems ddis chaque destination.
Site central : appels sortants seulement
Dans la configuration suivante, le site central effectue les appels. Une seule interface est configure
pour appeler plusieurs sites distants. Aucun support pour rpondre aux appels entrants nest configur ici :
interface serial 5
description DDR connection to Hong Kong and Singapore
ip address 128.10.200.66 255.255.255.192
ip address 128.10.202.66 255.255.255.192 secondary
dialer in-band
dialer wait-for-carrier-time 60
! associe Hong Kong un numro de tlphone
dialer map ip 128.10.200.65 0118527351625
! associe Singapour un numro de tlphone
dialer map ip 128.10.202.65 011653367085
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
passive-interface serial 5
redistribute static
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
! La liste daccs suivante refuse tout le trafic broadcast IGRP
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
! La liste daccs suivante autorise tous les paquets IP
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Configuration de linterface
Dans cet exemple, la configuration de linterface est un peu plus complexe que celle dcrite la
section "Configuration dune interface pour chaque site distant". En plus de ladresse IP dorigine,
une seconde adresse IP est configure pour linterface srie 5, car les bureaux de Hong Kong et de
Singapour se trouvent sur des sous-rseaux diffrents.
Chapitre 19
Routage DDR
639
Les routes statiques IP dfinissent les adresses de prochain saut utilises dans les commandes
dialer map. Lorsquun paquet est reu pour un hte du rseau 128.10.200.0, il est rout vers une
adresse de prochain saut, 128.10.200.65. Cette route part de linterface srie 5. DDR se sert de
ladresse de prochain saut pour obtenir le numro de tlphone du routeur de destination.
NOTE
Lutilisation de la commande passive-interface indique que les mises jour de routage ne doivent pas
tre envoyes partir de linterface srie 5. Etant donn que les sites distants utilisent une route par dfaut,
il est inutile denvoyer des mises jour sur cette liaison.
Lutilisation des commandes dialer map autorise un filtrage plus granulaire. Lorsquun paquet est
reu pour un hte du rseau 128.10.200.0, il est rout vers une adresse de prochain saut,
128.10.200.65. Cette route part de linterface srie 5. Le paquet est compar aux listes daccs. Sil
est considr comme tant intressant, son adresse de prochain saut est compare aux commandes
dialer map dfinies pour cette interface. Lorsquune correspondance est trouve, linterface est
contrle afin de dterminer si elle est connecte au numro de tlphone qui correspond ladresse
de prochain saut. Si elle nest pas connecte, le numro de tlphone est appel. Dans le cas
contraire, le temporisateur dinactivit est rinitialis. Si elle est connecte un autre numro de
tlphone (dune autre commande dialer map), le temporisateur dacclration dinactivit (fastidle timer) est lanc, grce une contention sur linterface. Si aucune entre nest trouve dans les
correspondances de numrotation pour ladresse de prochain saut, et quaucune chane de numrotation na t dfinie (associe toutes les adresses de prochain saut), le paquet est supprim.
Ce niveau de filtrage additionnel pour ladresse de prochain saut reprsente un problme pour la
diffusion gnrale de paquets, tels les paquets de mises jour de routage. Etant donn quun paquet
broadcast est transmis avec une adresse de prochain saut de ladresse broadcast, la comparaison
avec les commandes dialer map chouera. Si vous souhaitez que les paquets broadcast soient transmis vers des numros de tlphone dfinis dans ces commandes, des commandes dialer map
supplmentaires doivent spcifier ladresse broadcast comme tant ladresse de prochain saut, avec
le mme numro de tlphone. Par exemple, vous pourriez ajouter les commandes dialer map
suivantes :
dialer map ip 255.255.255.255 0118527351625
dialer map ip 255.255.255.255 011653367085
640
Partie II
Etudes de cas
Si linterface est actuellement connecte lun de ces numros de tlphone, et quelle reoive un
paquet broadcast IGRP, celui-ci sera donc transmis, puisquil correspond une commande dialer
map vers un numro de tlphone dj connect. Si la connexion est dj tablie, les paquets intressants ainsi que les paquets inintressants seront envoys. Si aucune connexion nest tablie, lajout
des commandes dialer map ne permettra pas quun paquet IGRP envoy une adresse broadcast
dclenche la numrotation, car les listes daccs dterminent de toute faon quil est inintressant.
NOTE
Dans lexemple de configuration propos la section "Configuration dune seule interface pour chaque site
distant", la commande dialer string autorise que les paquets broadcast soient envoys lorsque la ligne
est connecte, car la chane de numrotation est associe toutes les adresses de prochain saut qui ne
possdent pas de correspondance de numrotation.
A lexception de ladresse IP et de la route par dfaut, chaque site distant est configur de faon
identique, en tant que site rpondant uniquement. Lexemple suivant illustre la configuration de
Hong Kong :
interface serial 1
description interface to answer calls from San Francisco
ip address 128.10.200.65 255.255.255.192
dialer in-band
!
ip route 0.0.0.0 0.0.0.0 128.10.200.66
Le site rpondant ne dconnectera pas lappel, car cest le site appelant qui sen charge lorsque la
ligne est inactive. Une route par dfaut est dfinie vers le site central.
Configuration de plusieurs interfaces pour plusieurs sites distants
Lorsquune seule interface est utilise avec plusieurs correspondances de numrotation, elle peut
faire lobjet dune contention. Cette contention dclenche un temporisateur dacclration dinactivit (fast-idle timer) qui maintient les lignes connectes pendant un laps de temps plus court que
dhabitude, ce qui permet dautres destinations dexploiter linterface. Les groupes de rotation de
numrotation (dialer rotary group) empchent les situations de contention de se produire, en crant
un groupe de plusieurs interfaces qui peuvent tre utilises pour tablir des appels. Plutt que
dassigner de faon statique une interface une destination, les groupes de rotation de numrotation
autorisent une assignation dynamique des interfaces aux numros de tlphone. Lorsquun appel
doit tre effectu, une interface disponible est recherche dans le groupe de rotation, afin dy placer
lappel. Le temporisateur dacclration dinactivit est dclench seulement lorsque toutes les
interfaces du groupe sont occupes.
NOTE
La configuration suivante apparat telle quelle devrait tre entre sur la ligne de commande. Eu gard au
fonctionnement des groupes de rotation, le rsultat de lexcution dune commande write terminal sur
le routeur peut diffrer lgrement de ce qui est prsent ici.
Chapitre 19
Routage DDR
641
La configuration suivante dfinit un groupe de rotation de numrotation sur le routeur du site central :
interface dialer 1
description rotary group for Hong Kong, Tokyo, and Singapore
ip address 128.10.200.66 255.255.255.192
ip address 128.10.202.66 255.255.255.192 secondary
ip address 128.10.204.66 255.255.255.192 secondary
dialer in-band
dialer wait-for-carrier-time 60
! associe Hong Kong un numro de tlphone
dialer map ip 128.10.200.65 0118527351625
! associe Singapour un numro de tlphone
dialer map ip 128.10.202.65 011653367085
! associe Tokyo un numro de tlphone
dialer map ip 128.10.204.65 0118127351625
pulse-time 1
dialer-group 1
!
interface serial 5
dialer rotary-group 1
!
interface serial 6
dialer rotary-group 1
!
router igrp 1
network 128.10.0.0
passive-interface dialer 1
redistribute static
!
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
La dfinition dune interface de numrotation est la premire tape de cration dun groupe de rotation de numrotation. Bien quune interface de numrotation ne soit pas une interface physique, elle
supporte toutes les commandes qui peuvent tre spcifies pour une interface physique. Par exemple, les commandes rpertories sous la commande interface dialer sont identiques celles utilises pour linterface srie physique 5, comme vous pouvez le voir la section "Configuration dune
seule interface pour plusieurs sites distants". De plus, une commande dialer map supplmentaire a
t ajoute, afin dassocier ladresse de prochain saut pour Tokyo au numro de tlphone.
La commande dialer rotary-group place les interfaces srie physiques 5 et 6 dans le groupe de
rotation. Nimporte laquelle de ces interfaces peut tre utilise pour appeler nimporte laquelle des
destinations dfinies par la commande interface dialer.
642
Partie II
Etudes de cas
La section de routage du fichier de configuration pour cet exemple nest pas diffrente de celle de
lexemple prsent la section "Configuration dune seule interface pour plusieurs sites distants".
Toutefois, si vous examinez la table de routage pour lun des rseaux distants, laide de la
commande show ip route (par exemple, show ip route 128.10.200.0), vous remarquerez que linterface de sortie partir de laquelle les paquets ont t envoys vers ce sous-rseau est linterface de
numrotation 1 (dialer 1). La vritable interface physique partir de laquelle les paquets seront
transmis nest pas dtermine, tant que les tapes DDR dcrites dans le paragraphe suivant nont
pas t ralises.
Avant quun paquet ne soit envoy partir de linterface de numrotation, DDR contrle ce paquet
pour dterminer sil est intressant ou inintressant, puis consulte la correspondance de numrotation. Ensuite, toutes les interfaces du groupe de rotation sont vrifies, afin de dterminer si lune
delles est connecte au numro de tlphone. Si une interface approprie est dtecte, le paquet est
envoy partir de cette interface physique. Si aucune interface nest dtecte et que le paquet soit
jug intressant, le groupe de rotation est analys, afin dy rechercher une interface disponible. La
premire interface disponible dtecte est utilise pour appeler le numro de tlphone.
NOTE
Pour utiliser le routage dynamique, dans lequel deux des sites distants communiquent via le site central, les
commandes no ip split-horizon et passive-interface doivent tre supprimes.
Cette configuration utilise les mmes listes daccs que celles de lexemple illustr la section
"Configuration dune seule interface pour plusieurs sites distants". Une route par dfaut est dfinie
vers le site central.
Sites distants : appels entrants uniquement
A lexception de ladresse IP et de la route par dfaut, chaque site distant est configur de faon
identique, en tant que site rpondant uniquement. Lexemple suivant illustre la configuration de
Hong Kong :
interface serial 1
description interface to answer calls from San Francisco
ip address 128.10.200.65 255.255.255.192
dialer in-band
!
ip route 0.0.0.0 0.0.0.0 128.10.200.66
Chapitre 19
Routage DDR
643
Le site rpondant ne dconnectera pas lappel, car cest le site appelant qui sen charge lorsque la
ligne est inactive.
Configuration du site central et des sites distants pour les appels entrants
et sortants
Il est souvent plus pratique que les sites distants puissent appeler le site central selon les besoins des
utilisateurs, plutt que ces derniers dpendent du site central pour interroger les sites distants. Cette
section examine les exemples de configuration suivants, dans lesquels le site central ainsi que les
sites distants peuvent effectuer des appels :
m
Afin de pouvoir supporter les appels entrants et sortants la fois sur le site central et sur les sites
distants, au moyen dune interface pour chaque site distant, chacun deux doit appeler linterface
spcifique sur le site central qui possde la chane de numrotation correspondant son numro de
tlphone.
Site central : appels entrants et sortants
Dans lexemple suivant, le site central situ San Francisco est configur pour les appels entrants et
sortants. Une interface est configure pour chaque site distant :
interface serial 5
description DDR connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118527351625
pulse-time 1
dialer-group 1
!
interface serial 6
description DDR connection to Singapore
ip address 128.10.202.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 011653367085
pulse-time 1
dialer-group 1
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
644
Partie II
Etudes de cas
network 128.10.0.0
redistribute static
!
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
La configuration est la mme pour chaque site distant. Elle dfinit une route par dfaut vers le site
central, et une chane de numrotation qui contient le numro de tlphone du site central.
Hong Kong
Dans lexemple suivant, le site distant situ Hong Kong est configur pour recevoir et tablir des
appels. Le fichier de configuration contient une chane de numrotation 14155551212, qui devrait
permettre dappeler linterface srie 5 San Francisco :
interface serial 1
description DDR connection to San Francisco
ip address 128.10.200.65 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Singapour
Dans lexemple suivant, le site distant situ Singapour est configur pour recevoir et tablir des
appels. Le fichier de configuration contient une chane de numrotation 14155551213, qui devrait
permettre dappeler linterface srie 6 San Francisco :
interface serial 1
description DDR connection to San Francisco
ip address 128.10.202.65 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551213
pulse-time 1
dialer-group 1
!
Chapitre 19
Routage DDR
645
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.202.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Tokyo
Dans lexemple suivant, le site distant situ Tokyo est configur pour recevoir et tablir des appels.
Le fichier de configuration contient une chane de numrotation 14155551214, qui devrait permettre dappeler linterface srie 7 San Francisco :
interface serial 1
description DDR connection to San Francisco
ip address 128.10.204.65 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551214
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.204.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Etant donn que tous les appels entrants sont supposs provenir du numro de tlphone configur
avec la commande dialer string, il est important de configurer le site central et les sites distants
correctement. Par exemple, si la chane de numrotation de Singapour utilise le numro de tlphone employ par Hong Kong pour appeler le site central, les paquets du site central destination
de Hong Kong seront envoys Singapour, et cela chaque fois que Singapour appellera via linterface de Hong Kong.
Configuration dune seule interface pour plusieurs sites distants
Lorsque plusieurs sites appellent le site central, celui-ci doit utiliser un mcanisme dauthentification,
moins quil dispose dune interface ddie pour chaque appel entrant. En labsence dun mcanisme
dauthentification, le routeur du site central ne possde aucun moyen didentifier les sites auxquels il est
connect ; il nest donc pas en mesure de garantir que dautres appels nont pas lieu. Lencapsulation
PPP avec CHAP (Challenge Handshake Authentication Protocol) ou PAP (Password Authentication
Protocol) fournit un mcanisme qui permet didentifier la partie appelante.
NOTE
Un routeur qui dispose dun port RNIS intgr peut tre capable dutiliser la fonction didentification de
lappelant. Etant donn que cette fonction nest pas disponible partout, PPP avec CHAP fournit le
mcanisme didentification. Dans la version 9.21 de System Software, PAP peut tre utilis avec PPP plutt
que CHAP, bien quil soit moins sr. La configuration de PAP serait lgrement diffrente de celle illustre
dans cette section pour CHAP.
646
Partie II
Etudes de cas
Dans lexemple suivant, le site central de San Francisco est configur pour recevoir et tablir des
appels. Une seule interface est configure pour plusieurs sites distants :
hostname SanFrancisco
interface serial 5
description DDR connection to Hong Kong and Singapore
ip address 128.10.200.66 255.255.255.192
ip address 128.10.202.66 255.255.255.192 secondary
encapsulation ppp
ppp authentication chap
dialer in-band
dialer wait-for-carrier-time 60
dialer map ip 128.10.200.65 name HongKong 0118527351625
dialer map ip 128.10.202.65 name Singapore 011653367085
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
passive-interface serial 5
redistribute static
!
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username HongKong password password1
username Singapore password password2
Chapitre 19
Routage DDR
647
De cette faon, on vite de gnrer des appels vers des destinations pour lesquelles des connexions
sont dj tablies.
Sites distants : appels entrants et sortants
Dans les exemples de configuration suivants, les sites distants sont configurs pour tablir et recevoir des appels vers, ou partir, dune seule interface sur le site central :
Hong Kong
La configuration suivante permet Hong Kong dtablir et de recevoir des appels vers, et partir,
du site central de San Francisco :
hostname HongKong
interface serial 1
description DDR connection to SanFrancisco
ip address 128.10.200.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password1
Singapour
La configuration suivante permet Singapour dtablir et de recevoir des appels vers, et partir, du
site central de San Francisco :
hostname Singapore
interface serial 1
description DDR connection to San Francisco
ip address 128.10.202.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.202.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password2
648
Partie II
Etudes de cas
A linverse du site central, les sites distants ne contiennent pas la commande ppp authentication
chap. En effet, seul un site, le site central, appelle les sites distants. Si un seul site appelle, DDR
suppose que lappel provient du numro dfini avec la commande dialer string. Par consquent,
la commande ppp authentication chap nest pas ncessaire.
NOTE
Si les sites distants utilisent les commandes dialer map au lieu de dialer string, la commande ppp
authentication chap est ncessaire, et les commandes dialer map requirent le mot cl name. Lorsque
la commande dialer map est utilise, cela suppose que plusieurs sites peuvent appeler ou tre appels.
Notez galement que les sites distants possdent une entre username pour le routeur de San Francisco, et que ce dernier contient les mots de passe de username pour Singapour et Hong Kong.
Configuration de plusieurs interfaces pour plusieurs sites distants
Les configurations prsentes dans cette section sont semblables celles vues plus haut, la section
"Configuration dune seule interface pour plusieurs sites distants". Le type dencapsulation dfini
est PPP. Lauthentification CHAP est ncessaire.
Site central : appels entrants et sortants
Lexemple suivant configure le routeur de site central pour les appels entrants et sortants sur
plusieurs interfaces, vers plusieurs sites distants :
hostname SanFrancisco
interface dialer 1
description rotary group for Hong Kong, Tokyo, and Singapore
ip address 128.10.200.66 255.255.255.192
ip address 128.10.202.66 255.255.255.192 secondary
ip address 128.10.204.66 255.255.255.192 secondary
encapsulation ppp
ppp authentication chap
dialer in-band
dialer wait-for-carrier-time 60
dialer map ip 128.10.200.65 name HongKong 0118527351625
dialer map ip 128.10.202.65 name Singapore 011653367085
dialer map ip 128.10.204.65 name Tokyo 0118127351625
pulse-time 1
dialer-group 1
!
interface serial 5
dialer rotary-group 1
!
interface serial 6
dialer rotary-group 1
!
router igrp 1
network 128.10.0.0
passive-interface dialer 1
redistribute static
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
Chapitre 19
Routage DDR
649
Dans les exemples de configuration suivants, les sites distants sont configurs pour tablir et recevoir des appels vers, et partir, de plusieurs interfaces sur le site central. Tous ces sites appellent le
mme numro de tlphone. Sur le site de San Francisco, ce mme numro de tlphone entranera
une connexion soit sur linterface srie 5, soit sur linterface srie 6. Cette fonctionnalit est fournie
par loprateur tlphonique.
Hong Kong
La configuration suivante permet Hong Kong dtablir et de recevoir des appels vers, et partir,
du site central de San Francisco :
hostname HongKong
interface serial 1
description DDR connection to SanFrancisco
ip address 128.10.200.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password1
Singapour
La configuration suivante permet Singapour dtablir et de recevoir des appels vers, et partir, du
site central de San Francisco :
hostname Singapore
interface serial 1
description DDR connection to San Francisco
ip address 128.10.202.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
650
Partie II
Etudes de cas
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.202.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password2
Tokyo
La configuration suivante permet Tokyo dtablir et de recevoir des appels vers, et partir, du site
central de San Francisco :
hostname Tokyo
interface serial 1
description DDR connection to San Francisco
ip address 128.10.204.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.204.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password3
Les sites distants nutilisent pas la commande ppp authentication chap car, comme nous lavons
vu, le site central est le seul appeler les sites distants. Lorsquun seul site est appelant, DDR
suppose que lappel provient du numro dfini avec la commande dialer string ; la commande ppp
authentication chap est donc inutile. Nanmoins, si les sites distants utilisent les commandes
dialer map au lieu de dialer string, la commande ppp authentication chap est ncessaire, et les
commandes dialer map requirent le mot cl name.
Vous pouvez galement constater que chaque site distant possde une entre username San Francisco qui contient le mme mot de passe que celui utilis par le site central pour identifier le site
distant.
Chapitre 19
Routage DDR
651
Sur une topologie en toile, tous les routeurs distants peuvent avoir leurs interfaces srie sur le
mme sous-rseau que linterface du site central (voir Figure 19.2).
Figure 19.2
Sites distants appelants
(topologie en toile).
128.10.201.0
128.10.202.0
Hong Kong
128.10.200.67
Singapour
128.10.200.68
San Francisco
128.10.200.66 (Interface de numrotation)
Tokyo
128.10.200.69
128.10.204.0
Lexemple suivant configure le routeur du site central, afin quil accepte les appels entrants sur
plusieurs interfaces :
hostname SanFrancisco
interface dialer 1
description rotary group for inbound calls
ip address 128.10.200.66 255.255.255.192
encapsulation ppp
ppp authentication chap
dialer in-band
dialer wait-for-carrier-time 60
dialer map ip 128.10.200.67 name HongKong
dialer map ip 128.10.200.68 name Singapore
dialer map ip 128.10.200.69 name Tokyo
pulse-time 1
dialer-group 1
!
interface serial 5
dialer rotary-group 1
!
interface serial 6
dialer rotary-group 1
!
router igrp 1
network 128.10.0.0
652
Partie II
Etudes de cas
passive-interface dialer 1
redistribute static
! route vers Hong Kong
ip route 128.10.201.0 255.255.255.192 128.10.200.67
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.200.68
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.200.69
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username HongKong password password1
username Singapore password password2
username Tokyo password password3
Dans les configurations suivantes, les sites distants sont configurs afin deffectuer des appels vers
plusieurs interfaces du site central. Cet exemple suppose quun seul numro de tlphone sur le site
central permet de joindre nimporte laquelle des deux interfaces srie disponibles en entre (interface srie 5 et interface srie 6).
Hong Kong
La configuration suivante permet Hong Kong dappeler le site central de San Francisco :
hostname HongKong
interface ethernet 0
ip address 128.10.201.1 255.255.255.192
interface serial 1
description DDR connection to SanFrancisco
ip address 128.10.200.67 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password1
Singapour
La configuration suivante permet Singapour dappeler le site central de San Francisco :
hostname Singapore
interface ethernet 0
ip address 128.10.202.1 255.255.255.192
interface serial 1
description DDR connection to San Francisco
Chapitre 19
Routage DDR
653
Tokyo
La configuration suivante permet Tokyo dappeler le site central de San Francisco :
hostname Tokyo
interface ethernet 0
ip address 128.10.204.1 255.255.255.192
interface serial 1
description DDR connection to San Francisco
ip address 128.10.200.69 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password3
654
Partie II
Etudes de cas
Figure 19.3
DDR
Transition DDR-liaison
loue.
Cot
Liaison loue
Avec des liaisons loues pour liaisons principales, vous pouvez continuer utiliser les lignes
commutes en tant que solution de secours, au moyen des mthodes suivantes :
m
Les routes statiques flottantes (floating static routes) sont des routes statiques qui prsentent une
distance administrative suprieure celle des routes dynamiques. Des distances administratives
peuvent tre configures sur une route statique, de faon que celle-ci soit moins tentante quune
route dynamique. De cette manire, la route statique nest pas utilise lorsquune route dynamique
est disponible. Toutefois, si cette dernire est perdue, la route statique peut prendre le relais, et le
trafic peut tre envoy sur cette route alternative. Si celle-ci est assure par une interface DDR,
DDR peut tre utilis en tant que mcanisme de secours.
Site central
Lexemple suivant dcrit la configuration dun site central, qui utilise des liaisons loues pour la
connectivit principale, et DDR en tant que solution de secours :
interface serial 1
description Leased connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
!
interface serial 2
description leased connection to Singapore
ip address 128.10.202.66 255.255.255.192
!
interface serial 5
description backup DDR connection to Hong Kong
ip address 128.10.200.130 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118527351625
pulse-time 1
Chapitre 19
Routage DDR
655
dialer-group 1
!
interface serial 6
description backup DDR connection to Singapore
ip address 128.10.202.130 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 011653367085
pulse-time 1
dialer-group 1
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
redistribute static
!
! route vers Hong Kong avec distance administrative
ip route 128.10.200.0 255.255.255.192 128.10.200.129 150
! route vers Singapour avec distance administrative
ip route 128.10.202.0 255.255.255.192 128.10.202.129 150
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Les interfaces srie 1 et 2 sont utilises en tant que liaisons loues vers Hong Kong et Singapour. Les
interfaces srie 5 et 6 reprsentent respectivement les solutions de secours des interfaces srie 1 et 2 ;
linterface srie 7 est utilise pour DDR vers Tokyo.
Sites distants
Chaque site distant dispose dune liaison loue en tant que liaison principale, et de DDR en tant que
solution de secours. Voici un exemple :
interface serial 0
description leased line from San Francisco
ip address 128.10.200.65 255.255.255.192
!
interface serial 1
description interface to answer backup calls from San Francisco
ip address 128.10.200.129 255.255.255.192
dialer in-band
!
router igrp 1
network 128.10.0.0
! route vers San Francisco avec distance administrative
ip route 128.10.0.0 255.255.0.0 128.10.200.130 150
656
Partie II
Etudes de cas
La premire interface srie est la liaison loue ; la seconde rpond aux appels en provenance du site
central, au cas o ce dernier aurait besoin dutiliser DDR en tant que mthode alternative.
Routes statiques flottantes sur interfaces partages
La configuration du site central requiert un grand nombre de ports srie, car chaque port principal
dispose dun port de secours. Cest le prix payer pour pouvoir bnficier dune vritable redondance,
mais, dans la plupart des cas, une seule interface (ou un ensemble dinterfaces) peut reprsenter une
solution de secours partage pour un ensemble de liaisons principales. La configuration suivante illustre comment dfinir une seule interface pour le secours de toutes les liaisons principales :
interface serial 1
description Leased connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
!
interface serial 2
description leased connection to Singapore
ip address 128.10.202.66 255.255.255.192
!
interface serial 5
description backup DDR connection for all destinations except Tokyo
ip address 128.10.200.130 255.255.255.192
ip address 128.10.202.130 255.255.255.192 secondary
dialer in-band
dialer wait-for-carrier-time 60
! associe Hong Kong un numro de tlphone
dialer map ip 128.10.200.129 0118527351625
! associe Singapour un numro de tlphone
dialer map ip 128.10.202.129 011653367085
pulse-time 1
dialer-group 1
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
passive-interface serial 5
redistribute static
!
! route vers Hong Kong avec distance administrative
ip route 128.10.200.0 255.255.255.192 128.10.200.129 150
! route vers Singapour avec distance administrative
ip route 128.10.202.0 255.255.255.192 128.10.202.129 150
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Chapitre 19
Routage DDR
657
Linterface srie 5 est linterface de secours DDR pour toutes les destinations. Elle est configure
avec plusieurs adresses IP pour le routage. Les commandes dialer map associent les adresses de
prochain saut aux numros de tlphone, pour chacune des destinations. Si une route dynamique est
perdue, la route statique flottante prend le relais. Ladresse de prochain saut envoie les paquets vers
linterface srie 5, sur laquelle les commandes dialer map placent lappel.
Si deux lignes principales sont dfaillantes au mme moment, il y aura conflit dutilisation en ce qui
concerne linterface srie 5. Dans ce cas, il est possible que le temporisateur dacclration dinactivit dconnecte les appels. Si linterface srie 5 se trouve en constante utilisation, lune des
liaisons principales sera dconnecte, et les paquets seront supprims. Le fait que la route de
secours soit indisponible nest pas communiqu, car il nexiste aucun moyen dannoncer que lune
des deux adresses IP sur linterface est indisponible. Les problmes de conflit dutilisation peuvent
tre vits en implmentant un groupe de rotation de numrotation.
numrotation DTR ;
numrotation V.25bis.
Numrotation DTR
La version 8.3 de System Software a introduit une fonctionnalit de secours commut (dial backup).
Bien que le secours commut impose parfois davantage de restrictions que les routes statiques
flottantes, il peut tre utilis en cas de non-disponibilit des modems V.25bis, ou si des protocoles
qui ne supportent pas les routes statiques flottantes sont excuts.
Site central
Le secours commut ncessite que les modems effectuent un appel lors du dclenchement du signal
DTR. Le numro de tlphone est configur au niveau du modem, ou dun autre quipement de
communication. Ce numro est appel lorsque le signal DTR est dclench ; lappel est dconnect
une fois que le signal est dsactiv. La configuration suivante illustre comment tirer parti du secours
commut et de la numrotation DTR :
interface serial 1
description Leased connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
backup interface serial 4
backup delay 0 20
!
interface serial 2
description leased connection to Singapore
ip address 128.10.202.66 255.255.255.192
backup interface serial 5
backup delay 0 20
!
interface serial 4
description backup connection for Hong Kong
ip address 128.10.200.67 255.255.255.192
658
Partie II
Etudes de cas
pulse-time 10
!
interface serial 5
description backup connection for Singapore
ip address 128.10.202.67 255.255.255.192
pulse-time 10
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
Cette solution requiert un port srie par liaison principale. Etant donn que les ports de secours sont
placs sur le mme sous-rseau que les ports srie principaux, aucune route statique nest ncessaire. La commande backup delay sert spcifier le temps dattente avant lactivation de la ligne de
secours, suite la dfaillance de la liaison principale, ainsi que le dlai dattente avant la dsactivation de la ligne de secours, aprs rtablissement de la liaison principale. Dans ce cas, la liaison principale sera active pendant 20 secondes avant la dsactivation de la ligne de secours. Ce dlai peut
donc provoquer des problmes dinstabilit de route (flapping) lors du rtablissement de la ligne
principale.
Sites distants
Les routes statiques flottantes ne sont pas ncessaires pour les sites distants. Ladresse IP de linterface de secours doit se trouver sur le mme sous-rseau que linterface principale. Lexemple
suivant illustre la configuration du routeur de Hong Kong. Linterface srie 0 correspond la liaison
loue, et linterface srie 1 rpond aux appels en tant que solution de secours :
interface serial 0
description leased line from San Francisco
ip address 128.10.200.65 255.255.255.192
!
interface serial 1
description interface to answer backup calls from San Francisco
ip address 128.10.200.68 255.255.255.192
!
router igrp 1
network 128.10.0.0
La fonction de numrotation V.25bis convient mieux que la numrotation DTR lorsque plusieurs
numros de tlphone sont requis. Avec DTR, la plupart des dispositifs appelleront un seul numro.
Avec V.25bis, le routeur peut tenter dappeler plusieurs autres numros, si le premier ne rpond pas.
La configuration suivante illustre la numrotation V.25bis :
interface serial 1
description Leased connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
Chapitre 19
Routage DDR
659
Plusieurs numros de tlphone sont configurs pour linterface srie 4. Les deux commandes
dialer map utilisent la mme adresse de prochain saut. Le logiciel tente tout dabord dappeler le
numro de tlphone spcifi dans la premire commande dialer map. Si lappel naboutit pas
cest--dire si aucune connexion nest tablie avant lexpiration du dlai dattente du signal de
porteuse (wait-for-carrier timer) , le second numro est compos. Chacune des autres interfaces
de secours utilise une chane de numrotation pour le numro de tlphone de secours. Lorsque
V.25bis est utilis avec le secours commut, la commande dialer-list protocol, montre
660
Partie II
Etudes de cas
lexemple prcdent, devrait tre utilise. La liste de numrotation dclare que tout le trafic IP est
intressant, et dclenchera par consquent la numrotation. Les mises jour de routage sont incluses. Lorsquune ligne srie est utilise en tant que solution de secours, cest normalement ltat de
la liaison principale, et non le temporisateur dacclration dinactivit, qui dtermine quand
dconnecter lappel.
Dans lexemple de configuration suivant, une ligne alatoire est utilise en cas de trafic dense. Le
code excut pour la numrotation tentera de localiser un script qui corresponde la fois au script de
modem et au script systme RTP. Sil ne parvient pas les localiser, un message spcifiant quaucun
script de dialogue na t trouv ("no matching chat script found") sera envoy lutilisateur :
interface dialer 1
! Dfinition des interfaces de rotation de sanjose
dialer rotary-group 1
! Utilisation du script gnrique de sanjose
dialer map ip 10.10.10.10 modem-script sanjose system-script rtp 5555555
Dans le script suivant, les guillemets reprsentent une chane nulle, et \r reprsente un retour la ligne :
" " \r "name:" "your_name" "ord":" "your_password" ">" "slip default"
Dans la configuration suivante, des scripts de dialogue spars sont dfinis pour les lignes connectes aux modems Best Data et US Robotics :
! Les modems Best Data sont connects aux lignes 1 5
line 1 5
modem chat-script bestdata.*
! Les modems US Robotics sont connects aux lignes 6 9
line 6 9
modem chat-script usrobotics.*
Chapitre 19
Routage DDR
661
chat-script dial ABORT ERROR "" "AT Z" OK "ATDT \T" TIMEOUT 60 CONNECT \c
chat-script login ABORT invalid TIMEOUT 30 name: sasad word: sraza ">"
"slip default"
interface async 0
dialer in-band
dialer map ip 10.10.10.10 modem-script dial system-script login 5555555
Lorsquun paquet est reu pour ladresse 10.10.10.10, la premire chose qui se produit est la localisation du script de dialogue dial. Le code suivant explique le traitement ralis pour chaque squence
attendre-envoyer dans ce script de modem :
ABORT ERROR: Si "ERROR" est rencontr, terminer excution du script.
" " "AT Z": Envoyer une commande "AT Z" au modem sans rien attendre dautre. Les
guillemets sont utiliss pour autoriser un espace dans la chane denvoi.
OK "ATDT \T:
Une fois que le script de modem a t excut avec succs, la seconde tape consiste excuter le
script douverture de session, login. Le code suivant explique le traitement ralis pour chaque
squence attendre-envoyer dans ce script :
ABORT invalid: Si le message "invalid username or password" ("nom dutilisateur
ou mot de passe invalide") est affich, terminer excution du script.
TIMEOUT 30:
Attendre 15 secondes.
name: sasad:
word: sraza:
">" "slip default": Attendre linvite ts et basculer en mode slip avec son
adresse par dfaut.
Rsum
Ainsi que la montr cette tude de cas, il existe de nombreuses faons dutiliser le routage par
ouverture de ligne la demande ou DDR (Dial-on Demand Routing), la fois pour laccs principal
et laccs de secours. Les sites distants peuvent effectuer des appels, ou en recevoir, ou bien les
deux. De plus, la souplesse de fonctionnement peut tre amliore, grce limplmentation de
groupes de rotation de numrotation. Ce chapitre a galement dcrit brivement lutilisation et
limplmentation de scripts de dialogue.
20
Evolutivit du routage DDR
Par Salman Asad
Ltude de cas que nous prsentons ici dcrit la conception dun rseau daccs, qui autorise un
grand nombre de sites distants communiquer avec un rseau de site central existant. Les sites
distants sont constitus de rseaux locaux (LAN) qui supportent plusieurs stations de travail.
Celles-ci excutent un logiciel de traitement transactionnel, afin daccder une base de donnes,
situe sur le site central. Les objectifs suivants ont guid la conception de la partie accs du rseau :
m
Le rseau existant ne peut pas tre modifi pour grer laccs des sites distants.
Le site central doit pouvoir se connecter nimporte quel site distant, tout moment, et inversement.
Lorsquun choix entre plusieurs techniques doit tre fait, la plus rentable est retenue.
La conception doit tre suffisamment souple pour sadapter laugmentation du nombre de sites
distants.
Conception du rseau
Les considrations suivantes influent sur la conception du rseau :
m
modles de trafic ;
choix du mdia ;
protocoles requis.
664
Partie II
Etudes de cas
Modles de trafic
Une analyse du trafic par anticipation indique que chaque site distant appellera le site central environ quatre fois par heure, tout au long de la journe de travail. Ce type de trafic donne la possibilit
de raliser des conomies au niveau du site central, en fournissant une ligne tlphonique pour environ 2,5 sites distants, ce qui donne 48 lignes au total. Pour rpartir quitablement les appels sur les
48 lignes, les sites distants se connectent par lintermdiaire dun groupe de recherche de lignes
(hunt group). Le groupe de recherche de lignes prsente un avantage : tous les routeurs distants
composent le mme numro de tlphone afin daccder au site central, ce qui rend la configuration
des routeurs de sites distants plus facile maintenir.
Pour terminer une transaction initie par un site distant, le site central doit parfois appeler le site en
question, peu de temps aprs quil sest dconnect du site central. Pour cela, le rseau daccs doit
converger rapidement. Le site central appelle galement les sites distants priodiquement, afin de
mettre jour le logiciel de traitement transactionnel sur les stations distantes.
Choix du mdia
Les concepteurs choisissent une technologie daccs commut asynchrone sur le rseau tlphonique public commut (RTC) pour les raisons suivantes :
m
Disponibilit. Le rseau RTC est disponible au niveau de tous les sites distants. Certains
rseaux, tels le Frame Relay et RNIS (Rseau numrique intgration de services), ne sont pas
accessibles sur tous les sites distants.
Bande passante. Le logiciel de traitement transactionnel gnre une faible quantit de trafic
entre les sites distants et le site central. Pour ce type dapplication faible trafic, la bande
passante fournie par les liaisons asynchrones est acceptable. De faon occasionnelle, le site
central appelle les sites distants afin de maintenir jour le logiciel de traitement transactionnel
sur les clients distants. Cette activit se produira la nuit (en labsence dactivit du logiciel), afin
que la bande passante disponible pour les liaisons asynchrones soit suffisante.
Cot. Eu gard aux faibles exigences en matire de bande passante, le cot dinstallation et de
fonctionnement dun quipement Frame Relay ou RNIS ne serait pas justifi.
NOTE
Bien que le rseau dcrit dans cette tude de cas utilise une technique de numrotation asynchrone sur le
rseau RTC, la plupart des concepts, tels que ladressage et les stratgies de routage, sappliquent
galement lors de ladaptation dautres technologies par circuits commuts (tel RNIS).
Protocoles requis
Les stations distantes excutent une application de traitement transactionnel, qui utilise TCP/IP
(Transmission Control Protocol/Internet Protocol) afin de se connecter la base de donnes situe
sur le site central. Elles nont aucun besoin dexcuter un autre protocole de la couche rseau. Par
consquent, le choix le plus rentable pour un routeur de site distant est un routeur qui fournit une
interface Ethernet, ainsi quune interface asynchrone, et qui supporte le protocole RIP (Routing
Information Protocol).
Chapitre 20
665
Solution matrielle
Un serveur daccs Cisco AS5100 est install sur le site central afin de fournir 48 interfaces asynchrones. Etant donn quil est constitu de trois cartes de serveur daccs fondes sur le serveur
daccs Cisco 2511, il quivaut en fait trois serveurs Cisco 2511. Chaque carte de serveur daccs
fournit 16 lignes asynchrones, quipes chacune dun modem U.S. Robotics Courier intgr.
NOTE
Pour les besoins de cette tude de cas, nous nous rfrerons aux trois cartes du serveur daccs Cisco AS5100
en tant que routeurs daccs de site central.
Chaque site distant est dot dun routeur Cisco 1020, qui fournit une seule interface de ligne asynchrone, ainsi quune interface Ethernet pour la connexion au rseau local distant. Ce routeur
excute un ensemble limit de protocoles, dont TCP/IP et RIP. Des modems U.S. Robotics Sportser
assurent la connectivit des sites distants. Le fait dutiliser une mme marque de modem sur tout le
rseau daccs simplifie la dfinition des scripts de dialogue ainsi que la configuration des modems,
et en facilite galement la gestion.
Un routeur Cisco 4500 contrle le routage entre la nouvelle zone daccs du rseau et lpine dorsale.
Plus prcisment, lorsque des htes situs de lautre ct de lpine dorsale souhaitent se connecter
un site distant, ce routeur leur garantit une connexion via le routeur daccs de site central qui prsente
le meilleur chemin. La Figure 20.1 illustre la topologie de la portion daccs du rseau.
Figure 20.1
Topologie daccs distant.
Epine dorsale
d'entreprise
Serveur
Cisco 4500
E0
Cisco AS5100
Cisco 2511
Cisco 2511
Cisco 2511
Routeurs de
site central
CENTRAL-1
A1
A16
A1
A16
A1
A16
Routeur 2
A1
Rseau Tlphonique
public Commut (RTC)
Cisco
1020
A1
Routeur 121
A1
Cisco
1020
Client
Routeur N
Routeurs
distants
666
Partie II
Etudes de cas
Solution logicielle
La configuration des routeurs daccs de site central et des routeurs de sites distants doit fournir les
informations suivantes :
m
authentification ;
stratgie de routage.
Authentification
Le trafic entre les sites distants et le site central contient des informations confidentielles. Pour cette
raison, lauthentification est un souci majeur. Les sites peuvent sauthentifier de deux faons :
m
Dans les deux cas, la base de donnes des noms dutilisateurs et des mots de passe peut tre stocke
localement, ou sur un serveur TACACS (Terminal Access Controller Access Control System) tendu.
TACACS+ assure une gestion centralise des mots de passe pour tous les routeurs daccs de site
central, et fournit des informations dtailles de comptabilit des connexions entrantes et sortantes
relatives aux sites distants.
Cette conception de rseau implique la mise en uvre de lauthentification douverture de session,
car elle permet aux sites distants dannoncer leur adresse IP aux routeurs daccs de site central, tel
que dcrit la prochaine section : "Adressage de la couche rseau". PPP pourrait tre lanc automatiquement si TACACS+ tait employ pour supporter lassignation dadresses IP par utilisateur.
Adressage de la couche rseau
Etant donn que les routeurs distants et les routeurs daccs de site central nont pas besoin de se
connecter lInternet, ils utilisent des adresses RFC 1597. Ladresse de Classe B 172.16.0.0 est
employe pour lensemble de la portion daccs du rseau ; des adresses de Classe C quivalentes sont
assignes aux routeurs distants. Chaque sous-rseau reoit une adresse de Classe C quivalente
(172.16.x.0, avec un masque de 255.255.255.0), ce qui facilite la gestion de ladressage. Le rseau
172.16.1.0 est rserv ladressage ultrieur du nuage de numrotation, si besoin. Le nuage de
numrotation est dfini comme tant un sous-rseau, auquel sont connectes toutes les interfaces
asynchrones.
Chapitre 20
667
A lorigine, le nuage de numrotation ne possde pas dadresse ddie. Sil devait en avoir une dans
le futur, les questions suivantes devraient tre prises en considration :
m
Le nuage de numrotation peut-il utiliser le mme masque de sous-rseau que les sites distants ?
Dans la ngative, le support des masques de sous-rseau de longueur variable (VLSM, Variable
Length Subnet Mask) sera ncessaire, sachant que RIP ne supporte pas VLSM.
Sur ce rseau, ces questions sont sans importance. Etant donn quun masque de 255.255.255.0
peut tre utilis partout sur le rseau, la question des VLSM ne se pose pas. De plus, tant donn
que tous les sous-rseaux appartiennent au mme rseau principal de classe B, il ny a pas de
problme de discontinuit des sous-rseaux. Le Tableau 25.1 rsume ladressage de la portion
daccs du rseau.
Tableau 20.1 : Adressage de la portion daccs du rseau
Site
Sous-rseau
Masque
172.16.1.0
255.255.255.0
Routeur2
172.16.2.0
255.255.255.0
Routeur3
172.16.3.0
255.255.255.0
...
...
...
Routeur121
172.16.121.0
255.255.255.0
Pour obtenir une table de routage prcise et une ngociation dadresse IPCP (IP Control Protocol)
russie, lensemble de ladressage IP de prochain saut doit tre exact, tout moment. Pour cela, les
sites distants doivent connatre ladresse IP laquelle ils se connectent, et le site central doit connatre ladresse IP de chaque site distant qui sest connect.
Tous les routeurs daccs de site central utilisent la mme adresse IP sur toutes leurs interfaces
asynchrones. Pour parvenir ce rsultat, il faut configurer linterface de numrotation Dialer20
pour un adressage IP non ddi (IP unnumbered), en dehors dune interface de bouclage. Ladresse
IP de linterface de bouclage (loopback) est la mme pour tous les routeurs de site central. De cette
faon, les routeurs distants peuvent tre configurs avec ladresse IP du routeur auquel ils se
connectent, quel quil soit.
Le routeur distant doit annoncer son adresse IP au routeur de site central au moment o il se
connecte. A cette fin, il lance PPP sur le site central au moyen de la commande EXEC ppp
172.16.x.1. Pour supporter cette opration, chaque routeur de site central est configur avec la
commande de configuration dinterface async dynamic address.
668
Partie II
Etudes de cas
NOTE
La fonction Autoselect permet au routeur de lancer automatiquement un processus appropri, tel PPP,
lorsquil reoit un caractre de dpart de la part du routeur qui a ouvert une session. Pour pouvoir utiliser
cette fonction, un mcanisme qui permet de grer ladressage IP dynamique est ncessaire, tel le support
dadresses par utilisateur de TACACS+.
Stratgie de routage
Le dveloppement dune stratgie de routage pour ce rseau se fonde sur les deux exigences suivantes :
m
Lorsquun site distant particulier nest pas connect au site central, il doit tre joignable par
lintermdiaire de nimporte quel routeur daccs de site central, au moyen dune route statique
configure sur chacun deux.
Lorsquun site distant particulier a ouvert une session sur un routeur daccs de site central, il
doit tre joignable par lintermdiaire de ce routeur, au moyen dune route dynamique qui a t
tablie pour cette connexion, et propage vers lpine dorsale.
Pour satisfaire ces exigences, les routeurs daccs de site central indiquent au routeur Cisco 4500
les routes de rseau principales qui mnent aux sites distants. Toutes les routes vers les sites distants
sont de cot gal, partir des routeurs de site central. Chacun deux est configur avec une route
statique vers chaque site distant. Pour permettre au routeur Cisco 4500 de se connecter aux sites
distants par lintermdiaire de nimporte quel routeur de site central, la commande de configuration
dinterface no ip route-cache est configure sur son interface Ethernet 0, ce qui dsactive la
commutation rapide dIP vers le sous-rseau partag avec les routeurs de site central. Le
routeur Cisco 4500 peut ainsi utiliser, en alternance, les trois routeurs daccs lorsquil dclenche
des appels sortants. Cette stratgie augmente la fiabilit du rseau, en cas de dfaillance de lun des
routeurs daccs.
Lorsquun site distant ouvre une session, il annonce son adresse IP, puis envoie un message flash
RIP. Ce message provoque lcriture immdiate dune route dynamique vers le site distant, dans la
table de routage du routeur daccs de site central. Cette route dynamique remplace la route statique
pour la dure de la connexion.
Ensuite, le routeur de site central redistribue la route RIP dans OSPF (Open Shortest Path First), et
lenvoie tous ses voisins OSPF, y compris le routeur Cisco 4500, qui lenregistrent dans leur table
de routage. Le routeur Cisco 4500 dispose prsent de routes de rseau principales vers tous les
sites distants, ainsi que dune route dynamique vers le site distant spcifique qui a ouvert la session.
Si un hte de site central doit communiquer avec un site distant particulier actuellement connect, il
utilise alors la route dynamique.
Lorsque le site distant ferme la session, la route dynamique est supprime de la table de routage du
routeur Cisco 4500, et la route statique vers le site distant est rtablie sur le routeur daccs de site
central auquel il sest connect.
Si un hte de site central doit communiquer avec un site distant non connect, il emprunte la route
de rseau principale dfinie sur le routeur Cisco 4500. Parmi les routeurs daccs de site central
(slectionns tour de rle), lun deux est choisi afin dtablir lappel vers le site distant, via la
route statique dfinie dans sa configuration. A limage dun site distant qui appelle le site central,
Chapitre 20
669
une fois la connexion tablie, le routeur distant envoie un message flash RIP, qui provoque lcriture
immdiate dune route dynamique vers le site distant, dans la table de routage du routeur daccs.
La route dynamique est redistribue dans OSPF, puis enregistre dans la table de routage du
routeur Cisco 4500. La Figure 20.2 prsente un diagramme qui synthtise les diffrentes phases de
la stratgie de routage.
Figure 20.2
Cisco 4500
Cisco 4500
CENTRAL-1
CENTRAL-2
CENTRAL-3
CENTRAL-1
flash RIP
CENTRAL-3
Route RIP
Routes statiques
vers sites distants.
Routeur 2
Routeur 2
Phase 1. Site distant non connect ; routes jour.
CENTRAL-2
Cisco 4500
Cisco 4500
Routes de rseau principales vers
sites distants ; plus route vers site
distant via CENTRAL-1
Route RIP
CENTRAL-1
CENTRAL-2
CENTRAL-3
CENTRAL-1
CENTRAL-2
CENTRAL-3
Les problmes de convergence suivants se rapportent aux phases du diagramme illustr la Figure 20.2 :
m
Entre la phase 2 et la phase 3, un hte sur le site central tablit un appel vers un site distant. Tant
que la phase 3 na pas eu lieu (au cours de laquelle la route est mise jour sur le routeur Cisco
4500), tout routeur daccs de site central qui tente dappeler le site distant obtiendra un signal
doccupation. Dans la pratique, un seul appel choue en gnral, car, avant quune seconde
tentative dappel ait eu lieu, la route est mise jour avec la phase 3. La route dynamique tant
alors disponible, il nest pas ncessaire deffectuer un autre appel.
Lorsque le site distant se dconnecte, un intervalle minimal de 120 secondes scoule avant que
la route statique ne soit rtablie, dans la table de routage du routeur daccs de site central sur
670
Partie II
Etudes de cas
lequel le site distant a ouvert la session. Tout dabord, RIP met 35 secondes pour dterminer que
le site distant sest dconnect et quil nenvoie plus de mises jour RIP. Six secondes plus tard, le
routeur de site central examine sa table de routage, puis restaure lune des deux routes statiques
pour le site distant ; encore six secondes plus tard, il examine de nouveau sa table de routage pour
rtablir la seconde route statique. Pour plus dinformations sur lexistence de deux routes statiques pour chaque site distant, voyez la section "Configuration du routage statique", plus bas dans
ce chapitre.
NOTE
Linstallation rapide de routes statiques est une nouvelle fonctionnalit de la version 11.1 de Cisco IOS . Elle
permet le rtablissement rapide dune route statique, suite la dconnexion dun site distant.
Avant que la mise jour ait lieu, si le routeur Cisco 4500 dirige un appel vers le routeur 2 via le
routeur CENTRAL-1, il naboutira pas : il devra donc tre renouvel. Etant donn que la commutation rapide dIP est dsactive sur le routeur Cisco 4500 (qui utilise des chemins de mme cot vers
chaque routeur daccs de site central), il enverra le prochain paquet vers le routeur CENTRAL-2
ou vers le routeur CENTRAL-3 (qui possde toujours une route statique vers le routeur 2), et
lappel aboutira.
NOTE
Lors du dveloppement de la stratgie de routage pour ce rseau, les concepteurs ont envisag lutilisation
du routage Snapshot, car il rduit le cot des connexions, en limitant lchange de mises jour de protocoles
de routage. Pour que le routage Snapshot fonctionne correctement, chaque site distant doit se connecter au
mme routeur daccs, chaque fois quil appelle le site central. Dans une telle conception, les routeurs
distants se connectent aux routeurs de site central par lintermdiaire dun groupe de recherche de lignes,
de faon quil ny ait aucun moyen de contrler sur quel routeur de site central un routeur distant sest
connect pour une connexion donne. Par consquent, le routage Snapshot ne convient pas pour cette
conception.
le nom du routeur, tel que spcifi par la commande de configuration globale hostname.
Chapitre 20
problmes de scurit ;
671
Pour obtenir un exemple de configuration complet, voyez la section "Configuration de CENTRAL1", plus bas dans ce chapitre.
Configuration du nom dutilisateur pour les sites distants
La configuration de chaque routeur daccs de site central inclut les commandes de configuration
globale suivantes :
username Router2 password 7 071C2D4359
...
username Router121 password 7 0448070918
Chaque routeur distant peut appeler lun des trois routeurs de site central, ce qui explique la prsence
dune commande de configuration globale username pour chaque routeur distant. Lorsquun routeur
distant ouvre une session, il indique un nom (par exemple, "Router2") et un mot de passe (par exemple, "secret"), qui doivent correspondre aux valeurs spcifies par une commande username. Chaque
site distant utilise un script de dialogue (chat script) pour ouvrir une session, ainsi que fournir son
nom dhte et son mot de passe. Pour plus dinformations sur le script de dialogue utilis par le site
distant, voyez la section "Configuration de scripts de dialogue pour appeler le site central", plus bas
dans ce chapitre.
Configuration de la numrotation pour les sites distants
La configuration de chaque routeur daccs de site central inclut les commandes de configuration
globale suivantes :
chat-script CALL1020 ABORT ERROR ABORT BUSY TIMEOUT 30 "" "ATDT\T" "CONNECT" \c
chat-script REM TIMEOUT 40 "name:" "CENTRAL" "word:" "secret"
chat-script usrv32bis "" "AT&F1S0=1&d2" "OK" ""
!
interface dialer 20
dialer map ip 172.16.2.1 name Router2 modem-script CALL1020 system-script REM 5551234
...
dialer map ip 172.16.121.1 name Router2 modem-script CALL1020 system-script REM 5555678
!
line 1 16
script reset USRV32BIS
Les trois commandes de configuration globale chat-script dfinissent trois scripts de dialogue,
CALL1020, REM et USRV32BIS. Les scripts CALL1020 et REM sont invoqus par les commandes dialer map pour, respectivement, appeler les sites distants et y ouvrir une session. La
commande script reset spcifie que le script USRV32BIS doit tre excut chaque fois quune
672
Partie II
Etudes de cas
ligne asynchrone est rinitialise, afin de garantir que les modems de site central sont toujours
configurs correctement.
Configuration des interfaces de bouclage
La configuration de chaque routeur daccs de site central inclut des commandes pour configurer
les interfaces de bouclage. Ladresse IP de linterface de bouclage 0 est unique pour chaque routeur
daccs et, afin de respecter les rgles selon lesquelles OSPF slectionne lidentifiant de routeur, il
doit sagir de ladresse IP de bouclage la plus haute sur chaque routeur. Ladresse IP pour linterface
de bouclage 1 est la mme pour tous les routeurs daccs. Voici les commandes utilises :
interface loopback 0
ip address 172.16.254.3 255.255.255.255
...
interface loopback 1
ip address 172.16.1.1 255.255.255.0
Lobjectif pour les trois routeurs est dapparatre comme ayant la mme adresse IP durant la ngociation IPCP avec les sites distants (IPCP est la portion de PPP qui active et configure le support
pour IP). Cet objectif est atteint par la cration dune interface de bouclage, laquelle on assigne la
mme adresse IP sur chaque routeur de site central, puis par lexcution de la commande de configuration dinterface ip unnumbered, avec ladresse de cette interface. Le problme avec cette stratgie est que OSPF tire lidentifiant de routeur de ladresse IP dune interface de bouclage, sil en
existe une configure ; il en rsulte un mme identifiant de routeur OSPF pour les trois routeurs
daccs.
La solution consiste crer une interface de bouclage 0, et lui assigner une adresse IP unique pour
chaque routeur (ce qui procure un identifiant de routeur OSPF unique chacun). La configuration
cre ensuite une interface de bouclage 1, puis lui assigne la mme adresse sur chaque routeur. Cette
interface permet lapplication de la commande ip unnumbered au groupe de rotation 20, plus tard
dans la configuration.
Configuration des interfaces asynchrones
La configuration de chaque routeur daccs de site central inclut les commandes suivantes pour
configurer chaque interface asynchrone :
interface async 1
ip unnumbered loopback 1
async dynamic address
async dynamic routing
async mode interactive
dialer in-band
dialer rotary-group 20
Pour chacune des seize interfaces asynchrones fournies par le routeur daccs, la configuration
utilise la commande de configuration dinterface ip unnumbered, afin de spcifier que linterface
doit utiliser ladresse IP de linterface de bouclage 1 en tant quadresse source pour les paquets
quelle gnre. Ladresse IP de linterface de bouclage 1 sert galement dterminer quels processus de routage envoient des mises jour sur linterface asynchrone.
La commande de configuration dinterface async dynamic address active ladressage dynamique
sur linterface asynchrone. Cette commande est ncessaire afin de permettre chaque routeur
Chapitre 20
673
distant dindiquer son adresse IP lorsquil ouvre une session. La commande de configuration
dinterface async dynamic routing autorise linterface excuter un protocole de routage, dans ce
cas RIP.
La commande de configuration dinterface async mode interactive autorise un routeur distant se
connecter et accder linterface de commande EXEC, ce qui lui permet de lancer PPP, et de
spcifier son adresse IP.
La commande de configuration dinterface dialer in-band autorise lusage des scripts de dialogue
sur linterface asynchrone. Ces scripts permettent au routeur daccs dappeler les sites distants. La
commande de configuration dinterface dialer rotary-group assigne chaque interface asynchrone
au groupe de rotation de numrotation 20.
Configuration de linterface de numrotation
La configuration de chaque routeur daccs de site central inclut les commandes suivantes pour
configurer linterface de numrotation 20 :
interface dialer 20
ip unnumbered loopback 1
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer map ip 172.16.2.1 name Router2 modem-script CALL1020 system-script REM 5551234
...
dialer map ip 172.16.121.1 name Router121 modem-script CALL1020 system-script REM
5555678
dialer-group 3
dialer-list 3 list 101
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 520
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
La commande de configuration globale interface dialer dfinit le groupe de rotation 20. Toutes
les commandes de configuration dinterface qui sont appliques un groupe de rotation de numrotation sappliquent galement aux interfaces physiques qui en sont membres. Lorsque la configuration dun routeur inclut de nombreuses destinations, chacune des interfaces du groupe de rotation
peut tre utilise pour effectuer un appel.
La commande de configuration dinterface ip unnumbered indique que ladresse IP de linterface de
bouclage 1 doit tre utilise pour tous les paquets IP susceptibles dtre gnrs par le groupe de rotation 20. La commande de configuration dinterface dialer idle-timeout provoque une dconnexion,
en labsence de trafic intressant au bout de 60 secondes.
La configuration inclut une commande de configuration dinterface dialer map pour chaque routeur
distant susceptible dtre appel par le routeur central. Le mot cl ip indique que la correspondance
de numrotation doit tre utilise pour les paquets IP, et que ladresse IP est ladresse de prochain
saut de la destination appeler. Le mot cl name indique le nom dhte du routeur distant qui doit
tre appel. Les mots cls modem-script et system-script spcifient respectivement lutilisation
des scripts de dialogue CALL1020 et REM. La dernire valeur fournie par la commande dialer map
est le numro de tlphone du routeur distant. Ces commandes dialer map nutilisent pas le mot cl
broadcast, ce qui empche les mises jour RIP dtre envoyes vers les sites distants.
674
Partie II
Etudes de cas
Chaque routeur daccs de site central utilise les commandes suivantes pour configurer OSPF. Ces
commandes limitent les routes qui sont redistribues dans OSPF aux routes principales statiques de
classe B, ainsi qu toute autre ventuelle route de sous-rseau dynamique pour les sites distants
actuellement connects. Le fait de limiter la redistribution de routes dans OSPF simplifie considrablement la maintenance de la table de routage du routeur Cisco 4500 :
router ospf 110
redistribute static subnets route-map STATIC-TO-OSPF
redistribute rip subnets route-map rip-to-ospf
passive-interface async 1
...
passive-interface async 16
network 172.19.0.0 0.0.255.255 area 0
distance 210
!
route-map rip-to-ospf permit
match ip address 20
!
access-list 20 permit 172.16.0.0 0.0.255.0
!
route-map static-to-ospf permit
match ip address 21
!
access-list 21 permit 172.16.0.0
La commande de configuration globale router ospf active le processus de routage OSPF, puis lui
assigne un identifiant de processus 110.
La premire commande de configuration de routeur redistribute entrane la redistribution des
routes IP statiques dans OSPF. Le mot cl subnets indique que les sous-rseaux doivent tre redistribus, et le mot cl route-map spcifie que seules les routes autorises par la correspondance de route
STATIC-TO-OSPF doivent tre redistribues. Cette dernire autorise la redistribution des routes qui
correspondent la liste daccs 21, qui, elle, autorise uniquement le rseau 172.16.0.0 principal.
La seconde commande de configuration de routeur redistribute entrane la redistribution des
routes RIP statiques dans OSPF. Le mot cl subnets indique que les sous-rseaux doivent tre
redistribus, et le mot cl route-map spcifie que seules les routes autorises par la correspondance
de route RIP-TO-OSPF doivent tre redistribues. Cette dernire autorise la redistribution des
routes qui correspondent la liste daccs 20, qui, elle, autorise uniquement les routes qui commencent par 172.16 et se terminent par .0 (le troisime octet est gnrique). En effet, la correspondance
de route RIP-TO-OSPF autorise uniquement les sous-rseaux qui correspondent ladresse
172.16.x.0.
Chapitre 20
675
Une commande de configuration de routeur passive-interface est applique pour chaque interface
asynchrone, ce qui signifie quaucune information de routage OSPF nest envoye ou reue via ces
interfaces. La commande de configuration de routeur distance assigne une distance administrative
de 210 au processus de routage OSPF. Cela permet aux routeurs daccs de site central de choisir
leurs routes statiques (avec une distance administrative de 200) la place des routes apprises par
OSPF.
NOTE
Lorsquun site distant ouvre une session et quune route dynamique est tablie pour cette connexion, les
autres routeurs daccs conservent leur route statique pour ce site distant. Lorsquun site distant se
dconnecte, les autres routeurs daccs nont pas besoin de mettre jour leurs tables de routage,
puisquelles contiennent toujours la route statique ncessaire pour appeler le site distant.
Chaque routeur daccs de site central utilise les commandes suivantes pour configurer RIP :
router rip
timers basic 30 35 0 1
network 172.16.0.0
distribute-list 10 out Dialer20
!
access-list 10 deny 0.0.0.0 255.255.255.255
La commande de configuration de routeur timers basic dfinit les valeurs des temporisateurs de
mise jour (update), dinvalidit (invalid), de retenue (holddown) et de nettoyage (flush). Cette
commande spcifie que les mises jour RIP doivent tre envoyes toutes les 30 secondes, quune
route doit tre dclare invalide si aucune mise jour nest reue pour cette route dans un dlai de
35 secondes aprs la mise jour prcdente, que le temps durant lequel les meilleures routes
doivent tre supprimes est de 0 seconde, et quune route invalide est limine de la table de routage
au bout de 1 seconde. La modification de ces temporisateurs, telle quelle est effectue ici, rsulte
en un temps de convergence optimal, lors de la dconnexion dun site distant.
La commande de configuration de routeur network indique que le rseau 172.16.0.0 doit participer
au processus de routage RIP. Puisquil nest pas ncessaire de propager les routes RIP vers les
routeurs Cisco 1020, la commande de configuration de routeur distribute-list out spcifie que la
liste daccs 10 doit tre utilise pour contrler les annonces dans les mises jour. La liste daccs
10 empche que les routes RIP ne soient envoyes vers les sites distants.
Configuration du routage statique
La configuration de chaque routeur daccs de site central inclut plusieurs commandes ip route,
limage de ce qui suit, pour configurer les routes statiques vers les sites distants :
ip route 172.16.0.0 255.255.0.0 Dialer20
La premire commande de configuration globale ip route cre une route statique pour le rseau
principal 172.16.0.0, puis lassigne linterface de numrotation 20. Lorsquelle est redistribue
dans OSPF, la route indique au routeur Cisco 4500 que ce routeur daccs de site central peut accder aux sites distants. Si ce routeur daccs tombe en panne, le routeur Cisco 4500 apprend que la
676
Partie II
Etudes de cas
route nest plus disponible il la supprime alors de sa table de routage. Cette route est redistribue
dans OSPF au moyen du filtre STATIC-TO-OSPF. La premire commande ip route est suivie de
couples de routes statiques, un couple pour chaque site distant :
ip route
ip route
...
ip route
ip route
Dans des environnements sans adressage IP ddi, deux routes statiques sont ncessaires pour
chaque site distant :
m
Une route statique pointe sur le prochain saut dans la correspondance de numrotation. Notez
que le chiffre "200" fait de cette route une route statique flottante, mais qui est infrieure aux
routes OSPF (dfinies 210 par la commande distance, plus haut dans la configuration). Cela
signifie quune route RIP dclenche par une connexion vers un site distant (quelle lait t au
moyen dun site distant ou du site central) remplace la route statique. Une mise jour OSPF
initie par un site distant qui se connecte nentrane pas le remplacement de la route statique qui
pointe sur ladresse de prochain saut dans la correspondance de numrotation.
Une route statique qui dfinit linterface sur laquelle peut tre trouve ladresse de prochain saut
(dans ce cas, linterface de numrotation 20). Cette route est requise par les interfaces sans
adresse ddie. Notez quil nest pas ncessaire de faire de cette route une route statique flottante.
Problmes de scurit
Au fur et mesure que le nombre de sites distants augmente, la taille du fichier de configuration sur
chaque routeur daccs de site central peut crotre, de telle manire que le fichier ne puisse plus tre
stock en mmoire NVRAM. Il existe deux moyens de rsoudre ce problme :
m
Faire en sorte que les routeurs daccs de site central dmarrent en utilisant des fichiers de configuration stocks sur un serveur TFTP (Trivial File Transfer Protocol).
Chapitre 20
677
Pour obtenir un exemple de configuration complte, voyez la section "Configuration du routeur 2",
plus loin dans ce chapitre.
Configuration de scripts de dialogue pour appeler le site central
La commande chat-script dfinit un script de dialogue, CENTRALDIAL, qui est utilis pour
appeler le site central. Ce script spcifie le numro de tlphone (55-1111) du site central, ainsi que
la squence attendre-envoyer qui guide le modem au cours du processus de numrotation. Une
fonction essentielle de ce script est que, au moment o le routeur distant reoit la chane ">"
(linvite qui lui indique une ouverture de session russie sur le routeur daccs), il envoie la
commande EXEC ppp 172.16.2.1, afin de fournir au routeur daccs son adresse IP.
Configuration des interfaces asynchrones
La configuration de chaque routeur distant inclut les commandes suivantes pour configurer une interface asynchrone :
interface async 1
speed 38400
modem-type usr-sport-v32
dialer rotary-group 1
!
modem-def usr-sport-v32 "USR Sportster v.32bis" 38400
La commande de configuration de ligne speed dfinit le dbit (en bauds) 38 400 bits par seconde,
en mission comme en rception. La commande modem-type spcifie la chane dinitialisation
envoye au modem, lorsque linterface est rinitialise ou que la commande clear interfaceasync est excute. La chane dinitialisation est dfinie pour usr-sport-v32 au moyen de la
commande modem-def. La commande de configuration dinterface dialer rotary-group assigne
linterface asynchrone 1 au groupe de rotation de numrotation 1.
Commande site
678
Partie II
Etudes de cas
session-timeout 5
system-script CENTRALDIAL
password secret
max-ports 1
La configuration de chaque routeur distant inclut les commandes de configuration globale ip route
suivantes :
ip
ip
ip
ip
ip
route
route
route
route
route
150.10.0.0
172.18.0.0
172.19.0.0
172.21.0.0
172.22.0.0
172.16.1.1
172.16.1.1
172.16.1.1
172.16.1.1
172.16.1.1
1
1
1
1
1
Ces commandes ip route dfinissent les routes IP statiques des rseaux situs au niveau du site
central, tous joignables par le biais dune adresse de prochain saut 172.16.1.1 (ladresse IP partage
par tous les routeurs daccs sur le site central). Toutes ces commandes spcifient une distance
administrative de 1, qui est la valeur par dfaut.
Chapitre 20
679
Configuration complte
Cette section prsente les configurations compltes des routeurs CENTRAL-1 et Router 2.
Configuration du routeur CENTRAL-1
Voici la configuration complte du routeur CENTRAL-1. Les portions qui doivent tre uniques
pour chaque routeur daccs de site central sont mises en gras :
!
version 10.2
service timestamps debug datetime
service timestamps log datetime
service udp-small-servers
service tcp-small-servers
!
hostname CENTRAL-1
!
enable-password as5100
!
username Router2 password 7 071C2D4359
...
username Router121 password 7 0448070918
!
chat-script CALL1020 ABORT ERROR ABORT BUSY TIMEOUT 30 "" "ATDT\T" "CONNECT" \c
chat-script REM TIMEOUT 40 "name:" "CENTRAL" "word:" "secret"
chat-script usrv32bis "" "AT&F1S0=1&d2" "OK" ""
!
interface loopback 0
ip address 172.16.254.3 255.255.255.255
!
interface loopback 1
ip address 172.16.1.1 255.255.255.0
!
interface ethernet 0
ip address 172.19.1.8 255.255.0.0
!
interface serial 0
no ip address
shutdown
!
interface async 1
ip unnumbered loopback 1
encapsulation ppp
async dynamic address
async dynamic routing
async mode interactive
dialer in-band
dialer idle-timeout 60
dialer rotary-group 20
...
interface async 16
ip unnumbered loopback 1
encapsulation ppp
async dynamic address
async dynamic routing
async mode interactive
dialer in-band
dialer idle-timeout 60
680
Partie II
Etudes de cas
dialer rotary-group 20
!
interface dialer 20
ip unnumbered loopback 1
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer fast-idle 60
dialer map ip 172.16.2.1 name Router2 modem-script CALL1020 system-script REM 5551234
...
dialer map ip 172.16.121.1 name Router121 modem-script CALL1020 system-script REM
5555678
dialer-group 3
!
router ospf 110
redistribute static subnets route-map STATIC-TO-OSPF
redistribute rip subnets route-map RIP-TO-OSPF
passive-interface async 1
...
passive-interface async 16
network 172.19.0.0 0.0.255.255 area 0
distance 210
!
router rip
timers basic 30 35 0 1
network 172.16.0.0
distribute-list 10 out Dialer20
!
ip default-gateway 172.19.1.10
!
ip route 172.16.0.0 255.255.0.0 Dialer20
ip route 172.16.2.0 255.255.255.0 172.16.2.1 200
ip route 172.16.2.1 255.255.255.255 Dialer20
...
ip route 172.16.121.0 255.255.255.0 172.16.121.1 200
ip route 172.16.121.1 255.255.255.255 Dialer20
access-list
access-list
access-list
access-list
access-list
Chapitre 20
681
txspeed 38400
flowcontrol hardware
line aux 0
transport input all
line vty 0 4
exec-timeout 20 0
password cisco
login
!
end
Configuration de Router 2
Voici la configuration complte de Router 2. Les portions qui doivent tre uniques pour chaque
routeur distant sont mises en gras :
version 1.1(2)
!
hostname Router2
!
enable-password cisco-a
!
chat-script CENTRALDIAL "" "ATDT 5551111" "CONNECT" "" "name:" "Router2" "word:"
"secret" ">" "ppp 172.16.2.1"
!
interface ethernet 0
ip address 172.16.2.1 255.255.255.0
!
interface async 1
speed 38400
modem-type usr-sport-v32
dialer rotary-group 1
!
site CENTRAL
dial-on demand
encapsulation ppp
ip address 172.16.1.1 255.255.255.0
routing rip broadcast
dialgroup 1
session-timeout 5
system-script CENTRALDIAL
password secret
max-ports 1
!
modem-def usr-sport-v32 "USR Sportster v.32bis" 38400 "" "AT&F1" "OK"
!
ip route 150.10.0.0 172.16.1.1 1
ip route 172.18.0.0 172.16.1.1 1
ip route 172.19.0.0 172.16.1.1 1
ip route 172.21.0.0 172.16.1.1 1
ip route 172.22.0.0 172.16.1.1 1
682
Partie II
Etudes de cas
connecter au rseau augmente galement. Une solution de connexion distance volutive est ncessaire afin de faire face la demande en ports de connexions entrantes. Il est frquent, pour une
entreprise croissance rapide, de passer en moins dun an de 50 200 modems. Il est recommand
de toujours prvoir un certain nombre de ports de connexions entrantes afin de pouvoir sadapter
lexpansion de la socit ainsi quaux pointes occasionnelles de demandes daccs. Dans une entreprise croissance rapide qui dispose, ses dbuts, de 50 modems installs pour 3 000 utilisateurs
distants enregistrs, seuls 20 30 modems sont actifs la plupart du temps. Un an plus tard,
200 modems pourraient tre installs pour supporter 8 000 utilisateurs.
Gardez toujours lesprit que la demande globale daccs distant peut galement augmenter ponctuellement de faon considrable, par exemple lors doccasions spciales pour lentreprise. Dans
ces situations, les lignes entrantes sont fortement sollicites, de jour, mais galement dans la soire,
en raison daccs distance la messagerie et aux fichiers partags via des ordinateurs portatifs, ce
qui signifie que des utilisateurs travaillent partir de leur domicile. Les administrateurs de rseau
doivent se prparer ces pointes daccs distance, qui font soudain crotre la demande. De plus,
vous pouvez parfois observer, certains moments de la journe, une utilisation intensive des lignes,
sans quil y ait de rapport avec lactivit en cours. Cela peut sexpliquer par des oprations de tlchargement de fichiers ou de consultation de messagerie sur le site central, inities par des utilisateurs qui travaillent dans des succursales, ou itinrants. Ces utilisateurs se connectent souvent au
rseau dentreprise partir du rseau local de leur bureau distant en utilisant RNIS, ou bien partir
dune chambre htel, au moyen dun modem.
Il existe plusieurs profils dutilisateurs qui se connectent au rseau dentreprise distance :
m
Les utilisateurs qui emploient des stations de travail afin de se connecter au rseau de lentreprise
partir dun petit bureau distant ou de leur domicile. Ils exploitent des connexions RNIS avec
adaptateurs de terminaux, ou cartes PC sur le rseau RTC, qui ne ncessitent pas de modem.
Les utilisateurs itinrants, tels que les commerciaux, qui se connectent habituellement au rseau
de lentreprise via le rseau RTC, au moyen dun ordinateur portatif dot dun modem, et qui
consultent surtout la messagerie ou transfrent de nouveaux fichiers.
Les utilisateurs qui travaillent la plupart du temps dans les bureaux de la socit, mais qui se
connectent occasionnellement distance, laide dune station de travail mobile ou fixe avec
modem, afin daccder principalement la messagerie et aux fichiers partags.
Les rseaux locaux de bureaux distants utilisent principalement RNIS pour se connecter dautres
rseaux, en raison de la bande passante que fournit ce mdia et que les connexions tlphoniques
analogiques ne peuvent atteindre. Ceux qui utilisent le Frame Relay pour accder dautres rseaux
requirent une liaison ddie. Dans certaines situations, les connexions inities par ces bureaux
distants ou par des utilisateurs itinrants sont tablies uniquement lorsque cela est ncessaire, ce qui
implique des conomies pour lentreprise. Lorsque le routage DDR est mis en uvre, les utilisateurs peuvent demeurer non connects pendant de longs moments. Le nombre de nuds distants qui
ncessitent un accs est relativement faible, et le temps dtablissement des connexions est court. Si
le routage DDR est exploit sur des configurations purement IP, des routes statiques sont gnralement utilises pour les connexions distance. Sur les rseaux IPX, le routage Snapshot permet de
limiter la complexit de configuration.
Chapitre 20
683
Ce sont rarement les sites centraux qui se connectent aux rseaux LAN ou utilisateurs distants, mais
plutt linverse ; cette communication est unidirectionnelle. A de trs rares occasions, le serveur
daccs de site central (par exemple, un Cisco AS5300) doit contacter un site distant (par exemple,
un routeur RNIS Cisco 1604) en mme temps quil reoit des appels entrants. Une fois la connexion
tablie, le site distant excute une application de traitement par lots avec le mainframe du site
central. Pendant le transfert des fichiers entre les deux sites, un autre site distant peut se connecter
au site central. Les appels distants analogiques ou numriques se font habituellement vers des
routeurs RNIS distants, tel le Cisco 1604. De plus, comme nous lavons mentionn, ils sont plutt
initis par un PC distant en direction du site central. Il peut galement arriver quun site central
appelle un site distant, en rponse une demande de livraison de courrier lectronique. La fonction
de rappel (callback) est active uniquement pour les connexions entrantes. Noubliez pas que MMP
(MultiChassis MultiLink PPP) et VPDN (Virtual Private Dialup Network) sont des solutions de
connexion entrante uniquement.
Configuration dun seul serveur daccs Cisco, par exemple un AS52/53/5800, au niveau du
point daccs afin de recevoir les appels analogiques de la part de PC distants connects des
modems. Pour les solutions de petite taille, le point daccs du FAI au niveau du site central
pourrait galement utiliser un serveur daccs Cisco 2511 connect des modems externes.
Dans ce cas, les PC des clients distants se connecteraient au moyen de modems analogiques sur
des lignes T1 traditionnelles. Les appels RNIS ne sont pas supports sur les anciennes lignes
fractionnes. La configuration suppose que le client peut appeler et se connecter au routeur en
mode dmulation de terminal (texte seulement) ou en mode paquet PPP.
Configuration dun seul serveur daccs Cisco, par exemple un AS52/53/5800, afin de recevoir
des appels multilignes numriques de la part de PC distants connects des adaptateurs de
terminaux. Le point daccs au niveau du site central du FAI peut tre nimporte quel routeur
684
Partie II
Etudes de cas
Cisco qui supporte RNIS PRI, tel le Cisco 4700-M charg avec un module de rseau PRI T1
fractionn.
m
Configuration dun seul serveur daccs Cisco, par exemple un AS52/53/5800, afin de recevoir
des appels de PC distants connects des adaptateurs de terminaux ou des modems. Etant
donn que lInternet crot de faon exponentielle, ainsi que les demandes daccs lInternet, de
nombreux oprateurs tlphoniques et fournisseurs FAI doivent mettre en place des points
daccs de grande taille. Les configurations de laccs lInternet peuvent tre dfinies de faon
autoriser les appels entrants dutilisateurs distants qui se connectent partir dordinateurs individuels, ainsi qu tablir des connexions mixtes, via des liaisons multilignes RNIS ou par
modem, une pile de serveurs daccs universels qui excutent MMP. Lors dappels RNIS
entrants, un lment dinformation de capacit du canal porteur contenu dans le paquet de
demande de connexion indique si lappel est de type voix ou donnes. Une fois que les appels
ont t accepts par le serveur daccs, ils sont routs soit vers la configuration srie, soit vers la
configuration avec modems et groupe asynchrone.
Rsum
Cette tude de cas montre quil est possible dadapter le routage DDR de grands rseaux
commutation de circuits. Dans le futur, si le nombre de sites distants dpasse la capacit des
48 interfaces asynchrones, des routeurs supplmentaires pourront tre installs, sans avoir modifier la stratgie de routage. Ce chapitre a galement abord les aspects relatifs la conception de
rseaux commuts dentreprise et de fournisseurs de services Internet.
21
Emploi efficace de RNIS
en milieu multiprotocole
Par Salman Asad
Le dveloppement de RNIS en tant que moyen de connexion pour les sites distants est li la multiplication des services RNIS proposs par les oprateurs tlphoniques. Cette tude de cas couvre
les scnarios RNIS suivants :
m
Configuration du routage Snapshot sur RNIS. Le routage Snapshot assure un accs rentable au
rseau dentreprise, partir dune agence ou dun bureau domicile. Cette mthode de routage
est employe pour faire voluer le rseau de tltravail et contrler les mises jour de routage sur
les rseaux Novell IPX.
Configuration dAppleTalk sur RNIS. Ce scnario illustre comment contrler les paquets
AppleTalk susceptibles de dclencher des connexions RNIS inutiles.
Configuration de IPX sur RNIS. Ce scnario dcrit comment configurer IPX comme tant un
protocole de niveau 3 pour RNIS.
686
Partie II
Etudes de cas
lenvironnement Clean Air Act, et de dvelopper la productivit des employs. En Europe, les entreprises recherchent des solutions qui permettent des bureaux distants de se connecter aux sites
centraux. Par le pass, les modems analogiques assuraient la connectivit ncessaire sur des lignes
srie, mais ils ne sont pas assez rapides pour des connexions entre rseaux locaux (LAN) ou pour
lutilisation distante de programmes graphiques, tels les outils de CAO (conception assiste par
ordinateur). Le principal avantage de RNIS est quil fournit la bande passante supplmentaire
ncessaire, sans avoir utiliser de lignes loues.
Un accs RNIS de base via linterface BRI (Basic Rate Interface) fournit deux canaux B 64 Kbit/s
pour le transport de la voix et des donnes, et un canal D 16 Kbit/s pour la signalisation. Les informations vocales et les donnes sont transportes numriquement sur les canaux B. Aux Etats-Unis,
laccs RNIS primaire avec linterface PRI (Primary Rate Interface) peut fournir 23 canaux B
64 Kbit/s pour le transport de la voix et des donnes sur une ligne T1, et un canal D 64 Kbit/s pour
la signalisation. En Europe, un accs RNIS primaire fournit 30 canaux B pour le transport de la voix
et des donnes, et un canal D pour la signalisation sur une ligne E1.
La Figure 21.1 illustre le rseau qui sert dexemple pour cette tude de cas. Il utilise plusieurs
commutateurs RNIS de bureau central.
Figure 21.1
Exemple de rseau RNIS.
DMS-100
Cisco 2503
Dave
2503
Nick
Dans cette tude de cas, les sites distants ( domicile) exploitent des routeurs Cisco 2503 qui fournissent une interface BRI, une interface Ethernet et deux interfaces srie haute vitesse. Sur le site
central de lentreprise, un routeur de la srie Cisco 7000 quip dune ligne T1 fractionne rpond
aux appels. La carte de ligne T1 fractionne fournit une interface PRI.
Dans de nombreux endroits des Etats-Unis, les compagnies de tlphone nont pas dploy le
systme de signalisation SS7 (Signaling System 7), ce qui signifie que les appels entre certains
bureaux centraux doivent tre tablis la vitesse de 56 Kbit/s. Cette restriction ne sapplique pas
lensemble des Etats-Unis, ou dautres pays, mais elle concerne certains des exemples de rseaux
RNIS dcrits dans ce chapitre.
Chapitre 21
687
Si vous utilisez un adaptateur de terminal RNIS externe, galement dsign modem RNIS, vous
pouvez vous inspirer des exemples de configuration fournis au Chapitre 19. Bien quun modem
RNIS assure une connectivit RNIS et permette lusage dinterfaces srie existantes, il ne reprsente pas toujours une solution optimale, eu gard linvestissement ncessaire lacquisition dun
dispositif externe et du cblage supplmentaire. De plus, lemploi de la numrotation V.25bis
napporte pas au routeur un accs complet certaines informations, pourtant disponibles sur un
rseau RNIS, telles que la vitesse de lappel ou le numro de lappelant.
Linterface pour RNIS natif sur le routeur Cisco 2503 lui permet dtre directement connect une
terminaison numrique de rseau (TNR), ou NT1 (Network Termination-1). Dans de nombreux
pays, la terminaison est fournie par le prestataire de services. Aux Etats-Unis, cet quipement
appartient au client. En se connectant directement au rseau, le routeur dispose dun meilleur
contrle sur les paramtres RNIS, et peut accder aux informations RNIS.
Configuration dune interface RNIS
La configuration dune interface pour RNIS natif est semblable celle dune interface srie qui
utilise le routage DDR (voir Chapitre 19). Il y a toutefois deux diffrences principales :
m
La commande dialer in-band nest pas requise avec RNIS. Les interfaces PRI et BRI apparaissent pour le routeur comme tant une interface DDR.
Les canaux B individuels ne peuvent pas tre configurs sparment. Ceux dune interface BRI
apparaissent comme tant un groupe de rotation de numrotation avec deux membres. Ceux
dune interface PRI apparaissent, aux Etats-Unis, avec 23 membres, et en Europe avec 30
membres. Etant donn quune interface PRI ou BRI est un groupe de rotation de numrotation,
toutes les commandes de configuration qui lui sont associes sappliquent tous les canaux B.
Les sections suivantes dcrivent la configuration de routeurs de site central et de sites distants. Dans
cette tude de cas, ces deux types de sites peuvent effectuer des appels. Le site central utilise un
routeur Cisco 7000, qui est connect un commutateur RNIS de bureau central NorTel DMS-100.
Lun des routeurs de site distant (nick-isdn) est connect au mme commutateur que le routeur de
site central. Les connexions en provenance de lautre routeur de site distant (dave-isdn) passent par
deux commutateurs de bureau central pour atteindre le routeur du site central.
Site central
Deux utilisateurs de sites distants, Dave et Nick, tablissent des appels partir de leur domicile
respectif vers le routeur du site central, qui est configur comme suit. Une partie de la configuration
est spcifique au commutateur DMS-100, alors que les autres commandes sappliquent tout type
de commutateur RNIS de bureau central :
hostname central-isdn
!
username dave-isdn password 7 130318111D
username nick-isdn password 7 08274D02A02
isdn switch-type primary-dms100
!
interface ethernet 0
ip address 11.108.40.53 255.255.255.0
688
Partie II
Etudes de cas
no mop enabled
!
controller t1 1/0
framing esf
linecode b8zs
pri-group timeslots 2-6
!
interface serial 1/0:23
ip address 11.108.90.53 255.255.255.0
encapsulation ppp
dialer idle-timeout 300
dialer map ip 11.108.90.1 name dave-isdn speed 56 914085553680
dialer map ip 11.108.90.7 name nick-isdn 8376
dialer-group 1
ppp authentication chap
!
router igrp 10
network 11.108.0.0
redistribute static
!
! route vers nick-isdn
ip route 11.108.137.0 255.255.255.0 11.108.90.7
! route vers dave-isdn
ip route 11.108.147.0 255.255.255.0 11.108.90.1
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
!NTP
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123
!SNMP
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 161
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.25 du nom
dhte.255
!
dialer-list 1 list 101
Chapitre 21
689
La commande pri-group dsigne une interface PRI sur une carte T1 fractionne, sur un routeur de
la srie Cisco 7000. Le mot cl timeslots dfinit les canaux B. Dans cet exemple, seuls 5 canaux B
(canaux 2 6) sont utiliss sur ce contrleur.
Configuration dinterface
La commande ip address dfinit ladresse IP de linterface ; la commande encapsulation ppp
dfinit le protocole PPP (Point-to-Point Protocol) en tant que mthode dencapsulation. PPP
supporte les protocoles CHAP (Challenge Handshake Authentication Protocol) et PAP (Password
Authentication Protocol) en tant que mcanismes dauthentification de lappelant, et galement afin
dassurer un certain niveau de scurit. La commande dialer idle-timeout dfinit un dlai dinactivit de cinq minutes.
Les commandes dialer map dfinissent les sites distants que le routeur peut appeler. Etant donn
que le routeur de Dave se connecte un commutateur de bureau central qui nutilise pas le systme
de signalisation SS7, la commande dialer map excute pour lappeler contient le mot cl speed,
valide seulement avec les interfaces pour RNIS natif. Linterface pour RNIS natif sur le Cisco 2503
opre 64 Kbit/s ou 56 Kbit/s. Si lappelant et lappel utilisent le mme commutateur RNIS, ils
peuvent communiquer 64 Kbit/s. Sinon, ils doivent communiquer 56 Kbit/s.
Etant donn que la ligne RNIS de Nick se connecte sur le site central au moyen du mme commutateur que le routeur du site central, le numro de tlphone dans la commande dialer map
utilis pour se connecter au routeur de Nick na pas besoin dinclure le prfixe trois chiffres.
Note : tant donn que le routeur de site central utilise des lignes qui font partie dun Centrex, les
numros de tlphone pour les appels sortants commencent par un 9, sils ne sont pas composs de
quatre chiffres.
La commande dialer-group associe linterface BRI au groupe daccs de numrotation 1. La
commande ppp authentication chap active lauthentification CHAP.
Configuration du routage
Dans le listing de configuration relative au routage, la commande router igrp active le protocole
IGRP (Interior Gateway Routing Protocol), et dfinit le systme autonome avec le numro 10. La
commande network assigne le numro de rseau. La commande redistribute envoie des informations de route statique (dfinies avec les commandes ip route) aux autres routeurs de la mme zone
IGRP. Sans cette commande, les autres routeurs connects au site central ne disposeraient pas de
chemin vers les routeurs distants.
DDR a tendance faire une utilisation intensive des routes statiques, car les mises jour de routage
ne sont pas reues lorsque la connexion par circuit commut nest pas active. Les deux premires
commandes ip route crent les routes statiques qui dfinissent les sous-rseaux que Dave et Nick
utilisent.
NOTE
Les commandes IGRP sont les mmes sur tous les routeurs de site central ; cependant, les routes statiques correspondent aux sites domicile qui appellent le routeur de site central.
690
Partie II
Etudes de cas
Les configurations des routeurs de sites domicile sont analogues, mais celle de Nick est plus
simple, car son routeur se connecte au mme commutateur de bureau central que le routeur du site
central.
Configuration de Nick
La configuration pour le routeur de Nick est la suivante :
hostname nick-isdn
!
username central-isdn password 7 050D130C2A5
isdn switch-type basic-dms100
!
interface ethernet 0
ip address 11.108.137.1 255.255.255.0
no mop enabled
!
interface bri 0
ip address 11.108.90.7 255.255.255.0
encapsulation ppp
no ip route-cache
isdn spid1 415555837601 5558376
isdn spid2 415555837802 5558378
dialer idle-timeout 300
dialer map ip 11.108.90.53 name central-isdn 8362
dialer map ip 11.108.90.53 name central-isdn 8370
dialer-group 1
ppp authentication chap
!
ip route 11.108.0.0 255.255.0.0 11.108.90.53
!
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 177
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
!
dialer-list 1 list 101
A linstar du routeur du site central, la commande isdn switch-type indique que le commutateur
est un dispositif NT DMS-100. Etant donn que le routeur de Nick se connecte au DMS-100, les
identifiants de profil de service SPID (Service Profile Identifier) sont requis pour linterface BRI.
PPP et CHAP sont configurs laide dune commande username pour le routeur de site central. La
configuration pour le routeur de Nick diffre de celle du site central en ce qui concerne les commandes dialer map et la section de routage. Deux commandes dialer map pointent vers la mme adresse
Chapitre 21
691
de prochain saut. Si une tentative dappel du premier numro choue, le second sera utilis pour la
connexion vers ladresse de prochain saut.
Les commandes isdn spid1 et isdn spid2 reprsentent les identifiants SPID. Ils sont utiliss
lorsquune interface BRI se connecte un commutateur NorTel DMS-100 ou National ISDN-1. Les
SPID sont assigns par le fournisseur de services afin dassocier un numro de profil de service un
numro de tlphone. Les autres types de commutateurs ne ncessitent pas de SPID. Votre fournisseur de services peut vous indiquer si votre commutateur exige ou non lemploi didentifiants SPID.
Dans cet exemple, le SPID 1 identifie 415 comme tant le code de zone, 555 comme tant le code
dautocommutateur, 8376 comme tant lidentifiant de station et 01 comme tant lidentifiant de
terminal. Le format de SPID requis par votre fournisseur de services peut diffrer des exemples
prsents dans cette tude de cas.
Configuration de Dave
La configuration du routeur de Dave est analogue celle du routeur de Nick, except quil ne se
trouve pas dans le mme Centrex que le site central de lentreprise. Voici sa configuration :
hostname dave-isdn
!
username central-isdn password 7 08274341
isdn switch-type basic-5ess
!
interface ethernet 0
ip address 11.108.147.1 255.255.255.0
no mop enabled
!
interface bri 0
ip address 11.108.90.1 255.255.255.0
encapsulation ppp
no ip route-cache
bandwidth 56
dialer map ip 11.108.90.53 name central-isdn speed 56 14155558370
dialer-group 1
ppp authentication chap
!
ip route 11.108.0.0 255.255.0.0 11.108.90.53
!
dialer-list 1 list 101
Le routeur de Dave se connecte au commutateur RNIS de bureau central AT&T 5ESS, qui nutilise
pas la signalisation SS7. La commande isdn switch-type spcifie un commutateur AT&T, avec un
dbit de base qui nexige pas lemploi des commandes isdn spid1 et isdn spid2 que requiert le
commutateur DMS-100. La commande bandwidth indique aux protocoles de routage que la ligne
opre 56 Kbit/s. La commande dialer map utilise le mot cl speed afin que la ligne soit tablie
une vitesse de 56 Kbit/s lors dun appel effectu vers le site central. Ce paramtre est ncessaire
lorsque la connexion traverse un commutateur qui nutilise pas la signalisation SS7.
Configuration des numros didentification de lignes appelantes
Etant donn que Nick se trouve dans le mme Centrex que le routeur du site central, ce dernier peut
utiliser le numro didentification de ligne appelante (CLID, Calling Line Identification) reu du
commutateur RNIS afin didentifier Nick. Avec le service CLID, la configuration de Nick ne
692
Partie II
Etudes de cas
ncessite pas lemploi de CHAP ou PAP, mais elle doit tre modifie afin dinclure le CLID. Les
sections suivantes prsentent les modifications apportes aux configurations des routeurs de Nick et
du site central.
NOTE
Le service CLID nest pas disponible dans toutes les rgions des Etats-Unis, ni dans tous les pays. Certains
pays ne ncessitent pas lutilisation dun Centrex pour le CLID.
Site central
Voici la configuration de linterface PRI du site central, modifie pour lutilisation du CLID :
controller t1 1/0
framing esf
linecode b8zs
pri-group timeslots 2-6
!
interface serial 1/0:23
ip address 11.108.90.53 255.255.255.0
dialer idle-timeout 300
dialer map ip 11.108.90.7 name 5558376 8376
dialer-group 1
Le mot cl name, dans la commande dialer map, spcifie la chane relle que lidentification de
ligne appelante renvoie. Cette chane diffre du numro appel, celui-ci tant un numro de Centrex
quatre chiffres ; le numro retourn est le numro complet sept chiffres.
Site domicile
A linstar du site central, la principale diffrence dans la configuration de Nick est lutilisation du
mot cl name, avec la commande dialer map, qui spcifie le vrai numro de ligne appelante renvoy :
interface bri 0
ip address 11.108.90.7 255.255.255.0
no ip route-cache
isdn spid1 415555837601 5558376
isdn spid2 415555837802 5558378
dialer idle-timeout 300
dialer map ip 11.108.90.53 name 5558362 8362
dialer map ip 11.108.90.53 name 5558370 8370
dialer-group 1
NOTE
Si la commande EXEC debug isdn-q931 est active, le dcodage pour un appel entrant peut tre vu, et le
numro CLID apparat.
Etant donn que Dave est situ plusieurs kilomtres du bureau central, les appels entrants sur le
routeur du site central sont compts et facturs sur son numro. La fonction de rappel (introduite
dans Cisco IOS 11.0) permet au routeur de Dave deffectuer un appel pour demander au routeur du
Chapitre 21
693
site central de le rappeler. Lors dun appel de Dave, le routeur central interrompt la connexion
tablie, puis rappelle le routeur appelant. Avec cette fonction, la facture tlphonique de Dave est
rduite, car les transferts de donnes rels se produisent lorsque le routeur du site central rappelle.
Les commandes suivantes configurent le rappel sur le routeur de Dave :
interface bri 0
ppp callback request
dialer hold-queue 100 timeout 20
La commande ppp callback, avec le mot cl request, spcifie que, lorsquune interface tablit une
connexion, cest pour demander le rappel. La commande dialer hold-queue spcifie quun maximum de 100 paquets peuvent tre maintenus dans une file dattente, jusqu ce que le routeur de site
central rappelle. Sil ne le fait pas dans un dlai de 20 secondes, auquel on ajoute le dlai dexpiration du temporisateur dactivation enable-timeout, les paquets sont supprims. Les commandes
suivantes configurent le routeur du bureau central :
map-class dialer class1
dialer callback-server username
interface serial 1/0:23
dialer map ip 11.108.90.1 name dave-isdn speed 56 class class1 914085553680
ppp callback accept
dialer callback-secure
dialer enable-timeout 1
dialer hold-queue
La commande map-class dfinit un paramtre de qualit de service (QoS), qui doit tre associ une
entre statique. Le mot cl dialer spcifie que lentre assigne est une correspondance de numrotation. Le paramtre class1 est une valeur dfinie par lutilisateur, qui cre une classe de correspondance
laquelle des commandes dencapsulation spcifiques sappliquent.
La commande dialer map a t modifie afin dinclure le mot cl class ainsi que le nom de la
classe spcifie dans la commande map-class. Le mot cl name est requis pour que, lors dun appel
en provenance du routeur de Dave, linterface puisse localiser cette instruction de correspondance
de numrotation, et obtenir la chane qui permet de le rappeler.
La commande ppp callback, avec le mot cl accept, permet linterface dhonorer les demandes
de rappel quelle reoit. Le service de rappel dpend du mcanisme dauthentification PPP, savoir
PAP ou CHAP.
La commande dialer callback-server permet linterface de retourner des appels, lorsque la
demande a t ngocie avec succs. Le mot cl username indique linterface de localiser la chane
de numrotation pour le rappel, en recherchant le nom dhte authentifi dans la commande dialer
map.
La commande dialer callback-secure spcifie que le routeur doit dconnecter lappel initial, et
rappeler uniquement sil possde une commande dialer map, avec une classe dfinie pour le routeur
distant. Dans le cas o la commande dialer callback-secure nest pas prsente, le routeur central
ne relchera pas la connexion si elle ne possde pas de commande dialer map, avec une classe
dfinie. La commande dialer enable-timeout prcise que linterface doit attendre une seconde
aprs la libration de la connexion initiale avant de rappeler.
694
Partie II
Etudes de cas
RIP et SAP (Service Advertisement Protocol) pour Novell IPX (Internet Packet Exchange) ;
Lobjectif du routage Snapshot est de permettre aux protocoles de routage dchanger des mises
jour, comme ils le feraient normalement. Etant donn que EIGRP ainsi que les protocoles par tat
de lien, tels Novell NSLP (Novell Link Services Protocol), OSPF (Open Shortest Path First) et
IS-to-IS (Intermediate System-to-Intermediate System), sappuient sur lenvoi frquent de messages
Hello aux routeurs adjacents afin de dcouvrir et de maintenir les routes, ils sont incompatibles avec
le routage Snapshot.
NOTE
Cette tude de cas applique le routage Snapshot sur un rseau RNIS, mais dautres mdias semblables, tels
que les lignes loues ddies, peuvent bnficier de la rduction des mises jour priodiques que le
routage Snapshot assure.
Avant lapparition du routage Snapshot, introduit avec la version 10.2 du systme Cisco IOS, les
interfaces RNIS taient configures au moyen de routes statiques. A linstar des routes dfinies par
les commandes ip route dans la section "Site central", plus haut dans ce chapitre, les routes statiques empchent la bande passante dtre consomme par les mises jour de routage. Elles sont
toutefois difficiles maintenir au fur et mesure que le rseau grandit.
Le routage Snapshot supporte les routes dynamiques en autorisant les mises jour de routage
durant une priode active, et rduit les cots de connexion en supprimant les mises jour qui se
produisent durant une priode de repos, qui peut atteindre 65 jours. Durant cette priode de repos,
les tables de routage des routeurs situs aux deux extrmits dune liaison sont geles. La
Figure 21.2 illustre la succession de ces priodes.
Figure 21.2
Priode active et priode
de repos.
Mises jour de
routage changes
Mises jour de
routage non changes
Mises jour de
routage changes
Priode
active
Priode de repos
Priode
active
Temps (minutes)
Chapitre 21
695
Durant la priode active, les routeurs situs chaque extrmit de la connexion schangent normalement les mises jour pour leurs protocoles de routage configurs. Ils poursuivent ces changes
jusqu ce que la priode active se termine. Ensuite, chaque routeur gle ses tables de routage,
arrte lenvoi des mises jour, puis entre dans une priode de repos. Chaque routeur demeure dans
cet tat jusqu ce quun temporisateur configurable expire. A ce moment, les routeurs initient une
connexion pour envoyer et recevoir de nouveau les mises jour.
Pour sassurer que les tables de routage sont bien mises jour, la priode active doit tre suffisamment longue, afin que plusieurs mises jour soient changes. Une priode trop brve pourrait ne
permettre qu une seule mise jour de traverser la liaison. De plus, si la mise jour est perdue, en
raison du bruit par exemple, le routeur situ lautre extrmit pourrait considrer une route valide
comme tant inutilisable, ou ne pas prendre connaissance dune nouvelle route valide. Pour sassurer que les mises jour se produisent correctement, la priode active doit reprsenter au minimum
cinq minutes (cest--dire trois fois plus que lintervalle de mise jour des protocoles de routage).
Etant donn que les protocoles de routage mettent jour leur table de routage durant la priode
active, comme ils le font normalement, il nest pas ncessaire dajuster un temporisateur quelconque de protocole de routage.
Si la ligne nest pas disponible lorsque le routeur passe de la priode de repos la priode active, il
entre dans une priode de transition. Durant cette priode, le routeur tente continuellement de se
connecter, jusqu ce quil puisse entrer dans la priode active (voir Figure 21.3).
Figure 21.3
Priode de transition
durant laquelle
le routeur tente
continuellement
de se connecter.
Priode
active
Priode de
transition
Priode
active
Priode
active
Priode de repos
Temps (minutes)
Configurable
Dure minimale
Dure maximale
Active
Oui
5 minutes
100 minutes
Repos
Oui
5 minutes
65 jours
Transition
Non
8 minutes
8 minutes
Par dfaut, le routage Snapshot autorise lchange des mises jour sur des connexions tablies pour
transfrer les donnes utilisateur. Ainsi, en cas de besoin, le routage Snapshot force la connexion
durer aussi longtemps que la priode active de mise jour. Si vous ne souhaitez pas que les routeurs
changent des mises jour sur les connexions utilisateur, utilisez le mot cl suppress-statechange-updates.
696
Partie II
Etudes de cas
Le routage Snapshot convient bien sur la topologie hub-and-spoke du rseau de tltravail, dcrit
la section "Configuration de DDR sur RNIS", au dbut de ce chapitre. Le routage Snapshot est
conu pour la relation client-serveur. Les routeurs clients, tels ceux des sites domicile, dterminent la frquence selon laquelle ils changent les mises jour, grce la configuration dune
priode de repos ; le routeur serveur accepte les connexions Snapshot entrantes de la part de
plusieurs routeurs clients.
NOTE
Le routage Snapshot nest pas recommand pour les topologies mailles. En effet, sur ces topologies, la
configuration de routes statiques est plus efficace que le routage Snapshot.
Chapitre 21
697
Les commandes ip route, qui configuraient les routes statiques pour les sites domicile, ont t
supprimes de la configuration. La commande snapshot server active le routage Snapshot. La
valeur "5" dfinit une dure de priode active de cinq minutes.
NOTE
Le routage Snapshot doit tre configur sur des interfaces de rotation dfinies au moyen de la commande
dialer rotary-group. Les interfaces RNIS tant par dfinition des interfaces de rotation, vous navez
donc pas besoin dutiliser cette commande sur des configurations RNIS.
Voici la configuration du routeur du site de Dave, aprs modification pour le routage Snapshot :
hostname dave-isdn
!
username central-isdn password 7 08274341
isdn switch-type basic-5ess
!
interface ethernet 0
ip address 11.108.147.1 255.255.255.0
no mop enabled
!
interface bri 0
ip address 11.108.90.1 255.255.255.0
encapsulation ppp
no ip route-cache
bandwidth 56
dialer map snapshot 1 name central-isdn 14155558370
dialer map ip 11.108.90.53 name central-isdn speed 56 14155558370
dialer-group 1
snapshot client 5 43200 suppress-statechange-updates dialer
ppp authentication chap
!
dialer-list 1 list 101
Les commandes ip route, qui configuraient les routes statiques pour les sites domicile, ont t
supprimes de la configuration. La commande dialer map snapshot dfinit une correspondance
(dont le numro de squence est 1), que le routeur utilise pour se connecter au routeur de site central
pour lchange de mises jour de routage. Le mot cl name spcifie le nom du routeur distant qui est
associ la chane de numrotation. Etant donn que la commande ppp authentication chap active
lauthentification CHAP, ce routeur reoit le nom du routeur central lorsquil lappelle, puis le
compare avec le nom spcifi, laide du mot cl name.
La commande snapshot client dfinit une priode active de cinq minutes (la valeur doit correspondre celle dfinie dans la configuration du serveur Snapshot), et une priode de repos de 43 200
secondes (12 heures). Le mot cl suppress-statechange-updates empche les routeurs dchanger
des mises jour sur des connexions tablies pour le transfert des donnes utilisateur. Le mot cl
698
Partie II
Etudes de cas
dialer autorise le routeur client appeler le routeur serveur en labsence de trafic ordinaire ; il est
ncessaire lorsque vous utilisez le mot cl suppress-statechange-update.
Rseau Novell IPX avec routage Snapshot
Cette section dcrit un rseau Novell IPX pour lequel le routage Snapshot a t configur. Les
routeurs clients sur les sites dagence utilisent DDR pour se connecter un routeur central, via
RNIS. Sur le site central, des serveurs NetWare utilisent le protocole Novell IPX pour fournir des
services aux clients NetWare de chaque agence. Certaines connexions client-serveur sont
ncessaires pendant une priode limite de la journe. La Figure 21.4 illustre ce rseau.
Figure 21.4
Topologie du rseau
Novell IPX.
Serveur
NetWare
Client
NetWare
Routeur A
Serveur
NetWare
Routeur B
Routeur serveur
pour Snaphot
Routeur client
pour Snaphot
Client
NetWare
RNIS
Serveur
NetWare
Client
NetWare
Client
NetWare
Routeur D
Routeur C
Routeur client
pour Snaphot
Routeur client
pour Snaphot
Client
NetWare
Client
NetWare
Sur cette topologie, les routeurs clients se chargent de la mise jour de leur table de routage, en se
connectant au routeur serveur lorsque la priode de repos expire. Les routeurs clients recueillent
galement les informations de mises jour lors dun rechargement.
NOTE
Le routage Snapshot fonctionne avec les rseaux Novell 3.x et 4.x. Toutefois, Novell 4.x inclut un protocole de
synchronisation de temps, qui provoque lenvoi dune mise jour toutes les dix minutes par les serveurs
de temps Novell 4.x. Pour empcher ces serveurs de gnrer des paquets de mises jour qui provoqueraient
des connexions indsirables, vous devez charger un module NLM (Netware Loadable Module), nomm TIMESYNC.NLM, qui vous autorise tendre plusieurs jours lintervalle des mises jour pour ces paquets. Un
problme analogue est provoqu par les tentatives de synchronisation des rplications NDS de Novell.
NetWare 4.1 inclut deux NLM, DSFILTER.NLM et PINGFILT.NLM, qui fonctionnent de concert, afin de contrler
les mises jour de synchronisation NDS. Il est recommand dutiliser ces deux modules afin de vous assurer
que le trafic de synchronisation NDS est envoy uniquement aux serveurs spcifis, et aux moments voulus.
Chapitre 21
699
password 7 120DOA031D
password 7 111D161118
password 7 43E7528384
vn3
interface Ethernet 0
ip address 192.104.155.99 255.255.255.0
ipx network 300
!
interface bri 0
ip address 1.0.0.1 255.0.0.0
encapsulation ppp
ipx network 10
no ipx route-cache
ipx update-time 20
ipx watchdog-spoof
dialer idle-timeout 60
dialer wait-for-carrier-time 12
dialer map ipx 10.0000.0000.0002 name RouterB broadcast 041389082
dialer map ipx 10.0000.0000.0003 name RouterC broadcast 041389081
dialer map ipx 10.0000.0000.0004 name RouterD broadcast 041389083
!
dialer-group 1
snapshot server 10
ppp authentication chap
!
access-list 901 deny 0 FFFFFFF 0 FFFFFFFF 457
access-list 901 deny 1 10.0000.0000.0001 0 10.ffff.ffff.ffff 453
access-list 901 deny 4 10.0000.0000.0001 0 l0.ffff.ffff.ffff 452
access-list 901 deny 4 FFFFFFFF 0 FFFFFFFF 456
access-list 901 permit -1
!
dialer-list 1 list 901
La configuration commence avec le nom dhte utilis pour lauthentification CHAP. Les noms
dutilisateurs correspondent au nom dhte des routeurs B, C et D. La commande isdn switch-type
indique que le routeur se connecte un commutateur franais RNIS BRI VN3.
Configuration dinterface
La commande dialer idle-timeout spcifie une dure dinactivit de 60 secondes, qui doit scouler avant que le routeur ninterrompe la connexion. La commande dialer wait-for-carrier-time
dfinit une dure dattente de porteuse de 60 secondes.
La commande dialer map dfinit ladresse de prochain saut 10.0000.0000.0002 pour le routeur B.
Lorsque le routeur B appelle le routeur serveur A, ce dernier utilise ladresse de prochain saut pour
transmettre les paquets vers le routeur B. Le mot cl broadcast dfinit 041389082 en tant
quadresse pour les diffusions broadcast IPX. Les deuxime et troisime commandes dialer map
dfinissent des valeurs analogues pour les routeurs C et D.
700
Partie II
Etudes de cas
La commande snapshot server dfinit une priode active de 10 minutes. La commande ppp
authentication chap dfinit CHAP en tant que protocole dauthentification.
Configuration de liste daccs
Les listes daccs servent dterminer si un paquet entrant ou sortant est intressant ou inintressant. Les paquets qui ne sont pas intressants sont supprims, les autres provoquent un appel si
aucune connexion nest active, ou maintiennent une connexion active existante. Cette configuration
dfinit des listes daccs tendues Novell IPX. Les premire, deuxime, troisime et quatrime
commandes access-list dfinissent respectivement comme tant inintressants les paquets destination du socket de srialisation Novell, les paquets RIP, les paquets SAP, ainsi que les paquets
gnrs par la fonction de dcouverte automatique de route. La dernire commande access-list
prcise que tous les autres paquets sont intressants. La commande dialer-list assigne la liste
daccs 901 au groupe daccs de numration 1, qui est lui-mme associ linterface BRI 0, au
moyen de la commande dialer-group.
Configuration du routeur client
Les configurations pour les routeurs clients sont les mmes, lexception des commandes qui configurent le nom dhte du routeur, le nom utilisateur quil utilise lorsquil appelle le routeur A, ainsi
que ses adresses de rseau. Voici la configuration du routeur B :
hostname RouterB
!
username RouterA password 7 105A060D0A
ipx routing
isdn switch-type vn3
isdn tei first-call
!
interface ethernet 0
ip address 192.104.155.100 255.255.255.0
ipx network 301
!
interface bri 0
no ip address
encapsulation ppp
ipx network 10
no ipx route-cache
ipx update-time 20
ipx watchdog-spoof
dialer idle-timeout 60
dialer wait-for-carrier-time 12
dialer map snapshot 1 name RouterA 46148412
dialer map ipx 10.0000.0000.0001 name RouterA broadcast 46148412
dialer-group 1
snapshot client 10 86400 dialer
ppp authentication chap
!
access-list 901 deny 0 FFFFFFFF 0 FFFFFFFF 457
access-list 901 deny 1 10.0000.0000.0002 0 10.ffff.ffff.ffff 453
access-list 901 deny 4 10.0000.0000.0002 0 10.ffff.ffff.ffff 452
access-list 901 deny 4 FFFFFFFF 0 FFFFFFFF 456
access-list 901 permit 0
!
dialer-list 1 list 901
Chapitre 21
701
La configuration commence avec le nom dhte utilis pour lauthentification CHAP. Le nom
dutilisateur correspond au nom du routeur A. La commande isdn switch-type spcifie que le
routeur se connecte un routeur franais RNIS BRI VN3.
La commande isdn tei utilise le mot cl first-call pour spcifier que la ngociation du TEI RNIS
(Terminal Endpoint Identifier, identifiant de terminaison de terminal) doit se produire lorsque le
routeur A effectue ou reoit son premier appel RNIS. Par dfaut, elle se produit lorsque le routeur
dmarre.
Configuration dinterface
La commande dialer wait-for-carrier dfinit une priode dattente de la porteuse de 12 secondes, observe par linterface lors dun appel.
La commande snapshot client dfinit une priode active de 10 minutes (la valeur doit correspondre celle qui est configure pour le serveur Snapshot), et une priode de repos de 86 400 secondes
(24 heures). Etant donn que le mot cl suppress-statechange-updates nest pas utilis, les
routeurs peuvent changer des mises jour lors des connexions tablies pour le transfert de donnes
utilisateur. Le mot cl dialer autorise le routeur client appeler le routeur serveur, en labsence de
trafic ordinaire.
702
Partie II
Etudes de cas
Figure 21.5
Bureau
rgional
Routeur A
E1
E0
Zone Formation
Zone Vente
BRI 0
Imprimante
Imprimante
Bureau central
Bureau
central
5 ESS
National
ISDN1
Bureau principal
Administration
Marketing
BRI 0
Serveur
OpenReqs
E0
E1
Routeur B
Imprimante
Imprimante
Les deux routeurs ont galement besoin de contrler les paquets RTMP. Pour cela, configurez les
plages de cble (cable ranges) AppleTalk ainsi que les numros de nud, et utilisez la commande
no appletalk send rtmps sur linterface BRI ou PRI qui se connecte aux deux rseaux AppleTalk.
Configuration du routeur A
Daprs la Figure 21.5, le routeur A est situ sur le bureau rgional. Le rseau de ce bureau se
compose de deux zones : Vente et Formation. Sur le routeur A, une liste daccs de style AppleTalk
est assigne linterface BRI 0 pour empcher la transmission des paquets NBP qui proviennent des
imprimantes et de la zone Formation. Si le routeur autorisait la transmission de ces paquets, ceux-ci
provoqueraient ltablissement de connexions RNIS inutiles avec le rseau du bureau principal.
hostname RouterA
!
username RouterB password 7 125D063D2E
appletalk routing
appletalk static cable-range 20-20 to 15.43 zone Administration
appletalk static cable-range 25-25 to 15.43 zone Marketing
isdn switch-type basic-ni1
!
interface ethernet 0
appletalk cable-range 5-5 5.128
appletalk zone Sales
!
interface ethernet 1
appletalk cable-range 10-10 10.26
appletalk zone Service
!
interface bri 0
appletalk static cable-range 15-15 15.42
Chapitre 21
703
La commande hostname dfinit le nom dhte du routeur A. La commande username dfinit le nom
du routeur qui est autoris appeler le routeur A, ici le routeur B. Le mot cl password indique que
la commande username spcifie un mot de passe. La valeur "7" indique que le mot de passe est
crypt au moyen dun algorithme dfini par Cisco. La commande appletalk routing active le
routage AppleTalk.
Les commandes appletalk static cable-range crent des routes AppleTalk statiques vers les
zones du rseau du bureau principal. Les routes statiques sont ncessaires, car la commande no
appletalk send-rtmps empche lchange des mises jour RTMP entre les deux rseaux. Sans ces
routes statiques, les zones du bureau principal napparatraient pas lors de louverture du slecteur
(chooser) sur les htes connects au rseau du bureau rgional. La commande isdn switch-type
spcifie que le routeur se connecte un commutateur National ISDN-1.
Configuration dinterface
Les commandes appletalk cable-range, pour chaque interface Ethernet, dfinissent le numro de
rseau pour le segment de cble auquel linterface se connecte, ainsi que le numro de nud de linterface. Pour chaque interface, la commande appletalk zone dfinit le nom de zone pour le rseau qui y
est connect. Aucune des configurations dinterface ne spcifie un protocole de routage AppleTalk ;
les interfaces utilisent par consquent le protocole de routage par dfaut RTMP.
La commande appletalk send-rtmps empche le routeur A denvoyer des mises jour RTMP sur
linterface BRI 0. Pour compenser labsence dchanges RTMP, vous devez configurer des routes
statiques AppleTalk (au moyen de la commande appletalk static cable-range).
La commande encapsulation ppp spcifie lencapsulation PPP ; la commande ppp authentication
chap active lauthentification CHAP. La commande dialer idle-timeout dfinit une dure dinactivit de 240 secondes (4 minutes). La commande bandwith indique aux protocoles de routage que la
ligne opre une vitesse de 56 Kbit/s.
La commande dialer map dfinit le site distant que le routeur A doit appeler. Dans ce cas, elle
dfinit 15.43 comme tant ladresse de prochain saut. Le mot cl name dfinit le nom du routeur
distant qui est associ la chane de numrotation. Le mot cl speed spcifie que le routeur A doit
tablir un dbit de ligne de 56 Kbit/s, requis lorsque la connexion traverse un commutateur qui ne
704
Partie II
Etudes de cas
supporte pas la signalisation SS7. La commande dialer-group associe linterface BRI 0 au groupe
daccs de numrotation 1.
Les commandes isdn spid1 spcifient les identifiants de profil de service, ou SPID, qui sont requis
par les commutateurs National ISDN-1. Les fournisseurs de services assignent ces identifiants afin
quun numro de tlphone leur soit associ. Votre fournisseur de services peut vous indiquer si
votre commutateur exige lutilisation de ces identifiants. Dans cet exemple, SPID 1 identifie 602
comme tant le code de zone, 555 comme tant le code dautocommutateur, 4631 comme tant
lidentifiant de station, et 01 comme tant lidentifiant de terminal.
Configuration de liste daccs
La premire commande access-list nbp dfinit la liste daccs 601, et empche la transmission
des paquets NBP gnrs par toute imprimante LaserWriter sur le rseau du bureau rgional. La
deuxime commande access-list nbp empche la transmission des paquets NBP gnrs par la
zone Formation. La troisime commande access-list nbp autorise la transmission des paquets
NBP gnrs par la zone Vente.
La commande access-list other-nbps empche la transmission de tous les autres paquets NBP qui
nont pas t explicitement autoriss, ou interdits, par les prcdentes commandes access-list nbp.
La commande access-list other-access autorise tous les autres accs qui auraient autrement t
rejets, car non explicitement autoriss par une commande access-list. La commande dialerlist assigne la liste daccs 601 au groupe daccs de numrotation 1 associ linterface BRI 0.
Configuration du routeur B
A la Figure 21.5, le routeur B est connect au rseau du bureau principal. Celui-ci se compose de
deux zones : Marketing et Administration. A lexception du serveur OpenReqs, dans la zone Administration, les utilisateurs des htes connects au rseau du bureau rgional nont pas besoin daccder au serveur situ dans la zone Administration. A linstar du bureau rgional, chaque zone du
bureau principal possde sa propre imprimante. Le routeur B na donc pas besoin de transmettre les
paquets NBP gnrs par les imprimantes. La liste daccs pour le routeur B empche les paquets
NBP en provenance des imprimantes et de tous les serveurs de la zone Administration ( lexception de OpenReqs) de dclencher une connexion RNIS vers le rseau du bureau rgional :
hostname RouterB
!
username RouterA password 7 343E821D4A
appletalk routing
appletalk static cable-range 5-5 to 15.42 zone Sales
appletalk static cable-range 10-10 to 15.42 zone Training
isdn switch-type basic-5ess
!
interface ethernet 0
appletalk cable-range 20-20 20.5
appletalk zone Administration
!
interface ethernet 1
appletalk cable-range 25-25 25.36
appletalk zone Marketing
!
interface bri 0
Chapitre 21
705
La configuration pour le routeur B est analogue celle du routeur A, 1exception des points suivants :
m
La commande access-list nbp dfinit la liste daccs 601, et empche la transmission des
paquets NBP gnrs par les imprimantes LaserWriter connectes au bureau principal. La
deuxime commande access-list nbp autorise la transmission des paquets gnrs par le serveur
OpenReqs. La troisime commande access-list nbp accepte la transmission des paquets gnrs
par la zone Marketing.
Sur le rseau suivant, ladresse IPX interne, le rseau IPX, et ladresse IPX de linterface BRI du
routeur ont t dfinis. Les numros SPID ont galement t configurs sur linterface BRI.
Les informations suivantes sappliquent au rseau illustr la Figure 21.6 :
Adresse IPX interne NW312
Rseau IPX PC1/NW312
2EE67FE3.0000.0000.0001
8022A
301586E0.0000.0000.0001
8022C
8022B.0000.0c09.509f
4085554321
4085559876
408555432101 5554321
408555987601 5559876
706
Partie II
Etudes de cas
Figure 21.6
Configuration de IPX
sur un rseau RNIS.
8022B.0000.0c02.e649
4155551234
4155556789
415555123401 5551234
415555678901 5556789
Serveur
NW312
PC 1
Serveur
NW410
8022A
PC 2
8022C
E0
E0
B0
C2503
Nuage RNIS
B0
C4000
Le code suivant prsente la configuration du routeur C2503 pour limplmentation de IPX sur
RNIS. Cette configuration inclut des numros de ligne auxquels se rfreront les explications
donnes dans cette section :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
C2503#wr t
######
Current configuration:
!
version 10.2
!
hostname C2503
!
enable password test
!
username C4000 password cisco
ipx routing 0000.0c09.509f
ipx gns-response-delay 1000
isdn switch-type basic-dms100
!
interface Ethernet0
ipx network 8022A
ipx encapsulation SAP
!
interface Serial0
no ip address
shutdown
Chapitre 21
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
707
!
interface Serial1
no ip address
shutdown
!
interface BRI0
encapsulation ppp
bandwidth 56
ipx network 8022B
no ipx route-cache
ipx watchdog-spoof
dialer idle-timeout 300
dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155551234
dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155556789
dialer hold-queue 5
dialer load-threshold 100
dialer-group 1
isdn spid1 408555432101 5554321
isdn spid2 408555987601 5559876
ppp authentication chap
!
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 452
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 453
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 457
access-list 900 permit -1
ipx route 8022C 8022B.0000.0c02.e649
ipx route 301586E0 8022B.0000.0c02.e649
!
ipx sap 4 NW410 301586E0.0000.0000.0001 451 2
!
!
dialer-list 1 list 900
!
line con 0
line aux 0
line vty 0 4
password test
login
!
end
Cette section propose une explication dtaille de la configuration du routeur C2503, en se rfrant
aux numros de ligne :
Lignes 1 11
C2503#wr t
######
Current configuration:
!
version 10.2
!
hostname C2503
!
enable password test
!
username C4000 password cisco
708
Partie II
Etudes de cas
Le nom dutilisateur C4000 est le nom dhte du routeur distant ; il est utilis par la commande
dialer map. Le nom dutilisateur est sensible la casse, et doit donc correspondre exactement au
nom dhte du routeur distant.
Le mot de passe, utilis par le processus dauthentification CHAP, est galement sensible la casse,
et doit donc tre identique lentre correspondante sur le routeur distant.
NOTE
Pour viter toute confusion, la forme non crypte du mot de passe cisco est donne dans cet exemple de
configuration. Dans la vritable configuration, le mot de passe apparatrait dans sa forme crypte, cest-dire :7 13061E010803, o 7 indique le type de cryptage, et 13061E010803 est le mot de passe crypt. Lorsque vous entrez ou modifiez la commande username, veillez saisir le mot de passe dans sa forme non
crypte, sans spcifier le type de cryptage (7), qui est dfini automatiquement.
Ligne 12
ipx routing 0000.0c09.509f
Cette commande active le routage IPX. Etant donn que le routeur associe ladresse MAC de lune de
ses interfaces au processus, vous navez pas besoin de lindiquer. Saisissez simplement la commande
ipx routing.
Ligne 13
ipx gns-response-delay 1000
La commande SAP statique de la ligne 51 annonce le serveur distant, mme lorsque la liaison RNIS
nest pas active. Par consquent, il peut tre ncessaire daugmenter lintervalle de temps qui doit
scouler avant que le routeur ne rponde la requte GNS (Get Nearest Server) dune station de
travail, afin de garantir que le serveur de fichiers local puisse rpondre en premier.
Ligne 14
isdn switch-type basic-dms100
Le type de commutateur RNIS doit correspondre lquipement de votre oprateur. Si vous modifiez ce paramtre, vous devez recharger le routeur afin que le nouveau type devienne effectif.
Lignes 16 et 17
interface Ethernet0
ipx network 8022A
8022A est le numro du rseau local. Pour dterminer ce numro, saisissez config, linvite de
console du serveur local, puis associez le numro de rseau de linterface du routeur au numro
de rseau du protocole LAN. Grce cette commande, vous navez pas besoin dinclure les zros de
dbut, affichs pour le numro de rseau du protocole LAN.
Chapitre 21
709
Ligne 18
ipx encapsulation SAP
Cette commande dfinit le type de trame Ethernet de linterface, afin quil corresponde celui du
serveur de fichiers local. Pour dterminer le type de trame du serveur, saisissez config, linvite de
console du serveur local, puis utilisez le type spcifi pour configurer lencapsulation sur linterface
IPX du routeur.
Types de trames supportes par Cisco
Type de trame Novell
Encapsulation Cisco
Novell Ethernet_II
arpa
Novell Ethernet_802.3
novell-ether
IEEE 802.2
sap
snap
Lignes 20 29
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
interface BRI0
encapsulation ppp
Lencapsulation PPP est recommande sur HDLC pour permettre lutilisation de lauthentification
CHAP.
Ligne 30
bandwidth 56
Le paramtre par dfaut pour la bande passante dune interface BRI est 64 Kbit/s. Si vous configurez vos instructions dialer map avec loption speed 56, vous devrez inclure une commande bandwidth dans votre configuration.
NOTE
Cette commande ne contrle pas la vitesse de la ligne RNIS, mais sert dfinir le point de rfrence correct
pour les statistiques show interface de port BRI, pour la commande dialer load-threshold, ainsi que pour
les mtriques de routage de IGRP/EIGRP.
710
Partie II
Etudes de cas
Ligne 31
ipx network 8022B
8022B est le numro de rseau IPX du segment RNIS pour les deux routeurs. Ce numro devrait
tre unique pour votre rseau.
Ligne 32
no ipx route-cache
La mise en cache des routes IPX doit tre dsactive lorsque la simulation watchdog IPX est active.
Ligne 33
ipx watchdog-spoof
Cette commande permet au routeur de rpondre aux paquets watchdog du serveur local, de la part
du client distant. En labsence de cette commande, les paquets watchdog du serveur seraient considrs comme intressants, et activeraient la liaison RNIS.
Ligne 34
dialer idle-timeout 300
Cette commande dfinit le nombre de secondes pendant lequel une connexion RNIS demeure
ouverte, lorsquaucun trafic intressant nest transmis. Le temporisateur est rinitialis chaque fois
quun paquet intressant est transmis.
Lignes 35 et 36
dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155551234
dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155556789
La commande dialer map est utilise avec lauthentification CHAP pour tablir lappel initial vers
le routeur distant lorsquun trafic intressant est envoy vers linterface BRI. Une fois la connexion
active, la commande dialer idle-timeout dtermine sa dure dactivit. Une instruction dialer
map est ncessaire pour chaque numro de tlphone RNIS qui doit tre appel. Toutefois, sachez
que deux instructions dialer map pointant vers le mme lieu pourraient activer deux canaux B, alors que
lutilisation dun seul canal est souhaite.
Les paramtres de cette commande sont les suivants :
m
name C4000. Nom dhte du routeur distant. Le nom est sensible la casse ; il doit correspondre exactement celui configur avec la commande username, montre plus haut.
speed 56. Dfinit 56 Kbit/s la vitesse de numrotation pour les circuits RNIS qui noffrent pas
64 Kbit/s de bout en bout. Il est recommand dintgrer ce paramtre dans les instructions
dialer map des deux routeurs. Aux Etats-Unis, la plupart des installations doivent tre configures pour une vitesse de 56 Kbit/s.
broadcast. Autorise la transmission des paquets broadcast. Toutefois, lutilisation de ce paramtre ne rend pas ces paquets intressants. A moins que ces paquets ne soient explicitement spcifis
Chapitre 21
711
comme tant intressants via la commande dialer-list, ils sont uniquement transmis lorsque la
liaison RNIS est active.
m
Ligne 37
dialer hold-queue 5
Cette commande autorise les paquets intressants tre placs en file dattente, jusqu ce que la
connexion RNIS soit tablie. Elle est particulirement utile lorsquun identifiant douverture de
session NetWare est utilis pour activer la connexion, afin dempcher la station de travail dabandonner. Dans cet exemple, cinq paquets intressants sont placs en file dattente.
Ligne 38
dialer load-threshold 100
Cette commande est utilise pour configurer la charge de trafic maximale supporte par le premier
canal B ; lorsquelle est atteinte, le routeur tablit un autre appel sur le second canal B. La charge de
trafic est la valeur moyenne pondre, calcule pour linterface (o 1 signifie charge nulle, et 255
charge maximale). La valeur de charge configurer dpend des caractristiques de votre rseau.
Dans cet exemple, le second canal B est activ lorsque la charge du premier canal B atteint 39 % de
lutilisation maximale, cest--dire 100 divis par 255.
Ligne 39
dialer-group 1
La commande dialer-group 1 active la liste de numrotation 1 sur linterface BRI qui dtermine
quels paquets intressants activent la connexion RNIS.
Lignes 40 et 41
isdn spid1 408555432101 5554321
isdn spid2 408555987601 5559876
Les commandes isdn spid sont utilises lorsque votre oprateur assigne des SPID vos lignes RNIS.
Ligne 42
ppp authentication chap
900
900
900
900
Cette liste daccs dtermine quels paquets IPX sont intressants et activent la liaison RNIS. La
liste daccs que vous devez crer dpend de la conception de votre rseau.
712
Partie II
Etudes de cas
Pour cet exemple, les paramtres de cette commande sont les suivants :
m
access-list 900 deny -1 -1 0 -1 452. Dfinit tous les paquets SAP comme tant inintressants.
access-list 900 deny -1 -1 0 -1 453. Dfinit tous les paquets RIP comme tant inintressants.
access-list 900 deny -1 -1 0 -1 457. Dfinit tous les paquets de scurit comme tant inintressants.
access-list 900 permit -1. Dfinit tous les autres paquets comme tant intressants.
Ligne 48
ipx route 8022C 8022B.0000.0c02.e649
Cette command cre une route statique vers le rseau Ethernet du routeur distant, via son interface BRI.
Elle est ncessaire, car les routes dynamiques sont perdues lorsque la liaison RNIS nest plus active.
Pour cet exemple, les paramtres de cette commande sont les suivants :
m
8022C. Numro de rseau IPX externe du rseau distant. Pour dterminer ce numro, saisissez
config, linvite de console du serveur distant, puis associez le numro de rseau linstruction
de protocole LAN.
Ligne 49
ipx route 301586E0 8022B.0000.0c02.e649
La commande ipx route cre une route statique vers le serveur distant, via linterface BRI du
routeur distant. Elle est ncessaire, car les routes dynamiques sont perdues lorsque la liaison RNIS
nest plus active.
Pour cet exemple, les paramtres de cette commande sont les suivants :
m
301586E0. Portion rseau de ladresse IPX interne du serveur distant. Pour dterminer cette
adresse, saisissez show ipx servers, linvite de console du routeur distant.
Ligne 51
ipx sap 4 NW410 301586E0.0000.0000.0001 451 2
Cette commande cre une entre SAP statique pour le serveur distant, que le routeur local annoncera, mme si la liaison RNIS nest pas active.
Pour cet exemple, les paramtres de cette commande sont les suivants :
m
301586E0.0000.0000.0001. Rseau IPX interne, et adresse dhte du serveur distant. Pour dterminer cette adresse, saisissez show ipx servers, linvite de console du routeur distant.
Chapitre 21
713
451. Numro de socket (port) du serveur distant, qui est dtermin au moyen de la commande
show ipx servers sur le routeur distant.
Ligne 54
dialer-list 1 list 900
Cette commande pointe vers la liste daccs 900, qui dtermine quels paquets IPX sont intressants.
Lignes 56 62
line con
line aux
line vty
password
login
!
end
0
0
0 4
test
Le code suivant prsente la configuration du routeur C4000 pour limplmentation de IPX sur
RNIS. Pour obtenir une description des commandes, reportez-vous la section "Explication de la
configuration du routeur C2503 ", plus haut dans ce chapitre. Bien que cette explication concerne
la configuration du routeur C2503, la description gnrale des commandes sapplique nanmoins :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
C4000#wr t
######
Current configuration:
!
version 10.2
!
hostname C4000
!
enable password test
!
username C2503 password cisco
ipx routing 0000.0c02.e649
ipx gns-response-delay 1000
isdn switch-type basic-dms100
!
interface Ethernet0
ipx network 8022C
ipx encapsulation SAP
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
interface BRI0
encapsulation ppp
714
Partie II
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
Etudes de cas
bandwidth 56
ipx network 8022B
no ipx route-cache
ipx watchdog-spoof
dialer idle-timeout 300
dialer map ipx 8022B.0000.0c09.509f name C2503 speed 56 broadcast 14085554321
dialer map ipx 8022B.0000.0c09.509f name C2503 speed 56 broadcast 14085559876
dialer hold-queue 5
dialer load-threshold 100
dialer-group 1
isdn spid1 415555123401 5551234
isdn spid2 415555678901 5556789
ppp authentication chap
!
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 452
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 453
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 457
access-list 900 permit -1
ipx route 8022A 8022B.0000.0c09.509f
ipx route 2EE67FE3 8022B.0000.0c09.509f
!
ipx sap 4 NW312 2EE67FE3.0000.0000.0001 451 2
!
!
dialer-list 1 list 900
!
line con 0
line aux 0
line vty 0 4
password test
login
!
end
Rsum
Lorsque vous configurez RNIS, le contrle des paquets qui gnrent des connexions inutiles est un
problme primordial rgler. Par le pass, il tait possible de le rsoudre en configurant des routes
statiques. Le routage Snapshot et le filtrage des paquets NBP permettent de contrler les mises
jour de routage. Le routage Snapshot permet de configurer le rseau, afin que les protocoles routs
mettent jour leur table de routage dynamiquement, sans dclencher des connexions RNIS
frquentes et coteuses. Le routage Snapshot convient idalement pour les rseaux relativement
stables, sur lesquels toutes les mises jour de routage passent par un seul routeur central. Ce chapitre a galement examin la configuration de RNIS dans un environnement IPX.
22
Amlioration de la scurit
sur les rseaux IP
Par Thomas M. Thomas II
Cest lt, les enfants ont termin lcole. Alors que les autoroutes et les aroports sont envahis par
les vacanciers, des interruptions de courant inexplicables touchent certaines parties des Etats-Unis.
Les avions de ligne disparaissent mystrieusement des crans de contrle, puis rapparaissent, ce
qui provoque des mouvements de panique dans de nombreux aroports.
Des rumeurs sur lexistence dun nouveau virus "Rosebud" se rpandent dans les forums de discussion. Au mme moment, les administrateurs systme tentent de faire face ce nouveau virus, de
type "Melissa". Le virus, non content dinfecter le courrier lectronique, sattache aux navigateurs
Web, acclrant sa prolifration par le biais dactivits de dni de service (DoS, Denial of Service)
sur les sites de communication et de commerce lectronique, via lInternet. Un ralentissement
inquitant se fait sentir sur le Web.
Dans les principales grandes villes des Etats-Unis, des sections du service de tlcommunications 911
connaissent des dfaillances. Les responsables du Dpartement de la dfense amricain dcouvrent
que leurs services de messagerie lectronique et de tlphonie sont interrompus. Et des officiers
embarqus sur un navire de la U.S. Navy constatent que leur systme informatique a t victime dune
attaque !
A mesure que ces incidents mystrieux et perturbateurs se gnralisent, les indices des marchs financiers chutent brusquement. Une vague de panique envahit la plante. Linfrastructure qui relie les
quatre coins du monde est srieusement branle, et commence se retourner contre ses crateurs.
716
Partie II
Etudes de cas
Pour une grande part, ce scnario sest produit en 1997, lorsque 35 hackers engags par lagence
amricaine pour la scurit nationale, la NSA (National Security Agency), ont simul des attaques
sur linfrastructure lectronique amricaine.
Cet exercice de simulation, baptis Eligible Receiver, a permis dobtenir un accs de niveau root sur
36 000 des 40 000 rseaux du Dpartement de la dfense amricain. Ces attaques ont galement
paralys des sections entires du rseau lectrique national, perturb le service 911 Washington
D.C., ainsi que dans dautres villes, et permis daccder aux systmes informatiques dun navire de
la marine amricaine.
Bien que cet exercice ait t initi aux Etats-Unis, qui regroupent environ 40 % de la puissance
informatique de la plante, la menace du cyber-terrorisme et de la guerre de linformation est bien
mondiale. Les incidents suivants vous donneront une ide de ltendue des risques :
m
Durant la guerre du Golfe, des pirates hollandais se sont introduits dans des ordinateurs du
Dpartement de la dfense amricain, afin dy drober des informations concernant les mouvements des troupes amricaines, en vue de les vendre aux Irakiens. Ces derniers, pensant quil
sagissait dun canular, ont dclin cette offre
En 1997 et 1998, un jeune Isralien, qui se faisait appeler "The Analyzer", aurait pntr sur les
ordinateurs du Pentagone, avec laide dadolescents californiens. Ehud Tenebaum, 20 ans, a t
inculp Jrusalem, en fvrier 1999, pour association de malfaiteurs et prjudices envers des
systmes informatiques.
En fvrier 1999, des pirates non identifis ont pris le contrle dun satellite militaire de tlcommunications britannique, exigeant de largent pour sa restitution. Cet incident a t vivement
rcus par les responsables militaires britanniques.
En janvier 1999, le prsident Bill Clinton a annonc quune somme de 1,46 milliards de dollars
serait consacre la scurit informatique du gouvernement amricain, ce qui reprsente une
augmentation de 40 % par rapport 1998. Le Pentagone,qui est la forteresse militaire de la
nation la plus puissante du monde, est particulirement concern, puisquil est galement connu
comme tant la cible de choix des pirates, leur Saint Graal.
Il est clair que les sites gouvernementaux ne reprsentent quune partie des cibles recherches par
ceux qui mnent cette guerre de linformation. Dans la plupart des cas, lexprience a dmontr
quil tait plus avantageux pour les pirates dattaquer des rseaux dentreprises. Cest pourquoi des
comptences expertes en matire de scurisation des rseaux sont obligatoires dans de tels environnements. Le droit lerreur est exclure lorsquil sagit de protger un rseau. Une seule vulnrabilit peut mettre en pril toutes les donnes du rseau, llment vital de lentreprise. Que la menace
provienne dun concurrent qui recherche des secrets industriels, dun individu malintentionn visitant votre rseau, ou demploys mcontents qui souhaitent se venger, il en rsulte invariablement
des pertes financires (secrets industriels drobs, immobilisation du rseau, ou altration des
donnes).
Chapitre 22
717
les services ICR (Incident Control and Recovery) de rtablissement et de contrle aprs incident.
Les ingnieurs en scurit de Cisco fournissent des services SPA. Ces valuations comprennent une
analyse exhaustive de la scurit de rseaux distribus grande chelle, la fois dun point de vue
extrieur (celui du pirate), et dun point de vue intrieur (celui de lemploy malintentionn). Les
informations relatives aux failles de scurit sont compiles, analyses, puis prsentes en dtail au
client. Elles saccompagnent de recommandations fonctionnelles en vue de scuriser le rseau de
lentreprise et datteindre un potentiel de gestion optimal.
Des services de rtablissement et de contrle aprs intrusion, qui consistent en des dploiements
rapides sur des sites clients, afin de mettre fin des attaques en cours, sont galement disponibles
pour des clients qualifis.
Evaluation de ltat de la scurit
Avant quune entreprise puisse entreprendre les tapes ncessaires lamlioration de la scurit de
son rseau, elle doit tablir un bilan prcis de ses vulnrabilits. En offrant une vision de la scurit
sur la dure, et en adoptant une approche unique de quantification du niveau de scurit actuel du
rseau, les services SPA (Security Posture Assessments) de Cisco peuvent aider une entreprise
comprendre de faon efficace et objective ltat de scurit de son rseau, et identifier les zones
amliorer.
Lors de la mise en uvre de ces services, les experts en scurit de rseau de Cisco examinent la
connectivit interne et externe du rseau client afin de dterminer les lments suivants :
m
Les services SPA reprsentent davantage quun simple test de simulation dintrusion, qui ne
contrle que certains points daccs. En effet, les quipes de scurit de Cisco fournissent un
ensemble complet de donnes sur toutes les failles de scurit, ainsi que les moyens potentiels
dobtenir un accs non autoris lintgralit du rseau. La premire phase de la simulation SPA
consiste examiner le rseau depuis lextrieur, comme le ferait un pirate via lInternet ou une
liaison commute. La seconde phase permet dexplorer le rseau depuis lintrieur, comme le ferait
un employ malintentionn (voir Figure 22.1).
718
Partie II
Etudes de cas
Figure 22.1
Scuriser
Grer et
amliorer
Stratgie de
scurit de
l'entreprise
Surveiller et
rpondre
Test
Les ingnieurs en scurit de Cisco valident, puis confirment la prsence de chacune des vulnrabilits spcifiques dtectes, en ralisant des pntrations tendues non destructrices sur le rseau, en
vue de dterminer plus prcisment le niveau daccs non autoris pouvant tre obtenu.
Plus prcisment, le processus SPA inclut les tapes suivantes :
m
Dcouverte dhtes et de services, afin de dterminer le nombre dhtes prsents sur le rseau,
et didentifier les services de rseau excuts actuellement par chaque hte.
Analyse des vulnrabilits, afin de dterminer toutes les failles potentielles qui existent pour
chaque service de rseau excut, sur chaque hte identifi. Cette phase inclut galement une
analyse complmentaire qui consiste, dans un premier temps, confirmer la prsence de ces
vulnrabilits sur des systmes spcifiques, en exploitant les failles potentielles qui ont t identifies, puis dterminer quelles vulnrabilits additionnelles pourraient tre exploites lorsque
celles de premier niveau le sont de faon approprie.
Mesure du niveau de vulnrabilit, et collecte des donnes qui permettent didentifier les mthodes
daccs non autorises auxquelles le rseau est expos, via lexploitation des failles du rseau, au
moyen doutils SPA spcialiss.
Analyse des donnes, et rvision de la conception de la scurit dans le cadre dune comparaison des
rsultats de tests avec les exigences fonctionnelles actuelles, afin didentifier les failles critiques.
Chapitre 22
719
Les ingnieurs en scurit de Cisco prsentent les donnes de rsultat dans des rapports dtaills,
ainsi que lors de runions. Ils expliquent les failles de scurit, la fois aux responsables de lentreprise et aux ingnieurs de rseau, de faon concise et strictement confidentielle. Outre les recommandations relatives aux amliorations spcifiques au niveau de la scurit, le processus SPA donne
galement aux clients des mesures qui leur permettent de caractriser ltat de scurit de leurs
rseaux et systmes. Ces donnes peuvent ensuite tre exploites, afin de dfinir un profil de base de
la scurit du rseau dentreprise, ou de mesurer les amliorations progressives et les orientations
envisager, eu gard des valuations prcdentes.
Afin de maintenir la scurit sur des rseaux en constante volution, Cisco recommande aux entreprises de procder rgulirement des valuations SPA, dans le cadre dun programme continu de
protection des informations dentreprise. De plus, les clients Cisco ont trouv utile de faire raliser
des valuations SPA avant et aprs des changements majeurs sur leur rseau, telles quune fusion
de rseaux rsultant du rachat dune entreprise ou bien limplmentation dun site Internet de
commerce lectronique. Ces examens priodiques permettent dliminer les risques de violation
de la scurit quintroduisent invariablement les changements qui surviennent sur de tels rseaux.
Contrle et rtablissement aprs incident
Bien que les entreprises ignorent souvent les failles de scurit qui existent sur leur rseau, elles
reconnaissent parfois quun incident sest produit ou est en train de se produire. Dans le cas dune
intrusion, une entreprise ne doit pas uniquement mettre un terme lactivit malveillante en cours,
mais galement connatre lheure laquelle elle a commenc, sa source, son type, et son tendue.
De plus, elle doit pouvoir disposer immdiatement de ces informations, car limmobilisation du
rseau et laltration des donnes ont une consquence directe sur les rsultats financiers.
Les services ICR (Incident Control and Recovery) de Cisco assistent les clients qui sont victimes
dattaques. Les ingnieurs en scurit rseau de Cisco sont dploys sur le site du client dans les
heures qui suivent sa demande dassistance. Une fois sur le site, lquipe ICR collabore troitement
avec les administrateurs de rseau et le personnel de scurit, afin de rpondre aux priorits fonctionnelles du client, au moyen des services ICR appropris, qui peuvent inclure :
m
Isolation des htes et rseaux victimes pour limiter lactivit douteuse et empcher quelle ne
stende davantage.
Reconfiguration des ressources du rseau pour que le client puisse revenir en ligne en toute scurit.
Les professionnels Cisco possdent une grande exprience dans la fourniture de services ICR. Ils
ont dvelopp des outils spcialiss pour des analyses lgales, lvaluation des dgts, et la limitation des intrusions. Ces services font lobjet dune offre limite, et dpendent de la disponibilit du
personnel qualifi.
720
Partie II
Etudes de cas
Vous trouverez davantage dinformations sur les services de conseil en scurit de Cisco, ainsi que
sur tous ses produits, services et technologies de scurit en visitant le site www.cisco.com/security.
"Large Companies Now See Outside Security Threat", Computerworld, 17 aot 1998.
Ces documents ne reprsentent quune infime partie des informations disponibles sur le sujet, mais ils
permettent de voir que cette guerre est bien relle. Votre rseau est-il protg ? Seriez-vous en mesure de
dceler une attaque ventuelle ?
Cette guerre sintensifie au fur et mesure que le commerce lectronique se dveloppe. LInternet
est la premire ressource vritablement mondiale, regroupant des individus du monde entier au sein
dune communaut virtuelle. Et, limage de toutes les grandes communauts, certaines personnes
respectent les rgles, dautres les enfreignent.
La scurit a probablement t lun des aspects le plus ignors du fonctionnement et de la conception
des rseaux. Au fur et mesure que les rseaux dentreprise voluent et se connectent lInternet, cet
aspect est devenu un souci majeur pour la plupart des organisations. Cette inquitude est, bien
entendu, justifie, mais la prise de conscience est lente. Des statistiques rcentes effectues par FBI
estiment 10 milliards de dollars la perte financire subie par les entreprises amricaines en 1997,
suite aux intrusions sur leurs rseaux. Ce chiffre dpasse le montant du produit national brut de
nombreux pays. Vu sous cet angle, vous pouvez plus facilement comprendre pourquoi certains individus consacrent toute leur nergie au piratage informatique. Mme si votre rseau nest pas victime
dune intrusion en ce moment, dautres rseaux le sont. Comme mentionn prcdemment, les
mdias tmoignent de lintensification de la guerre de linformation, et bon nombre des plus importantes socits au monde font galement tat de menaces et de failles de scurit.
Menaces de la guerre de linformation
Les informations suivantes proviennent de la page daccueil du site de la socit Cisco (http://
www.cisco.com). Elles concernent des annonces que la socit Cisco a formules rcemment au sujet
de la scurit. Ces annonces sont mme plus importantes que celles mentionnes prcdemment, car
Chapitre 22
721
Cisco, en tant que numro un mondial des quipements de rseau, a dj reconnu cette menace, et
dveloppe des solutions pour sen protger.
Linfrastructure de campus est vulnrable aux attaques inities par un trs grand nombre dintrus,
divers et difficiles dtecter. Parmi les types dintrus les plus courants, on trouve :
m
les employs actuels : ce groupe est parfois le plus difficile dtecter et viter, en raison des
relations de confiance qui existent entre le personnel et son employeur ;
les espions.
Les objectifs de la guerre de linformation sont aussi varis que leurs acteurs, et il semble que
chacun deux possde une raison diffrente doprer. Par exemple, certaines des menaces peuvent
provenir des catgories dindividus suivantes :
m
Les motivations de ces individus sont diverses. Voici les plus courantes :
m
profit, vol ;
vengeance, revanche ;
anarchie ;
dfi, amusement.
routage erron, via des mises jour de routage avec usurpation de ladresse source ;
722
Partie II
Etudes de cas
Un programme lanc sur lInternet, nomm land.c, peut tre utilis pour initier des attaques par
dni de service contre diffrentes implmentations de TCP. Ce programme envoie un paquet TCP
SYN (initiation de connexion) en utilisantcomme adresse source et de destination ladresse de
lhte cible.
Attaques par dni de service "smurf"
Lattaque "smurf", qui tire son nom du programme excut, est la plus rcente dans la catgorie des
attaques de niveau rseau contre des htes. Un individu malveillant envoie un paquet dcho ICMP
(ping) vers une adresse broadcast. Ce paquet contient une adresse source (spoofed source address)
usurpe une victime. Si lquipement de routage intermdiaire qui reoit ce paquet initie une
diffusion broadcast IP sur le rseau, la plupart des htes accepteront la requte dcho ICMP, et
enverront un paquet de rponse dcho ICMP en retour, multipliant ainsi le trafic par le nombre
dhtes rpondants. Sur un rseau broadcast multi-accs, cette attaque peut provoquer de graves
problmes de congestion du rseau, mais galement de lhte dont ladresse a t usurpe, auquel
toutes les rponses ICMP sont envoyes.
Attaques par dni de service vers port de diagnostic UDP
Lors de cette attaque, un metteur transmet une grande quantit de requtes pour des services de
diagnostic UDP sur le routeur. Toutes les ressources processeur sont ainsi consommes pour satisfaire ces fausses requtes. Les FAI sont exposs un risque dattaque par dni de service qui a pour
cible les quipements de rseau.
Cryptage des mots de passe Cisco IOS
Une source non Cisco a rcemment publi un nouveau programme, qui permet de dcrypter les mots
de passe utilisateur (et dautres mots de passe) dans les fichiers de configuration Cisco. Ce programme
ne peut pas dcrypter ceux qui ont t dfinis au moyen de la commande enable secret.
Eu gard linquitude soudaine que ce programme a soulev parmi les clients Cisco, il semblerait
quils soient nombreux sappuyer sur la fonction de cryptage de mots de passe Cisco pour un
Chapitre 22
723
niveau de scurit suprieur celui quelle offre rellement. Ce chapitre dcrit le modle de scurit
sous-jacent cette fonction de cryptage, ainsi que ses limitations en matire de scurit.
Stratgies de scurit
Les stratgies de scurit reprsentent un sujet dtude pour les cyber-pirates. Il sagit en fait dun
lment constitutif des procdures de scurit mises en uvre sur un rseau. La citation suivante est
extraite du RFC 2196, intitul Site Security Handbook :
"Une stratgie de scurit est une dclaration formelle des rgles auxquelles doivent se soumettre les utilisateurs ayant accs aux ressources technologiques et informatives dune entreprise."
Une stratgie de scurit doit couvrir la fois les aspects de scurit internes et externes. En effet,
les menaces proviennent des deux cts, ce qui oblige prendre en compte tous les risques si on
veut protger correctement son rseau.
724
Partie II
Etudes de cas
Ces stratgies prsentent de nombreux avantages, et mritent par consquent le temps et les efforts
consacrs leur dveloppement. La liste suivante prsente les raisons qui justifient leur cration :
m
Aider un groupe de dcideurs se mettre daccord, et dfinir les responsabilits des utilisateurs
et des administrateurs.
Crer une base de rfrence pour pouvoir intenter un procs en cas de besoin.
De nombreuses socits ont implment des stratgies de scurit dans le cadre de leur programme
de scurit de rseau. Ces stratgies fournissent un ensemble accessible de standards qui permettent
de dterminer les actions entreprendre, et prconisent une procdure de rponse en cas dattaque,
afin que tous les utilisateurs soient la fois informs et responsables.
La Figure 22.2 est extraite dune tude mene par WarRoom Research. Elle illustre le niveau de risque
auquel sont exposes les socit du classement Fortune 1000. Pour obtenir davantage dinformations sur
cette tude, visitez le site http://www.warroomresearch.com/ResearchCollabor/SurveyResults.htm.
Figure 22.2
Les rsultats de ltude de WarRoom
Research dmontrent que la majorit
des socits interroges ont t victimes
dintrusions lan pass.
110
Chapitre 22
725
Le RFC 2196 est une excellente rfrence en matire de dveloppement de stratgies de scurit de
rseau. Il prcise quune telle stratgie est essentiellement constitue dun document qui rsume
de quelle manire les ressources de traitement et de rseau de lentreprise doivent tre utilises et
protges.
Les caractristiques essentielles dune stratgie de scurit efficace sont les suivantes :
m
Applicable au moyen doutils de scurit aux endroits appropris, sinon au moyen de sanctions
l o une protection relle ne peut tre implmente techniquement.
Implmente le niveau maximal de scurit sur le rseau, tout en tant galement transparente que
possible pour les utilisateurs.
Lorsque vous entreprenez de dvelopper une stratgie de scurit, commencez par recueillir des
informations sur les procdures de scurit qui sont dj en place (la frquence laquelle les utilisateurs modifient leur mot de passe douverture de session, les chanes de communaut SNMP en
lecture/criture, etc.). Vous devez galement dterminer quel moment ces mesures de scurit ont
t modifies pour la dernire fois. Vous pouvez bien sr faire appel des spcialistes extrieurs
votre entreprise pour vous assister dans lvaluation de vos procdures et stratgies de scurit existantes. Peut-tre ne laviez-vous jamais envisag, avant de vous lancer dans le dveloppement
complet dune stratgie. Ainsi que vous pouvez le voir, la cration (et lvolution) dune stratgie de
scurit dpend de votre situation spcifique. Cependant, les actions suivantes (au minimum) sont
effectuer lors de la mise au point dune stratgie :
m
Identifier les ennemis potentiels contre lesquels vous voulez protger vos ressources.
Concevoir et implmenter des mesures qui protgeront vos ressources de faon rentable.
Rviser rgulirement le processus, et apporter les amliorations ncessaires chaque fois quune
vulnrabilit est identifie.
Recenser les procdures existantes, documentes ou non, comme la modification des mots de
passe tous les mois, etc.
Il est important de se souvenir quune stratgie de scurit nest pas statique, et quelle se dveloppe, change, et samliore continuellement selon les exigences. Une conception et une implmentation proactives importent autant pour une stratgie de scurit que pour un rseau. Une fois que
vous avez dvelopp votre stratgie, documentez-la.
726
Partie II
Etudes de cas
NOTE
Une stratgie de scurit nest pas la solution vos problmes de scurit. Elle reprsente plutt un cadre
de travail qui permet dimplmenter une scurit sur votre rseau. Associe dautres aspects traits dans
ce chapitre, une stratgie efficace peut garantir une scurit complte et fiable.
Au fur et mesure que vous avancez dans le processus didentification et de conception de la scurit de votre rseau, documentez vos dcouvertes ainsi que les actions entreprises. Un document
crit et amlior constamment est vital pour limplmentation de votre stratgie de scurit globale.
Il permettra ceux qui vous succdent de comprendre les raisons qui ont motiv vos choix dimplmentation et de conception de la scurit. Il pourra mme tre utilis des fins dapprentissage par
de futurs ingnieurs de rseau. Toutefois, ce document ne devrait pas tre disponible pour le public.
Veillez ce que votre stratgie de scurit bnficie dun budget suffisant afin de pouvoir raliser
des audits rguliers et complets. Ces audits permettront de tester de faon continue votre stratgie
ainsi que le degr dexposition global du rseau de nouvelles vulnrabilits ou attaques.
Le terme ennemi se rfre au cyber-pirate, qui est soit un attaquant soit un intrus. Pensez aux individus qui pourraient mettre en pril vos mesures de scurit, et identifiez leurs motivations. Quelles
actions pourraient-ils entreprendre, et quelles en seraient les consquences sur le rseau. Par exemple,
votre entreprise est-elle verse dans la finance, le commerce lectronique, ou les donnes sensibles ?
Car ces domaines dactivit sont souvent la cible des cyber-pirates.
Les mesures de scurit ne permettent jamais dliminer compltement le risque quun utilisateur
excute des tches non autorises sur un systme informatique. Elles peuvent simplement lui rendre
la tche plus difficile. Lobjectif est de sassurer que le contrle de la scurit est hors de porte de
lattaquant.
Evaluer les cots
Les mesures de scurit saccompagnent toujours de certains inconvnients, surtout pour les utilisateurs
avancs. Elles peuvent ralentir le travail et gnrer une surcharge coteuse en matire dadministration
Chapitre 22
727
et de formation. Elles peuvent galement entraner une consommation trs importante des ressources de
traitement, et ncessiter un matriel ddi.
Lorsque vous laborez vos mesures de scurit, examinez-en le cot et les bnfices que vous pourrez en tirer. A cet effet, vous devez connatre les cots associs aux mesures elles-mmes, ainsi que
ceux lis aux risques de brches dans la scurit. Si vous engagez des dpenses exagres par
rapport aux dangers rels, vous pourriez le regretter. Par exemple, peu dentreprises pourraient justifier le cot de mesures de scurit extrmes, telles celles mises en uvre sur le rseau du
Dpartement de la dfense amricain.
Identifier les dangers potentiels
Tout systme de scurit est fond en partie sur certaines supputations. Vous pensez que votre
rseau nest pas sous coute clandestine, ou que les attaquants ont moins de connaissances que
vous, quils utilisent des programmes standards, ou bien quune pice verrouille est un endroit
sr, etc. Veillez examiner de plus prs vos hypothses, et en vrifier le bien-fond. Toute suppositionreprsente un risque de vulnrabilit.
Une rgle importante ici est de toujours reconnatre le plus objectivement possible les exigences de
scurit de votre rseau, et de ne pas oublier que toute supposition non confirme peut avoir des
consquences graves. Lors de lidentification et de la vrification de vos suppositions, vous pourriez
tomber sur un problme de rseau ne relevant pas du tout de la scurit. Cest pourquoi vous devez
tre vigilant et capable de dterminer les relles vulnrabilits.
Contrler les informations confidentielles
La plupart des systmes de scurit reposent sur des donnes "secrtes", ou confidentielles, telles
que les mots de passe, les cls de cryptage, et les chanes de communaut SNMP. Trop souvent, ce que
lon considre comme tant secret ne lest pas. Ltape la plus importante dans la dissimulation de
ces informations consiste connatre les zones qui doivent tre protges. Quels renseignements
pourraient tre exploits par lennemi pour sintroduire sur votre systme ? Vous devez garder
jalousement ces informations, et considrer que vos adversaires connaissent tout le reste. Plus vous
avez de secrets, plus ils sont difficiles conserver. Les systmes de scurit doivent tre conus de
faon limiter le nombre de ces informations confidentielles.
Considrer le facteur humain
La majorit des procdures de scurit chouent, car leurs concepteurs nont pas tenu compte du
comportement des utilisateurs. Par exemple, les mots de passe gnrs automatiquement peuvent
tre difficiles mmoriser, cest pourquoi on les retrouve souvent crits sous le clavier des utilisateurs. Par ngligence, une porte de scurit qui sert empcher laccs un systme de sauvegarde
sur bandes est parfois laisse ouverte. De la mme manire, des modems non autoriss sont souvent
connects un rseau, ce qui vite de devoir implmenter des mesures de scurit onreuses au
niveau des appels entrants.
Si vos mesures de scurit interfrent trop avec lusage principal du systme ou du rseau, les utilisateurs leur opposeront une certaine rsistance et tenteront peut-tre mme de les contourner. Pour
gagner leur confiance, vous devez veiller ce quils puissent accomplir leur travail normalement, et
les convaincre de la pertinence de ces mesures. Ils doivent comprendre et accepter la ncessit
728
Partie II
Etudes de cas
dune scurit. La communication avec les utilisateurs est donc essentielle, car une fois quils ont
compris les raisons pratiques qui motivent ces mesures, ils sont plus enclins les accepter. Mais,
quel que soit le mal que vous vous donnez, vous tomberez toujours sur des utilisateurs qui tenteront
de les contourner.
Tout utilisateur peut mettre en pril le systme de scurit, tout au moins dans une certaine mesure.
Les mots de passe, par exemple, peuvent souvent tre obtenus en appelant simplement les utilisateurs au tlphone et en se faisant passer pour un administrateur systme. Si vos utilisateurs sont
conscients des problmes de scurit, et sils comprennent les raisons de ces mesures, ils feront tout
leur possible pour viter quun intrus ne pntre dans le systme.
Au minimum, les utilisateurs doivent savoir quil ne faut jamais communiquer des mots de passe ou
autres informations confidentielles sur des lignes tlphoniques non scurises (plus particulirement
les tlphones cellulaires) ou par courrier lectronique (e-mail). Ils doivent se mfier des questions
quon leur pose par tlphone. Certaines entreprises ont mis en place un programme officiel de
formation de leur personnel la scurit de rseau, et les employs ne sont pas autoriss accder
lInternet tant quils nont pas suivi cette formation. Une telle politique est efficace afin de sensibiliser une communaut dutilisateurs, et devrait tre formule par crit, de faon tre accessible
tous. Dernire remarque importante : ne violez jamais vos propres procdures de scurit, quelles
que soient vos raisons.
Connatre les faiblesses du systme de scurit
Chaque systme de scurit possde ses vulnrabilits, et leur identification requiert honntet et
franchise. Il peut parfois tre trs utile de se faire aider lors de la recherche de ces faiblesses. Vous
devez tre capable de connatre les points faibles de votre systme, ainsi que la manire dont ils
pourraient tre exploits par lennemi. Vous devez galement savoir quelles zones reprsentent le
plus grand danger dintrusion, et contrler laccs ces zones immdiatement. Lidentification des
points faibles est la premire tape vers la scurisation de ces zones.
Limiter ltendue de laccs
Il est ncessaire de crer des barrires au sein mme de votre rseau, afin que dventuels intrus, qui
parviendraient accder une partie du rseau, ne puissent accder la totalit. Le niveau de scurit globale dun rseau se limite toujours au degr de vulnrabilit de lquipement le moins sr.
Le fait dadopter une approche hirarchique de la scurit permet certainement de ralentir un intrus,
et de le localiser plus facilement. Installer un gros verrou sur la porte de sa maison est une bonne
chose, mais sil reprsente le seul moyen de protection, il vaudrait mieux envisager lacquisition de
camras de surveillance, dun chien de garde, ou bien dun systme dalarme additionnel. Cette
analogie un peu simpliste nen est pas moins objective, car il est toujours plus difficile de commettre
un acte dlictueux lorsque les obstacles franchir sont nombreux.
Comprendre son environnement
Le fait de comprendre le fonctionnement de votre rseau en temps normal, de distinguer les vnements prvisibles de ceux qui ne le sont pas, et de connatre lutilisation habituelle des diffrents
quipements vous permettra de dtecter plus facilement les problmes de scurit. Vous pourrez
ainsi remarquer les vnements inhabituels, et reprer les intrus avant quils nendommagent votre
Chapitre 22
729
systme. Des outils daudit vous aideront dans cette tche. Bien sr, en complment de cette approche prventive, vous pouvez mettre en place des mcanismes dalarme qui signalent les tentatives
de violation ou de contournement des mesures de scurit en place.
Limiter sa confiance
Vous devez connatre prcisment les logiciels et matriels que vous utilisez, et ne pas baser votre
systme de scurit sur lhypothse que tous les programmes sont exempts de bogues. Sachez
mettre profit lexprience et les dcouvertes dautrui, qui font lobjet de nombreuses annonces et
publications, et pensez toujours tout remettre en question.
Penser la scurit physique
La plupart des modifications apportes votre rseau peuvent avoir des rpercussions sur la scurit. Cest particulirement vrai lors de la cration de nouveaux services. Les ingnieurs de rseau,
les administrateurs systme, les programmeurs et les utilisateurs devraient mesurer les consquences de chaque modification. Cela implique une certaine exprience pratique, une rflexion latrale,
ainsi que la volont dexplorer tous les moyens par lesquels un service pourrait tre manipul.
Evitez donc les changements irrflchis, qui peuvent engendrer de graves problmes de scurit.
accs Telnet ;
accs SNMP ;
Vous pouvez scuriser laccs un routeur en utilisant son logiciel IOS. Pour chaque mthode, vous
pouvez accorder un accs non privilgi ou privilgi un utilisateur (ou groupe dutilisateurs) ;
m
Accs non privilgi. Il permet aux utilisateurs de surveiller le routeur, mais non de le configurer. Il sagit dun accs en lecture seule.
Accs privilgi. Il permet aux utilisateurs de configurer compltement le routeur. Il sagit dun
accs en lecture-criture.
Pour les accs par port de console et Telnet, vous pouvez crer deux types de mots de passe. Le
premier, le mot de passe douverture de session, accorde lutilisateur un accs non privilgi au
routeur. Une fois connect, il peut entrer dans le mode privilgi via la commande enable et le mot
de passe appropri. Le mode privilgi fournit lutilisateur les fonctions de configuration complte.
730
Partie II
Etudes de cas
Laccs SNMP permet de dfinir plusieurs chanes de communaut SNMP pour les accs non privilgi et privilgi. Laccs non privilgi permet aux utilisateurs, sur un hte, denvoyer au routeur
des messages SNMP get-request et get-next-request, qui servent recueillir des informations statistiques auprs du routeur. Laccs privilgi permet aux utilisateurs, sur un hte, denvoyer au
routeur des messages SNMP set-request afin den modifier les paramtres de configuration et le
mode de fonctionnement.
Accs par console
Une console est un terminal directement rattach au routeur via le port de console. La scurit intervient au niveau de la console : les utilisateurs sont invits sauthentifier au moyen de mots de
passe. Par dfaut, aucun mot de passe nest associ laccs par console.
Mot de passe pour le mode non privilgi
Vous configurez un mot de passe pour le mode non privilgi en entrant les commandes suivantes,
dans le fichier de configuration du routeur. Les mots de passe sont sensibles la casse (dans cet
exemple, le mot de passe est 1forAll) :
line console 0
login
password 1forAll
Lorsque vous ouvrez une session sur le routeur, linvite douverture de session se prsente de la faon
suivante :
User Access Verification
Password:
Vous devez saisir le mot de passe 1forAll, afin dobtenir un accs non privilgi au routeur. La
rponse apparat comme suit :
router>
Le mode non privilgi est signifi sur le routeur par linvite >. A ce stade, vous pouvez saisir une
varit de commandes, afin de consulter des informations statistiques sur ce routeur, mais vous
ntes pas autoris en modifier la configuration.
Nutilisez jamais cisco comme mot de passe, ou autre variante vidente, telle que pancho. Ce sont
les premiers mots de passe utiliss par les intrus lorsquils reconnaissent une invite Cisco.
Mot de passe pour le mode privilgi
Configurez un mot de passe pour le mode privilgi en ajoutant les commandes suivantes, dans le
fichier de configuration du routeur (dans cet exemple, le mot de passe est san-fran) :
enable-password san-fran
Saisissez le mot de passe san-fran, afin dobtenir laccs privilgi au routeur. Ce dernier rpond
comme suit :
router#
Chapitre 22
731
Le mode privilgi est signifi par linvite #. Dans ce mode, vous pouvez entrer toutes les commandes qui permettent de consulter des statistiques, ou de configurer le routeur.
Une autre faon de dfinir le mot de passe du mode privilgi est dutiliser la commande enable
secret. Elle remplace la commande enable-password, et crypte automatiquement le mot de passe
du mode privilgi lorsque vous visualisez la configuration.
Accs Telnet
Vous pouvez accder au routeur en modes non privilgi et privilgi, via Telnet. A limage du cas
du port de console, la scurit Telnet intervient lorsque le routeur invite les utilisateurs sauthentifier en fournissant un mot de passe. Un grand nombre des lments dcrits la section "Accs par
console" sont applicables laccs Telnet. Vous devez fournir un mot de passe, afin de transiter du
mode non privilgi au mode privilgi. Vous pouvez crypter les mots de passe, et spcifier des
dlais dexpiration pour chaque session Telnet.
Mot de passe pour le mode non privilgi
Chaque port Telnet sur le routeur est connu sous la dnomination terminal virtuel. Un
routeur comprend un maximum de cinq ports de terminal virtuel (VTY, Virtual Terminal), ce qui
autorise cinq sessions Telnet concurrentes (le serveur de communication fournit plus de ports
VTY). Sur le routeur, les ports de terminal virtuel sont numrots de 0 4. Vous pouvez configurer
des mots de passe non privilgis pour un accs via Telnet sur les ports VTY, laide des commandes
suivantes (dans cet exemple, les ports VTY 0 4 utilisent le mot de passe marin) :
line vty 0 4
login
password marin
Lorsquun utilisateur tablit une communication Telnet avec ladresse dun routeur IP, ce dernier
prsente une invite semblable celle-ci :
% telnet router
Trying ...
Connected to router.
Escape character is ^].
User Access Verification
Password:
Si lutilisateur fournit le mot de passe non privilgi correct, linvite suivante apparat :
router>
A prsent que lutilisateur dispose dun accs non privilgi au routeur, il peut entrer dans le mode
privilgi en saisissant la commande enable, tel que dcrit la section "Mot de passe pour le
mode privilgi", plus haut dans ce chapitre.
Accs SNMP
Le protocole SNMP (Simple Network Management Protocol) reprsente une autre mthode daccs
aux routeurs. Avec SNMP, vous pouvez recueillir des statistiques ou configurer les routeurs. La collecte
de statistiques se fait au moyen des messages get-request et get-next-request, et la configuration des
732
Partie II
Etudes de cas
routeurs au moyen des messages set-request. Chacun de ces messages comprend une chane de communaut, qui est en fait un mot de passe en texte clair, envoy dans chaque paquet entre une station
gestionnaire et le routeur (qui hberge un agent SNMP). La chane de communaut SNMP sert
authentifier les messages envoys entre le gestionnaire et lagent. Lagent rpond uniquement lorsque le
gestionnaire lui envoie la chane de communaut correcte.
Lagent SNMP situ sur le routeur permet de configurer plusieurs chanes de communaut pour des
accs non privilgi et privilgi. Pour cela, la commande de configuration snmp-server community
<chane> [RO | RW] [liste-accs] est employe. Les sections suivantes examinent les diffrentes
utilisations de cette commande.
Malheureusement, ces chanes sont envoyes sur le rseau en texte clair, au format ASCII. Par
consquent, quiconque est capable de capturer un paquet sur le rseau peut dcouvrir la chane.
Ainsi, des utilisateurs non autoriss ont la possibilit dinterroger ou de modifier les routeurs, via
SNMP. Pour viter cela, la commande no snmp-server trap authentication empche les intrus
dutiliser des messages dinterception (envoys entre les gestionnaires et les agents) pour dcouvrir
les chanes de communaut.
La communaut Internet, consciente du problme, a considrablement amlior la scurit de la
version 2 de SNMP, tel que dcrit dans le RFC 1446. SNMP version 2 utilise un algorithme, appel
MD5, afin dauthentifier les communications entre les deux parties SNMP. MD5 vrifie lintgrit
de ces communications, en authentifie lorigine, puis en contrle la validit. De plus, cette version de
SNMP emploie le standard de cryptage DES (Data Encryption Standard) pour crypter les informations.
Mode non privilgi
Vous pouvez galement spcifier une liste des adresses IP qui sont autorises envoyer des messages au routeur, au moyen de linstruction access-list, avec la commande snmp-server community.
Dans lexemple de configuration suivant, seuls les htes 1.1.1.1 et 2.2.2.2 se voient accorder un
accs SNMP non privilgi au routeur :
access-list 1 permit 1.1.1.1
access-list 1 permit 2.2.2.2
snmp-server community public RO 1
Mode privilgi
Chapitre 22
733
Vous pouvez galement spcifier une liste des adresses IP qui sont autorises envoyer des messages au routeur, au moyen de linstruction access-list, avec la commande snmp-server community.
Dans lexemple de configuration suivant, seuls les htes 5.5.5.5 et 6.6.6.6 se voient accorder un
accs SNMP privilgi au routeur :
access-list 1 permit 5.5.5.5
access-list 1 permit 6.6.6.6
snmp-server community private RW 1
Ces techniques additionnelles peuvent tre utilises selon les besoins pour protger encore davantage laccs vos routeurs.
Dlais dexpiration de session
Parfois, la configuration de louverture de session et lactivation des mots de passe ne suffisent pas
fournir une scurit acceptable. Le dlai dexpiration pour une console laisse sans surveillance
(qui est de 10 minutes par dfaut) reprsente une mesure de scurit supplmentaire. Si la console
est laisse sans surveillance dans le mode privilgi, nimporte quel utilisateur peut modifier la
configuration du routeur. Vous pouvez modifier ce dlai, grce la commande exec-timeout mm ss,
o mm reprsente les minutes, et ss les secondes. Les commandes suivantes dfinissent la valeur du
dlai dexpiration 1 minute et 30 secondes :
line console 0
exec-timeout 1 30
Tous les mots de passe entrs sur le routeur sont visibles par le biais des commandes du mode privilgi write terminal et show configuration. Si vous disposez dun accs au routeur en mode
privilgi, vous pouvez, par dfaut, visualiser tous les mots de passe en texte clair.
Il existe un moyen de masquer ces mots de passe. La commande service password-encryption permet
de les stocker sous forme crypte, de faon quils ne puissent pas tre visualiss en texte clair par quiconque excute les commandes write terminal et show configuration. Nanmoins, si vous oubliez votre
mot de passe, vous devrez alors disposer dun accs physique pour pouvoir accder au routeur.
NOTE
Bien que le cryptage soit utile, il peut tre forc, et ne doit donc pas constituer lunique stratgie de scurit.
Si vous souhaitez autoriser uniquement certaines adresses IP utiliser Telnet pour accder au
routeur, vous devez employer la commande access-class. La commande access-class nn in
dfinit une liste daccs (de 1 99) pour les lignes de terminal virtuel sur le routeur. Les commandes de configuration suivantes limitent laccs, via Telnet, aux htes du rseau 192.85.55.0 :
access-list 12 permit 192.85.55.0 0.0.0.255
line vty 0 4
access-class 12 in
734
Partie II
Etudes de cas
Il est possible daccder, via Telnet, aux produits Cisco sur des ports TCP spcifis. Le type daccs
Telnet dpend de la version du logiciel System Software utilise, savoir :
m
versions 9.1 (11.4) et antrieures, ainsi que versions 9.21 (3.1) et antrieures ;
Mthode daccs
Echo
Discard (dtruire)
23
79
Finger
1993
2001 2999
Telnet, sur port auxiliaire (AUX), ports de terminal (TTY), et ports de terminal virtuel (VTY)
3001 3999
Telnet, sur ports de rotation (laccs sur ces ports est possible uniquement si les
rotations ont dabord t explicitement configures laide de la commande
rotary)
4001 4999
5001 5999
Miroir Telnet (mode flux) de la plage 3000 (laccs sur ces ports est possible uniquement si les rotations ont dabord t explicitement configures)
6001 6999
7001 7999
Miroir Telnet (mode binaire) de la plage 3000 (laccs sur ces ports est possible
uniquement si les rotations ont dabord t explicitement configures)
8001 8999
9001 9999
10001 19999
Chapitre 22
735
ATTENTION
Etant donn que les routeurs Cisco ne disposent pas de lignes TTY, la configuration de laccs (sur les
serveurs de communication) aux ports terminaux 2002, 2003, 2004, et plus, pourrait potentiellement fournir
un accs (sur les routeurs) sur les lignes de terminal virtuel 2002, 2003, 2004, et plus. Pour fournir un accs
aux ports TTY uniquement, vous pouvez crer des listes qui interdisent laccs aux ports VTY.
De plus, lors de la configuration de groupes de rotation, noubliez pas que laccs est possible par le
biais de nimporte lequel des ports disponibles dans le groupe (sauf si des listes daccs ont t
dfinies). Si vous utilisez des pare-feu qui autorisent les connexions TCP entrantes sur un grand
nombre de ports, Cisco recommande dappliquer les listes daccs appropries ses produits.
Lexemple suivant illustre une liste daccs qui refuse tous les accs Telnet entrants sur le port auxiliaire, et qui autorise laccs Telnet au routeur uniquement pour ladresse 192.32.6.7 :
access-class
access-class
line aux 0
access-class
line vty 0 4
access-class
Pour dsactiver les connexions sur les ports Echo et Discard, vous devez dsactiver compltement
ces services, au moyen de la commande no service tcp-small-servers.
NOTE
Si la commande ip alias est active sur les produits Cisco, les connexions TCP sur nimporte quel port
de destination sont considres comme tant valides. Il se peut que vous souhaitiez dsactiver cette
commande.
Dans certaines situations, il peut tre utile de crer des listes daccs pour empcher laccs aux
produits Cisco sur ces ports TCP. Pour obtenir des informations sur la cration de listes daccs
pour des routeurs, voyez la section "Configuration du routeur pare-feu", plus bas dans ce chapitre. Pour
obtenir des informations sur la cration de listes daccs pour des serveurs de communication,
consultez la section "Configuration du serveur de communication pare-feu", plus bas dans ce chapitre.
Versions ultrieures de System Software
Avec les versions 9.1 (11.5), 9.21 (3.2), ainsi que toute autre version 10.x de System Software, les
amliorations suivantes ont t implmentes :
m
Laccs direct aux lignes de terminal virtuel (VTY), par lintermdiaire des plages de ports 2000,
4000 et 6000, a t dsactiv. Pour maintenir un accs ouvert, vous pouvez configurer des
correspondances biunivoques entre VTY et le port de rotation.
Les connexions aux ports Echo et Discard (respectivement 7 et 9) peuvent tre dsactives,
laide de la commande no service tcp-small-servers.
Tous les produits Cisco autorisent des connexions des quipements IP alias uniquement sur le
port de destination 23.
736
Partie II
Etudes de cas
Avec les versions ultrieures, un routeur Cisco accepte par dfaut les connexions sur les ports rpertoris au Tableau 22.2.
Tableau 22.2 : Ports TCP pour laccs Telnet aux produits Cisco (versions ultrieures
de System Software)
Numro de port TCP
Mthode daccs
Echo
Discard (dtruire)
23
Telnet
79
Finger
1993
2001
4001
6001
Laccs sur le port 23 peut tre restreint en crant une liste daccs, que lon assigne ensuite aux lignes
de terminal virtuel. Laccs sur le port 79 peut tre dsactiv laide de la commande no service
finger. Laccs sur le port 1993 peut tre contrl avec des listes daccs SNMP. Laccs sur les ports
2001, 4001 et 6001 peut tre contrl au moyen dune liste daccs place sur le port auxiliaire.
dterminer quels types de trafics peuvent activer des circuits DDR (Dial-on Demand Routing,
routage avec ouverture de ligne la demande) ;
Indpendamment des critres de filtrage dfinis, si une liste nest pas exploite correctement, elle ne
fonctionnera pas normalement, voire pas du tout.
Fonctionnement
La dfinition dune liste de contrle daccs fournit un ensemble de critres, qui sont appliqus
chaque paquet trait par le routeur. Celui-ci dcide de transmettre ou de bloquer un paquet, en fonction des critres auxquels ce paquet correspond.
Chapitre 22
737
Des critres de liste daccs typiques spcifient ladresse source, ladresse de destination, ou le
protocole de couche suprieure dun paquet. Toutefois, chaque protocole possde son propre
ensemble de critres, qui peut tre dfini plus prcisment au moyen de numros de port.
Pour une liste daccs donne, chaque critre peut tre dfini dans une instruction de liste daccs
spare. Ces instructions indiquent de transmettre ou de bloquer les paquets qui correspondent aux
critres lists. En fait, une liste daccs est la somme des instructions individuelles qui partagent
toutes le mme nom ou numro didentifiant.
NOTE
Chaque instruction de liste daccs que vous ajoutez est place la suite des instructions dj dfinies. De
plus, vous ne pouvez pas supprimer des instructions individuelles une fois quelles ont t cres. Vous
pouvez seulement supprimer la liste entire.
Chaque paquet est compar chaque entre de la liste, cest--dire chaque critre. Lorsquune
correspondance est trouve, le paquet est accept ou refus. Une entre de liste daccs peut soit
autoriser (permit) soit rejeter (deny) le trafic.
A la fin des listes daccs est spcifie une instruction implicite de rejet de tout le trafic. Par consquent, si un paquet ne correspond aucun des critres, il est bloqu. Il sagit du comportement par
dfaut dune liste daccs sur un routeur Cisco. Lors de la configuration de listes daccs, il est donc
important davoir lesprit que tout le trafic non explicitement autoris est rejet.
Le comportement dune liste daccs peut tre compar une condition "if then" en programmation. Chaque entre dune liste daccs comporte un critre spar. La portion "if" de la ligne est le
critre, et la portion "then" est une instruction dacceptation ou de rejet. Par exemple :
if <critre 1> then <permit | deny>
if <critre 2> then <permit | deny>
.
.
.
rejeter tout le trafic
Lordre des instructions dans une liste daccs est galement important. Lorsque le routeur doit
dcider de transmettre ou de bloquer un paquet, le logiciel Cisco IOS compare le paquet chaque
critre, dans lordre de cration des instructions. Une fois quune correspondance a t trouve,
aucune autre instruction nest excute pour ce paquet. Ce mode de fonctionnement est dsign
processus descendant.
Le processus descendant est lun des concepts les plus simples utiliss par les routeurs Cisco, si
vous respectez les rgles. Lors de la cration dune liste de contrle daccs, ayez lesprit les
rgles suivantes :
m
Les lments spcifiques, tels que des adresses IP individuelles, sont placs en dbut de liste.
Les lments gnraux, tels que des numros de sous-rseaux, devraient tre placs en milieu de
liste.
Les lments ouverts, tels que des numros de rseaux, devraient se situer en fin de liste.
738
Partie II
Etudes de cas
Si vous crez une instruction qui autorise explicitement tout le trafic, aucune des instructions
suivantes ne sera excute. Si, par la suite, vous voulez ajouter des instructions supplmentaires,
vous devrez supprimer la liste daccs, puis la recrer avec les nouvelles entres.
NOTE
Lors de la cration ou de la modification de listes daccs, il est vivement recommand de ne pas les modifier
la vole. Il est prfrable de les concevoir sur un serveur TFTP, dans un traitement de texte, ou sur papier.
Lutilisation de listes daccs induit une charge de traitement supplmentaire au niveau du processeur du
routeur, car chaque entre dune liste doit tre contrle, jusqu ce quune correspondance soit trouve.
ATTENTION
Nenregistrez pas les modifications apportes la configuration dun routeur tant que vous navez pas la
certitude que la scurit mise en uvre fonctionne correctement, de faon pouvoir revenir en arrire en
cas derreur.
Le Tableau 22.3 prsente diffrentes mthodes qui permettent dappliquer des listes daccs dans la
configuration dun routeur.
Tableau 22.3 : Commandes dapplication de listes daccs
Commande
Niveau dapplication
Description
ip access-group
Interface de routeur
access-class
Lignes VTY
distribute-list
Protocole de routage
Une seule liste daccs peut tre applique une interface, pour un protocole donn. Avec la plupart
des protocoles, les listes daccs peuvent tre configures sur des interfaces, en entre ou en sortie.
Dans le cas dun filtrage en entre, le paquet reu est compar aux critres de la liste par le systme
IOS, la recherche dune correspondance. Si une correspondance est trouve et que le paquet soit
autoris, le systme poursuit son traitement, sinon il le supprime.
Dans le cas dun filtrage en sortie, le paquet reu est rout vers linterface de sortie, puis compar
aux critres de la liste par le systme IOS, la recherche dune correspondance. Si une correspondance est trouve et que le paquet soit autoris, le systme le transmet, sinon il le supprime.
Pour bien comprendre le fonctionnement de base des listes ACL, il faut savoir que le sens dans
lequel une liste est applique (entre ou sortie) est une question de perspective. En loccurrence, il
est vu depuis le routeur. La Figure 22.3 illustre ce principe.
Chapitre 22
739
Figure 22.3
Le sens dapplication
des listes ACL est
fonction du routeur.
Trafic en
entre
Trafic en
sortie
ATTENTION
Pour la plupart des protocoles, si vous dfinissez une liste daccs en entre, afin de filtrer le trafic, vous devez
inclure des critres explicites qui autorisent la transmission des mises jour de routage. Sinon, vous pourriez
perdre la communication sur une interface, les mises jour tant bloques par linstruction implicite de rejet
de tout le trafic en fin de liste.
Souvenez-vous que les listes daccs sont configures sur le routeur, quelle que soit la faon dont
vous les exploitez. Tant que vous parvenez vous reprsenter la situation par rapport au routeur, vous
pouvez diffrencier les notions de trafic entrant et sortant.
Masque gnrique
Les listes daccs IP standards et tendues utilisent un masque gnrique (wildcard mask).
A linstar dune adresse IP, un masque gnrique est une valeur sur 32 bits, exprime au moyen de
nombre dcimaux spars par un point. Lors du processus de comparaison, les bits marqus 1 dans
le masque gnrique signifient quil faut ignorer la valeur des bits correspondants dans ladresse de
paquet, et les bits marqus 0 dans le masque signifient quil faut comparer la valeur des bits correspondants dans ladresse de paquet.
Lutilisation du masque gnrique peut galement tre dcrite comme suit :
m
Lorsquun bit est marqu 0 dans le masque, la valeur du bit de mme position dans ladresse du
paquet et dans ladresse de la liste daccs doit tre identique, que ce soit 0 ou 1.
Lorsquun bit est marqu 1 dans le masque, la valeur du bit de mme position dans ladresse de
paquet est demble considre comme tant correspondante, que ce soit 0 ou 1. Il ny a donc
pas de comparaison avec ladresse de liste daccs. Pour cette raison, les bits marqus 1 sont dits
gnriques.
Une liste daccs peut comporter un nombre indfini dadresses relles et de masques gnriques.
Un masque gnrique, lorsquil est non nul, peut correspondre plusieurs adresses relles. Souvenez-vous que lordre des instructions de liste daccs est important, car lorsquune correspondance
est trouve pour un paquet, le reste des instructions nest pas excut.
NOTE
Les masques gnriques offrent un grand avantage : ils permettent au routeur de comparer rapidement les
paquets avec les entres ACL, ce qui rduit les temps de traitement ainsi que la quantit de cycles processeur utiliss.
740
Partie II
Etudes de cas
En fait, un masque gnrique est loppos dun masque de sous-rseau. Il permet au routeur de rapidement dterminer si une seule adresse IP est rfrence, ou bien sil sagit dune plage dadresses
IP. Imaginez une adresse IP 172.19.1.1 avec un masque de sous-rseau 255.255.255.255 (32 bits).
Ce masque couvre la totalit de ladresse ; pour pouvoir sy rfrer dans une liste ACL, le masque
gnrique 0.0.0.0 serait utilis. Vous pouvez donc voir que le masque gnrique est le contraire du
masque de sous-rseau.
Prenons un exemple plus complexe. Imaginez un rseau 172.19.0.0, qui a t subdivis laide
dun masque de 28 bits. Les sous-rseaux suivants sont donc disponibles :
172.19.0.16/28
172.19.0.32/28
172.19.0.48/28
Pour dsigner un sous-rseau spcifique dans une liste ACL, le masque gnrique utilis serait le
contraire du masque de sous-rseau, soit :
255.255.255.255
255.255.255.240masque de sous-rseau
--------------0 . 0 . 0 . 15masque gnrique
Les listes de contrle daccs standards peuvent tre trs efficaces et bloquer une plage entire
dadresses sources. Elle acceptent (permit) ou rejettent (deny) les paquets uniquement en se basant
sur leur adresse IP source. Les listes de contrle daccs standards sont numrotes de 1 99, et
sont beaucoup plus simples configurer que les listes daccs tendues.
Configuration de listes daccs standards
La syntaxe suivante est utilise pour configurer une liste daccs standard :
Router (config)#
access-list numro-liste-accs {permit | deny} source masque-source
Le Tableau 22.4 dcrit les paramtres utiliss dans ces deux commandes.
NOTE
Pour supprimer une liste daccs, saisissez conscutivement les commandes no access-group, puis no
access-list, suivies de leurs paramtres respectifs.
Chapitre 22
741
Tableau 22.4 : Paramtres des commandes access-list et ip access-group (listes daccs standards)
Commande access-list
Description
numro-liste-accs
Identifie la liste laquelle lentre appartient. Pour les listes daccs standards, il sagit dun numro situ entre 1 et 99.
permit | deny
Indique si cette entre autorise ou bloque le paquet lorsque son adresse correspond au critre.
source
masque-source
Identifie les bits comparer dans le champ dadresse source. Les bits marqus 1 dans le masque indiquent ceux ignorer ; les bits marqus 0 ceux
comparer.
Commande ip access-group
Description
numro-liste-accs
in | out
Alors que les listes daccs standards sont rapides configurer, et permettent de limiter la surcharge
au niveau des ressources en contrlant le trafic sur la base de ladresse source des paquets, les listes
daccs tendues offrent un plus haut niveau de contrle, en autorisant galement un filtrage bas
sur le protocole de niveau session, ladresse de destination et le numro de port. Ces fonctionnalits
permettent de restreindre le trafic en fonction du type dutilisation du rseau. La Figure 22.4 illustre
le traitement dune liste de contrle daccs tendue par le systme IOS du routeur.
Dans une instruction, chaque condition teste doit tre vraie pour que laction permit ou deny
quelle spcifie soit excute. Lorsquun paramtre, ou condition, test ne rsulte pas en une correspondance, lentre suivante dans la liste daccs est traite.
742
Partie II
Etudes de cas
Figure 22.4
Liste d'accs ?
Non
Oui
Ne correspond
pas
Adresse source
Correspond
Correspond
Permit
Message ICMP
*Si prsent dans la liste d'accs
Les listes daccs tendues offrent davantage doptions de configuration ainsi quun plus grand
degr de prcision que les listes standards (voir Tableau 22.5). Voici la syntaxe utilise pour configurer une liste daccs tendue :
access-list numro-liste-accs {permit|deny} protocole source masque-source
destination masque-destination [oprateur oprande] [established]
Description
numro-liste-accs
Identifie la liste laquelle lentre appartient. Pour les listes daccs tendues, il sagit dun numro situ entre 100 et 199.
permit | deny
protocole
source et destination
Chapitre 22
743
Description
masque-source
et masque-destination
Identifie les bits comparer dans les champs dadresse. Les bits marqus 1
dans le masque indiquent ceux ignorer ; les bits marqus 0 ceux comparer.
oprateur et oprande
lt, gt, eq, neq (infrieur , suprieur , gale, non gale) plus un numro de port.
established
Autorise le paquet tre transmis sil sagit dune rponse au trafic initi
par un rseau ou sous-rseau directement connect.
Commande ip access-group
Description
numro-liste-accs
in | out
100
100
100
100
100
100
100
established
eq 21
eq 161
eq 162
Les listes de contrle daccs rflexives reprsentent un nouveau type de listes ACL. Elles possdent les caractristiques suivantes :
m
Elles filtrent le trafic IP de faon que le trafic des sessions TCP ou UDP soit autoris uniquement
par lintermdiaire du pare-feu lorsque la session provient du rseau interne.
Elles offrent une protection contre lusurpation dadresses (spoofing) et contre certaines attaques
par dni de service (denial-of-service).
744
Partie II
Etudes de cas
Elles ne contiennent pas dinstruction implicite de rejet de tout le trafic, car elles sont imbriques
dans des listes daccs tendues nommes.
Une liste daccs rflexive entrane la cration dune entre permit temporaire, lorsquune
nouvelle session IP dbute (par exemple, un paquet sortant). Cette entre est ensuite supprime,
lissue de la session.
Une liste daccs rflexive nest pas directement applique une interface, mais imbrique dans
une liste daccs tendue nomme, qui, elle, est applique une interface.
Deux listes daccs tendues nommes sont ncessaires, une en entre et une autre en sortie.
Pour dfinir une liste daccs rflexive, vous devez utiliser une entre dans une liste daccs IP tendue nomme. Cette entre doit inclure le mot cl reflect. Ensuite, une autre liste daccs IP tendue
nomme doit contenir le mot cl evaluate.
Pour bien comprendre le mcanisme des listes daccs rflexives, imaginez quun agent de la scurit soit charg denregistrer les informations de trafic (adresse IP, protocole, et numro de port) qui
quittent le site et de crer une entre permit temporaire au moyen du mot cl reflect afin de
contrler le trafic qui est reu en rponse.
Il vrifie ensuite le trafic reu en retour en se rfrant lentre temporaire, grce lutilisation du
mot cl evaluate. Si le trafic correspond lentre temporaire, il laccepte, sinon, il lvalue laide
des entres de la liste tendue.
Pour dfinir des listes daccs rflexives, excutez les tapes suivantes, en commenant avec le
mode de configuration globale :
1. Pour une interface externe, spcifiez la liste daccs en sortie ; pour une interface interne, spcifiez-la en entre. Pour cela, vous devez entrer dans le mode de configuration de liste daccs, et
utiliser la commande suivante :
ip access-list extended nom
2. Dfinissez la liste daccs rflexive laide dune entre permit rflexive. Rptez cette tape
pour chaque protocole de couche suprieure pour IP. Par exemple, vous pouvez configurer un
filtrage rflexif des sessions TCP, mais galement des sessions UDP. Vous pouvez employer le
mme nom pour plusieurs protocoles. Cette tape est une tape dimbrication ; elle utilise la
commande suivante :
permit protocole any any reflect nom [timeout secondes]
3. Les listes daccs rflexives sont le plus souvent mises en uvre laide de deux topologies de
rseau de base. Le fait de dterminer celle dont votre rseau se rapproche le plus peut vous aider
dcider si vous devez appliquer ces listes sur une interface interne ou externe. La Figure 22.5
illustre ces deux topologies.
Chapitre 22
Figure 22.5
Topologies courantes
pour limplmentation
de listes daccs
rflexives.
Rseau interne
Conception de
rseau n 1
Rseau externe
Srie 0
Rseau
interne
745
World Wide
Web
evaluate dans une liste ACL en entre
reflect dans une liste ACL en sortie
World Wide
Web
Conception de
rseau n 2
Ethernet 0
Rseau
interne
Serveur DNS
DMZ
Interface externe
La premire topologie illustre est intitule "Conception de rseau n 1". Dans cette topologie
simple, les listes daccs rflexives sont configures sur linterface externe Srie 0, ce qui empche
le trafic IP dentrer sur le routeur et datteindre le rseau interne, moins quil ne fasse partie dune
session dj tablie depuis le rseau interne.
Interface interne
La seconde topologie illustre est intitule "Conception de rseau n 2". Dans cette topologie, les
listes daccs rflexives sont configures sur linterface interne Ethernet 0, ce qui autorise le trafic
externe accder aux services au sein de la zone dmilitarise (DMZ, Demilitarized Zone), tels les
services DNS, mais empche le trafic IP dentrer sur le rseau interne, moins quil ne fasse partie
dune session dj tablie depuis le rseau interne.
Configuration de listes daccs rflexives
Les listes ACL rflexives offrent une scurit plus granulaire. En effet, elles permettent au routeur
de mmoriser certaines informations relatives au trafic quil a transmis, de faon quil accepte
uniquement les paquets envoys en rponse par lintermdiaire de ce trafic. Un paquet de donnes
est accept comme tant une rponse valide seulement sil provient de lhte et du port vers
lesquels le paquet sortant a t initialement envoy, et quil est adress lhte et au port qui ont
mis le paquet.
Les informations du paquet de donnes utilises pour gnrer une entre ACL rflexive sont
ladresse IP et le port source, ladresse IP et le port de destination, et le type de protocole. Lorsque
le type de protocole est TCP ou UDP, les informations de port doivent correspondre exactement.
Lorsque ICMP est utilis, une rponse dcho doit correspondre une requte dcho (cest--dire
une rponse ping pour une requte ping). Pour tous les autres protocoles, aucune information de
port ne doit correspondre.
746
Partie II
Etudes de cas
En fait, vous ne configurez pas explicitement des listes ACL rflexives. Une liste est gnre automatiquement en rponse un paquet qui correspond une entre ACL contenant la clause reflect.
La Figure 22.6 illustre les tapes ncessaires la configuration dune liste ACL rflexive.
Figure 22.6
Configuration
dune liste daccs
rflexive.
Le paquet en sortie est valu par lentre reflect uniquement si aucune autre correspondance
nest trouve auparavant. Si le paquet correspond au protocole spcifi dans lentre reflect, une
entre temporaire est cre dans la liste ACL rflexive indique, et le paquet est transmis en sortie
sur linterface. Lentre temporaire spcifie les critres qui autorisent le trafic entrant (en retour),
pour la mme session uniquement.
Si une entre temporaire correspondante existe dj, cela signifie que le paquet sortant appartient
une session en cours. Par consquent, aucune autre entre na besoin dtre cre et il faut simplement rinitialiser le temporisateur dactivit (activity timer).
Chapitre 22
747
Lorsquun paquet de donnes est valu au moyen de la liste ACL donnes_sortantes, sil sagit
dun paquet UDP, les informations dadresse IP et de port source, ainsi que celles dadresse IP et de
port de destination quil contient sont extraites, et une clause permit est cre dans la liste ACL
contrle_donnes_udp. Une seule entre ACL par session ou flux est cre.
NOTE
Si un paquet de donnes sortant correspond une autre clause permit ou deny, situe avant la clause
reflect dans la liste ACL donnes_sortantes, aucune entre temporaire nest cre.
Lorsquun paquet de donnes est valu au moyen de la liste ACL donnes_entrantes, et que le routeur
atteint la clause evaluate, le paquet est contrl par la liste ACL contrle_donnes_udp. Sil correspond, il est accept ; sinon, le routeur continue lvaluation avec la liste ACL donnes_entrantes.
NOTE
Si un paquet entrant correspond une clause permit ou deny dans la liste donnes_entrantes, avant que
la clause evaluate ne soit atteinte, lentre rflexive nest pas contrle.
Lorsque le routeur reoit un paquet, il lvalue au moyen de la liste daccs tendue. Si une correspondance est trouve avant que le routeur nait atteint la liste daccs rflexive, celle-ci nest pas
utilise. Si le paquet ne correspond aucune condition de la liste daccs tendue, il est compar
aux instructions de la liste rflexive.
Si le paquet correspond une entre permit de la liste rflexive, une entre temporaire est cre, et
le paquet est gr en fonction des critres de correspondance. Lentre demeure active jusqu ce
que la session se termine.
Pour les sessions TCP, lentre temporaire est supprime cinq secondes aprs que deux bits FIN
activs aient t dtects, ou immdiatement aprs quun paquet TCP avec le bit RST activ ait t
dtect. Sinon, lentre temporaire est supprime lorsquaucun paquet de session na t dtect
pendant un laps de temps prdtermin, cest--dire pendant lintervalle dfini au moyen du temporisateur timeout.
NOTE
Deux bits FIN activs dans une session signifient que celle-ci est sur le point de se terminer. La fentre de
cinq secondes laisse le temps la session de se terminer proprement. Un bit RST activ indique une fin de
session brusque.
Pour UDP et dautres protocoles fonctionnant en mode non connect (connectionless), la fin dune
session est dtermine diffremment. Etant donn quaucune information de suivi de session nest
contenue dans ces paquets, la fin dune session est signifie lorsquaucun paquet na t dtect
pendant un intervalle de temps configurable.
748
Partie II
Etudes de cas
Le processus mis en uvre par le routeur afin de traiter les entres dune liste daccs rflexive est
illustr la Figure 22.7. Ayez lesprit les concepts essentiels suivants, lors de lexamen de ce
processus :
m
Comme pour nimporte quelle liste ACL, lordre des entres dans une liste rflexive est critique
pour son fonctionnement.
Si le paquet correspond une entre de la liste tendue avant que la liste rflexive ne soit atteinte,
il ne sera pas compar avec cette dernire, et aucune entre temporaire ne sera cre.
Une entre temporaire de liste ACL rflexive est cre uniquement sil nen existe pas dj une
pour cette session.
Figure 22.7
Paquet reu
Fonctionnement
dune liste ACL
rflexive.
Le paquet correspond-il
une entre ACL ?
Oui
L'entre contient-elle
une instruction reflect ?
Non
Oui
Supprimer
le paquet
Oui
L'action est-elle
deny ?
Non
L'action est-elle
permit ?
Oui
No
L'action est-elle
evaluate ?
deny
Comparer avec ACL,
tel que spcifi par la
clause evaluate
permit
continue
Les recommandations suivantes (pour et contre) sont essentielles, afin de garantir une conception
russie de vos listes ACL rflexives. Il est recommand den tenir compte lors de limplmentation
dun rseau de campus.
Chapitre 22
749
POUR :
m
Dfinir ces listes uniquement avec des listes daccs IP tendues nommes.
Toujours utiliser deux listes daccs IP tendues nommes, une en entre et une autre en sortie.
CONTRE :
m
Dfinir ces listes avec des listes daccs IP standards numrotes ou nommes, ou avec dautres
listes daccs de protocoles.
Utiliser ces listes avec des applications qui emploient des numros de port changeants, tel FTP
dans le mode actif.
Pour autoriser un accs distant des services locaux, une solution de scurit couramment implmente consiste crer des listes daccs, comme mentionn prcdemment. Les listes daccs
standards et tendues prsentent les limitations suivantes :
m
Elles imposent une surcharge de traitement au niveau du routeur, qui dpend des entres configures.
Elles ne fournissent pas de mcanisme de dfi permettant dauthentifier des utilisateurs individuels.
Une solution de scurit plus efficace est demployer la fonctionnalit daccs lock-and-key, disponible uniquement avec les listes daccs IP tendues. Cette fonctionnalit permet de configurer des
listes daccs dynamiques, qui oprent un filtrage individuel en fonction des adresses source/destination. Le filtrage est mis en uvre au moyen dun processus dauthentification de lutilisateur.
Vous pouvez autoriser un accs utilisateur dynamique par lintermdiaire dun pare-feu, sans mettre
en pril les restrictions de scurit en place.
ATTENTION
Les amliorations apportes la commande access-list pour supporter la fonctionnalit lock-andkey, sont compatibles en amont. Par consquent, lors de la migration depuis une version du systme
Cisco IOS antrieure la version 11.1, vos listes daccs sont automatiquement converties afin de
reflter ces amliorations. Toutefois, les versions du systme Cisco IOS antrieures la version 11.1 ne
prsentent pas de compatibilit avec ces amliorations. Aussi, si vous enregistrez une liste daccs
dans une version antrieure, puis que vous utilisiez la version 11.1, la liste daccs ne sera pas correctement interprte. En fait, cela pourrait provoquer de srieux problmes de scurit. Pour bien faire,
vous devez sauvegarder vos anciens fichiers de configuration avec la version 11.1, ou ultrieure, avant
de dmarrer une image avec ces fichiers.
Dans la version 11.1 du systme Cisco IOS, la fonctionnalit daccs lock-and-key sappuie sur Telnet.
Lapplication Telnet standard est ncessaire sur la plate-forme hte qui active le processus dauthentification.
750
Partie II
Etudes de cas
Etant donn que la fonctionnalit lock-and-key offre une voie daccs potentielle, par lintermdiaire du pare-feu de votre rseau, vous devez examiner attentivement les aspects suivants :
m
La premire considration concerne laccs dynamique. En effet, avec la mise en uvre de listes
daccs dynamiques, il existe un risque quun hte non autoris, qui usurperait une adresse
authentifie, puisse accder de lautre ct du pare-feu. Toutefois, il faut savoir que la fonctionnalit daccs lock-and-key nest pas la cause du problme dusurpation dadresse (spooffing).
Soyez trs attentif la configuration des routeurs interzones. Lorsque des utilisateurs distants
dclenchent des accs lock-and-key sur un routeur interzones, des entres de liste daccs
supplmentaires sont cres sur son interface. La liste daccs augmente et diminue de faon
dynamique. Les entres sont supprimes de la liste dynamiquement, expiration du dlai dinactivit (idle-timeout) ou du dlai maximal (max-timeout). De grandes listes daccs peuvent
entraner une dgradation des performances de commutation des paquets.
ATTENTION
Laccs lock-and-key autorise un vnement extrieur provoquer une ouverture dans le systme pare-feu.
Une fois cette ouverture faite, le routeur est expos lusurpation dadresse source. Pour viter cela, vous
devez fournir un support pour le cryptage. Ce problme est dcrit en dtail, plus loin dans cette section.
Lusurpation dadresse source est un problme inhrent toutes les listes daccs.
Voici deux situations dans lesquelles laccs lock-and-key pourrait tre implment :
m
Lorsque vous souhaitez quun hte distant puisse accder un hte de votre rseau via lInternet.
Dans ce cas, la fonctionnalit lock-and-key limite laccs au-del de votre pare-feu, en ralisant
un filtrage par htes ou par rseaux.
Lorsque vous voulez quun sous-ensemble dhtes sur un rseau puisse accder un hte sur un
rseau distant protg par un pare-feu. Dans cas, laccs lock-and-key permet daccorder
un accs uniquement lensemble dhtes souhait, en procdant leur authentification par
lintermdiaire dun serveur TACACS+.
Chapitre 22
751
3. Une fois que lutilisateur a t authentifi, le systme IOS cre une entre temporaire dans la
liste daccs dynamique. Cette entre hrite des paramtres de la liste. Vous pouvez limiter
la plage de rseaux pour lesquels lutilisateur a reu une autorisation daccs temporaire.
4. Lutilisateur change des donnes par lintermdiaire du pare-feu, puis met fin la session.
5. Lentre temporaire est supprime de la liste daccs dynamique par le systme IOS, lorsquun
dlai (dinactivit ou absolu) configur arrive expiration, ou bien lorsque ladministrateur
systme la supprime manuellement.
NOTE
Lorsque lutilisateur met fin une session, lentre temporaire demeure dans la liste daccs dynamique,
jusqu ce quelle soit supprime par le systme IOS ou ladministrateur systme.
Pour configurer laccs lock-and-key, ralisez les tapes suivantes, en vous plaant dans le mode de
configuration globale :
1. Configurez une liste daccs dynamique qui servira de modle et de contenu aux entres temporaires. Voici les commandes que vous devez utiliser :
access-list numro-liste-accs
[dynamic nom-dynamique [timeout minutes]] {deny | permit}
protocole source masque-source destination masque-destination
[precedence priorit] [tos tos] [established] [log]
752
Partie II
Etudes de cas
6. Autorisez la cration dentres temporaires de listes daccs. Si largument host nest pas spcifi,
tous les htes du rseau sont autoriss en crer. La liste daccs dynamique contient le masque de
rseau, qui permet la nouvelle connexion de rseau. La commande suivante est utilise :
autocommand access-enable [host] [timeout minutes]
Il existe trois mthodes de configuration dun processus de requtes dauthentification (voir ltape 5
de la liste de tches prcdente), qui sont les suivantes :
m
Utilisez un serveur de scurit daccs de rseau comme TACACS+. Cette mthode implique des
tapes de configuration supplmentaires au niveau du serveur TACACS+, mais permet dutiliser
des requtes dauthentification plus prcises ainsi que des fonctions de suivi sophistiques :
Router(config)# login tacacs
La commande username. Cette mthode est plus efficace, car chaque utilisateur doit tre authentifi individuellement. La syntaxe employe est la suivante :
Router# username nom password mot-de-passe
Les commandes password et login. Cette mthode est moins efficace, car le mot de passe est
configur pour le port, mais non pour lutilisateur. Par consquent, nimporte quel utilisateur
connaissant le mot de passe peut se faire authentifier. La syntaxe employe est la suivante :
Router# password mot-de-passe
Router# login local
Il est conseill de suivre ces recommandations lors de la configuration de listes daccs dynamiques :
m
Assignez des paramtres la liste daccs dynamique, de la mme manire que pour les listes
daccs statiques. Les entres temporaires hritent des paramtres assigns la liste.
Configurez Telnet comme protocole pour que les utilisateurs soient soumis au processus de
requtes dauthentification. Laccs Telnet doit tre autoris pour mettre en uvre lauthentification utilisateur.
Dfinissez soit une valeur de dlai dinactivit ( laide de la commande access-enable, dans la
commande autocommand), soit une valeur de dlai absolu ( laide du mot cl timeout, dans
la commande access-list). Si vous ne le faites pas, lentre temporaire demeurera configure
indfiniment sur linterface, mme aprs que lutilisateur aura mis fin la session (et jusqu ce
que ladministrateur la supprime manuellement).
Lorsque vous configurez la fois le dlai dinactivit et le dlai absolu, faites en sorte que la
valeur du premier paramtre soit infrieure celle du second.
Chapitre 22
753
Lorsque vous configurez un dlai dinactivit, spcifiez une valeur gale celle du dlai dinactivit WAN.
Ne crez pas plus dune liste daccs dynamique pour une liste daccs donne. Le systme se
rfre uniquement la premire liste dynamique dfinie.
Nassignez pas un nom de liste dynamique existant une autre liste daccs, sinon le systme
rutilisera la liste existante. Toutes les entres nommes dans la configuration doivent tre
uniques.
Si le routeur excute la commande autocommand, configurez tous les ports VTY avec la mme
commande autocommand. Lomission de cette commande sur un port VTY autorise nimporte
quel hte accder au mode EXEC du routeur, et ne cre pas dentre temporaire dans la liste
daccs dynamique.
Lorsque vous crez des listes daccs dynamiques, ayez lesprit les lments suivants :
m
Les seules valeurs remplaces dans lentre temporaire sont ladresse source ou de destination,
selon que la liste dynamique a t place dans une liste daccs en entre ou en sortie. Tous les
autres paramtres, tel le port, sont hrits de la liste daccs dynamique.
Chaque ajout dans une liste dynamique est toujours plac en dbut de liste. Vous ne pouvez pas
spcifier lordre des entres.
Lauthentification utilisateur est russie lorsque les vnements de routeur suivants se produisent :
m
Une entre temporaire de liste daccs est cre, et la session Telnet est termine. Lhte spcifi
peut maintenant accder de lautre ct du pare-feu.
Vous pouvez vrifier que limplmentation sur le routeur est russie en demandant lutilisateur de
tester la connexion, ou bien en utilisant la commande show-access-lists, afin de visualiser les
listes daccs dynamiques.
Lexemple suivant illustre ce que lutilisateur pourrait obtenir, une fois le processus dauthentification russi. Notez que la connexion Telnet a t ferme immdiatement aprs que le mot de passe a
t fourni, puis authentifi. Lentre temporaire a dj t cre ; lhte qui a initi la session Telnet
peut accder de lautre ct du pare-feu :
Router# telnet corporate
Trying 172.21.52.1 ...
Connected to corporate.abc.com.
Escape character is ^].
User Access Verification
Password:
Connection closed by foreign host.
754
Partie II
Etudes de cas
Si vous avez besoin de supprimer une liste daccs dynamique, saisissez la commande suivante (en
mode EXEC privilgi) :
clear access-template [numro-liste-accs | nom]
[nom-dynamique] [source] [destination]
Vous pouvez afficher les entres temporaires de liste daccs lorsquelles sont en cours dutilisation.
Une fois quune entre a t supprime par le systme ou ladministrateur, elle ne peut plus tre
affiche. Le nombre de correspondances affich reprsente le nombre de fois o lentre de liste a
permis de trouver une correspondance.
Exemple de liste daccs dynamique
Lexemple suivant montre comment configurer laccs lock-and-key. Etant donn que lauthentification est assure par un serveur TACACS+, aucune commande autocommand napparat dans cette
configuration. Laccs lock-and-key est configur sur linterface BRI0, et quatre ports VTY sont
dfinis avec le mot de passe cisco :
aaa authentication login default tacacs+ enable
aaa accounting exec stop-only tacacs+
aaa accounting network stop-only tacacs+
enable password ciscotac
!
isdn switch-type basic-dms100
!
interface ethernet0
ip address 172.18.23.9 255.255.255.0
!
!
interface BRI0
ip address 172.18.21.1 255.255.255.0
encapsulation ppp
dialer idle-timeout 3600
dialer wait-for-carrier-time 100
dialer map ip 172.18.21.2 name diana
dialer-group 1
isdn spid1 2036333715291
isdn spid2 2036339371566
ppp authentication chap
ip access-group 102 in
!
access-list 102 dynamic testlist timeout 5 permit ip any any
access-list 102 permit tcp any host 172.18.21.2 eq 23
!
ip route 172.18.250.0 255.255.255.0 172.18.21.2
priority-list 1 interface BRI0 high
tacacs-server host 172.18.23.21
tacacs-server host 172.18.23.14
tacacs-server key test1
tftp-server rom alias all
!
dialer-list 1 protocol ip permit
!
line con 0
password cisco
line aux 0
Chapitre 22
755
line VTY 0 4
password cisco
!
Les mots de passe des modes non privilgi et privilgi sont globaux, et sappliquent chaque
utilisateur qui accde au routeur partir du port de console ou dune session Telnet. Le systme
dauthentification TACACS reprsente un autre moyen de valider chaque utilisateur individuellement, avant quil ne puisse accder au routeur ou au serveur de communication. TACACS a t
initialement dvelopp par le Dpartement de la dfense amricain (DoD, Department of Defense) ;
il est dcrit dans le RFC 1492. Ce systme est utilis par Cisco pour permettre un contrle plus
granulaire des accs utilisateur au routeur dans les modes non privilgi et privilgi.
Lorsque TACACS est activ, le routeur invite lutilisateur fournir un nom et un mot de passe. Il
interroge ensuite un serveur TACACS afin de dterminer si le mot de passe communiqu par lutilisateur est correct. Un serveur TACACS sexcute en gnral sur une station de travail Unix. Les
serveurs TACACS du domaine public peuvent tre obtenus via FTP anonyme ftp.cisco.com, dans
le rpertoire /pub. Utilisez le fichier /pub/README pour trouver le nom de fichier. La version 3 de
CiscoWorks fournit un support complet pour un serveur TACACS.
La commande de configuration tacacs-server host spcifie lhte Unix qui excute un serveur
TACACS qui validera les requtes envoyes par le routeur. Vous pouvez entrer cette commande
plusieurs fois afin de spcifier plusieurs htes de serveur TACACS pour un routeur.
Accs non privilgi
Si aucun serveur nest disponible, vous ne pourrez peut-tre pas accder au routeur. Dans ce cas, la
commande de configuration tacacs-server last-resort [password | succeed] permet dindiquer si
lutilisateur est autoris se connecter sans mot de passe (mot cl succeed) ou sil doit fournir le
mot de passe douverture de session standard (mot cl password).
Les commandes suivantes spcifient un serveur TACACS, et autorisent une ouverture de session
russie si le serveur est dfaillant ou injoignable :
tacacs-server host 129.140.1.1
tacacs-server last-resort succeed
Pour obliger lutilisateur qui souhaite accder au routeur via Telnet sauthentifier auprs du
serveur TACACS, utilisez les commandes de configuration suivantes :
line vty 0 4
login tacacs
Accs privilgi
Cette mthode de vrification de mots de passe peut galement sappliquer ceux du mode privilgi, grce la commande enable use-tacacs. Si aucun serveur nest disponible, vous ne pourrez
peut-tre pas accder au routeur. Dans ce cas, la commande de configuration enable last-resort
[password | succeed] permet dindiquer si lutilisateur est autoris se connecter sans mot de passe
(mot cl succeed) ou sil doit fournir le mot de passe du mode privilgi (mot cl password). Lutilisation du mot cl succeed comprend de nombreux risques. Si vous employez la commande enable
use-tacacs, vous devez galement spcifier la commande tacacs-server authenticate enable.
756
Partie II
Etudes de cas
Si un routeur tlcharge rgulirement des fichiers de configuration partir dun serveur TFTP
(Trivial File Transfer Protocol) ou MOP (Maintenance Operations Protocol), quiconque possdant
laccs au serveur peut galement modifier les fichiers de configuration du routeur qui y sont stocks.
Les serveurs de communication peuvent tre configurs pour accepter les connexions LAT (Local
Area Transport) entrantes. Les traducteurs de protocoles et leur routeur traducteur peuvent accepter
les connexions X.29. Ces diffrents types daccs devraient tre examins lors de la cration dune
architecture pare-feu.
Chapitre 22
757
Il est galement prudent de dfinir des messages qui notifient des utilisations non autorises, qui
seront affichs sur toutes les nouvelles connexions. Pour cela, vous disposez de deux mthodes. La
premire consiste recourir la commande de configuration globale EXEC banner sur le serveur
de communication pour saisir, par exemple, le message suivant :
banner exec ^C
Si vous rencontrez des problmes avec les lignes dappels entrants, envoyez
un e-mail helpdesk@socitX.com. Si vous obtenez le message "% Votre compte a
expir", envoyez un e-mail indiquant votre nom et votre bote de messagerie
vocale helpdesk@socitX.com, et quelquun vous contactera pour renouveler
votre compte. Une utilisation non autorise de ces ressources est interdite.
Vous avez galement la possibilit dutiliser la commande de configuration globale EXEC motd
banner sur nimporte quel quipement de rseau :
OSPF_Router (config)# motd banner
************************************************************************
*
! ! ! ! ! ! ! ATTENTION ! ! ! ! ! ! ! !
*
*
*
CE SYSTEME EST LA PROPRIETE DE <nom-socit>.
*
TOUS ACCES ET UTILISATION NON AUTORISES DE CE SYSTEME
*
*
*
SONT FORMELLEMENT INTERDITS PAR <nom-socit>
*
ET SONT CONTRAIRES AUX STRATEGIES DE SECURITE,
*
*
AU REGLEMENT ET A LA LOI.
*
*
*
*
LES UTILISATEURS NON AUTORISES SONT PASSIBLES DE POURSUITES
*
*
JUDICIAIRES ET SERONT SOUMIS AUX PROCEDURES
*
*
DISCIPLINAIRES INITIEES PAR LA SOCIETE.
*
************************************************************************
Afficher un message comme celui-ci sur un quipement de rseau est trs efficace. Il vous couvre
dans tous les cas, et spcifie mme que les actions entreprises par des utilisateurs non autoriss ne
resteront pas impunies.
Scurisation de services non standards
Il existe un certain nombre de services non standards disponibles partir de lInternet, qui offrent des
fonctionnalits valeur ajoute lors de la connexion au monde extrieur. Dans le cas dune connexion
lInternet, ces services peuvent tre trs sophistiqus et complexes. En voici des exemples : le Web
(World Wide Web), le service WAIS (Wide Area Information Service), Gopher et Mosaic. La plupart de
ces systmes sont conus pour fournir lutilisateur une quantit dinformations sous forme organise,
ce qui permet une navigation et une recherche structures.
La majorit de ces systmes utilisent un protocole dfini spcifiquement pour eux. Certains, comme
Mosaic, utilisent plusieurs protocoles diffrents, afin dobtenir les informations demandes. Soyez
prudent lorsque vous concevez des listes daccs applicables chacun de ces services. Dans de
nombreux cas, ces listes deviendront troitement lies avec linteraction de ces services.
Scurit avec niveaux de privilges
Cette fonctionnalit a t introduite par Cisco dans la version 10.3 de Cisco IOS. Elle autorise la
dfinition de 16 niveaux de scurit daccs sur un routeur. Les niveaux de privilge par dfaut sont
1 = utilisateur et 15 = privilgi.
758
Partie II
Etudes de cas
Ils peuvent tre tablis pour des commandes et des lignes de terminal entrantes.
Ils peuvent tre assigns des commandes EXEC et de configuration spciales pour contrler
laccs.
Vous pouvez implmenter les modes de commandes suivants, en utilisant des niveaux de privilge
(ce sont toutes des commandes de configuration globale, except EXEC) :
configuration
line
hub
route-map
controller
map-class
interface
router
EXEC
map-list
ipx-router
Pour associer un niveau de privilge une commande spcifique, vous devez configurer le routeur
comme suit :
Router(config)#privilege exec level 6 ping
Router(config)#privilege exec level 6 clear
Ces deux commandes, lorsquelles sont appliques un port VTY de routeur (ceux qui supportent
les connexions Telnet), autorisent quiconque accder au routeur simplement au moyen de la
commande vty, afin dy excuter des pings tendus ainsi quune varit de commandes de rinitialisation (clear), telles que counters, interface, router, etc.
Pour dfinir un mot de passe de mode privilgi pour un niveau de privilge, saisissez la commande
suivante :
Router(config)# enable password level numro-niveau mot-de-passe
Pour associer un niveau de privilge une ligne de terminal, saisissez la commande suivante :
Router(config)# line vty 0 4
Router(config-line)# privilege level numro-niveau
Pour protger les donnes de votre rseau, Cisco fournit des services de cryptage de donnes de
rseau et dauthentification de routeur. Cette section dcrit brivement leur implmentation, ainsi
que les avantages quils prsentent. Une description dtaille des techniques et processus impliqus
dans le dploiement de ces fonctionnalits sur votre rseau dpasserait le cadre de ce livre. A la fin
de cette section, des ressources supplmentaires sont rpertories, au cas o vous souhaiteriez en
apprendre davantage sur le sujet.
Le cryptage des donnes de rseau est assur au niveau paquet IP. Le cryptage de niveau paquet IP
protge les donnes contre des coutes clandestines. Lorsquil est mis en uvre, les paquets IP peuvent
tre observs durant la transmission, mais leur contenu (charge utile) nest pas lisible. Plus prcisment,
len-tte IP et les en-ttes de protocole de couche suprieure (TCP ou UDP) ne sont pas crypts,
Chapitre 22
759
linverse de la charge utile dans le paquet TCP ou UDP, ce qui garantit une non lisibilit des donnes
durant leur transmission.
Le cryptage et le dcryptage des paquets IP a lieu uniquement au niveau des routeurs qui sont configurs pour cette fonctionnalit, et pour lauthentification de routeur. Ces routeurs sont dsigns par
les termes routeurs de cryptage homologues (peer encrypting routers), ou tout simplement routeurs
homologues. Les nuds intermdiaires ne participent pas au processus de cryptage/dcryptage.
En rgle gnrale, lorsquun paquet IP est gnr initialement sur un hte, il nest pas crypt (texte
clair), car la cration du paquet a lieu sur une portion scurise (interne) du rseau. Lorsque le
routeur de cryptage reoit le paquet de lhte en question, il dtermine sil doit ou non le crypter.
Sil dcide de le faire, le paquet est ensuite envoy sur une portion non scurise du rseau (habituellement un rseau externe, tel lInternet) vers le routeur de cryptage homologue. A rception du
paquet, le routeur homologue le dcrypte, puis le transmet en texte clair lhte de destination sur
son rseau.
NOTE
Il faut savoir que, lorsque vous implmentez le cryptage de niveau IP, vous appliquez une charge de traitement supplmentaire au niveau des routeurs. Vous devriez donc vous assurer quils sont capables de grer
cette surcharge, en procdant un test pralable.
Pour assurer le cryptage de niveau paquet IP avec une authentification de routeur, Cisco implmente
les standards suivants : le standard de signature numrique DSS (Digital Signature Standard),
lalgorithme avec cl publique Diffie-Hellman (DH), et le standard de cryptage de donnes DES
(Data Encryption Standard). DSS est utilis pour lauthentification de routeur ; lalgorithme DH et
le standard DES sont utiliss pour initier des sessions de communication cryptes entre les routeurs
participants.
760
Partie II
Etudes de cas
fournies ici ont t mises jour afin de reflter plus prcisment le contenu et la pertinence de ce
chapitre, mais vous pouvez vous reporter cet ouvrage pour une tude de cas complte.
Authentification de routeur voisin OSPF
Lorsque lauthentification de voisin est configure, elle est exploite chaque fois que des mises
jour de routage sont changes entre des routeurs OSPF voisins. Ce mcanisme garantit quun
routeur reoit des informations de routage fiables de la part dune source approuve.
En labsence de cette authentification, des mises jour non autorises ou dlibrement malveillantes
pourraient mettre en pril la scurit du trafic sur le rseau. Par exemple, si une personne hostile
parvenait dtourner ou analyser le trafic de votre rseau, la scurit de celui-ci serait srieusement
remise en question.
Un routeur non autoris pourrait envoyer de fausses mises jour de routage indiquant votre
routeur de transmettre le trafic vers une destination errone. Ce trafic dtourn pourrait ensuite tre
analys, en vue dobtenir des donnes confidentielles sur votre entreprise, ou plus simplement de
perturber la communication sur votre rseau. Lauthentification de voisin protge un routeur contre
ce genre dactivits.
Chapitre 22
761
Vous devriez configurer un routeur pour lauthentification de voisin OSPF, sil rpond lune des
conditions suivantes :
m
Sil venait recevoir une fausse mise jour de routage, la scurit du rseau serait affecte.
Votre politique de scurit exige quil soit configur pour cette fonctionnalit.
Noubliez pas que, lorsque vous configurez un routeur pour lauthentification, vous devez galement
configurer ses routeurs voisins.
Fonctionnement de lauthentification de voisin
Une fois que lauthentification de voisin a t configure sur un routeur, celui-ci authentifie la
source de chaque paquet de mise jour de routage quil reoit. Pour cela, une cl dauthentification
(parfois appele mot de passe) est change entre le routeur metteur et le routeur destinataire.
Deux types dauthentifications de voisin sont utilises : lauthentification en texte clair et lauthentification MD5 (algorithme Message Digest, version 5). Les deux mcanismes fonctionnent de la
mme manire, la diffrence que MD5 envoie un "condens de message" la place de la cl
dauthentification. Ce condens est cr partir de la cl et du message, mais la cl nest pas
envoye, ce qui vite quelle soit capture pendant la transmission. Lauthentification en texte clair
transmet la cl dauthentification sur la ligne.
NOTE
La mise en uvre de lauthentification en texte clair nest pas recommande dans le cadre dune politique
de scurit. Elle sert principalement viter des changements accidentels dans linfrastructure de routage.
Il est recommand dutiliser la place lauthentification MD5.
ATTENTION
A linstar des mots de passe, il est impratif de conserver les cls dauthentification labri des regards indiscrets. Les avantages quoffre cette authentification en matire de scurit reposent sur la confidentialit
des cls. De plus, lorsque vous effectuez des tches de gestion de routeur via SNMP(Simple Network Management Protocol), nignorez pas le risque associ la transmission de cls avec des versions de SNMP qui
nutilisent pas le cryptage.
Tous les routeurs voisins participants doivent partager une cl dauthentification, qui est spcifie
sur chacun deux lors de la configuration. Plusieurs cls peuvent tre spcifies avec OSPF, chacune
delle devant tre identifie par un numro de cl. Par exemple, chaque interface WAN situe sur un
routeur qui exploite OSPF peut se voir assigner une cl diffrente. Linconvnient est que le routeur
voisin de chaque interface doit tre configur avec la cl correspondante sur son interface entrante
(voir Figure 22.8).
762
Partie II
Etudes de cas
Figure 22.8
Authentification OSPF
en texte clair.
Routeur B
Cl d'authentification
OSPF en texte clair
S0
l8
E0
nie
Da
Rebekah18
Routeur A
S0
Cl d'authentification
OSPF en texte clair
E0
S1
En rgle gnrale, lorsquune mise jour de routage est envoye, la squence dauthentification
suivante a lieu :
1. Un routeur envoie une mise jour de routage avec une cl dauthentification.
2. Le routeur destinataire (voisin) compare la cl quil reoit avec celle qui est stocke dans sa
mmoire.
3. Si les deux cls sont identiques, le routeur destinataire accepte le paquet de mise jour. Si elles
diffrent, le paquet de mise jour est rejet.
Authentification MD5
Une implmentation OSPF peut parfois tre trs difficile dpanner. Bien que lingnieur de rseau
dispose dj dun grand nombre doutils diffrents, il existe un nouvel outil prometteur, qui facilite
grandement cette tche laborieuse.
A la Figure 22.9, vous pouvez voir que lauthentification OSPF a t dlibrement mal configure.
Le premier message, "Authentication type mismatch. The other type = 1" ("non-concordance de
type dauthentification. Autre type = 1") se rfre au fait quun routeur a t configur pour
lauthentification OSPF avec MD5, mais pas lautre, ce qui engendre une non-concordance du type
dauthentification utilis par le processus OSPF.
Chapitre 22
763
Figure 22.9
Programme de dpannage
VisualOSPF de VisualProtocols.
non-concordance
764
Partie II
Etudes de cas
Figure 22.10
Architecture
pare-feu type.
Internet
Passerelle
applicative
Routeur
pare-feu
Hte
Flux de
paquet
Rseau
interne
Routeur
interne
La passerelle logicielle met en uvre des stratgies par applications et par utilisateurs. En effet, elle
contrle la livraison des services de rseau destination et en provenance du rseau interne. Par
exemple, seules certaines applications sont autorises tablir des connexions entre un hte intrieur au rseau et un hte extrieur, ou bien seuls certains utilisateurs ont le droit de communiquer
laide de lInternet.
Des filtres de routes et de paquets doivent tre dfinis pour reflter ces stratgies. Si la seule application accepte est une application de messagerie, seuls les paquets de messagerie doivent tre autoriss traverser le routeur interne. Cela permet de protger la passerelle, et vite de la submerger de
paquets quelle supprimerait autrement.
Contrle du flux de trafic
Cette section sappuie sur le scnario illustr la Figure 22.11. Elle dcrit lutilisation de listes
daccs, qui visent limiter le trafic entrant et sortant sur un routeur pare-feu et sur un serveur de
communication pare-feu. Ce dernier est configur pour grer les connexions entrantes.
Figure 22.11
Contrle du flux de
trafic via le routeur
pare-feu.
Monde
extrieur
(par exemple
Internet)
S0
125.50.14.1
125.50.13.1
E0
Serveur de communication pare-feu
B.B.13.1
Routeur
pare-feu
125.50.13.2
125.50.13.3
hte
Passerelle applicative
125.50.13.4
Rseau
interne
Routeur
interne
125.50.1.0
Chapitre 22
765
Dans cette tude de cas, le routeur pare-feu autorise les nouvelles connexions entrantes vers un ou
plusieurs serveurs de communication ou htes. Il est prfrable de disposer dun routeur dsign
pour servir de pare-feu. Cela permet didentifier clairement son rle en tant que passerelle extrieure, et vite galement dencombrer les autres routeurs avec cette tche. Au cas o le rseau
interne aurait besoin dtre isol, le routeur pare-feu assure la protection de la structure interne du
rseau.
Les connexions aux htes se limitent aux requtes FTP (File Transfer Protocol) entrantes et aux
services de messagerie, tel que dcrit la section "Dfinition de listes daccs de pare-feu", plus bas
dans ce chapitre. Les connexions Telnet, ou par modem, entrantes sur le serveur de communication
sont filtres sur ce serveur, qui excute le systme dauthentification de nom utilisateur TACACS,
tel que dcrit la section "Configuration du serveur de communication pare-feu", dans ce chapitre.
NOTE
Les connexions entre une ligne de modem de serveur de communication et une autre ligne de modem
sortante (ou vers le monde extrieur) devraient tre refuses, afin dempcher que des utilisateurs non
autoriss exploitent les ressources de votre rseau pour lancer une attaque vers lextrieur. Puisque ce
stade les intrus auront dj russi lauthentification TACACS, il est fort probable quils possdent le mot de
passe dun utilisateur. Il est vivement conseill dutiliser des mots de passe TACACS diffrents des mots
de passe dhte.
Cette configuration simple ne fournit aucune scurit et autorise tout le trafic en provenance de
lextrieur circuler sur la totalit du rseau interne. Pour implmenter la scurit sur le routeur
pare-feu, utilisez des listes daccs et des groupes daccs, tel que dcrit dans les prochaines
sections.
Dfinition de listes daccs de pare-feu
Les listes daccs permettent de spcifier le trafic qui sera rellement accept ou rejet sur le rseau
interne. Les groupes daccs mettent en application les dfinitions de listes daccs sur des interfaces spcifiques de routeur. Les listes daccs peuvent tre exploites de deux faons :
m
pour refuser les connexions qui comportent un risque pour la scurit, ce qui autorise toutes les
autres ;
pour autoriser les connexions considres comme acceptables, ce qui rejette toutes les autres.
766
Partie II
Etudes de cas
Dans le cadre dune implmentation de routeur pare-feu, la seconde mthode est la plus sre. Cest
celle que nous allons dcrire.
Dans cette tude de cas, les messages lectroniques et les news sont autoriss en entre pour quelques htes seulement, et les services FTP, Telnet et rlogin sont accepts uniquement pour les htes
situs sur le sous-rseau protg par pare-feu. Les listes daccs IP tendues (allant de 100 199) et
les numros de ports TCP ou UDP sont employs pour filtrer le trafic. Lorsquune connexion doit
tre tablie pour la messagerie lectronique, Telnet, FTP ou autre, elle tentera douvrir un service
sur un numro de port spcifi. Par consquent, vous pouvez filtrer des types de connexions spcifiques en refusant les paquets qui tentent dutiliser le service correspondant.
Souvenez-vous quune liste daccs est invoque aprs une dcision de routage, mais avant que le
paquet ne soit envoy vers une interface. Pour dfinir une liste daccs, vous pouvez utiliser votre
diteur de texte favori, par exemple Notepad. Vous pouvez crer un fichier qui contiendra les
commandes access-list, puis les copier directement sur le routeur, dans le mode de configuration.
Il est prfrable de supprimer toute instance dune ancienne liste daccs, avant de charger une liste
nouvelle ou modifie. Les listes daccs peuvent tre supprimes au moyen de la commande
suivante, dans le mode de configuration :
no access-list 101
La commande access-list peut prsent tre utilise pour autoriser nimporte quel paquet provenant de machines dj connectes. Avec le mot cl established, une correspondance a lieu si le bit
dacquittement (ACK) ou de rinitialisation (RST) du datagramme IP est activ :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
established
Si des routeurs pare-feu partagent un mme rseau avec un fournisseur extrieur, vous souhaiterez
sans doute donner ces htes laccs votre rseau. Dans cette tude de cas, le fournisseur extrieur dispose dun port srie, qui utilise ladresse de classe B du routeur pare-feu (152.50.14.2) en
tant quadresse source. Votre instruction de liste daccs autorisant ces htes serait donc celle-ci :
access-list 101 permit ip 152.50.14.2 0.0.0.0 0.0.0.0 255.255.255.255
Lexemple suivant illustre comment refuser laccs un utilisateur qui tente dusurper lune de vos
adresses internes partir de lextrieur :
access-list 101 deny ip 152.50.0.0 0.0.255.255 0.0.0.0 255.255.255.255
Les exemples de listes daccs suivants se fondent sur de nombreux numros de ports connus (wellknown) ou utiliss par dfaut avec la pile de protocoles TCP/IP. Reportez-vous au Tableau 22.6,
plus loin dans cette tude de cas, afin dobtenir la liste de certains de ces numros de ports.
Chapitre 22
767
NOTE
Le port 111 est uniquement un service dannuaire. Lorsque vous parvenez dcouvrir sur quels ports les
vritables services de donnes sont excuts, vous pouvez y accder. La plupart des services RPC nutilisent pas de numro de port fixe. Vous devez rechercher les ports sur lesquels ces services sont assurs,
et les bloquer. Malheureusement, comme les ports peuvent tre lis nimporte quel niveau, Cisco
recommande de bloquer tous les ports UDP, except DNS, lorsque cest possible.
Cisco recommande galement de filtrer le service TCP finger sur le port 79, afin dempcher des intrus
dobtenir des informations sur les rpertoires dutilisateurs internes et le nom des htes partir
desquels les utilisateurs ouvrent des sessions.
Les deux commandes access-list suivantes autorisent les requtes et rponses DNS (port 53) et
NTP (port 123) en fonction de leur adresse de port TCP/IP :
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 53
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123
La commande suivante rejette le port UDP du serveur NFS (Network File Server) :
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049
Les commandes suivantes rejettent OpenWindows sur les ports 2001 et 2002, et X11 sur les ports
6001 et 6002. Cela permet de protger les deux premiers crans sur nimporte quel hte. Si une
machine utilise plus de deux crans, veillez bloquer les ports appropris :
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2002
Les commandes suivantes autorisent quiconque accder lhte 152.50.13.100 sur le sous-rseau
152.50.13.0, via FTP:
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 21
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 20
Dans les exemples suivants, le rseau 152.50.1.0 se trouve sur le rseau interne (voir Figure 22.11).
Les commandes access-list suivantes autorisent les connexions TCP et UDP sur les numros de
port suprieurs 1023 pour un nombre dhtes trs restreint. Vrifiez que cette liste ne comprend
aucun serveur de communication ou traducteur de protocole :
access-list
access-list
access-list
access-list
access-list
access-list
101
101
101
101
101
101
permit
permit
permit
permit
permit
permit
tcp
tcp
tcp
udp
udp
udp
0.0.0.0
0.0.0.0
0.0.0.0
0.0.0.0
0.0.0.0
0.0.0.0
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
255.255.255.255
768
Partie II
Etudes de cas
Les commandes access-list suivantes autorisent un accs DNS aux serveurs DNS rpertoris par
le NIC (Network Information Center) :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 53
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.1.100 0.0.0.0 eq 53
Les commandes suivantes autorisent les messages lectroniques SMTP entrants pour quelques
machines seulement :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 25
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.1.100 0.0.0.0 eq 25
Les commandes suivantes autorisent les serveurs de news NNTP (Network News Transfer Protocol)
internes recevoir des connexions NNTP en provenance dune liste dhomologues autoriss :
access-list 101 permit tcp 56.1.0.18 0.0.0.1 152.50.1.100 0.0.0.0 eq 119
access-list 101 permit tcp 182.12.18.32 0.0.0.0 152.50.1.100 0.0.0.0 eq 119
La commande suivante autorise lenvoi de messages derreurs ICMP (Internet Control Message
Protocol) :
access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Chaque liste daccs inclut une instruction implicite de rejet de tout le trafic (cest--dire, quelle
rejette tout ce qui nest pas mentionn) en fin de liste pour sassurer que les paramtres qui ne sont
pas expressment autoriss soient refuss. Voici quoi ressemblerait une liste daccs complte :
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
access-list
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
101
Une fois que cette liste daccs a t charge sur le routeur et stocke en mmoire NVRAM
(NonVolatile Random Access Memory), il faut lassigner linterface qui convient. Dans cette tude
de cas, le trafic en provenance de lextrieur, via linterface srie 0 du pare-feu, est filtr (au moyen de
la liste daccs 101) avant dtre plac sur le sous-rseau 152.50.13.0 (Ethernet 0).
Chapitre 22
769
Par consquent, la commande access-group, qui applique une liste daccs pour filtrer les connexions
entrantes, doit tre assigne linterface Ethernet 0, de la faon suivante :
interface ethernet 0
ip access-group 101 in
Pour contrler laccs lInternet partir du rseau interne, dfinissez une liste daccs, et appliquez-la aux paquets sortants sur linterface srie 0 du routeur pare-feu. Pour cela, les paquets en
retour en provenance des htes qui utilisent Telnet ou FTP doivent tre autoriss accder au sousrseau pare-feu 152.50.13.0.
Configuration du serveur de communication pare-feu
Dans cette tude de cas, le serveur de communication pare-feu dispose dun seul modem en entre
sur la ligne 2 :
interface Ethernet0
ip address 152.50.13.2 255.255.255.0
!
access-list 10 deny 152.50.14.0 0.0.0.255
access-list 10 permit 152.50.0.0 0.0.255.255
!
access-list 11 deny 152.50.13.2 0.0.0.0
access-list 11 permit 152.50.0.0 0.0.255.255
!
line 2
login tacacs
location FireWallCS#2
!
access-class 10 in
access-class 11 out
!
modem answer-timeout 60
modem InOut
telnet transparent
terminal-type dialup
flowcontrol hardware
stopbits 1
rxspeed 38400
txspeed 38400
!
tacacs-server host 152.50.1.100
tacacs-server host 152.50.1.101
tacacs-server extended
!
line vty 0 15
login tacacs
Dans cet exemple, ladresse de rseau est utilise pour autoriser ou refuser laccs. Par consquent,
des numros de listes daccs IP standards (de 1 99) sont employs. Pour les connexions entrantes
sur des lignes de modem, seuls les paquets des htes du rseau interne de Classe B, et ceux des
htes sur le sous-rseau pare-feu sont accepts :
access-list 10 deny 152.50.14.0 0.0.0.255
access-list 10 permit 152.50.0.0 0.0.255.255
770
Partie II
Etudes de cas
Les connexions sortantes sont autorises uniquement pour les htes des rseaux internes et le
serveur de communication. Cela permet dviter quune ligne de modem extrieure appelle vers
lextrieur partir dune seconde ligne de modem :
access-list 11 deny 152.50.13.2 0.0.0.0
access-list 11 permit 152.50.0.0 0.0.255.255
Vous pouvez appliquer une liste daccs sur une ligne asynchrone laide de la commande accessclass. Dans cette tude de cas, les restrictions de la liste daccs 10 sont appliques aux connexions
entrantes sur la ligne 2, et celles de la liste 11 sont appliques aux connexions sortantes sur la ligne 2 :
access-class 10 in
access-class 11 out
Dans System Software 9.21, Cisco a introduit la possibilit dassigner des listes daccs en entre
une interface, ce qui permet un administrateur rseau de filtrer les paquets avant quils ne pntrent sur le routeur, plutt qu leur sortie. Dans la plupart des cas, les listes daccs en entre et en
sortie accomplissent les mmes fonctionnalits. Nanmoins, les listes en entre sont plus intuitives
pour certaines personnes, et peuvent tre utilises afin dempcher certains types dusurpations
dadresses IP l o les listes en sortie ne fournissent pas suffisamment de scurit.
La Figure 22.12 illustre le cas dun cyber-pirate qui usurpe ladresse dun autre hte, cest--dire
qui prtend possder une adresse qui nest pas la sienne. Il prtend que son trafic provient du rseau
152.50.13.0. Bien que cette adresse IP soit usurpe, linterface du routeur avec lextrieur suppose
que le paquet provient de cette adresse source. Si la liste daccs en entre sur le routeur autorise le
trafic provenant de ce rseau, le paquet illgal sera autoris.
Figure 22.12
Exemple dusurpation dadresse.
125.50.14.0
Internet
Routeur
Paquet prtendant
provenir de l'adresse
source 125.50.13.0
125.50.13.0
Pour viter lusurpation dadresse, une liste daccs sera applique en entre sur linterface du routeur
avec lextrieur. Cette liste rejettera tous les paquets dont ladresse provient de rseaux internes, et que
le routeur connat (13.0 et 14.0).
Chapitre 22
771
ATTENTION
Si plusieurs rseaux internes sont connects au routeur pare-feu, et que ce dernier utilise des filtres
en sortie, le trafic entre ces rseaux subira une baisse des performances provoque par les filtres de
listes daccs. Pour se prmunir de cette dgradation des performances sur les rseaux internes, il faut
implmenter des filtres en entre sur linterface du routeur avec lextrieur uniquement.
Si une adresse utilise le routage par la source, elle peut envoyer et recevoir du trafic via le routeur
pare-feu. Pour cette raison, il est recommand de toujours dsactiver le routage par la source sur les
routeurs pare-feu, laide de la commande no ip source-route.
Chaque application qui est cense recevoir des donnes de la part dun rseau TCP/IP appelle le
service TCP/IP pour se voir attribuer un port, cest--dire un numro de 16 bits unique, pour cette
application, sur cet hte particulier. Tout datagramme entrant correctement structur, qui contient ce
numro de port dans son en-tte TCP ou UDP, est transmis lapplication en question. Dans le cas
de datagrammes fragments, seul le premier datagramme contient des informations de port (fragment 0). Par convention, nimporte quelle application communicante possde galement un numro
de port sur son hte, quelle inclut dans le champ de port de destination des datagrammes quelle
envoie. Les numros de port sont rpartis sur trois plages, comme suit :
m
Les ports rservs sont contrls et assigns par lIANA (Internet Assigned Numbers Authority).
Sur la plupart des systmes, seuls les processus systme (ou root) ou les programmes excuts par
des utilisateurs privilgis peuvent utiliser ces ports. Ils sont utiliss par TCP (RFC 793) pour
dsigner les extrmits de connexions logiques qui transportent des conversations longues. Afin de
fournir des services des appelants inconnus, un port de contact de service est dfini. Cette liste
spcifie le port utilis en tant que port de contact par le processus serveur. Le Tableau 22.6 rpertorie certains des numros de ports rservs.
Tableau 22.6 : Assignation des numros de ports
Numro de port
Type de port
Protocole
TCP et UDP
Rserv
1-4
TCP et UDP
Non assigns
TCP et UDP
TCP et UDP
Echo
TCP et UDP
Discard
11
TCP et UDP
Active Users
13
TCP et UDP
Daytime
772
Partie II
Etudes de cas
Type de port
Protocole
15
TCP et UDP
Who is up ou Netstat
17
TCP et UDP
19
TCP et UDP
Character Generator
20
TCP et UDP
21
TCP et UDP
23
TCP et UDP
Telnet
25
TCP et UDP
37
TCP et UDP
Time
39
TCP et UDP
42
TCP et UDP
43
TCP et UDP
Who Is
49
TCP et UDP
53
TCP et UDP
67
TCP et UDP
68
TCP et UDP
69
TCP et UDP
70
TCP et UDP
Gopher
75
TCP et UDP
77
TCP et UDP
79
TCP et UDP
Finger
80
TCP et UDP
87
TCP
88
TCP et UDP
Kerberos
89
TCP et UDP
95
TCP
SUPDUP Protocol
101
TCP
102
TCP
ISO-TSAP
103
TCP
X400
104
TCP
X400-SND
Chapitre 22
Type de port
Protocole
107
TCP et UDP
109
TCP
110
TCP
111
TCP et UDP
113
TCP et UDP
Authentication Service
117
TCP et UDP
119
TCP et UDP
123
TCP et UDP
133-136
TCP et UDP
Non assigns
137
UDP
137
TCP
Non assign
138
UDP
138
TCP
Non assign
139
UDP
144
TCP
NeWS
161
TCP et UDP
162
TCP et UDP
177
UDP
179
TCP et UDP
194
TCP et UDP
195
UDP
389
TCP et UDP
434
UDP
Mobile IP Registration
512
TCP
513
TCP et UDP
UNIX rlogin
514
TCP et UDP
514
TCP
System Logging
515
TCP
517
TCP et UDP
773
774
Partie II
Etudes de cas
Type de port
Protocole
518
TCP et UDP
ntalk
520
UDP
525
UDP
Time Server
540
TCP
543
TCP
Kerberos login
544
TCP
Kerberos shell
1993
TCP
2000
TCP et UDP
Open Windows
2001
2049
4001
6000
TCP et UDP
X11 (X Windows)
Suggestions de lectures
Cette section propose une liste de publications relatives la scurit sur les rseaux.
Livres et priodiques
Cheswick B. et Bellovin S. Firewalls and Internet Security. Reading, MA: Addison-Wesley, 1994.
Comer D.E. et Stevens D.L. Internetworking with TCP/IP. Volumes I-III. Englewood Cliffs, NJ:
Prentice Hall, 1991-1993.
Curry D. UNIX System Security A Guide for Users and System Administrators,1992.
Garfinkel et Spafford. Practical UNIX and Internet Security. Cambridge, MA: OReilly & Associates, 1996.
Quarterman J. et Carl-Mitchell S. The Internet Connection. Reading, MA: Addison-Wesley, 1994.
Ranum M.J. Thinking about Firewalls. Santa Clara, CA: Trusted Information Systems, Inc.
Stoll C. The Cuckoos Egg. New York, NY: Doubleday, 1995.
Thomas Thomas M. II. OSPF Network Design Solutions. Indianapolis, IN: Cisco Press, 1998.
Treese G. W. et Wolman A. X through the Firewall and Other Application Relays.
RFC (Requests For Comments)
Chapitre 22
775
Rsum
Ce chapitre a donn un aperu des menaces internes et externes qui psent sur la scurit des rseaux
et a fourni des recommandations relatives au dveloppement dune politique de scurit permettant
de sen protger. Il a galement couvert limplmentation de cette scurit sur les quipements Cisco,
a laide de listes daccs et dautres mthodes. Pour finir, il a prsent deux tudes de cas sur limplmentation de la scurit.
23
HSRP pour un routage IP
avec tolrance aux pannes
Cette tude de cas examine le protocole HSRP (Hot Standby Routing Protocol) de Cisco. Ce protocole assure le secours automatique de routeurs lorsquil est configur sur des routeurs Cisco qui
excutent le protocole IP (Internet Protocol) sur des rseaux locaux Ethernet, FDDI (Fiber Distributed Data Interface) ou Token Ring. HSRP est compatible avec IPX (Internetwork Packet
Exchange), AppleTalk et Banyan VINES, ainsi quavec DECnet et XNS (Xerox Network Systems)
dans certaines configurations.
NOTE
Les clients Banyan VINES sans serveur ne ragissent pas bien aux changements de topologie (que HSRP soit
configur ou non). Cette tude de cas dcrit les effets de tels changements sur des rseaux incluant les
clients Banyan VINES sans serveur.
Pour IP, HSRP autorise un routeur assumer automatiquement la fonction dun autre routeur si
celui-ci est dfaillant. HSRP est particulirement utile lorsque les utilisateurs sur un sous-rseau
requirent un accs continu aux ressources du rseau.
Examinez la Figure 23.1. Le routeur A gre les paquets entre le segment Tokyo et le segment Paris,
et le routeur B gre les paquets entre le segment Tokyo et le segment New York. Si la connexion
entre le routeur A et le routeur C devient impraticable, ou si lun des deux routeurs est indisponible,
les protocoles de routage convergence rapide, comme Enhanced IGRP (Enhanced Interior
Gateway Routing Protocol) ou OSPF (Open Shortest Path First), peuvent rpondre en quelques
secondes de faon que le routeur B soit prt transmettre les paquets qui auraient sinon t envoys
par le routeur A.
778
Partie II
Etudes de cas
Figure 23.1
Un rseau WAN
typique.
Routeur A
Routeur C
Pat
Marceau
Routeur B
Tokyo
New York
Paris
Chapitre 23
779
nexiste pas physiquement, mais il reprsente la cible commune pour les routeurs configurs pour se
secourir les uns les autres. La Figure 23.2 illustre le segment Tokyo du WAN configur pour HSRP.
Chaque routeur vritable est configur avec ladresse MAC et ladresse IP du routeur virtuel.
Figure 23.2
Rseau 192.1.1.0
E0 192.1.1.1
S0 192.3.1.1
vers Paris
Routeur A
Routeur actif
Pat
Routeur
virtuel
E0 192.1.1.2
S0 192.2.2.1
vers New York
Routeur B
Routeur de
secours
Dans lexemple de la Figure 23.2, ladresse MAC du routeur virtuel est 0000.0C07.AC01. Lorsque
vous configurez HSRP, le routeur slectionne automatiquement lune des adresses MAC virtuelles
du bloc dadresses du logiciel Cisco IOS. Les rseaux locaux Ethernet et FDDI utilisent comme
adresse MAC virtuelle, une des adresses prassignes, et les rseaux locaux Token Ring utilisent
une adresse fonctionnelle.
Ainsi les htes du rseau 192.1.1.0 avec ladresse IP du routeur A, ils sont configurs avec ladresse
IP du routeur virtuel, qui devient leur routeur par dfaut. Lorsque la station de Pat envoie des
paquets la station de Marceau sur le segment Paris, il les envoie en fait vers ladresse MAC du
routeur virtuel.
Le routeur A est configur comme routeur actif, avec ladresse IP et ladresse MAC du routeur
virtuel. Il envoie tous les paquets adresss ce routeur vers linterface 1 du segment Paris. En tant
que routeur De secours, le routeur B est galement configur avec ladresse IP et ladresse MAC du
routeur virtuel. Si, pour une raison quelconque, le routeur A cesse de transmettre des paquets, le
protocole de routage converge, et le routeur B prend en charge les fonctions du routeur A en devenant le routeur actif. Cest--dire que le routeur B rpond ladresse IP virtuelle et ladresse MAC
virtuelle. La station de Pat continue utiliser ladresse IP du routeur virtuel pour envoyer des paquets
destins la station de Marceau. Le routeur B reoit et envoie ces paquets vers le segment Paris via
le segment New York. Tant que le routeur A nest pas redevenu actif, HSRP autorise le routeur B
fournir un service continu aux utilisateurs du segment Tokyo qui ont besoin de communiquer avec
des utilisateurs du segment Paris. Pendant quil est actif, le routeur B continue assurer ses fonctions
habituelles, cest--dire la gestion des paquets entre le segment Tokyo et le segment New York.
780
Partie II
Etudes de cas
HSRP fonctionne aussi lorsque les htes sont configurs pour proxy ARP. Lorsque le routeur HSRP
actif reoit une requte ARP pour un hte qui ne se trouve pas sur le rseau local, il envoie en
rponse ladresse MAC du routeur virtuel. Si le routeur actif devient indisponible, ou si sa
connexion vers le LAN distant nest plus exploitable, le routeur qui devient le routeur actif reoit
les paquets adresss au routeur virtuel et les transmet tel quil est prvu.
NOTE
Vous pouvez configurer HSRP sur nimporte quel routeur Cisco sur lequel tourne le systme Cisco IOS
version 10.0 ou ultrieure. Si vous le configurez sur un rseau Token Ring, tous les routeurs Cisco sur ce LAN
doivent excuter une version 10.0 ou ultrieure. Les versions 10.2(9), 10.3(6) et 11.0(2) permettent des
rponses aux requtes PING avec les adresses IP de secours. La version 11.0(3)(1) fournit un support amlior
pour lemploi dadresses IP secondaires avec HSRP.
Fonctionnement de HSRP
HSRP implmente un schma de priorit pour dterminer quel routeur configur pour HSRP doit tre
le routeur actif par dfaut. Pour configurer un routeur comme routeur actif, vous devez lui assigner
une priorit suprieure celle des autres routeurs HSRP. La priorit par dfaut est de 100. Par consquent, si vous configurez un seul routeur avec la plus haute priorit, il sera le routeur actif par dfaut.
HSRP fonctionne en changeant des messages multicast qui annoncent les priorits des routeurs HSRP.
Lorsque le routeur actif manque denvoyer un message Hello dans un intervalle de temps configurable,
le routeur De secours possdant la plus haute priorit devient le routeur actif. La passation des fonctions
de transmission de paquets dun routeur un autre est compltement transparente pour tous les htes du
rseau.
Les routeurs configurs pour HSRP changent trois types de messages multicast :
m
Hello. Le message Hello communique aux autres routeurs HSRP le niveau de priorit et les
informations dtat du routeur.
Coup. Lorsquun routeur De secours assure les fonctions du routeur actif, il envoie un message
Coup.
Resign. Un routeur actif envoie ce message lorsquil est sur le point de sarrter, ou quand un
routeur Dot dune priorit plus haute envoie un message Hello.
A nimporte quel moment, les routeurs HSRP peuvent se trouver dans lun des tats suivants :
m
Secours. Le routeur est prt assurer les fonctions de transmission de paquets en cas de
dfaillance du routeur actif.
Chapitre 23
781
NOTE
Lorsquil est configur sur les routeurs AG, AGS+ et Cisco 7000, HSRP tire parti de fonctionnalits matrielles
spciales qui ne sont pas disponibles sur les autres routeurs Cisco. Cela signifie que HSRP fonctionne de
faon lgrement diffrente sur ces routeurs. Pour obtenir un exemple, voyez la section "Interaction
de HSRP avec des protocoles routs", plus bas dans ce chapitre.
Configuration de HSRP
La Figure 23.3 illustre la topologie dun rseau IP sur lequel deux routeurs sont configurs pour
HSRP.
Figure 23.3
Hte B
IP
Rseau 3.0.0.0
Rseau 2.0.0.0
E1 3.0.0.1
Routeur
Routeur A
actif
E0 1.0.0.1
2.0.0.2 E1
Routeur de
Routeur B
secours
1.0.0.2 E0
Rseau 1.0.0.0
Hte A
Tous les htes du rseau sont configurs pour utiliser ladresse IP du routeur virtuel (dans ce cas,
1.0.0.3) comme passerelle par dfaut. La commande de configuration de la passerelle par dfaut
dpend du systme dexploitation, de limplmentation de TCP/IP, et de la configuration de lhte.
782
Partie II
Etudes de cas
NOTE
La configuration prsente dans cette tude de cas utilise le protocole de routage EIGRP. HSRP peut tre utilis
avec nimporte quel protocole de routage support par le logiciel Cisco IOS. Certaines configurations utilisant
HSRP requirent encore un protocole de routage pour converger lorsquun changement survient. Le routeur
De secours devient actif, mais la connectivit nest pas tablie tant que le protocole de routage na pas
converg.
Chapitre 23
783
secours de lautre. Le "1" indique que cette commande sapplique au groupe Hot Standby 1. Si vous
nutilisez pas cette commande dans la configuration dun routeur, il ne pourra pas devenir actif.
La commande de configuration dinterface standby priority dfinit la priorit HSRP du routeur
110, qui est suprieure la priorit par dfaut de 100. Seule la configuration du routeur A inclut
cette commande, qui en fait le routeur actif. Le "1" indique que cette commande sapplique au
groupe Hot Standby 1.
La commande de configuration dinterface standby authentication dfinit une chane dauthentification dont la valeur est une chane non crypte de huit caractres incorpore dans chaque message
multicast HSRP. Cette commande est optionnelle. Si vous choisissez de lemployer, chaque routeur
HSRP dans le groupe devrait utiliser la mme chane pour que chacun puisse authentifier la source
des messages HSRP quil reoit. Le "1" indique que cette commande sapplique au groupe Hot
Standby 1.
La commande de configuration standby timers dfinit 5 secondes lintervalle entre chaque
message Hello (appel temps hello), et dfinit 8 secondes le dlai dattente lissue duquel un
routeur Dclare le routeur actif comme tant dfaillant (appel temps de retenue ou hold time). Les
valeurs par dfaut de ces intervalles sont respectivement 3 et 10. Si vous dcidez de les modifier,
vous devez configurer les deux routeurs pour quils utilisent les mmes valeurs. Le "1" indique que
cette commande sapplique au groupe Hot Standby 1.
NOTE
Il peut y avoir jusqu 255 groupes Hot Standby sur un rseau local Ethernet ou FDDI, alors quun rseau
local Token Ring nen accepte pas plus de trois.
784
Partie II
Etudes de cas
Figure 23.4
Exemple de groupes de
secours Hot Standby.
IP
Voici la configuration du routeur B, qui doit tre un routeur AGS, AGS+, Cisco 7000 ou Cisco 7500 :
hostname RouterB
!
interface ethernet 0
ip address 1.0.0.2 255.0
standby 1 ip 1.0.0.5
standby 1 priority 110
standby 1 preempt
standby 1 authentication
standby 2 ip 1.0.0.6
standby 2 priority 110
standby 2 preempt
standby 2 authentication
standby 3 ip 1.0.0.7
standby 3 preempt
standby 3 authentication
!
interface serial 0
0.0
sclara
mtview
svale
Chapitre 23
785
Suivi dinterface
Pour HSRP et MHSRP, vous disposez dune fonction de suivi dinterface (tracking) permettant
dajuster la priorit dun routeur en fonction de la disponibilit de certaines de ses interfaces.
Lorsquune interface qui est suivie devient indisponible, la priorit HSRP du routeur est rduite.
Vous pouvez utiliser cette fonction pour limiter la probabilit quun routeur ne devienne actif alors
que lune de ses interfaces principales est indisponible. Pour configurer le suivi dinterface, utilisez
la commande de configuration dinterface standby track. La Figure 23.5 illustre un rseau sur
lequel cette fonction a t configure.
786
Partie II
Etudes de cas
Figure 23.5
Un rseau sur lequel le suivi
dinterface a t configur.
WAN IP
3.0.0.1 S0
Routeur A
2.0.0.1 S0
Routeur B
E0 1.0.0.1
Actif
4.0.0.1 S0
Routeur C
E0 1.0.0.2
Secours
E0 1.0.0.3
Secours
A la Figure 23.5, le routeur A est configur comme routeur actif, et les routeurs B et C comme
routeurs de secours. Voici la configuration du routeur A :
hostname RouterA
!
interface ethernet 0
ip address 1.0.0.1 255.0.0.0
standby 1 ip 1.0.0.4
standby 1 preempt
standby 1 priority 110
standby authentication microdot
!
interface serial 0
ip address 2.0.0.1 255.0.0.0
!
router eigrp 1
network 1.0.0.0
network 2.0.0.0
La commande de configuration dinterface standby ip active HSRP et dfinit ladresse 1.0.0.4 comme
tant ladresse IP du routeur virtuel. Le "1" spcifie le groupe de secours Hot Standby 1. La
commande de configuration dinterface standby preempt permet au routeur A de devenir actif lorsque sa priorit est suprieure celle dautres routeurs HSRP dans le groupe de secours.
La commande de configuration dinterface standby priority dfinit la priorit HSRP du routeur
110, qui est la priorit la plus haute assigne dans notre exemple. Comme le routeur A possde la
plus haute priorit, il est le routeur actif. Voici la configuration du routeur B :
hostname RouterB
!
interface ethernet 0
ip address 1.0.0.2 255.0 0.0
standby 1 ip 1.0.0.4
standby 1 preempt
standby 1 priority 105
standby track serial 0
Chapitre 23
787
La commande de configuration dinterface standby preempt autorise le routeur B devenir immdiatement le routeur actif si sa priorit est la plus haute, mme avant que le routeur actif actuel ne soit
dfaillant. La commande de configuration dinterface standby priority dfinit la priorit du routeur
105 (infrieure celle du routeur A et suprieure celle du routeur C) afin quil soit un routeur De
secours.
Avec la commande de configuration dinterface standby track, linterface Ethernet 0 ralise le
suivi de linterface srie 0. Si linterface srie 0 devient indisponible, la priorit du routeur B est
rduite de 10 (par dfaut). Voici la configuration du routeur C :
hostname RouterC
!
interface ethernet 0
ip address 1.0.0.3 255.0 0.0
standby 1 ip 1.0.0.4
standby 1 preempt
standby 1 priority
standby track serial 0
standby 1 authentication microdot
!
interface serial 0
ip address 4.0.0.1 255.0.0.0
!
router eigrp 1
network 1.0.0.0
network 4.0.0.0
Vous pouvez utiliser HSRP ou MHSRP lorsque vous configurez lquilibrage de charge. A la
Figure 23.6, la moiti des stations de travail sur le rseau local est configure pour le routeur A, et
lautre moiti des stations est configure pour le routeur B.
788
Partie II
Etudes de cas
Figure 23.6
Exemple de rpartition
de la charge.
IP
Ensemble, les fichiers de configuration pour les routeurs A et B tablissent deux groupes de secours
Hot Standby. Pour le groupe 1, le routeur A est le routeur actif par dfaut, et le routeur B est le
routeur De secours. Pour le groupe 2, le routeur B est le routeur actif par dfaut, et le routeur A est
le routeur De secours. En mode de fonctionnement normal, les deux routeurs se partagent la charge
du trafic IP. Lorsque lun deux devient indisponible, lautre devient actif et assure les fonctions de
transmission de paquets du routeur Dfaillant. Les commandes de configuration dinterface standby preempt sont ncessaires en cas de dfaillance dun routeur pour que son rtablissement soit
anticip de manire restaurer le partage de la charge.
Chapitre 23
789
DECnet et XNS.
Vous pouvez configurer HSRP sur des rseaux qui, en plus de IP, excutent AppleTalk, Banyan
VINES et Novell IPX. AppleTalk et Novell IPX continuent de fonctionner mme lorsque le routeur
De secours devient le routeur actif, mais ils mettent un certain temps sadapter au changement de
topologie. En rgle gnrale, les htes AppleTalk dcouvrent un nouveau routeur actif en moins
de 30 secondes, les htes Novell 4.x ont besoin de 10 secondes ; les htes Novell 2.x et 3.x requirent plus de temps pour sadapter.
NOTE
Indpendamment du fait que HSRP soit configur ou non, Banyan VINES ne ragit pas trs efficacement aux
changements de topologie. Lorsque HSRP est configur, les consquences dun changement de topologie
varient selon le type du routeur qui devient actif.
DECnet et XNS sont compatibles avec HSRP et MHSRP sur Ethernet, FDDI et Token Ring avec les
routeurs Cisco 7000 et Cisco 7500. Certaines restrictions sappliquent lorsque ces deux protocoles
sont configurs sur dautres routeurs, comme Cisco 2500, Cisco 3000, Cisco 4000 et Cisco 4500,
qui ne disposent pas du matriel requis pour pouvoir supporter plusieurs adresses MAC. Le
Tableau 23.1 identifie les combinaisons supportes.
790
Partie II
Etudes de cas
Cisco
2500
Cisco
3000
Cisco
4000
Cisco
4500
Cisco
7000
Cisco
7500
Non
Non
Non
Non
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Oui
Oui
Rsum
Les protocoles HSRP et MHSRP assurent un routage des paquets IP avec tolrance aux pannes sur
les rseaux o tous les htes doivent pouvoir accder en continu aux ressources sur tous les
segments. Pour fournir une tolrance aux pannes, HSRP et MHSRP ont besoin dun protocole qui
converge rapidement, comme EIGRP. Un protocole convergence rapide garantit une vitesse de
propagation des informations dtat du routeur suffisamment rapide pour rendre transparente, pour
les utilisateurs du rseau, la transition partir de ltat de secours vers ltat actif.
III
Annexes
A
A
Segmentation
dun espace dadresse IP
Cette annexe fournit une liste partielle dune zone de Classe B devant tre divise en 500 zones
OSPF (Open Shortest Path First) environ. Pour cet exemple, le rseau est suppos faire partie de la
Classe B et possder ladresse 150.100.0.0.
NOTE
Bien quun rseau de 500 zones OSPF semble irrel, son utilisation pourra servir illustrer la mthodologie
gnrale employe pour segmenter un espace dadresse OSPF.
Le Tableau A.1 ne prsente que lespace dadresse pour deux des 512 zones. Ces zones sont dfinies
avec ladresse de base 150.100.2.0. Lillustration de la totalit de lespace dadresse pour ce rseau
ncessiterait des centaines de pages supplmentaires dinformations dadressage. Chaque zone
demanderait le mme nombre dentres que chacune des zones illustres dans notre exemple.
Le Tableau A.1 illustre lassignation de 255 adresses IP qui ont t partages entre deux zones
OSPF. Il montre galement les frontires des sous-rseaux et les deux zones OSPF prsentes (zone 8
et zone 17).
Pour notre dmonstration, nous imaginerons un rseau qui ncessite que les liaisons srie point-point dans chaque zone reoivent un masque de sous-rseau autorisant deux htes par sous-rseau.
Tous les autres sous-rseaux doivent recevoir chacun quatorze htes. Une segmentation au niveau
bit et lemploi de masques de sous-rseau de longueur variable (VLSM, Variable Length Subnet
Mask) permettent de personnaliser lespace dadresse en facilitant la division en groupes plus petits
quavec une segmentation au niveau octet. Le modle dadresse prsent dans le Tableau A.1 illustre une approche structure pour assigner des adresses qui utilisent VLSM. Ce tableau prsente
deux sous-rseaux : 255.255.255.240 et 255.255.255.252. Le premier masque cre des espaces
dadresse de sous-rseau de quatre bits de long ; le second masque cre des espaces de deux bits.
En raison de lassignation prudente des adresses, chaque zone peut tre synthtise avec une seule
commande de configuration de routeur De zone area (utilise pour dfinir la plage dadresse). Le
794
Partie III
Annexes
premier ensemble dadresses commenant par 150.100.2.0xxxxxxx (dernier octet reprsent ici en
binaire) peut tre synthtis sur lpine dorsale avec la commande suivante :
area 8 range 150.100.2.0 255.255.255.128
Cette commande assigne toutes les adresses de 150.100.2.128 150.100.2.255 la zone 17.
Lassignation de sous-rseaux permet de dfinir la limite entre sous-rseau et hte (au moyen dun
masque de sous-rseau) au sein de chaque zone. Notez dans cet exemple quil ne reste que 7 bits
utiliser en raison de la cration du masque de zone artificiel. Les 9 bits sur la gauche du masque de
zone font, en ralit, partie de la portion sous-rseau de ladresse. En conservant ces 9 bits identiques pour toutes les adresses dune zone donne, la synthse de routes est facilement ralise sur les
routeurs de frontires, comme lillustre le modle utilis dans le Tableau A.1.
Le Tableau A.1 recense les sous-rseaux individuels, les adresses IP valides, les identifiants de sousrseau et les adresses de broadcast. Cette mthode dassignation dadresses pour la portion VLSM
de lespace dadresse garantit quil ny a pas de chevauchement dadresses. Si les exigences taient
diffrentes, les sous-rseaux les plus grands auraient pu tre choisis et diviss en plages plus petites
avec moins dhtes, ou combins en plusieurs plages pour crer des sous-rseaux avec davantage
dhtes.
Lapproche utilise dans cette annexe permet la limite du masque de zone et aux masques de sousrseaux dtre assigns nimporte quel niveau de lespace dadresse, ce qui apporte une grande
souplesse de conception. Un changement dans la spcification de la limite de masque de zone ou
des masques de sous-rseaux peut tre requis si un rseau grandit et dpasse sa conception initiale
despace dadresse. Dans le Tableau A.1, la limite de masque de zone se trouve droite du bit le
plus significatif du dernier octet de ladresse (voir Figure A.1).
Figure A.1
Rpartition des adresses
assignes dans lexemple.
Masque
de zone
150.100.aaaaaaaa.a
Masque de
sous-rseau
2 alternatif
255.255.255.252
bbb
cc
dd
Annexe A
795
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.0
0000
0000
150.100.2.0
255.255.255.240
150.100.2.1
0000
0001
150.100.2.0
255.255.255.240
150.100.2.2
0000
0010
150.100.2.0
255.255.255.240
150.100.2.3
0000
0011
150.100.2.0
255.255.255.240
150.100.2.4
0000
0100
150.100.2.0
255.255.255.240
150.100.2.5
0000
0101
150.100.2.0
255.255.255.240
150.100.2.6
0000
0110
150.100.2.0
255.255.255.240
150.100.2.7
0000
0111
150.100.2.0
255.255.255.240
150.100.2.8
0000
1000
150.100.2.0
255.255.255.240
150.100.2.9
0000
1001
150.100.2.0
255.255.255.240
150.100.2.10
0000
1010
150.100.2.0
255.255.255.240
Notes
Identifiant de
sous-rseau ;
limite de zone ;
la zone 8
commence
796
Partie III
Annexes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.11
0000
1011
150.100.2.0
255.255.255.240
150.100.2.12
0000
1100
150.100.2.0
255.255.255.240
150.100.2.13
0000
1101
150.100.2.0
255.255.255.240
150.100.2.14
0000
1110
150.100.2.0
255.255.255.240
150.100.2.15
0000
1111
150.100.2.0
255.255.255.240
Broadcast de
sous-rseau
150.100.2.16
0001
0000
150.100.2.16
255.255.255.240
Identifiant de
sous-rseau
150.100.2.17
0001
0001
150.100.2.16
255.255.255.240
150.100.2.18
0001
0010
150.100.2.16
255.255.255.240
150.100.2.19
0001
0011
150.100.2.16
255.255.255.240
150.100.2.20
0001
0100
150.100.2.16
255.255.255.240
150.100.2.21
0001
0101
150.100.2.16
255.255.255.240
150.100.2.22
0001
0110
150.100.2.16
255.255.255.240
150.100.2.23
0001
0111
150.100.2.16
255.255.255.240
150.100.2.24
0001
1000
150.100.2.16
255.255.255.240
150.100.2.25
0001
1001
150.100.2.16
255.255.255.240
150.100.2.26
0001
1010
150.100.2.16
255.255.255.240
150.100.2.27
0001
1011
150.100.2.16
255.255.255.240
150.100.2.28
0001
1100
150.100.2.16
255.255.255.240
150.100.2.29
0001
1101
150.100.2.16
255.255.255.240
150.100.2.30
0001
1110
150.100.2.16
255.255.255.240
150.100.2.31
0001
1111
150.100.2.16
255.255.255.240
Broadcast de
sous-rseau
150.100.2.32
0010
0000
150.100.2.32
255.255.255.240
Identifiant de
sous-rseau
150.100.2.33
0010
0001
150.100.2.32
255.255.255.240
150.100.2.34
0010
0010
150.100.2.32
255.255.255.240
150.100.2.35
0010
0011
150.100.2.32
255.255.255.240
Notes
Annexe A
797
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.36
0010
0100
150.100.2.32
255.255.255.240
150.100.2.37
0010
0101
150.100.2.32
255.255.255.240
150.100.2.38
0010
0110
150.100.2.32
255.255.255.240
150.100.2.39
0010
0111
150.100.2.32
255.255.255.240
150.100.2.40
0010
1000
150.100.2.32
255.255.255.240
150.100.2.41
0010
1001
150.100.2.32
255.255.255.240
150.100.2.42
0010
1010
150.100.2.32
255.255.255.240
150.100.2.43
0010
1011
150.100.2.32
255.255.255.240
150.100.2.44
0010
1100
150.100.2.32
255.255.255.240
150.100.2.45
0010
1101
150.100.2.32
255.255.255.240
150.100.2.46
0010
1110
150.100.2.32
255.255.255.240
150.100.2.47
0010
1111
150.100.2.32
255.255.255.240
Broadcast de
sous-rseau
150.100.2.48
0011
0000
150.100.2.48
255.255.255.240
Identifiant de
sous-rseau
150.100.2.49
0011
0001
150.100.2.48
255.255.255.240
150.100.2.50
0011
0010
150.100.2.48
255.255.255.240
150.100.2.51
0011
0011
150.100.2.48
255.255.255.240
150.100.2.52
0011
0100
150.100.2.48
255.255.255.240
150.100.2.53
0011
0101
150.100.2.48
255.255.255.240
150.100.2.54
0011
0110
150.100.2.48
255.255.255.240
150.100.2.55
0011
0111
150.100.2.48
255.255.255.240
150.100.2.56
0011
1000
150.100.2.48
255.255.255.240
150.100.2.57
0011
1001
150.100.2.48
255.255.255.240
150.100.2.58
0011
1010
150.100.2.48
255.255.255.240
150.100.2.59
0011
1011
150.100.2.48
255.255.255.240
150.100.2.60
0011
1100
150.100.2.48
255.255.255.240
150.100.2.61
0011
1101
150.100.2.48
255.255.255.240
Notes
798
Partie III
Annexes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.62
0011
1110
150.100.2.48
255.255.255.240
150.100.2.63
0011
1111
150.100.2.48
255.255.255.240
Broadcast de
sous-rseau
150.100.2.64
010000
00
150.100.2.64
255.255.255.252
Identifiant de
sous-rseau
150.100.2.65
010000
01
150.100.2.64
255.255.255.252
150.100.2.66
010000
10
150.100.2.64
255.255.255.252
150.100.2.67
010000
11
150.100.2.64
255.255.255.252
Broadcast de
sous-rseau
150.100.2.68
010001
00
150.100.2.68
255.255.255.252
Identifiant de
sous-rseau
150.100.2.69
010001
01
150.100.2.68
255.255.255.252
150.100.2.70
010001
10
150.100.2.68
255.255.255.252
150.100.2.71
010001
11
150.100.2.68
255.255.255.252
Broadcast de
sous-rseau
150.100.2.72
010010
00
150.100.2.72
255.255.255.252
Identifiant de
sous-rseau
150.100.2.73
010010
01
150.100.2.72
255.255.255.252
150.100.2.74
010010
10
150.100.2.72
255.255.255.252
150.100.2.75
010010
11
150.100.2.72
255.255.255.252
Broadcast de
sous-rseau
150.100.2.76
010011
00
150.100.2.76
255.255.255.252
Identifiant de
sous-rseau
150.100.2.77
010011
01
150.100.2.76
255.255.255.252
150.100.2.78
010011
10
150.100.2.76
255.255.255.252
150.100.2.79
010011
11
150.100.2.76
255.255.255.252
Broadcast de
sous-rseau
150.100.2.80
0101
0000
150.100.2.80
255.255.255.240
Identifiant de
sous-rseau
150.100.2.81
0101
0001
150.100.2.80
255.255.255.240
150.100.2.82
0101
0010
150.100.2.80
255.255.255.240
Notes
Annexe A
799
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.83
0101
0011
150.100.2.80
255.255.255.240
150.100.2.84
0101
0100
150.100.2.80
255.255.255.240
150.100.2.85
0101
0101
150.100.2.80
255.255.255.240
150.100.2.86
0101
0110
150.100.2.80
255.255.255.240
150.100.2.87
0101
0111
150.100.2.80
255.255.255.240
150.100.2.88
0101
1000
150.100.2.80
255.255.255.240
150.100.2.89
0101
1001
150.100.2.80
255.255.255.240
150.100.2.90
0101
1010
150.100.2.80
255.255.255.240
150.100.2.91
0101
1011
150.100.2.80
255.255.255.240
150.100.2.92
0101
1100
150.100.2.80
255.255.255.240
150.100.2.93
0101
1101
150.100.2.80
255.255.255.240
150.100.2.94
0101
1110
150.100.2.80
255.255.255.240
150.100.2.95
0101
1111
150.100.2.80
255.255.255.240
Broadcast de
sous-rseau
150.100.2.96
0110
0000
150.100.2.96
255.255.255.240
Identifiant de
sous-rseau
150.100.2.97
0110
0001
150.100.2.96
255.255.255.240
150.100.2.98
0110
0010
150.100.2.96
255.255.255.240
150.100.2.99
0110
0011
150.100.2.96
255.255.255.240
150.100.2.100
0110
0100
150.100.2.96
255.255.255.240
150.100.2.101
0110
0101
150.100.2.96
255.255.255.240
150.100.2.102
0110
0110
150.100.2.96
255.255.255.240
150.100.2.103
0110
0111
150.100.2.96
255.255.255.240
150.100.2.104
0110
1000
150.100.2.96
255.255.255.240
150.100.2.105
0110
1001
150.100.2.96
255.255.255.240
150.100.2.106
0110
1010
150.100.2.96
255.255.255.240
150.100.2.107
0110
1011
150.100.2.96
255.255.255.240
150.100.2.108
0110
1100
150.100.2.96
255.255.255.240
Notes
800
Partie III
Annexes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.109
0110
1101
150.100.2.96
255.255.255.240
150.100.2.110
0110
1110
150.100.2.96
255.255.255.240
150.100.2.111
0110
1111
150.100.2.96
255.255.255.240
Broadcast de
sous-rseau
150.100.2.112
0111
0000
150.100.2.112
255.255.255.240
Identifiant de
sous-rseau
150.100.2.113
0111
0001
150.100.2.112
255.255.255.240
150.100.2.114
0111
0010
150.100.2.112
255.255.255.240
150.100.2.115
0111
0011
150.100.2.112
255.255.255.240
150.100.2.116
0111
0100
150.100.2.112
255.255.255.240
150.100.2.117
0111
0101
150.100.2.112
255.255.255.240
150.100.2.118
0111
0110
150.100.2.112
255.255.255.240
150.100.2.119
0111
0111
150.100.2.112
255.255.255.240
150.100.2.120
0111
1000
150.100.2.112
255.255.255.240
150.100.2.121
0111
1001
150.100.2.112
255.255.255.240
150.100.2.122
0111
1010
150.100.2.112
255.255.255.240
150.100.2.123
0111
1011
150.100.2.112
255.255.255.240
150.100.2.124
0111
1100
150.100.2.112
255.255.255.240
150.100.2.125
0111
1101
150.100.2.112
255.255.255.240
150.100.2.126
0111
1110
150.100.2.112
255.255.255.240
150.100.2.127
0111
1111
150.100.2.112
255.255.255.240
150.100.2.128
1000
0000
150.100.2.128
255.255.255.240
Identifiant de
sous-rseau;
area boundary;
area 17 starts
150.100.2.129
1000
0001
150.100.2.128
255.255.255.240
150.100.2.130
1000
0010
150.100.2.128
255.255.255.240
150.100.2.131
1000
0011
150.100.2.128
255.255.255.240
Notes
Annexe A
801
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.132
1000
0100
150.100.2.128
255.255.255.240
150.100.2.133
1000
0101
150.100.2.128
255.255.255.240
150.100.2.134
1000
0110
150.100.2.128
255.255.255.240
150.100.2.135
1000
0111
150.100.2.128
255.255.255.240
150.100.2.136
1000
1000
150.100.2.128
255.255.255.240
150.100.2.137
1000
1001
150.100.2.128
255.255.255.240
150.100.2.138
1000
1010
150.100.2.128
255.255.255.240
150.100.2.139
1000
1011
150.100.2.128
255.255.255.240
150.100.2.140
1000
1100
150.100.2.128
255.255.255.240
150.100.2.141
1000
1101
150.100.2.128
255.255.255.240
150.100.2.142
1000
1110
150.100.2.128
255.255.255.240
150.100.2.143
1000
1111
150.100.2.128
255.255.255.240
Broadcast de
sous-rseau
150.100.2.144
1001
0000
150.100.2.144
255.255.255.240
Identifiant de
sous-rseau
150.100.2.145
1001
0001
150.100.2.144
255.255.255.240
150.100.2.146
1001
0010
150.100.2.144
255.255.255.240
150.100.2.147
1001
0011
150.100.2.144
255.255.255.240
150.100.2.148
1001
0100
150.100.2.144
255.255.255.240
150.100.2.149
1001
0101
150.100.2.144
255.255.255.240
150.100.2.150
1001
0110
150.100.2.144
255.255.255.240
150.100.2.151
1001
0111
150.100.2.144
255.255.255.240
150.100.2.152
1001
1000
150.100.2.144
255.255.255.240
150.100.2.153
1001
1001
150.100.2.144
255.255.255.240
150.100.2.154
1001
1010
150.100.2.144
255.255.255.240
150.100.2.155
1001
1011
150.100.2.144
255.255.255.240
150.100.2.156
1001
1100
150.100.2.144
255.255.255.240
150.100.2.157
1001
1101
150.100.2.144
255.255.255.240
Notes
802
Partie III
Annexes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.158
1001
1110
150.100.2.144
255.255.255.240
150.100.2.159
1001
1111
150.100.2.144
255.255.255.240
Broadcast de
sous-rseau
150.100.2.160
1010
0000
150.100.2.160
255.255.255.240
Identifiant de
sous-rseau
150.100.2.161
1010
0001
150.100.2.160
255.255.255.240
150.100.2.162
1010
0010
150.100.2.160
255.255.255.240
150.100.2.163
1010
0011
150.100.2.160
255.255.255.240
150.100.2.164
1010
0100
150.100.2.160
255.255.255.240
150.100.2.165
1010
0101
150.100.2.160
255.255.255.240
150.100.2.166
1010
0110
150.100.2.160
255.255.255.240
150.100.2.167
1010
0111
150.100.2.160
255.255.255.240
150.100.2.168
1010
1000
150.100.2.160
255.255.255.240
150.100.2.169
1010
1001
150.100.2.160
255.255.255.240
150.100.2.170
1010
1010
150.100.2.160
255.255.255.240
150.100.2.171
1010
1011
150.100.2.160
255.255.255.240
150.100.2.172
1010
1100
150.100.2.160
255.255.255.240
150.100.2.173
1010
1101
150.100.2.160
255.255.255.240
150.100.2.174
1010
1110
150.100.2.160
255.255.255.240
150.100.2.175
1010
1111
150.100.2.160
255.255.255.240
Broadcast de
sous-rseau
150.100.2.176
101100
00
150.100.2.176
255.255.255.252
Identifiant de
sous-rseau
150.100.2.177
101100
01
150.100.2.176
255.255.255.252
150.100.2.178
101100
10
150.100.2.176
255.255.255.252
150.100.2.179
101100
11
150.100.2.176
255.255.255.252
Broadcast de
sous-rseau
150.100.2.180
101101
00
150.100.2.180
255.255.255.252
Identifiant de
sous-rseau
Notes
Annexe A
803
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.181
101101
01
150.100.2.180
255.255.255.252
150.100.2.182
101101
10
150.100.2.180
255.255.255.252
150.100.2.183
101101
11
150.100.2.180
255.255.255.252
Broadcast de
sous-rseau
150.100.2.184
101110
00
150.100.2.184
255.255.255.252
Identifiant de
sous-rseau
150.100.2.185
101110
01
150.100.2.184
255.255.255.252
150.100.2.186
101110
10
150.100.2.184
255.255.255.252
150.100.2.187
101110
11
150.100.2.184
255.255.255.252
Broadcast de
sous-rseau
150.100.2.188
101111
00
150.100.2.188
255.255.255.252
Identifiant de
sous-rseau
150.100.2.189
101111
01
150.100.2.188
255.255.255.252
150.100.2.190
101111
10
150.100.2.188
255.255.255.252
150.100.2.191
101111
11
150.100.2.188
255.255.255.252
Broadcast de
sous-rseau
150.100.2.192
1100
0000
150.100.2.192
255.255.255.240
Identifiant de
sous-rseau
150.100.2.193
1100
0001
150.100.2.192
255.255.255.240
150.100.2.194
1100
0010
150.100.2.192
255.255.255.240
150.100.2.195
1100
0011
150.100.2.192
255.255.255.240
150.100.2.196
1100
0100
150.100.2.192
255.255.255.240
150.100.2.197
1100
0101
150.100.2.192
255.255.255.240
150.100.2.198
1100
0110
150.100.2.192
255.255.255.240
150.100.2.199
1100
0111
150.100.2.192
255.255.255.240
150.100.2.200
1100
1000
150.100.2.192
255.255.255.240
150.100.2.201
1100
1001
150.100.2.192
255.255.255.240
150.100.2.202
1100
1010
150.100.2.192
255.255.255.240
150.100.2.203
1100
1011
150.100.2.192
255.255.255.240
Notes
804
Partie III
Annexes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.204
1100
1100
150.100.2.192
255.255.255.240
150.100.2.205
1100
1101
150.100.2.192
255.255.255.240
150.100.2.206
1100
1110
150.100.2.192
255.255.255.240
150.100.2.207
1100
1111
150.100.2.192
255.255.255.240
Broadcast de
sous-rseau
150.100.2.208
1101
0000
150.100.2.208
255.255.255.240
Identifiant de
sous-rseau
150.100.2.209
1101
0001
150.100.2.208
255.255.255.240
150.100.2.210
1101
0010
150.100.2.208
255.255.255.240
150.100.2.211
1101
0011
150.100.2.208
255.255.255.240
150.100.2.212
1101
0100
150.100.2.208
255.255.255.240
150.100.2.213
1101
0101
150.100.2.208
255.255.255.240
150.100.2.214
1101
0110
150.100.2.208
255.255.255.240
150.100.2.215
1101
0111
150.100.2.208
255.255.255.240
150.100.2.216
1101
1000
150.100.2.208
255.255.255.240
150.100.2.217
1101
1001
150.100.2.208
255.255.255.240
150.100.2.218
1101
1010
150.100.2.208
255.255.255.240
150.100.2.219
1101
1011
150.100.2.208
255.255.255.240
150.100.2.220
1101
1100
150.100.2.208
255.255.255.240
150.100.2.221
1101
1101
150.100.2.208
255.255.255.240
150.100.2.222
1101
1110
150.100.2.208
255.255.255.240
150.100.2.223
1101
1111
150.100.2.208
255.255.255.240
Broadcast de
sous-rseau
150.100.2.224
1110
0000
150.100.2.224
255.255.255.240
Identifiant de
sous-rseau
150.100.2.225
1110
0001
150.100.2.224
255.255.255.240
150.100.2.226
1110
0010
150.100.2.224
255.255.255.240
150.100.2.227
1110
0011
150.100.2.224
255.255.255.240
150.100.2.228
1110
0100
150.100.2.224
255.255.255.240
Notes
Annexe A
805
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.229
1110
0101
150.100.2.224
255.255.255.240
150.100.2.230
1110
0110
150.100.2.224
255.255.255.240
150.100.2.231
1110
0111
150.100.2.224
255.255.255.240
150.100.2.232
1110
1000
150.100.2.224
255.255.255.240
150.100.2.233
1110
1001
150.100.2.224
255.255.255.240
150.100.2.234
1110
1010
150.100.2.224
255.255.255.240
150.100.2.235
1110
1011
150.100.2.224
255.255.255.240
150.100.2.236
1110
1100
150.100.2.224
255.255.255.240
150.100.2.237
1110
1101
150.100.2.224
255.255.255.240
150.100.2.238
1110
1110
150.100.2.224
255.255.255.240
150.100.2.239
1110
1111
150.100.2.224
255.255.255.240
Broadcast de
sous-rseau
150.100.2.240
1111
0000
150.100.2.240
255.255.255.240
Identifiant de
sous-rseau
150.100.2.241
1111
0001
150.100.2.240
255.255.255.240
150.100.2.242
1111
0010
150.100.2.240
255.255.255.240
150.100.2.243
1111
0011
150.100.2.240
255.255.255.240
150.100.2.244
1111
0100
150.100.2.240
255.255.255.240
150.100.2.245
1111
0101
150.100.2.240
255.255.255.240
150.100.2.246
1111
0110
150.100.2.240
255.255.255.240
150.100.2.247
1111
0111
150.100.2.240
255.255.255.240
150.100.2.248
1111
1000
150.100.2.240
255.255.255.240
150.100.2.249
1111
1001
150.100.2.240
255.255.255.240
150.100.2.250
1111
1010
150.100.2.240
255.255.255.240
150.100.2.251
1111
1011
150.100.2.240
255.255.255.240
150.100.2.252
1111
1100
150.100.2.240
255.255.255.240
150.100.2.253
1111
1101
150.100.2.240
255.255.255.240
Notes
806
Partie III
Annexes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Adresse IP
(dcimale)
Portion
sous-rseau
du dernier
octet (binaire)
Portion
hte du
dernier octet
(binaire)
Adresse de
sous-rseau
Masque
de sous-rseau
150.100.2.254
1111
1110
150.100.2.240
255.255.255.240
150.100.2.255
1111
1111
150.100.2.240
255.255.255.240
Notes
Broadcast de
sous-rseau ;
limite de zone ;
la zone 17 se
termine
B
Implmentation
de liaisons srie IBM
Cette annexe tente de clarifier certaines confusions propos des connexions semi-duplex, duplex et
multipoint.
En ce qui concerne les liaisons de communication asynchrones (et les paramtres logiciels dmulation de terminal), le terme duplex implique un duplex intgral (full-duplex) en ce qui concerne
lcho des caractres envoys par un hte vers un terminal. Ce mode porte galement le nom de
mode echoplex. Dans ce contexte, le mode semi-duplex implique labsence dcho de caractre. On
rencontre couramment certaines configurations de terminaux et dhtes inadquates :
m
Le mode duplex spcifi sur un terminal lorsque lhte est configur pour le mode semi-duplex
rsulte en une saisie aveugle sur le terminal.
Le mode semi-duplex spcifi sur un terminal lorsque lhte est configur pour le mode duplex
rsulte en des caractres doubles sur le terminal. La raison est que le terminal affiche les caractres entrs si sa configuration indique que lhte nenverra pas dcho de caractre.
NOTE
808
Partie III
Annexes
SNA dIBM
Le glossaire de base dIBM dfinit les modes duplex et semi-duplex pour les termes VTAM, NCP et
NetView de la faon suivante :
m
Duplex. Dans les communications de donnes, se rapporte une connexion autorisant le transport bidirectionnel simultan des donnes ; contraire de semi-duplex.
Ces dfinitions peuvent sappliquer dans deux contextes reprsentant les deux sources principales
de confusion :
m
Tout dabord, il existe des transferts de donnes duplex et semi-duplex. Cela concerne gnralement la capacit ou lincapacit dun ETCD supporter les flots de donnes bidirectionnels
simultans. Les dispositifs PU 4 SNA (ordinateurs frontaux tels que 3705, 3720, 3725 et 3745)
sont capables de grer le transfert de donnes en mode duplex. Chacun de ces dispositifs utilise
un chemin de donnes et de contrle distincts dans les tampons de rception et de transmission
du programme de contrle.
Certains dispositifs PU 2.1 sont aussi capables de grer le mode duplex, qui est ngociable dans
la trame de format XID-3, moins que linstruction DATMODE=FULL de dfinition NCP du
PU ne soit spcifie. La prsence du paramtre FULL impose le mode duplex. Les dispositifs PU 2
et PU 1 fonctionnent dans le mode semi-duplex.
ETCD
Annexe B
809
Un ETTD dans un environnement SDLC possde des options de configuration qui spcifient le
mode de fonctionnement support par un ETCD. Les paramtres par dfaut pour la plupart des
dispositifs PU 2 sont dfinis pour le mode semi-duplex, bien quils puissent galement supporter le
mode duplex. Si lquipement est capable de fonctionner en mode duplex, le signal RTS peut tre
activ en permanence. Si lquipement supporte le mode semi-duplex ou bien fonctionne dans un
environnement multipoint qui recourt des dispositifs de partage de modems (et non pas un environnement multipoint fourni par une compagnie de tlphone), RTS doit tre activ uniquement
lors de la transmission. Un quipement de communication qui supporte le mode duplex et qui
connecte un dispositif PU 4 un autre dispositif PU 2 ou PU 1 (chaque PU tant configur pour un
ETCD assurant le mode duplex) fournit un meilleur temps de rponse en raison de la rduction des
changements dtat.
Les anciens dispositifs PU 2 et PU 1 ne peuvent pas tre configurs pour le mode ETCD duplex. Par
consquent, comme ils ne peuvent supporter que les transferts de donnes semi-duplex, la transmission et la rception de donnes ne peuvent pas avoir lieu en mme temps sur la ligne (contrairement
un change duplex entre PU 4).
Connexions multipoints
Le mode multipoint reprsente une mthode de partage dun quipement de communication entre
plusieurs emplacements. Les compagnies de tlphone offrent des configurations multipoints deux
fils et quatre fils pour un service analogique (connexion par modem) ou quatre fils pour un service
numrique (CSU/DSU). La plupart des implmentations sont master-polling, multislave-drop (un
matre, plusieurs esclaves). Le matre ne se connecte qu un esclave la fois. La commutation prend
place au niveau dun autocommutateur local proximit du site ETTD matre. Certains fournisseurs
de services offrent des services multipoints analogiques qui supportent une communication bidirectionnelle simultane, ce qui permet aux ETTD dtre configurs pour un RTS permanent.
Les dispositifs de partage de modems et les dispositifs de partage de lignes fournissent galement des
fonctions multipoints. Ces implmentations autorisent le partage dune seule liaison point--point
entre plusieurs dispositifs. Certains dentre eux disposent de ports configurables pour ETTD et ETCD,
ce qui leur permet dtre configurs pour une adaptation plusieurs sites (appels configuration en
cascade). La principale contrainte de ces dispositifs est que les autres utilisateurs sont bloqus lorsque
le signal RTS est actif. Vous ne pouvez pas configurer des ETTD pour un signal RTS permanent et
vous devez accepter les dlais de changement dtat associs ce mode de fonctionnement.
C
Configuration dhte SNA
pour des rseaux SRB
Lors de la conception de rseaux SRB (Source Routing Bridge, "pont routage par la source")
comportant des routeurs et des entits SNA IBM, vous devez configurer avec soin les nuds SNA
ainsi que les nuds de routage. Cette annexe donne des exemples mettant en jeu les trois quipements SNA spcifiques suivants :
m
contrleurs de cluster.
La Figure C.1 illustre un environnement typique. Les Tableaux C.1 C.6 prsentent les paramtres
de dfinition des quipements prsents dans la mme figure.
Figure C.1
Mainframe IBM
Environnement
dhte SNA typique.
Routeur
Token
Ring
FEP
Routeur
Nud
principal
commut
par VTAM
Rseau SNA
Routeur
Contrleur
de cluster
Configuration FEP
Les paramtres rpertoris dans les Tableaux C.1 C.6 illustrent lentre pour le processus de gnration de systme NCP (Network Control Program) qui est excut par le processeur de lhte au
moyen du NDF (Network Definition Facility). Le NDF fait partie de lutilitaire ACF/NCP/System
Support Program. La sortie produite par le processus de gnration est un module de chargement
812
Partie III
Annexes
qui sexcute sur un FEP. Sa taille peut en gnral tre lgrement infrieure 1 Mo et dpasser les
3 Mo. Lutilitaire ACF/NCP/System Support Program est galement utilis pour le chargement et le
dumping dun FEP.
Les tableaux suivants mettent en valeur les paramtres pour la gnration de ressources Token Ring.
Tableau C.1 : Paramtres de dfinition pour BUILD
Paramtre
Exemple, paramtre,
valeur ou plage
LOCALTO
1.5
REMOTTO
2.5
MAXSESS
5000
MXRLINE
Rien
MXVLINE
Rien
T2TIMER
La dfinition LUDRPOOL prsente dans le Tableau C.2 spcifie le nombre de ressources priphriques ncessaires pour la quantit correcte despace de stockage de blocs de contrle rserver
pour les nouvelles connexions.
Tableau C.2 : Paramtres de dfinition pour LUDRPOOL
Paramtre
Exemple, paramtre,
valeur ou plage
NUMTYP2
Aucun
NUMILU
Aucun
La dfinition GROUP prsente dans le Tableau C.3 spcifie les paramtres de dfinition de groupe.
Annexe C
813
Paramtre
Exemple, paramtre,
valeur ou plage
AUTOGEN
Nombre
COMPOWN
COMPSWP
COMPTAD
DIAL
YES or NO
ECLTYPE
(PHYSICAL, ANY)
(PHYSICAL, PERIPHERAL)
(PHYSICAL, SUBAREA)
(LOGICAL, PERIPHERAL)
(LOGICAL, SUBAREA)
LNCTL
SDLC
PHYPORT
Aucun
TIMER
La dfinition LINE prsente dans le Tableau C.4 spcifie les paramtres de dfinitions de ligne.
Tableau C.4 : Paramtres de dfinition pour LINE
Exemple, paramtre,
valeur ou plage
ADAPTER
TIC1
TIC2
ADDRESS
1088 1095
Plage dadresse valides pour les TIC ; une seule spcifie par dfinition LINE
BEACTO
52
LOCADD
4000abbbbbbb
LOCALTO
1,5
V5R4 ; pareil BUILD (voir Tableau C.1), mais seulement pour les dispositifs PU 4 (LOGICAL, SUBAREA) ;
autorise la granularit pour les TIC individuels pour les
connexions SUBAREA
Paramtre
814
Partie III
Annexes
Paramtre
Exemple, paramtre,
valeur ou plage
REMOTTO
2,5
Paramtre V5R4 ; pareil LOCALTO ; voir les paramtres BUILD dans le Tableau C.1
T2TIMER
localt2, remott2, N3
MAXTSL
2044 16732
PORTADD
Nombre
Pour lassociation des ECLTYPE physiques des ECLTYPE logiques ; correspond la spcification ECLTYPE
physique ou logique
RETRIES
m, t, n, ml
TRSPEED
4 ou 16
Vitesse de TIC
Paramtre
Exemple, paramtre,
valeur ou plage
ADDR
aa4000bccccccc
PUTYPE
1, 2 ou 4
Dpend du ECLTYPE:
Annexe C
815
Paramtre
Exemple, paramtre,
valeur ou plage
XID
YES ou NO
Paramtre
Exemple, paramtre,
valeur ou plage
LOCADDR
Paramtre
Exemple, paramtre,
valeur ou plage
TYPE
SWNET
Paramtre
Exemple, paramtre,
valeur ou plage
IDBLK
017
Valeurs typiques :
017 = 3X74.
05D = PU VTAM bas PC
0E2 = SDLLC Cisco (enregistr avec IBM)
IDNUM
xxxxx
MAXOUT
17
816
Partie III
Annexes
Paramtre
Exemple, paramtre,
valeur ou plage
MAXDATA
265
PUTYPE
XID
YES or NO
Paramtre
Exemple, paramtre,
valeur ou plage
LOCADDR
2 FF
Exemple de valeur
98
99
TKNRNG
Champ de description
100
13R
Numro de modle
101
Annexe C
817
Exemple de valeur
106
107
108
0045362
110
116
121
01
Langage du clavier.
123
125
00000000
126
00000000
127
00
Dfinition RTM.
132
0000
136
0000
137
0000
138
141
165
166
168
173
0000
Options DFT.
175
000000
179
000
213
Partage dimprimante.
215
45362
Identification PU.
222
818
Partie III
Annexes
Exemple de valeur
382
0521
383
384
Exemple de valeur
500
CSCM unique
501
TOSFNID
Identifiant de rseau
503
TOSFCTLR
Nom de lunit LU
Les stations terminales SNA implmentent LLC2 (Logical Link Control Type 2) lorsquelles sont
connectes un rseau local (LAN). LLC2 implmente les lments suivants :
m
des temporisateurs ;
le squencement ;
le fentrage ;
la livraison garantie ;
la connexion garantie.
Annexe C
819
La premire tentative plus sept autres tentatives multiplies par 1,6 seconde :
= 8 1,6 seconde ;
= 12,8 secondes.
Figure C.2
Procdure de
temporisation T1 et
de rcupration aprs
erreur pour le 3174.
Token
Ring
Routeur A
Routeur B
Token
Ring
3174
3745
Donne
Requte LLC
Requte LLC
Requte LLC
DISC
Temporisateur T1
Temporisateur T1x
Temporisateur T1x
(7 tentatives)
Temporisateur T1x
D
Configuration dhte SNA
pour des rseaux SDLC
Cette annexe prsente les informations dimplmentation de routeur en rapport avec les lments
suivants :
m
Le Tableau D.1 prsente le support de connexion point--point SDLC 3x74 pour les appliques
AGS+, MGS et DCE CGS.
Tableau D.1 : Support de connexion point--point SDLC 3x74 pour les appliques AGS+, MGS
et DCE CGS
Type de contrleur
RS-232 ETCD
RS-232 NRZI/ETCD
Support
Support
Non test
Support
3274-31C
Support
Non test
3274-51C
Support
Non test
3274-41C
Non test
3274-61C
Pareil 3274-41C
Support
3274
3e
4e
gnration
gnration
822
Partie III
Annexes
Tableau D.1 : Support de connexion point--point SDLC 3x74 pour les appliques AGS+, MGS
et DCE CGS (suite)
Type de contrleur
RS-232 ETCD
RS-232 NRZI/ETCD
Telex 274
Support
Non test
Telex 1274
Support
Non test
Non test
Support
Passerelle
DEC SNA
Non test
Support
Adaptateur multiprotocole
RS 6000
Non test
Support
3174-01R
Non test
3174-03R
Pareil 3174-01R
Pareil 3174-01R
3174-51R
Pareil 3174-01R
Pareil 3174-01R
3174-11R
Non test
Support
3174-13R
Pareil 3174-11R
Non test
3174-61R
Pareil 3174-11R
Non test
3174-91R
Pareil 3174-11R
Support
Telex 1174
Support
Non test
CU sous-systme de 3174
CU dtablissement de 3174
Exemple de valeur
LNCTL
SDLC
REPLYTO
Annexe D
823
Tableau D.3 : Paramtres pour LINE dun exemple de configuration SDLC pour FEP
Paramtre
Exemple de valeur
ADDRESS
(001,HALF)
DUPLEX
HALF
NRZI
YES
RETRIES
(6,5,3)
PAUSE
Tableau D.4 : Paramtres pour unit PU dun exemple de configuration SDLC pour FEP
Paramtre
Exemple de valeur
ADDR
C1
MAXDATA
265
MAXOUT
824
Partie III
Annexes
Tableau D.4 : Paramtres pour unit PU dun exemple de configuration SDLC pour FEP (suite)
Paramtre
Exemple de valeur
PASSLIM
PUTYPE
Tableau D.5 : Paramtres pour unit LU dun exemple de configuration SDLC pour FEP
Paramtre
Exemple de valeur
LOCADDR
Exemple de valeur
98
99
TKNRNG
Champ de description
100
91R
Numro de modle
101
NOTE
Les lignes de configuration 104, 313 et 340 sur lcran de configuration 2 (voir Tableau D.7) sont intressantes lors de la configuration de dispositifs 3174 pour un environnement SDLC bas sur un routeur. Ces lignes
spcifient ladresse SDLC requise et les options SDLC pertinentes pour le contrleur de cluster.
Annexe D
825
Exemple de valeur
104
C2
108
0045448
110
116
121
01
123
125
00000000
126
00000000
127
00
Dfinition RTM.
132
0000
136
0000
137
0000
138
141
150
165
166
168
173
0000
Options DFT.
175
000000
179
000
213
215
45448
Identification PU.
220
Fonction dalerte.
310
313
NRZ = 0 ; NRZI = 1
826
Partie III
Annexes
Exemple de valeur
317
Dispositif de tlcommunication :
0 = non commut
1 = commut (numrotation)
318
340
365
370
Exemple de valeur
500
501
xxxxxxxx
Identifiant de rseau
503
xxxxxxxx
E
Diffusions broadcast
sur des rseaux commuts
Pour communiquer avec toutes les portions dun rseau, les protocoles utilisent des datagrammes
broadcast et multicast de la couche 2 du modle OSI (Open Systems Interconnection, interconnexion de systmes ouverts). Cela suppose videmment un mdia qui supporte le mode broadcast,
tel Ethernet. Lorsquun nud souhaite communiquer avec toutes les stations du rseau, il envoie un
datagramme ladresse MAC FF-FF-FF-FF, une adresse broadcast qui doit tre coute par la carte
rseau de chaque hte. Les routeurs, qui oprent au niveau 3 du modle OSI, ne transmettent gnralement pas ces diffusions broadcast, mais les limitent au segment dont elles proviennent.
Lorsquun hte doit communiquer uniquement avec une portion du rseau, il envoie un datagramme
une adresse MAC spcifique, avec le bit de poids le plus fort de lidentifiant du fabricant activ
(01-00-0C-CC-CC-CC, par exemple). Cest ce quon appelle une diffusion multicast. Les cartes
rseau y rpondent lorsquelles ont t configures pour couter cette adresse particulire.
Aujourdhui, une grande varit dapplications utilisent le multicast IP de faon intensive, afin
doptimiser lutilisation de la bande passante. Au lieu denvoyer n flux de x mgaoctets, o n est le
nombre de destinataires, un seul flux de x mgaoctets est ncessaire. La prochaine section examine
de plus prs le multicast IP.
Multicast IP
Une plage entire dadresses IP (une classe) a t rserve pour lutilisation de la diffusion multicast (224.0.0.0 239.255.255.255). A laide dune formule prdfinie, il est possible dassocier une
telle adresse IP de classe D une adresse MAC multicast de niveau 2. Un bloc dadresse MAC a t
rserv pour permettre des adresses IP de classe D dtre traduites en adresses MAC de niveau 2
(01-00-5E-xx-xx-xx). La correspondance est obtenue en plaant les 23 bits de poids le plus faible
de ladresse IP de classe D dans les 23 bits de poids le plus faible de ladresse multicast de niveau 2.
Par exemple, ladresse IP 236.123.1.2 correspondrait ladresse MAC 01-00-5E-7B-01-02.
Toutes les stations LAN qui supportent le multicast IP savent comment raliser cette traduction, et
peuvent donc facilement envoyer une diffusion multicast sur nimporte quel rseau LAN bas sur le
standard IEEE 802. Etant donn que lespace de classe D contient davantage dadresses (228) que
828
Partie III
Annexes
le champ OUI (champ de fabricant) IETF au niveau de la couche MAC (223), de nombreuses adresses de groupe correspondent chaque adresse IEEE 802. Certains groupes rservs ont t affects
des utilisations spcifiques, les plus connus tant probablement 224.0.0.1 (tous les systmes sur ce
sous-rseau) et 224.0.0.2 (tous les routeurs sur ce sous-rseau). Les autres groupes sont 224.0.0.4
(tous les routeurs DVMRP), 224.0.0.6 (routeurs dsigns OSPF), 224.0.0.9 (RIP version 2) et
224.0.0.10 (routeurs EIGRP).
Etant donn que les commutateurs fonctionnent comme des ponts, ils doivent propager tout le trafic
broadcast, multicast et unicast inconnu. Cette procdure est connue sous le nom dinondation (flooding). Lajout de trafic broadcast et multicast de la part de chaque quipement sur le rseau est
appele propagation de diffusions broadcast. Notez cependant que linondation est limite un
VLAN. Par exemple, si une station faisant partie dun VLAN tente datteindre une adresse MAC de
destination qui na pas encore t dcouverte par le commutateur, la trame sera envoye vers tous
les ports de ce VLAN, except celui sur lequel la trame a t reue. Cest pourquoi un VLAN est
parfois appel domaine de broadcast. Etant donn que les cartes rseau doivent interrompre le
processeur afin de traiter chaque diffusion broadcast, la propagation de ce trafic affecte les performances des htes du rseau. La majorit des cartes rseau rcentes peuvent filtrer les diffusions
multicast non souhaites ; aussi, elles nont pas besoin de les transmettre au processeur. Toutefois,
toutes les cartes nen sont pas capables ; dans ce cas, le trafic multicast doit tre trait de la mme
manire que le trafic broadcast. Le plus souvent, lhte ne tire aucun bnfice du traitement des
diffusions broadcast ou multicast : soit il nest pas le destinataire recherch, soit il ne sintresse pas
au service annonc, ou bien il en connat dj lexistence. Les routeurs qui supportent le mode
multicast nont pas besoin dtre directement adresss, car leurs interfaces doivent oprer de faon
transparente, et recevoir tout le trafic IP multicast.
Cisco a dvelopp deux fonctionnalits qui rduisent considrablement linondation des trames
multicast. Il sagit de CGMP et de la surveillance IGMP. Une conversation CGMP a lieu entre un
commutateur et un routeur Cisco. Le routeur indique au commutateur les adresses MAC qui ont
demand rejoindre un groupe multicast (les stations utilisent des paquets IGMP pour demander
aux routeurs de joindre des groupes). En retour, le commutateur effectue une recherche dans sa
table de transmission, afin didentifier les ports sur lesquels se trouvent ces stations. Il peut ensuite
limiter la transmission des paquets multicast ces stations en crant des entres statiques. La
surveillance IGMP remplit le mme objectif global, mais sans impliquer le routeur. Nanmoins, le
commutateur doit disposer de fonctionnalits suffisantes pour pouvoir analyser les paquets IP et
identifier les requtes IGMP.
IP nest pas le seul protocole utiliser la diffusion multicast. Les sections suivantes dcrivent de
quelle manire les protocoles IP, Novell et AppleTalk utilisent les diffusions broadcast et multicast
pour localiser des htes, et annoncer des services. Elles examinent aussi en quoi le trafic li ces
diffusions affecte les performances processeur des htes sur le rseau.
Rseaux IP
On dnombre trois sources de diffusion sur les rseaux IP :
m
Stations de travail. Une station de travail IP envoie une requte ARP (Address Resolution
Protocol) en mode broadcast chaque fois quelle a besoin de localiser une nouvelle adresse IP
Annexe E
829
sur le rseau. Par exemple, la commande telnet cio.cisco.com traduit un nom en adresse IP
par le biais dune recherche DNS (Domain Name System), puis une requte ARP broadcast est
envoye pour trouver la vritable station. En rgle gnrale, les stations de travail IP placent dix
cent adresses en cache en deux heures de temps environ. Le taux ARP pour une station typique
se situe autour de cinquante adresses toutes les deux heures, soit 0,007 requte ARP par seconde.
Par consquent, 2 000 stations IP produisent environ quatorze requtes ARP par seconde.
m
Routeurs. Un routeur IP reprsente tout routeur, ou station de travail, qui excute un protocole
de routage. Par exemple, RIP est un protocole qui fait une utilisation intensive des diffusions
broadcast. Certains administrateurs configurent toutes les stations de travail pour quelles excutent RIP en tant que stratgie de redondance et daccessibilit. Toutes les 30 secondes, RIP
utilise des diffusions broadcast pour retransmettre la table de routage complte aux autres
routeurs RIP. Si 2 000 stations de travail taient configures afin dexcuter RIP et que cinquante
paquets soient ncessaires pour retransmettre la table de routage, les stations gnreraient 3 333
diffusions broadcast par seconde. La plupart des administrateurs configurent un petit nombre de
routeurs afin dexcuter RIP, habituellement entre cinq et dix. Pour une table de routage qui
requiert cinquante paquets, dix routeurs RIP gnreraient environ seize diffusions broadcast par
seconde. De faon plus gnrale, limportance du problme est proportionnelle au nombre de
routeurs. Heureusement, il existe des alternatives au mcanisme de broadcast RIP systmatique,
tel RIP version 2. Beaucoup dautres protocoles de routage utilisent le multicast IP afin dchanger des informations (OSPF, EIGRP, etc.), mais la quantit de trafic quils gnrent est bien
moindre que celle de protocoles tels que RIP, une fois que les informations de routage ont
converg.
Applications multicast. Les applications multicast IP peuvent entraner une dgradation des
performances sur les grands rseaux linaires commutation de paquets. Bien que le multicast
reprsente un moyen efficace pour envoyer un flot de donnes multimdias (vido) de
nombreux utilisateurs sur un hub de mdia partag, il affecte chaque utilisateur sur un rseau
commut, en raison du processus dinondation. Par exemple, une application vido par paquets
peut gnrer un flot multimgaoctets de donnes multicast qui, sur un rseau commut, serait
envoy vers chaque segment, ce qui provoquerait une grave congestion.
La Figure E.1 prsente les rsultats de tests raliss par Cisco relatifs aux effets de la propagation
de diffusions broadcast sur une station Sun SPARCstation 2, avec une carte Ethernet standard. La
station excutait SunOS version 4.1.3, avec la fonction de filtrage multicast IP active. Si cette
fonction avait t dsactive, les paquets multicast auraient affect les performances du processeur.
Ainsi que le montrent les rsultats de la Figure E.1, une station de travail IP peut tre rellement
arrte par une inondation de trafic broadcast. Bien quexcessives, des pointes de diffusion broadcast de milliers de paquets par seconde ont t observes durant des temptes de broadcast. Des
tests en environnement contrl, avec une plage de diffusions broadcast et multicast donne sur le
rseau, font apparatre des dgradations du systme partir de cent diffusions broadcast ou multicast par seconde. Le Tableau E.1 prsente le pourcentage moyen de pertes de ressources processeur
pour des rseaux IP allant de 100 10 000 htes.
830
Partie III
Annexes
Figure E.1
100%
Performances processeur
SPARC 2
Effets de
la propagation de
diffusions broadcast
sur les htes
dun rseau IP.
95%
90%
85%
80%
Broadcasts
75%
0
200
400
600
800
1000
Tableau E.1 : Pertes de ressources processeur dues aux diffusions sur des rseaux IP
Nombre dhtes
100
0,14
1 000
0,96
10 000
9,15
Bien que les chiffres du Tableau E.1 semblent faibles, ils correspondent un rseau IP moyen bien
conu, qui nexcute pas RIP. Lors de pointes de trafic broadcast et multicast provoques par des
comportements de type tempte, les pertes de ressources processeur peuvent excder la moyenne.
Durant une tempte de broadcast ou unicast provoque par une boucle de niveau 2, de puissants
systmes terminaux peuvent tre paralyss. La source dune tempte de broadcast peut tre un quipement qui demande des informations sur un rseau devenu trop grand. Le demandeur reoit une
quantit de rponses telle, quelle dpasse sa capacit les traiter, ou bien la premire requte
dclenche des requtes semblables de la part dautres quipements, ce qui paralyse le flux de trafic
normal sur le rseau.
Toutefois, nallez pas en conclure que lutilisation de la diffusion multicast ne doit pas tre envisage. Une utilisation correcte de cette fonctionnalit rsulte en une exploitation bien plus efficace de
la bande passante disponible. Au lieu denvoyer n flux de m Mbit/s n destinataires, par exemple,
seul un flux de m Mbit/s est envoy un seul groupe multicast. Limiter les trafics broadcast et
multicast au rseau local fait partie du processus de conception de rseaux commuts efficaces.
Plusieurs techniques sont disponibles aujourdhui sur les commutateurs multicouches de Cisco. Par
exemple, le protocole CGMP de Cisco empche linondation du trafic multicast sur tous les ports,
grce une interaction entre le commutateur et le routeur Cisco. Le routeur communique au
commutateur les adresses MAC qui ont demand rejoindre un groupe particulier, de faon que le
commutateur sache ( partir de sa table de transmission) quels ports sont intresss par ce flux
multicast. De plus, la surveillance IGMP pour les commutateurs de niveau 3 limine le besoin de
Annexe E
831
disposer dun routeur externe, en fournissant au commutateur les fonctionnalits ncessaires afin
dexaminer le contenu des paquets IGMP utiliss par les htes et les routeurs, dans le but dchanger des informations dappartenance des groupes.
Rseaux Novell
Bon nombre de rseaux locaux fonds sur des PC utilisent encore le systme dexploitation de
rseau NOS (Network Operating System) de Novell et des serveurs NetWare. La technologie Novell
pose des problmes dvolutivit :
m
Les serveurs NetWare emploient des paquets broadcast pour sidentifier et annoncer leurs services et routes aux autres rseaux, via le protocole SAP (Service Advertisement Protocol).
Les clients NetWare utilisent des diffusions broadcast pour rechercher des serveurs NetWare, via
des requtes GNS (Get Nearest Server).
La version 4.0 des applications de gestion de rseau bases sur SNMP de Novell, telle NetExplorer,
envoie priodiquement des paquets broadcast afin de dcouvrir les changements survenus sur le
rseau.
Un rseau inactif, avec un seul serveur qui comporte un volume partag et ne propose aucun service
dimpression, gnre un paquet broadcast toutes les 4 secondes. Un grand rseau local, avec des
serveurs haut de gamme, pourrait comprendre jusqu 150 utilisateurs par serveur. Si le rseau
comptait 900 utilisateurs assez bien rpartis, il pourrait y avoir six ou sept serveurs. Dans un tat
dinactivit avec plusieurs volumes et imprimantes partags, environ quatre diffusions broadcast
seraient mises, uniformment rparties. En cas de forte activit, avec des requtes de route et de
service frquentes, le taux de trafic broadcast atteindrait entre 15 et 20 paquets broadcast par
seconde.
La Figure E.2 montre les rsultats de tests raliss par Cisco afin de connatre les effets de la propagation de diffusions broadcast sur un processeur 80386 fonctionnant une vitesse de 25 MHz. Les
performances ont t mesures avec lutilitaire Norton Utilities. Le trafic a t gnr par un outil
de surveillance de rseau. Il se composait dun paquet broadcast et dun paquet multicast comportant des zros en tant que donnes. Les performances du processeur ont t affectes partir de
30 paquets broadcast ou multicast par seconde. Les paquets multicast ont un effet un peu plus ngatif que les paquets broadcast. Bien que ce test ait t ralis laide dune technologie existante, il
montre clairement limpact que peut avoir la propagation de diffusions broadcast sur les quipements du rseau.
Le Tableau E.2 prsente le pourcentage moyen de pertes de ressources processeur pour des rseaux
Novell, avec de 100 10 000 htes.
832
Partie III
Annexes
Figure E.2
100%
Diffusions unicast
98%
Performances processeur
PC 386
Effets de
la propagation de
diffusions broadcast
sur les htes
dun rseau Novell.
96%
94%
Diffusions broadcast
92%
Diffusions multicast
90%
88%
0
200
400
600
Nombre de paquets par secondes
800
1000
Tableau E.2 : Pertes de ressources processeur dues aux diffusions sur des rseaux Novell
Nombre dhtes
100
0,12
1 000
0,22
10 000
3,15
Les rsultats prsents au Tableau E.2 correspondent un fonctionnement moyen du rseau sur
plusieurs heures. La charge du trafic et la perte de ressources processeur en cas de pointe, pour
chaque station de travail, peuvent dpasser celles dune utilisation moyenne du rseau. Un scnario
courant indique que le lundi 9 heures, tous les employs allument leur ordinateur. Normalement,
lorsque le niveau dutilisation ou de demande est moyen, le rseau est capable de grer un nombre
raisonnable de stations. Nanmoins, dans des situations o tous les employs mettent une demande
de service en mme temps (pointe de demandes), la capacit du rseau ne permet de supporter
quun nombre beaucoup moins important de stations. Le fait de dterminer au pralable les exigences en matire de capacit autorise des pointes de demandes et des temps de pointe plus importants
que les exigences de services moyennes.
Rseaux AppleTalk
AppleTalk utilise le multicast de faon intensive pour annoncer ou demander des services, et rsoudre des adresses. Au dmarrage, un hte AppleTalk transmet une srie de vingt paquets pour rsoudre
son adresse de rseau (une adresse de nud AppleTalk de couche 3) et obtenir des informations de
"zone" locale. A lexception du premier paquet, qui est adress lui-mme, ces fonctions sont
assures par le biais de diffusions multicast AppleTalk.
Annexe E
833
En ce qui concerne le trafic densemble du rseau, le slecteur AppleTalk utilise les diffusions broadcast de faon intensive. Le slecteur est linterface logicielle qui permet un utilisateur de slectionner des services de rseau partags. Cette interface emploie des diffusions multicast AppleTalk
afin de rechercher des serveurs de fichiers, des imprimantes et dautres services. Lorsquun utilisateur ouvre le slecteur et choisit un type de services (par exemple, une imprimante), il transmet
45 diffusions multicast au rythme dun paquet par seconde. Si le slecteur demeure ouvert, il envoie
une salve de 5 paquets, selon un intervalle de plus en plus long. Sil demeure ouvert pendant
plusieurs minutes, il atteint un dlai maximal, et transmet une salve de 5 paquets toutes les 270
secondes. En soi, cela ne pose aucun problme, mais, sur un grand rseau, ces paquets sajoutent au
trafic total de propagation de diffusions broadcast que chaque hte doit interprter, puis supprimer.
Dautres protocoles AppleTalk, tel NBP (Name Binding Protocol), qui est utilis pour lier un client
un serveur, et RDP (Router Discovery Protocol), une implmentation de RIP qui est transmise par
tous les routeurs et qucoutent toutes les stations, utilisent galement les diffusions broadcast de
faon intensive. Le systme quil inclut (appel AutoRemounter, et qui fait partie du systme
dexploitation Macintosh) utilise galement beaucoup les diffusions broadcast.
NOTE
La pile AppleTalk est plus efficace que la pile Novell, car elle supprime les diffusions broadcast non AppleTalk plus tt que la pile Novell ne supprime les diffusions broadcast non Novell.
La Figure E.3 prsente les rsultats de tests raliss par Cisco pour connatre les effets de la propagation de diffusions broadcast sur un Power Macintosh 8100 et sur un Macintosh IIci. Les deux
processeurs ont t affects partir de quinze trames broadcast ou multicast par seconde.
Une fois encore, bien que ce test ait t ralis laide dune technologie assez ancienne, il montre
clairement limpact du trafic broadcast.
Figure E.3
100%
Diffusions unicast
Performances processeur
Power Macintosh 8100
Effets de
la propagation de
diffusions broadcast
sur les htes dun
rseau AppleTalk.
95%
90%
Diffusions broadcast
85%
Diffusions multicast
80%
0
200
400
600
800
1000
Le Tableau E.3 prsente le pourcentage moyen de pertes de ressources processeur pour des rseaux
AppleTalk, avec 100 10 000 htes.
834
Partie III
Annexes
Tableau E.3 : Pertes de ressources processeur dues aux diffusions sur des rseaux AppleTalk
Nombre dhtes
100
0,28
6,00
1 000
2,10
58,00
10 000
16,94
100,00
Les quipements connexion lente LocalTalk vers Ethernet constituent un problme majeur sur les
grands rseaux AppleTalk. Ils ne fonctionnent pas sur ces rseaux, car la capacit de leur cache
ARP est limite et ne permet de traiter que quelques diffusions broadcast par seconde. Les temptes
de broadcast les plus importantes surviennent lorsque ces quipements ne sont plus en mesure de
recevoir les mises jour RTMP (Routing Table Maintenance Protocol). Dans ces conditions, ils
envoient des requtes ARP tous les quipements connus, ce qui acclre la dgradation des performances du rseau, car il sensuit une dfaillance de leurs voisins, qui transmettent leur tour des
requtes ARP.
Rseaux multiprotocoles
Voici ce que lon peut dire de linteraction entre AppleTalk, IPX et IP :
m
F
Rduction du trafic SAP
sur les rseaux Novell IPX
La quantit de bande passante consomme par les importantes mises jour SAP (Service Advertisement Protocol) est un des facteurs limitatifs dans lexploitation de grands rseaux Novell IPX
(Internetwork Packet Exchange). Les serveurs Novell envoient priodiquement aux clients des
informations sur les services quils proposent : ils les diffusent sur leurs interfaces de rseau local
(LAN) ou de rseau tendu (WAN). Les routeurs sont ncessaires la propagation des mises jour
SAP sur un rseau IPX ; ainsi tous les clients peuvent lire les messages de services. Il est possible
de rduire le trafic SAP sur ces rseaux grce aux moyens suivants :
m
Filtrage de mises jour SAP au moyen de listes daccs. Les mises jour SAP peuvent tre
filtres en empchant les routeurs dannoncer les services de certains serveurs Novell spcifis.
Configuration de routeurs Cisco sur les rseaux Novell IPX pour lexcution de EIGRP.
Bien que les filtres fournissent un moyen dliminer les annonces de services spcifiques,
EIGRP fournit des mises jour SAP incrmentielles pour bnficier dune granularit de
contrle plus fine. Des mises jour SAP compltes sont envoyes priodiquement sur chaque
interface jusqu ce quun voisin EIGRP IPX soit trouv. Ensuite, elles ne sont envoyes que
lorsquil y a des changements dans la table SAP. De cette manire, la bande passante est prserve et les annonces de services sont rduites sans tre limines.
Les mises jour SAP incrmentielles sont automatiques sur les interfaces srie ; elles peuvent
tre configures sur les mdias de LAN. EIGRP fournit galement des mises jour de routage
partielles et la convergence rapide pour les rseaux IPX. Les administrateurs peuvent choisir
dexcuter seulement les mises jour SAP partielles, ou dexploiter la fois le protocole SAP
fiable et une portion des mises jour de routage partielles de EIGRP.
Configuration des routeurs Cisco sur les rseaux Novell IPX pour lenvoi de mises jour
SAP incrmentielles. Avec la version 10.0 du logiciel System Software, les mises jour SAP
incrmentielles dj dcrites peuvent tre configures pour les routeurs Cisco sur les rseaux
Novell IPX, et ce, sans devoir recourir lexcution de la fonction de mise jour dinformations
de routage de EIGRP (seules les mises jour SAP partielles sont actives). Cette fonction est
836
Partie III
Annexes
supporte sur tous les types dinterfaces. Encore une fois, les mises jour SAP ne sont envoyes
que lorsque des changements se produisent sur un rseau. Seules les modifications dans les
tables SAP sont envoyes comme mises jour.
Pour illustrer la faon de rduire le trafic SAP, cette tude de cas est divise en deux parties :
m
la configuration des listes daccs pour filtrer les mises jour SAP ;
Le rseau pour cette tude de cas est illustr la Figure F.1. Les parties suivantes dun rseau
Novell IPX de grande taille stendant sur un WAN Frame Relay sont examines :
m
Le routeur A se connecte partir du rseau Frame Relay vers le site central avec trois serveurs
Novell.
Le routeur B se connecte partir du rseau Frame Relay vers un site distant avec un client Novell
et un serveur Novell.
Le routeur C se connecte partir du rseau Frame Relay vers un site distant avec deux clients
Novell.
Figure F.1
Serveur Novell
Serveur Novell
Serveur Novell
Interrseau
Novell IPX tendu.
Site central :
serveurs Novell
Rseau 20
Rseau 30
Routeur A
Serveur Novell
Serial 0
Interrseau
Frame Relay
Site distant :
serveur et
client Novell
Serial 1
Rseau 10
Routeur B
Serial 2
Routeur C
clients Novell
Rseau 40
Site distant :
clients Novell
clients Novell
clients Novell
Annexe F
837
o n est une valeur de lintervalle 1000 1099. Une adresse de rseau -1 signifie nimporte quel
rseau, et un type de service 0 indique nimporte quel service. Par exemple, la liste daccs suivante
accepte les entres SAP de serveur dimpression du serveur PRINTER_1, tous les serveurs de
fichiers, et toutes les autres entres SAP du rseau 123, lexception de celles dun serveur appel
UNTRUSTED. Toutes les autres entres SAP doivent tre ignores :
access-list
access-list
access-list
access-list
1000
1000
1000
1000
permit -1 47 PRINTER_1
permit -1 4
deny 123 0 UNTRUSTED
permit 123
Lors de la vrification des entres dans une mise jour SAP, toutes les instructions dune liste
daccs sont traites dans lordre, et sil ny a pas de correspondance pour une entre SAP, elle nest
pas accepte. Aussi, pour bloquer le serveur UNTRUSTED, linstruction deny doit tre place
avant linstruction permit pour tous les autres dispositifs de rseau 123.
Deux techniques peuvent tre utilises pour le filtrage : les entres SAP qui sont requises peuvent
tre autorises et les autres rejetes : les entres SAP non souhaites peuvent tre rejetes et les
autres autorises. En gnral, la premire mthode est prfre, car elle vite que les nouveaux
services inattendus soient propags travers le rseau.
La forme de filtrage SAP la plus courante sert limiter les services disponibles sur un rseau
tendu. Par exemple, il est anormal pour les clients dun site de pouvoir accder au serveur
dimpression dun autre site, car il sagit plutt dune opration locale. Dans cette tude de cas,
seuls les serveurs de fichiers pourront tre vus travers le rseau tendu.
Site central
Le routeur est connect au site central. Les listes daccs suivantes configures sur le routeur autorisent tout, sauf aux serveurs dimpression dtre annoncs sur linterface srie.
access-list 1000 deny -1 47
access-list 1000 permit -1
!
interface serial 0
ipx network 10
ipx output-sap-filter 1000
Pour autoriser uniquement les serveurs de fichiers IPX, et rejeter tous les autres serveurs IPX,
servez-vous de la configuration suivante :
access-list 1000 permit -1 4
!
interface serial 0
ipx network 10
ipx out-sap-filter 1000
838
Partie III
Annexes
Sites distants
Cette section fournit des informations relatives la configuration des routeurs sur les sites distants :
m
Pour le routeur B, les listes daccs suivantes autorisent tout, sauf aux serveurs dimpression dtre
annoncs sur linterface srie.
access-list 1000 deny -1 47
access-list 1000 permit -1
!
interface serial 1
ipx network 10
ipx output-sap-filter 1000
Pour nautoriser que les serveurs de fichiers IPX, et rejeter tous les autres types de serveurs IPX,
servez-vous de la configuration suivante :
access-list 1000 permit -1 4
!
interface serial 1
ipx network 10
ipx out-sap-filter 1000
Client IPX
Le routeur C ne requiert pas la configuration dune liste daccs, car le site distant ne possde pas
de serveur. Seuls les serveurs Novell gnrent des mises jour SAP.
Pour configurer lenvoi des mises jour SAP EIGRP encapsules sur une base incrmentielle, utilisez
la configuration ci-dessous. Bien que le numro du systme autonome EIGRP dfini soit 999, le
routage EIGRP (et les mises jour de routage) nest pas effectu, car le mot cl rsup-only est
utilis avec la commande ipx sap-incremental. Ce mot cl indique une mise jour SAP fiable.
interface ethernet 0
ipx network 20
!
interface serial 0
ipx network 10
ipx sap-incremental eigrp 999 rsup-only
!
ipx router eigrp 999
network 10
Annexe F
839
Pour configurer la fois les mises jour SAP incrmentielles et le routage EIGRP, configurez
simplement EIGRP avec les commandes suivantes :
interface ethernet 0
ipx network 20
!
interface serial 0
ipx network 10
!
ipx router eigrp 999
network 10
Sites distants
Cette section procure des informations relatives la configuration de routeurs sur des sites distants :
m
Pour configurer lenvoi des mises jour SAP EIGRP encapsules uniquement sur une base incrmentielle, utilisez la configuration ci-dessous pour le routeur B. Bien que le numro du systme
autonome EIGRP dfini soit 999, le routage EIGRP nest pas effectu, car le mot cl rsup-only est
utilis avec la commande ipx sap-incremental.
interface ethernet 1
ipx network 30
!
interface serial 1
ipx network 10
ipx sap-incremental eigrp 999 rsup-only
!
ipx router eigrp 999
network 10
Pour configurer la fois les mises jour SAP incrmentielles et le routage EIGRP, configurez
simplement EIGRP avec les commandes suivantes :
interface ethernet 1
ipx network 30
!
interface serial 1
ipx network 10
!
ipx router eigrp 999
network 10
Clients IPX
Pour configurer lenvoi des mises jour SAP EIGRP encapsules uniquement sur une base incrmentielle, utilisez la configuration suivante pour le routeur C :
interface se ethernet 2
ipx network 40
!
interface serial 2
ipx network 10
840
Partie III
Annexes
Mme sil ny a pas de serveurs, ces commandes de configuration sont requises pour supporter les
mises jour SAP incrmentielles annonces partir du site central et dautres sites distants vers le
routeur C.
Rsum
Cette tude de cas illustre deux mthodes pour rduire le trafic SAP sur les rseaux Novell IPX :
lemploi de listes daccs pour liminer les annonces de services spcifiques ; lutilisation de la
fonction de mises jour SAP incrmentielles pour changer des modifications SAP lorsquelles se
produisent. Cette technique limine les mises jour SAP priodiques.
G
Introduction au transport
de la voix en paquets
De tous les outils technologiques, le tlphone est sans doute celui qui a bnfici de la plus grande
perce, en particulier dans les entreprises. Celles-ci tablissent chaque jour des milliers dappels et
si le cot dun seul appel est ngligeable, le total des frais de lensemble des communications est
significatif.
Pour un grand nombre de socits, une partie de ce cot pourrait tre vite. Le systme tlphonique public traditionnel est une combinaison complexe de tarifs et de subsides, provoquant bien
souvent des situations dans lesquelles un appel de "A" vers "B" cote une fraction du tarif dun appel
de "B" vers "A". Les entreprises se sont appuyes depuis longtemps sur des rseaux privs de lignes
loues pour contourner les frais tlphoniques publics, mais les tarifs appliqus ces liaisons sont
souvent levs. Un grand nombre dentre elles ont alors cherch des stratgies de remplacement.
Sur les rseaux, il existe aujourdhui plusieurs alternatives la tlphonie classique et aux liaisons
loues. Parmi les plus intressantes, on trouve des technologies de rseau se basant sur un type
diffrent de transmission de la voix appeles voix en paquets. La voix en paquets apparat comme
des donnes sur un rseau et peut par consquent tre transporte sur des liaisons de rseaux normalement rserves pour les donnes o les cots sont bien infrieurs.
Comme la voix en paquets utilise moins de bande passante quun systme tlphonique traditionnel, davantage de signaux peuvent tre transports sur une connexion donne. L o la tlphonie
standard ncessitait 64 000 bit/s, les besoins de la voix en paquets se situent au-dessous de 10 000 bit/s.
Pour de nombreuses entreprises, il existe suffisamment de capacits en rserve sur les rseaux de
donnes nationaux et internationaux pour pouvoir transmettre une grande quantit de trafic voix
un cot trs faible ou quasiment nul.
Mme si, dans certaines situations, de nouvelles ressources de transport doivent tre ajoutes ou
acquises pour supporter la voix en paquets, les bnfices obtenus justifient linvestissement. Le rseau
842
Partie III
Annexes
tlphonique public impose souvent des tarifs bass sur la distance et des frais supplmentaires pour
subventionner les appels rsidentiels. Lemploi de rseaux de donnes pour transporter la voix,
lorsquune telle utilisation nest pas contraire la loi, peut liminer ces cots. Mme dans les situations o aucune conomie ne pourrait tre attendue au niveau de la tarification, la voix en paquets reste
vingt fois voire davantage plus efficace quun transport traditionnel numrique de la voix
64 Kbit/s en matire dexploitation de la bande passante.
Comme toutes les bonnes choses, la voix en paquets a un prix. Bien que les concepteurs de rseaux
soient familiariss avec les exigences de qualit de service (QoS) des applications de donnes
spcialises telles que le traitement de transactions en ligne, la voix en paquets saccompagne
souvent de besoins encore plus stricts. Si le rseau nest pas correctement prpar pour satisfaire
ces exigences, il peut en rsulter une dtrioration de la qualit de la communication. Ceci est
particulirement vrai si la voix est transporte sur des rseaux de donnes publics tels que lInternet, o les utilisateurs de la voix disposent de peu doptions pour obtenir une qualit de service de
bout en bout.
En dpit de ces problmes de qualit de service, la voix en paquets jouit dun lan de popularit en
raison des conomies potentielles importantes pouvant tre ralises. Mme aux Etats-Unis, o les
cots de tlcommunications sont faibles ct des standards internationaux, les entreprises
peuvent obtenir un cot par minute ne reprsentant que la moiti ou le tiers de celui de la tlphonie, mme sur des rseaux privs virtuels (VPN). Les socits gnrant des frais de communication importants se doivent de considrer toutes les options de transport de la voix par paquets.
Malheureusement pour les utilisateurs potentiels de cette technologie, il existe peu de textes informatifs sur ce concept, et lorsquils existent, ils sont plutt orients sur les intrts des entreprises.
Par consquent, Cisco propose, dans cette annexe, une exploration de cette technologie.
Introduction
Tous les systmes de voix en paquets suivent un modle commun, comme illustr dans la
Figure G.1. Le rseau de transport de la voix par paquets, qui peut se baser sur IP, Frame Relay, ou
ATM, forme le "nuage" traditionnel. Aux frontires de ce rseau, il existe des quipements ou des
composants que lon peut appeler "agents vocaux". Leur mission est de modifier linformation
vocale de sa forme traditionnelle en tlphonie vers une forme adapte la transmission par
paquets. Le rseau transmet ensuite les paquets un agent vocal servant la destination ou linterlocuteur appel.
Ce modle de connexion par agents vocaux soulve deux problmes qui doivent tre considrs
pour garantir que ce service satisfera aux exigences de lutilisateur. Le premier problme est le
codage de la voix la faon dont les informations vocales sont transformes en paquets, et
comment ceux-ci sont utiliss ensuite pour recrer la voix. Le second problme est la signalisation
associe lidentification de linterlocuteur appel et de son emplacement sur le rseau. Les
sections qui suivent tudient davantage ces questions.
Annexe G
Figure G.1
843
PBX
Modle de transport
de la voix par paquets.
Agent
vocal
Rseau de
donnes/voix
par paquets
Agent
vocal
Agent
vocal
Agent
vocal
Codage de la voix
La parole humaine, et tout ce que nous entendons, se prsente naturellement sous une forme analogique. Les premiers systmes tlphoniques fonctionnaient aussi sous cette forme. Les signaux
analogiques sont souvent illustrs sous forme dondes sinusodales, mais la voix ou dautres
signaux contiennent de nombreuses frquences et possdent des structures plus complexes.
Bien que les humains soient "quips" pour les communications analogiques, cette forme de transmission nest pas particulirement efficace. Lorsque les signaux saffaiblissent, en raison de pertes
dans la transmission, il est difficile de diffrencier la structure complexe du signal analogique de
celle des bruits alatoires de la transmission. Lamplification des signaux analogiques entrane aussi
une augmentation du bruit, ce qui rend les connexions analogiques trop bruyantes lusage.
Les signaux numriques, qui ne disposent que de deux tats (0 et 1), sont plus facilement diffrencis du bruit et peuvent tre amplifis sans provoquer daltration. Peu peu, on sest aperu que le
codage numrique tait mieux protg contre laltration par le bruit sur les connexions interurbaines, et les systmes de communications mondiaux se sont tourns vers un format de transmission
numrique appel PCM (Pulse Code Modulation) ou MIC (Modulation par impulsion et codage).
PCM convertit la voix dans un format numrique en chantillonnant les signaux vocaux 8 000 fois
par seconde et en transformant chaque chantillon en un code. Ce taux dchantillonnage de
8 000 fois par seconde (125 microsecondes entre les chantillons) a t choisi car tous les changes
de parole sont essentiellement transports des frquences infrieures 4000 Hz (ou 4 kHz). Un
chantillonnage des formes dondes vocales toutes les 125 microsecondes est suffisant pour dtecter des frquences infrieures 4 kHz.
844
Partie III
Annexes
Aprs que londe de forme ait t chantillonne, les chantillons sont convertis dans un format
numrique avec un code reprsentant lamplitude de londe de forme au moment o lchantillon a
t enregistr. Le codage PCM du systme tlphonique standard utilise 8 bits pour le code et
consomme par consquent 64000 bit/s. Un autre standard de codage tlphonique, appel ADPCM
(Adaptive Differential PCM, codage MIC diffrentiel adaptif), code la voix en valeurs de 4 bits et
ne consomme donc que 32000 bit/s. Ce codage est souvent utilis sur les connexions interurbaines.
Dans les applications traditionnelles de tlphonie, les standards PCM ou ADPCM sont utiliss sur
des canaux numriques synchrones, ce qui signifie quun flux constant de bits est gnr un
rythme spcifique, quil y ait ou non des paroles changes. Il existe en fait des centaines de brves
priodes de silence au cours dune conversation tlphonique moyenne, et chacune delles gaspille
de la bande passante et entrane un cot. Avec les connexions tlphoniques standard, il ny a aucun
remde ce gaspillage.
Le transport de la voix en paquets offre une alternative. Dans les applications bases sur cette technologie, les paquets ne sont gnrs que sil y a rellement des informations vocales transmettre.
Llimination de la bande passante perdue lors des priodes de silence rduit du mme coup dun
tiers ou plus la bande passante effective requise pour le transport.
Le problme avec les stratgies dchantillonnage est que pour rduire la bande passante utilise
pour transporter la parole numrique, il est ncessaire de coder les signaux avec moins de bits.
Lutilisation de 8 bits pour un chantillon permet de reconnatre 256 niveaux diffrents damplitude. Pour rduire la bande passante 32 Kbit/s, seuls 4 bits (64 valeurs) sont utiliss, et la valeur
Annexe G
845
binaire reprsente le changement par rapport la valeur prcdente (cest le sens du terme "diffrentiel" dans le codage ADPCM). ADPCM peut tre rduit 16 Kbit/s en nutilisant que 2 bits
(4 valeurs), mais chaque fois que le nombre de valeurs damplitude diffrentes est rduit, la reprsentation en blocs cre ne ressemble pas au signal original et il sensuit une dgradation de la
qualit.
Un deuxime groupe de standards fournit une meilleure compression de la voix et du mme coup
une meilleure qualit. Dans ces standards, le codage de la voix utilise un algorithme spcial
appel LPC (Linear Predictive Code, codage linaire prdictif) qui modlise le fonctionnement
de la parole humaine. Comme cet algorithme peut tirer parti de la comprhension du processus
dlocution, il peut tre plus efficace sans sacrifier la qualit de la voix. La plupart des quipements
utilisant ce codage reoivent en entre le codage PCM 64 Kbit/s prsent plus haut, pour deux
raisons :
m
Cette forme de voix reprsente la sortie standard des autocommutateurs privs et des commutateurs tlphoniques.
Les puces de codage PCM sont peu coteuses en raison de leur usage rpandu sur les rseaux
tlphoniques.
Le codage LPC et PCM/ADPCM des informations vocales est standardis par lUIT dans ses
recommandations de la srie G. Les standards de codage les plus populaires pour la tlphonie et la
voix par paquets comprennent les familles suivantes :
m
G.711, qui dcrit le codage vocal PCM 64 Kbit/s. Les signaux ainsi cods sont dj dans le
format appropri pour le transport numrique sur le rseau tlphonique public ou par lintermdiaire des autocommutateurs privs.
G.726, qui dcrit le codage ADPCM 40, 32, 24, et 16 Kbit/s. Le codage ADPCM peut
galement tre chang entre les rseaux par paquets et ceux du systme tlphonique et dautocommutateurs privs, condition que ces derniers possdent des fonctions ADPCM.
G.728, qui dcrit la compression vocale CELP (Code-Excited Linear Predictive, codage prdictif avec excitation algbrique), ne requrant que 16 Kbit/s de bande passante. Ce codage doit tre
transform dans le format de tlphonie publique pour tre transport vers ou par lintermdiaire
de rseaux tlphoniques.
G.729, qui dcrit le codage CELP adaptif permettant la voix dtre code en flux de 8 Kbit/s.
Ce standard existe sous deux formes et toutes deux fournissent une qualit de parole quivalente
celle du codage ADPCM 32 Kbit/s.
G.733.1, qui dcrit une reprsentation code pouvant tre utilise pour compresser la parole ou
dautres composants de signaux audio de services multimdias un trs faible taux binaire dans
le cadre de la famille gnrale de standards H.324. Ce codeur possde deux taux binaires de
codage : 5,3 et 6,3 Kbit/s. Le taux le plus lev produit une meilleure qualit, mais le plus faible
fournit une bonne qualit et met davantage de souplesse la disposition des concepteurs de
systmes.
846
Partie III
Annexes
Qualit de compression
On peut se demander pourquoi la voix compresse ne serait pas simplement un concept de standard.
Et si elle ntait pas compresse ? La rponse est que la compression ne peut quapprocher londe
de forme analogique. Bien que cette approximation puisse tre trs bonne dans le cas de certains
standards, tels que G.729, dautres standards souffrent quelque peu de la distorsion de cette
approximation de compression, tout particulirement si la voix subit plusieurs phases successives
de codage : tout dabord dans une forme numrique, puis dans une forme analogique, et nouveau
en numrique. Ces codages en tandem devraient tre vits autant que possible dans les systmes de
transport de la voix compresse.
La qualit de la voix selon la stratgie de compression a t mesure par une tude, MOS (Mean
Opinion Score), qui reprsente la rfrence la plus courante. Sur lchelle MOS, o 0 dsigne une
mauvaise qualit et 5 une qualit excellente, le standard PCM possde une qualit denviron 4,4. Le
standard G.726 ADPCM est valu par une qualit de 4,2 pour la version 32 Kbit/s.
Le codage G.728 CELP atteint une qualit de 4,2, tout comme G.729. Comme le montrent ces chiffres,
les codeurs de voix du modle linaire prdictif plus modernes obtiennent de meilleurs rsultats que
leurs homologues plus anciens bass sur lchantillonnage.
Dlai
Un autre facteur, le dlai, peut avoir un impact important sur la qualit de la voix compresse.
La compression de la voix pour le transport par paquets entrane un dlai. Le Tableau G.1, illustre
le dlai moyen associ chacun des standards de codage dcrits plus haut. Comme vous pouvez le
constater, le dlai associ avec le codage/dcodage de la voix peut atteindre 25 ms pour deux chantillons CS-ACELP (un dlai initial de 5 ms plus 20 ms pour les deux trames de 10 octets). Ce dlai
naffecte pas en lui-mme la qualit de la parole, bien quil puisse ncessiter un recours lannulation
dcho pour viter la formation dun effet de rverbration indsirable. La plupart des dispositifs de
compression de la voix pour le transport par paquets incluent une forme quelconque dannulation
dcho. Mais dautres sources de dlai sur le rseau viennent sajouter ce dlai de base du codage,
et entranent un retard suffisant sur la totalit de la transmission de bout en bout pour interfrer avec
la parole.
Tableau G.1 : Dlai moyen associ aux standards de codage les plus connus
Mthode
Rsultat MOS
Dlai (ms)
PCM (G.711)
4,4
0,75
4,2
4,2
3-5
4,2
10
4,2
10
3,98
30
3,5
30
Annexe G
847
Les rseaux tlphoniques traditionnels et les rseaux pour la voix en paquets sont confronts
deux types de dlais : le dlai de propagation et le dlai de traitement. Le premier est provoqu par
la limitation de la vitesse de la lumire sur les rseaux fibre optique ou micro-ondes, ou de celle
des lectrons sur les rseaux de cuivre. Le deuxime dlai est li au traitement de la voix sur les
quipements le long de litinraire.
La lumire voyage une vitesse de 300 000 km/s, et les lectrons circulent une vitesse avoisinant
160 000 km/s dans un conducteur en cuivre. Un rseau micro-ondes ou fibre optique stendant
sur la moiti du globe couvrirait environ 20 000 km et entranerait un dlai dans une direction
denviron 70 ms. Ce niveau de retard nest presque pas perceptible et ne reprsente jamais un
problme.
Les dlais de traitement peuvent influer ngativement sur les rseaux traditionnels de transport de la
voix. Chaque trame T1/41/J1 requiert 125 ms pour tre assemble dans un commutateur et route
vers la ligne de destination, en supposant que chaque trame est envoye sa vitesse native (1 544 ou
2 048 Mbit/s). Ce dlai de srialisation saccumule mesure que les trames sont traites travers le
rseau. Le dlai total de srialisation peut atteindre 20 ms, voire plus, sur des liaisons transcontinentales. Lorsquil est ajout au dlai de propagation, le dlai de srialisation peut provoquer un dlai
dans une direction avoisinant les 100 ms, ce qui est perceptible mais admissible.
Cest dans le dlai de traitement que les rseaux de voix en paquets et les rseaux traditionnels
commencent afficher leurs diffrences. Les dlais de traitement sur les rseaux de donnes
peuvent tre considrables, tout particulirement lorsquil se produit des phnomnes de congestion
et que le trafic doit tre plac en file dattente de transmission sur des lignes de tronons fortement
encombres. Sur lInternet, des dlais de bout en bout sur des routes internationales avoisinent
parfois une seconde. Lorsque de tels dlais apparaissent, les interlocuteurs ont comme recours de
sappuyer sur une structure formelle de conversation : en parlant tour de rle, ils risqueront moins
de prendre simultanment la parole un moment o le dlai de transmission gnre une priode de
silence.
La raison pour laquelle le dlai sur les rseaux de donnes peut reprsenter un problme pour la
qualit de la voix est que les informations locales possdent un "timing" caractristique. Une
syllabe particulire est prononce dans un intervalle de temps prcdant le dbut de la syllabe
suivante. Cette petite pause faisant partie de llocution comme de lexpression, son timing doit tre
prserv. Sur les rseaux tlphoniques traditionnels, le canal de la voix est un flux binaire synchronis qui prserve prcisment le timing de tous les lments dlocution. Sur les rseaux de
donnes, un dlai variable peut tre introduit suite la congestion ou au traitement des informations
et peut altrer la qualit de la parole.
Aprs ces explications, il apparat comme vident que le problme pos par le dlai se prsente en
fait sous deux formes : le dlai absolu, qui peut gner la conversation et le rythme des changes ; et
les variations de dlai appeles la gigue, qui crent des pauses inattendues entre les prononciations
et peuvent influer ngativement sur lintelligibilit du dialogue. Cest le problme le plus important
auquel les rseaux de transports de la voix par paquets doivent rpondre.
Llimination de la gigue sur un rseau avec des dlais de traitement et de congestion variables est
confie la fonction de retenue. Les applications vocales mesurent le dlai moyen dun rseau et
retiennent sur lagent vocal de destination suffisamment de donnes vocales compresses pour
compenser le dlai moyen de la gigue. Cette fonction garantit que les paquets sont librs pour tre
848
Partie III
Annexes
Les rseaux de lignes loues circuits commuts. Ils sont souvent bass sur des liaisons T1/E1/J1
loues auprs de transporteurs fournissant une bande passante synchrone fixe.
Les connexions ATM dbit constant ou mulation de circuits. Elles mulent les connexions
du rseau commutation de circuits et sont parfois appeles services ATM Classe A.
Les connexions ATM bases sur les classes de services dbit variable (VBR), dbit possible
(ABR), ou dbit non spcifi (UBR).
Les rseaux Frame Relay, la fois ceux fournis par les fournisseurs de service public et ceux de
rseaux privs labors par les entreprises.
Annexe G
849
Les rseaux de paquets publics (X.25), qui assurent des services de donnes publics dans de
nombreuses applications internationales et qui sont aussi utiliss comme rseaux de donnes
nationaux en Europe et en bordure du Pacifique.
Ces nombreux choix peuvent heureusement tre groups en larges catgories pour tudier les applications vocales.
Rseaux synchrones circuits commuts
Les technologies de circuits commuts synchrones, telles que les rseaux de lignes loues ou les
rseaux ATM dbit constant (CBR), fournissent les mmes fonctions de transport que les rseaux
tlphoniques standards et ne prsentent par consquent pas de risques spciaux de dtrioration de
la qualit de la parole ou de dlais de livraison. Si le nuage dans la Figure G.1 est constitu par un
tel rseau, la voix est transporte par un systme de tlphonie normal et aucune fonction dagent
vocal spciale nest ncessaire sur le rseau, except pour raliser des appels comme le feraient les
rseaux tlphoniques ou les rseaux dautocommutateurs privs.
La plupart des rseaux privs nationaux et internationaux se basent sur une technologie de rseaux
circuits commuts que le trafic voix traverse lintrieur de tranches de temps bande passante
fixe. Cette mthode de transmission, bien ququivalente celle utilise dans la tlphonie publique, gaspille de la bande passante pour les raisons dj tudies plus haut. Si le codage de la voix en
paquets est utilis sur les connexions circuits commuts, les seuls bnfices qui peuvent tre obtenus sont ceux associs au faible dbit binaire (par exemple 8 Kbit/s pour G.729), et ils dpendent
de la capacit du rseau allouer des tranches de temps infrieures 64 Kbit/s par une technique de
multiplexage appele Subrate Multiplexing.
Sur les rseaux ATM, il est particulirement important de sassurer que les services de dbit constant
puissent supporter des connexions de 32, 16, ou 8 Kbit/s. De nombreux rseaux ATM fournissent ces
types de connexions uniquement pour des dbits 64 Kbit/s car les standards promulgus en 1997
par lATM Forum pour la voix sur ATM ont spcifi le codage G.711. Les efforts pour tenter de
raliser des conomies au moyen de la compression de la voix sur une bande passante plus faible
seraient alors investis en vain.
Rseaux de trames/cellules
Les rseaux de trames/cellules utilisant le Frame Relay ou les services de dbit variable dATM,
transportent la voix sous une forme code compresse. Pour ces rseaux, il est ncessaire de recourir un agent vocal pour coder la voix dans des cellules ou des trames pour le transport, puis
dcoder ces dernires sur la destination. Lagent vocal doit galement comprendre nimporte quelle
signalisation tlphonique utilise par la source et la destination afin de pouvoir recevoir le numro
de linterlocuteur appeler et mettre des signaux de progression dappel. Finalement, il peut aussi
avoir besoin de comprendre la signalisation ou ladressage requis dans le nuage du rseau de
trames/cellules pour atteindre les divers agents vocaux de destination. Cette fonction est importante
lors de la traduction intervenant entre les rseaux traditionnels pour la voix et un rseau de trames/
cellules.
850
Partie III
Annexes
Sur les rseaux Frame Relay ou ATM, le dlai et la gigue sont souvent contrls par les commutateurs eux-mmes, si chacun des commutateurs et des points finaux est synchronis par rapport une
source commune reconnaissable sur le rseau. Normalement, la gigue sur ces rseaux est tellement
faible que le timing des paquets de donnes voix en sortie avoisine celui de la parole en entre, et
aucune estampille de temps spciale ne doit tre applique aux paquets pour garantir un timing de
sortie appropri. Des exceptions existent sur les rseaux qui ne sont pas synchroniss par rapport
une source de rfrence commune. La pratique de lajout dune estampille de temps dans une
cellule ATM est appele SRTS (Synchronous Residual Time Stamps, estampille de temps rsiduel
synchrone) et reprsente une mthode de transmission des informations de timing de bout en bout.
Certains commutateurs et multiplexeurs ATM et Frame Relay fournissent un codage de la voix pour
un ATM dbit variable, ce qui rend les produits essentiellement destins au rle dagent vocal.
Comme les standards pour la voix sur Frame Relay et ATM sont toujours en cours dvolution, les
acheteurs devraient sassurer que cette fonction est disponible, et galement que les capacits des
commutateurs correspondent aux exigences des applications. Sil ny a pas dinterface native pour
la voix pour un rseau de trames ou de cellules, un produit externe de compression de la voix peut
tre utilis. Tous les avantages des rseaux ATM ou Frame Relay permettant de contrler la gigue et
le dlai global du rseau restent disponibles pour un tel produit externe.
Rseaux de donnes en mode non connect
Avec les rseaux de donnes fonctionnant en mode non connect comme les intranets IP et lInternet, on rencontre les mmes problmes de codage et dadressage de la voix que ceux spcifis pour
les rseaux de trames/cellules. Avec ce type de rseaux cependant, il ny a normalement aucun
niveau de dlai ou de gigue garanti par le rseau. Il peut donc savrer ncessaire dadopter des
mesures spciales pour garantir que la "provision" pour le dlai du rseau reste basse. Par exemple,
les protocoles de haut niveau tels que TCP (Transmission Control Protocol) fournissent des fonctions de contrle de flux et de rcupration derreurs qui en se combinant, provoquent une gigue
significative. Pour cette raison, TCP nest pas utilis ce niveau.
Au lieu de cela, le trafic voix est transport au moyen de UDP (User Datagram Protocol). Malheureusement, aucune estampille de temps nest fournie pour contrler le timing de sortie, et mme de
faibles variations de gigue peuvent interfrer dans la comprhension de la conversation. Pour empcher ce problme, le standard H.323 demande le transport de la voix sur IP en utilisant RTP qui
coiffe UDP. RTP fournit les services destampille et permet via RTCP (Real-Time Control Protocol) ltablissement de connexions vocales point-multipoint. Cette fonction est rarement disponible avec les autres options de transport de la voix par paquets.
Un nombre croissant de rseaux sont aujourdhui proposs avec des niveaux de services garantis.
Ils utilisent gnralement un protocole appel RSVP (Resource Reservation Protocol, protocole de
rservation de ressources). Cest un protocole de signalisation qui peut tre utilis pour indiquer
aux commutateurs de paquets et aux routeurs de rserver des ressources pour rduire le dlai global
et la gigue qui rsulteraient de la concurrence pour les ressources.
Rseaux de paquets X.25
Les rseaux de donnes publics bass sur le protocole de transport de paquets X.25 possdent des
fonctions intgres de rcupration derreurs de niveau 2 et de contrle de flux de niveau 3 qui
Annexe G
851
peuvent chouer. Ces rseaux oprent normalement avec des niveaux dutilisation trs levs et
souffrent par consquent rgulirement de congestion. Pour ces raisons, le transport de la voix sur
ces rseaux rpond rarement aux attentes de lutilisateur. Except pour les situations o les problmes de cots sont essentiels, ils ne devraient pas tre envisags comme solution de transport de la
voix.
Rseaux de donnes privs
Ladquation des rseaux de donnes privs peut tre value daprs leur niveau de conformit par
rapport au modle non connect de IP (Novell SPX/IPX, OSI non connect, pontage IEEE 802.2,
etc.) ou au modle orient connexion de X.25 (IBM SNA, DEL LAT, etc.). Comme les rseaux
fonctionnant en mode non connect offrent normalement aux utilisateurs la possibilit de contourner les fonctions de rcupration derreurs et de contrle de flux, ils peuvent tre utiliss comme
mcanismes de transport de la voix par paquets si les autres sources de dlai (en particulier le dlai
d la congestion) peuvent tre matrises. Pratiquement tous les protocoles de rseaux de donnes
privs orients connexion rclament lemploi des fonctions de contrle de flux et de rcupration
derreurs, ils ne conviennent donc probablement pas pour le transport de la voix.
Sur tous les types de rseaux convenant pour le transport de la voix, la question vidente est de
savoir si le rseau "convenant" pour le transport justifierait lemploi de la voix en paquets. La
rponse dpend des aspects conomiques du rseau de transport par rapport loffre de transport
dun rseau tlphonique public, et de la sensibilit des applications de gestion de la voix supporter avec les limitations de qualit quelles quelles soient que peut gnrer le rseau de voix en
paquets.
Dans la plupart des applications de gestion de la voix par paquets, le dlai joue un rle dcisif dans
la qualit dcoute. Avec le codage LPC, comme prvu par le standard G.729, la qualit dans un
environnement faible dlai quivaut celle des liaisons interurbaines standard du systme tlphonique public. Pouvoir maintenir un faible dlai est le problme essentiel.
Les rseaux Frame Relay et ATM sont conus pour assurer le dlai de transport le plus faible possible sur le plan pratique. Des mesures spciales de gestion de dlai sont rarement requises, except
dans les situations o lagent vocal de lutilisateur est connect au rseau. Le taux dutilisation de
ces connexions devraient tre maintenu au-dessous de 70 % pour garantir un dlai matrisable,
50 % ou moins tant mme prfrable. Cela se traduit souvent par la slection dune vitesse de ligne
daccs suprieure celle qui serait normalement choisie pour des applications de donnes seules.
Sur les rseaux en mode non connect tels que IP, le dlai peut tre gr de diffrentes faons.
Comme mentionn plus haut, le protocole de rservation de ressources RSVP peut tre utilis pour
inciter les diffrents fournisseurs de routeurs inclure des amliorations spciales dans leurs
produits pour attribuer des priorits selon certains types de trafic et garantir ainsi un transport de la
voix par paquets moins expos la congestion. Ces amliorations sont trs utiles pour limiter le
dlai provoqu par la congestion et fournir une meilleure qualit dcoute.
Une autre possibilit avec les rseaux en mode non connect est de sassurer que les ressources sont
suffisantes pour transporter le trafic sans attribuer de priorits spciales et avec un faible niveau de
dlai. En gnral, des taux dutilisation suprieurs 70 % provoquent des augmentations importantes dans le dlai de congestion pour une faible augmentation de trafic. Les rseaux fortement utiliss sont ainsi plus vraisemblablement exposs aux problmes de qualit de la parole. Comme les
852
Partie III
Annexes
conomies ralisables dpendent en grande partie de lassurance de niveaux importants dutilisation, les stratgies de gestion de dlai bases sur le routeur sont prfrables.
Quelle est la meilleure stratgie de transport de la voix par paquets ? Gnralement, il sagit dune
stratgie quune entreprise utilise dj pour le transport de ses donnes, mais toutes les formes de
rseau public de trames ou de cellules devraient nanmoins tre examines et compares en termes
de prix et de qualit de services. Une question souvent incontournable est la stratgie de tarification
des services publics. Dans de nombreux pays, des services de donnes publics tels que Frame Relay
sont facturs sans tenir compte dune composante dloignement. Par consquent, pour les
connexions forte activit, ces services peuvent savrer plus conomiques que des lignes loues
ou un systme tlphonique, lesquels sont gnralement facturs en se basant en partie sur la
distance sparant les points de connexions.
Les tarifs de rseaux publics peuvent galement subventionner des services rsidentiels en appliquant des tarifs plus levs aux communications dentreprises et aux appels internationaux. Ces
subsides crent une conomie artificielle pour toute forme de transport de la voix par paquets, et
malgr le fait que lavantage provienne dune politique de tarification et non dune technologie de
rseau, les conomies sont bien relles. Les administrations nationales peuvent toutefois voir ces
tentatives chapper cette tarification leve comme contraire la stratgie du systme public, et
les rseaux procdant de la sorte peuvent se retrouver dans une position illgale dans certains pays.
Les problmes relatifs la lgalit du transport de la voix sur des rseaux paquets doivent tre
examins pays par pays. Un ensemble gnral de directives est fourni plus loin dans ce chapitre.
Le modle transporteur. Dans ce modle, deux agents vocaux sont connects par un tronon
travers le nuage du rseau de transport. Tous les appels tablis par un agent doivent tre termins
sur lautre agent pour que tout le trafic provenant du premier soit juste envoy sur le tronon vers
le second agent. Ce modle est souvent utilis pour les applications point point de gestion de
la voix sur lInternet. Il peut tre compar au modle de ligne de jonction dun rseau dautocommutateurs (PBX), o la connexion et la logique de commutation reposent entirement sur les
autocommutateurs.
Le modle traducteur. Dans ce modle, nimporte quel nombre dagents vocaux peut tre connect
via un nuage de rseau capable de comprendre les requtes de signalisation et dadressage. Les
agents tablissent une correspondance entre les numros de tlphones natifs et les adresses ATM,
Frame Relay, ou IP via un annuaire ou un plan de numrotation qui spcifie les adresses voix
(numros de tlphone, postes) pouvant tre atteintes sur chaque agent. Lors dun appel, le plan
de numrotation est utilis par lagent dorigine pour identifier lagent qui "possde" linterlocuteur
Annexe G
853
joindre et tablir une connexion avec lui. Ce modle transforme le nuage de rseau en un
commutateur virtuel pour la voix ou un commutateur tandem.
Figure G.3
Modle transporteur
PBX
Modles de
connexion/
signalisation.
PBX
Modle traducteur
PBX
PBX
PBX
PBX
PBX
PBX
La Figure G.3 montre quil y a deux relations de signalisation trs diffrentes sur un rseau transportant du trafic voix. Lune, appele signalisation externe, prend place entre lagent vocal et les
quipements de traitement de la voix quil sert. Comme ces quipements ont t conus pour participer sur des rseaux ordinaires de tlphonie, cette signalisation externe suit les standards qui y
sont appliqus. Lautre type de signalisation intervient entre les agents eux-mmes travers le
nuage du rseau de transport. Cette signalisation interne se droule selon les standards du rseau
charg du transport, ou ceux des agents.
Signalisation externe
Les agents vocaux doivent tre interconnects avec la source et la destination dune manire cohrente par rapport aux systmes tlphoniques habituels, sous peine dobtenir un fonctionnement de
la voix en paquets ne sapparentant pas au systme tlphonique traditionnel. Les quatre options
suivantes de signalisation externe sont couramment supportes par les systmes de voix par
paquets :
m
La signalisation DTMF (Dual-Tone Multi-Frequency) ou la signalisation analogique par impulsions. Ce type de signalisation est appropri pour les applications de gestion de la voix par
paquets dans les situations o les appareils tlphoniques doivent tre branchs directement sur
lagent vocal en utilisant le type de prise tlphonique appropri ladministration nationale.
La signalisation intrabande, appele signalisation CAS (Channel Associated Signaling, signalisation associe un canal voix), qui est utilise sur les tronons numriques T1/E1. Les standards pour cette signalisation varient en fonction des zones gographiques principales
(Amrique du Nord et lUIT par exemple). Avec CAS, les informations de signalisation circulent
sur le mme chemin que les informations vocales.
854
Partie III
Annexes
La signalisation hors bande, appele CCS (Common Channel Signaling, signalisation par canal
commun), avec laquelle la signalisation dun tronon numrique multiconnexion (T1/E1/J1) est
combine en un ou plusieurs canaux communs et distincte des donnes voix. Ce type de signalisation est celui qui est normalement employ par les PBX (par exemple, DPNSS et QSIG). Le
canal D de RNIS est galement un canal CCS.
Une autre forme de signalisation appele SS7 (Signaling System 7) est utilise avec les rseaux tlphoniques publics. Il sagit dun protocole interne ces rseaux fonctionnant hors bande entre les
quipements du rseau pour tablir des appels et demander des services spciaux. Les futurs
produits de gestion de la voix par paquets peuvent supporter SS7 comme protocole de signalisation
externe.
Un rseau de transport de la voix par paquets fonctionnant avec un modle traducteur agit comme
un commutateur tandem lorsquil comprend les protocoles de signalisation de lagent vocal et
connecte les appels travers le rseau de transport en se basant sur les numros transmis. Cette
fonction peut reprsenter une source supplmentaire dconomies pour les concepteurs de rseau
voix car ce type de commutateurs est normalement coteux.
Les commutateurs tandem et les commutateurs sources (par exemple PBX) sont combins pour
crer le plan dadressage ou de numrotation dun rseau. Ce plan associe des stations spcifiques
aux numros composs, et il doit tre complet et cohrent pour que le rseau puisse fonctionner
correctement. Il est important quun rseau de paquets transportant la voix conu sur le modle
traducteur, dispose de services appropris pour grer sa part de plan daccs et garantir quil soit
cohrent avec le plan de numrotation des rseaux voix quil assiste.
Signalisation interne
La signalisation interne, comme voqu plus haut, doit fournir deux caractristiques : le contrle de
la connexion et les information de progression ou dtat. La signalisation de contrle est utilise
pour crer des relations ou des chemins entre les agents vocaux pour permettre la voix en paquets
de circuler. Les informations de progression dappel ou dtat sont changes entre les agents
vocaux et renseignent sur les divers tats de la connexion, sonnerie, occupation, etc.
Avec le modle transporteur, la signalisation interne est utilise principalement pour viter le maintien dune connexion permanente travers le rseau de paquets afin de pouvoir supporter chaque
appel entre les agents vocaux. Par consquent, la signalisation interne dans ce modle est associe
avec les rseaux orients connexion qui allouent des ressources fixes de bande passante. Avec les
applications grant la voix en paquets sur des rseaux orients sans connexion, il ny a aucun besoin
dtablir une connexion, les deux agents vocaux senvoyant des datagrammes lorsque le trafic se
prsente.
Dans le modle traducteur, la signalisation de connexion peut savrer ncessaire pour pouvoir
router un flot de paquets vers un agent vocal appropri lorsque lidentification de celui-ci a t satisfaite par la fonction de plan de numrotation. La multiplicit des connexions possibles sur les
rseaux disposant dune grande varit dagents vocaux peut rendre impossible la cration dune
connexion avec chaque partenaire pour tous les appels.
Les diffrentes solutions de transport telles que ATM, Frame Relay, et IP ont toutes leurs standards
de signalisation. Pour ATM, il sagit de Q.931, et pour Frame Relay, cest FRF.11. Ces diffrents
Annexe G
855
standards pourraient ncessiter ladoption par les utilisateurs dagents vocaux spciaux pour chaque
rseau de transport.
Le modle accept pour la signalisation interne sur les rseaux IP transportant la voix, la fois pour
la connexion et les informations dtat, est spcifi dans le standard H.323. Bien que celui-ci soit
gnralement vu comme un standard vido, il dfinit en fait un ensemble de standards de communication multimdia entre les utilisateurs. En fait, seuls des services de traitement de la voix sont
requis pour lexploitation de H.323, le support de la vido et des donnes est optionnel.
H.323 dfinit un rseau multimdia complet, des quipements jusquaux protocoles. La liaison de
toutes les entits lintrieur de H.323 est dfinie par le standard H.245, qui prvoit la ngociation
de services entre les participants et les lments dun rseau H.323. Une version rduite du protocole dappel Q.931 de RNIS est utilise pour assurer ltablissement de la connexion.
Selon les termes du standard H.323, les agents vocaux sont des terminaux, bien que lusage courant
de ce concept suggre plutt limplication dun seul utilisateur. Il dfinit aussi une fonction de poste de
frontire qui excute les traductions dadresse et les recherches requises pour le modle traducteur
du rseau voix par paquets.
Si le nuage du rseau de transport dun point de vue de lapplication de gestion de la voix est en fait
constitu de plusieurs types de rseaux de transport, H.323 dfinit une fonction de passerelle qui
ralise la traduction du format des donnes et de la signalisation ncessaires une communication
correcte aux frontires de rseaux. Laffectation la plus courante de cette passerelle est pour la
conversion des donnes de vidoconfrence du format H.320 vers le format H.323, permettant aux
utilisateurs de la vido en paquets de communiquer avec des systmes traditionnels qui sappuient
sur une forme de vido par circuits commuts.
Le standard H.323 peut venir coiffer des standards spcialiss pour chaque option de rseau de
transport. Sur les rseaux IP en mode non connect, le protocole RTP et le protocole de contrle
RTCP sont utiliss et transports leur tour sur UDP. Pour Frame Relay, le standard FRF.11 dcrit
un mcanisme standard de signalisation.
Ces standards de niveau infrieur peuvent bien sr tre utiliss sans H.323. Bien que celui-ci ne soit
pas ncessaire pour les applications de gestion de la voix par paquets, disposer dune compatibilit
avec ce standard apporte des avantages significatifs. Il permet de rendre optionnelle toute forme de
compression de la voix autre que la mthode PCM (ou MIC)/G.711. Il ny a cependant aucune
garantie que des systmes compatibles avec ce standard fourniront un codage optimal de la voix.
Le meilleur modle pour une application de gestion de la voix en paquets dpend de la nature des
utilisateurs. Alors quune connexion transportant la voix en paquets est utilise comme un type de
ligne de jonction entre deux communauts dutilisateurs de systme tlphonique priv ou public,
le modle transporteur associ un systme propritaire de codage de la voix et de signalisation est
appropri si les exigences de lapplication sont satisfaites par le systme de compression utilis et
que les ressources de transport du rseau sont disponibles.
Lorsquil faut grer plusieurs communauts dutilisateurs, ceci signifiant quil pourrait y avoir
beaucoup dagents sur le nuage du rseau de transport, le modle traducteur pourrait apporter une
meilleure conomie et davantage de souplesse. Sil y a une possibilit que ces agents vocaux soient
fournis et supports par diffrentes organisations, il est essentiel que lensemble du systme soit
bas sur le standard H.323 pour garantir que les agents et les fonctions dannuaire (terminaux,
856
Partie III
Annexes
postes de frontire, passerelles, selon la terminologie H.323) puissent interoprer. Dans cette situation toutefois, lacqureur devra sassurer que les composants H.323 supportent des standards
supplmentaires de codage de la voix, sils sont requis pour scuriser les niveaux de qualit de la
voix et dconomie du rseau comme prvu par les applications.
Les services de rseaux publics bass sur H.323 sont de plus en plus disponibles et continueront
probablement gagner en popularit. Le choix entre ces services et les solutions alternatives dun
rseau public de transport de la voix par paquets est une affaire de garantie des performances requises (cest--dire, la qualit de la parole) au cot le plus bas.
Dans les applications prives, opter pour une conformit avec H.323 peut tre ncessaire ds la
procdure dacquisition de lquipement vido en paquets sil est prvu demployer du matriel
provenant de diffrents fournisseurs. Il peut cependant savrer utile de raliser des tests de conformit ou dinteroprabilit. Comme cest souvent le cas avec les standards internationaux, H.323
prvoit de nombreux domaines "optionnels" de support, englobant certaines des mthodes de
codage les plus efficaces de la voix. Un quipement peut tre conforme aux standards et ne pas
fournir de support pour toutes les options. Ce type de matriel peut ne prvoir que le mode minimal
dinteroprabilit comme prvu par le standard H.323.
Souvent, les utilisateurs ventuels dapplications de gestion de voix en paquets disposent de rseaux
multicouches, par exemple, IP sur Frame Relay ou ATM. Sur ce type de rseaux, il est possible de
transporter la voix nimporte quel niveau ou tous les niveaux, et choisir la meilleure mthode
peut se rvler problmatique. Les points suivants font partie des facteurs prendre en compte :
m
Il faut tout dabord prendre en compte la porte des diverses couches de rseaux. La connectivit
Frame Relay peut tre disponible de site en site par exemple, mais pas lintrieur de sites o
demplacements desservis par des ressources de transmission telles que la fibre optique ou les
micro-ondes. Quant IP, il est capable en raison de son omniprsence de supporter les utilisateurs de ces applications dans nimporte quel lieu.
Lorsque que ltendue des options de couches convient lapplication, il est gnralement prfrable de transporter la voix au niveau le plus bas, cest--dire avec Frame Relay ou ATM plutt
quavec IP. La charge de service est infrieure et la connexion avec qualit de services est
souvent contrle plus naturellement.
Annexe G
857
rgions desservies par le rseau. Ceci ncessite normalement deffectuer des recherches directes,
mais ltat actuel des rglementations peut tre rsum de faon suivante :
m
Avec de telles applications, il est normalement prvu que certains des appels transports sur le
rseau de paquets proviennent lorigine du rseau tlphonique public. Ce genre dappels
"externes" achemins par paquets est tolr de faon uniforme dun point de vue de la
rglementation, en se basant sur le fait quils manent demploys, de clients, ou de fournisseurs,
et quils reprsentent les oprations de lentreprise.
Lorsquune connexion transportant la voix par paquets est tablie entre deux administrations
nationales pour supporter les activits dune seule entreprise (pour connecter deux ou plusieurs
sites de lentreprise dans plusieurs pays) lapplication est uniformment tolre dun point de
vue de la rglementation.
Dans une telle situation, un appel extrieur provenant du rseau public dun pays se terminant
sur un site dentreprise lintrieur dun autre pays via un transport de la voix par paquets peut
reprsenter une violation technique des monopoles ou des traits nationaux relatifs aux services
dappels de longue distance. Lorsquune telle violation concerne un appel tabli entre des
employs de lentreprise, ou entre ces derniers et des fournisseurs ou des clients, il est peu probable quelle attire lattention des autorits.
Lorsquun rseau de paquets transportant la voix est utilis pour connecter des appels publics
une entreprise, le fournisseur du rseau assure techniquement un service tlphonique local ou
national qui est soumis en tant que tel une rglementation.
Lorsquun rseau de voix par paquets est utilis pour connecter des appels publics entre pays
diffrents, le fournisseur du rseau est soumis aux rglementations nationales en vigueur dans
chaque pays desservi et aussi toutes les prvisions daccords sur les appels internationaux dont
les pays desservis sont signataires.
Par consquent, on peut affirmer en toute scurit que des entreprises peuvent employer la voix en
paquets pour toutes les applications dans lesquelles des lignes loues, ou des rseaux dautocommutateurs privs, pourraient tre employs en toute lgalit. En fait, un bon modle suivre pour
dployer un rseau transportant la voix par paquets, sans introduire de problmes supplmentaires
lis aux rglementations, est de dupliquer un rseau de tronons PBX ou de lignes de jonction en
utilisant des services de voix par paquets.
Rsum
Le rseau tlphonique public daujourdhui possde encore beaucoup de points communs avec le
systme du dbut des annes 1980. Durant cette priode, de grandes avances technologiques dans
le domaine des rseaux de donnes ont permis damliorer les cots dexploitation de rseaux ainsi
que le contrle de la qualit de services. Ce sont ces avances qui orientent aujourdhui le march
vers le transport de la voix par paquets.
858
Partie III
Annexes
La voix en paquets utilise des algorithmes de compression avancs tels que le codage G.729 bas
sur ACELP, qui peut transporter seize fois plus de trafic vocal par unit de bande passante de
rseaux que les systmes bass sur le codage PCM (ou MIC) utilis par le systme tlphonique
public. Les utilisateurs de rseaux de donnes existants peuvent souvent intercaler du trafic voix et
du trafic donnes avec un cot supplmentaire de transport faible ou inexistant, et avec peu ou pas
dimpact sur les performances de lapplication. Les utilisateurs de rseaux voix de circuits commuts T1/E1/J1, employant la transmission de la voix par paquets, peuvent souvent librer suffisamment de bande passante sur les tronons voix existants pour transporter la totalit de leur charge de
donnes.
La plupart des discussions sur le transport de la voix par paquets abordent les thmes de larbitrage
de la tarification en tirant parti de la facturation Frame Relay indpendante de la distance ou en
vitant les tarifs internationaux de communication vocale. Bien que ces formes de suppression de
cots permettent souvent de raliser quelques conomies, tant quil y a des diffrences de tarification, cest lefficacit fondamentale du transport de la voix par paquets qui rend cette technologie
toujours plus intressante aux yeux des entreprises.
Tous les rseaux et tous les utilisateurs ne pourront pas tirer parti des avantages de la transmission
de la voix par paquets pour rduire les cots de communication. Certains rseaux disposent de
capacits rsiduelles insuffisantes pour transporter la voix, mme si elle tait soumise une trs
forte compression, et les faire voluer par lintermdiaire de services supplmentaires de transporteurs publics pourrait savrer coteux. Il est toutefois intressant de noter que la voix en paquets ne
sera jamais plus coteuse quune communication traditionnelle par circuits commuts. Elle est
mme souvent bien moins onreuse et vaut la peine dtre envisage court terme comme long
terme.
Les informations de ce chapitre proviennent du site Web de Cisco, ladresse : www.cisco.com.
H
Rfrences et
suggestions de lectures
Ouvrages et publications priodiques
Apple Computer, Inc. AppleTalk Network System Overview. Reading, Massachusetts : AddisonWesley Publishing Company, Inc. ; 1989.
Apple Computer, Inc. Planning and Managing AppleTalk Networks. Reading, Massachusetts :
Addison-Wesley Publishing Company, Inc. ; 1991.
Black, U. Data Networks : Concepts, Theory and Practice. Englewood Cliffs, New Jersey : Prentice Hall ; 1989.
Black, U. Physical Level Interfaces and Protocols. Los Alamitos, California : IEEE Computer
Society Press ; 1988.
Case, J.D., J.R. Davins, M.S. Fedor, and M.L. Schoffstall. "Network Management and the Design
of SNMP". ConneXions : The Interoperability Report, Vol. 3 : March 1989.
Case, J.D., J.R. Davins, M.S. Fedor, and M.L. Schoffstall. "Introduction to the Simple Gateway
Monitoring Protocol". IEEE Network : March 1988.
Clark, W. "SNA Internetworking". ConneXions : The Interoperability Report, Vol. 6, No. 3 : March
1992.
Coltun, R. "OSPF : An Internet Routing Protocol". ConneXions : The Interoperability Report, Vol. 3,
No. 8 : August 1989.
Comer, D.E. Internetworking with TCP/IP : Principles, Protocols, and Architecture, Vol. I, 2nd ed.
Englewood Cliffs, New Jersey : Prentice Hall ; 1991.
Davidson, J. An Introduction to TCP/IP. New York, New York : Springer-Verlag ; 1992.
Ferrari, D. Computer Systems Performance Evaluation. Englewood Cliffs, New Jersey : Prentice
Hall ; 1978.
Garcia-Luna-Aceves, J.J. "Loop-Free Routing Using Diffusing Computations". IEEE/ACM Transactions on Networking, Vol. 1, No. 1, 1993.
860
Partie III
Annexes
Green, J.K. Telecommunications, 2nd ed. Homewood, Illinois : Business One Irwin ; 1992.
Hagans, R. "Components of OSI : ES-IS Routing". ConneXions : The Interoperability Report, Vol. 3,
No. 8 : August 1989.
Hares, S. "Components of OSI : Inter-Domain Routing Protocol (IDRP)". ConneXions : The Interoperability Report, Vol. 6, No. 5 : May 1992.
Jones, N.E.H. and D. Kosiur. Macworld Networking Handbook. San Mateo, California : IDG Books
Worldwide, Inc. ; 1992.
Joyce, S.T. and J.Q. Walker II. "Advanced Peer-to-Peer Networking (APPN) : An Overview".
ConneXions : The Interoperability Report, Vol. 6, No. 10 : October 1992.
Kousky, K. "Bridging the Network Gap". LAN Technology, Vol. 6, No. 1 : January 1990.
LaQuey, Tracy. The Internet Companion : A Beginners Guide to Global Networking, Reading,
Massachusetts : Addison-Wesley Publishing Company, Inc. ; 1994.
Leinwand, A. and K. Fang. Network Management : A Practical Perspective. Reading, Massachusetts : Addison-Wesley Publishing Company, Inc. ; 1993.
Lippis, N. "The Internetwork Decade." Data Communications, Vol. 20, No. 14 : October 1991.
McNamara, J.E. Local Area Networks. Digital Press, Educational Services, Digital Equipment
Corporation, 12 Crosby Drive, Bedford, MA 01730.
Malamud, C. Analyzing DECnet/OSI Phase V. New York, New York : Van Nostrand Reinhold ;
1991.
Malamud, C. Analyzing Novell Networks. New York, New York : Van Nostrand Reinhold ; 1991.
Malamud, C. Analyzing Sun Networks. New York, New York : Van Nostrand Reinhold ; 1991.
Martin, J. SNA : IBMs Networking Solution. Englewood Cliffs, New Jersey : Prentice Hall ; 1987.
Martin, J., with K.K. Chapman and the ARBEN Group, Inc. Local Area Networks. Architectures
and Implementations. Englewood Cliffs, New Jersey : Prentice Hall ; 1989.
Medin, M. "The Great IGP DebatePart Two : The Open Shortest Path First (OSPF) Routing
Protocol". ConneXions : The Interoperability Report, Vol. 5, No. 10 : October 1991.
Meijer, A. Systems Network Architecture : A tutorial. New York, New York : John Wiley & Sons,
Inc. ; 1987.
Miller, M.A. LAN Protocol Handbook. San Mateo, California : M&T Books ; 1990.
Miller, M.A. LAN Troubleshooting Handbook. San Mateo, California : M&T Books ; 1989.
OReilly, T. and G. Todino. Managing UUCP and Usenet, 10th ed. Sebastopol, California :
OReilly & Associates, Inc. ; 1992.
Perlman, R. Interconnections : Bridges and Routers. Reading, Massachusetts : Addison-Wesley
Publishing Company, Inc. ; 1992.
Perlman, R. and R. Callon. "The Great IGP DebatePart One : IS-IS and Integrated Routing".
ConneXions : The Interoperability Report, Vol. 5, No. 10 : October 1991.
Annexe H
861
Rose, M.T. The Open Book : A Practical Perspective on OSI. Englewood Cliffs, New Jersey : Prentice Hall ; 1990.
Rose, M.T. The Simple Book : An Introduction to Management of TCP/IP-based Internets.
Englewood Cliffs, New Jersey : Prentice Hall ; 1991.
Ross, F.E. "FDDIA Tutorial". IEEE Communications Magazine, Vol. 24, No. 5 : May 1986.
Schlar, S.K. Inside X.25 : A Managers Guide. New York, New York : McGraw-Hill, Inc. ; 1990.
Schwartz, M. Telecommunications Networks : Protocols, Modeling, and Analysis. Reading, Massachusetts : Addison-Wesley Publishing Company, Inc. ; 1987.
Sherman, K. Data Communications : A Users Guide. Englewood Cliffs, New Jersey : Prentice
Hall ; 1990.
Sidhu, G.S., R.F. Andrews, and A.B. Oppenheimer. Inside AppleTalk, 2nd ed. Reading, Massachusetts : Addison-Wesley Publishing Company, Inc. ; 1990.
Spragins, J.D. et al. Telecommunications Protocols and Design. Reading, Massachusetts : AddisonWesley Publishing Company, Inc. ; 1991.
Stallings, W. Data and Computer Communications. New York, New York : Macmillan Publishing
Company ; 1991.
Stallings, W. Handbook of Computer-Communications Standards, Vols. 1-3. Carmel, Indiana :
Howard W. Sams, Inc. ; 1990.
Stallings, W. Local Networks, 3rd ed. New York, New York : Macmillan Publishing Company ;
1990.
Sunshine, C.A. (ed.). Computer Network Architectures and Protocols, 2nd ed. New York, New
York : Plenum Press ; 1989.
Tannenbaum, A.S. Computer Networks, 2nd ed. Englewood Cliffs, New Jersey : Prentice Hall ;
1988.
Terplan, K. Communication Networks Management. Englewood Cliffs, New Jersey : Prentice Hall ;
1992.
Tsuchiya, P. "Components of OSI : IS-IS Intra-Domain Routing". ConneXions : The Interoperability Report, Vol. 3, No. 8 : August 1989.
Tsuchiya, P. "Components of OSI : Routing (An Overview)". ConneXions : The Interoperability
Report, Vol. 3, No. 8 : August 1989.
Zimmerman, H. "OSI Reference ModelThe ISO Model of Architecture for Open Systems Interconnection". IEEE Transactions on Communications COM-28, No. 4 : April 1980.
862
Partie III
Annexes
Annexe H
863
. DECserver 200 Local Area Transport (LAT) Network Concepts. AA-LD84A-TK ; June
1988.
. DIGITAL Network Architecture (Phase V). EK-DNAPV-GD-001 ; September 1987.
Digital Equipment Corporation, Intel Corporation, Xerox Corporation. The Ethernet, A Local-Area
Network, Data Link Layer and Physical Layer Specifications. Ver. 2.0 ; November 1982.
Feinler, E.J., et al. DDN Protocol Handbook, Vols. 1-4, NIC 50004, 50005, 50006, 50007. Defense
Communications Agency. Alexandria, Virginia ; December 1985.
Garcia-Luna-Aceves, J.J. "A Unified Approach to Loop-Free Routing Using Distance Vectors or
Link States". ACM 089791-332-9/89/0009/0212, pp. 212-223 ; September 1989.
Hemrick, C. and L. Lang. "Introduction to Switched Multi-megabit Data Service (SMDS), an Early
Broadband Service". Proceedings of the XIII International Switching Symposium (ISS 90), May 27June 1, 1990.
Hewlett-Packard Company. X.25 : The PSN Connection ; An Explanation of Recommendation
X.25. 5958-3402 ; October 1985.
IEEE 802.2Local Area Networks Standard, 802.2 Logical Link Control. ANSI/IEEE Standard ;
October 1985.
IEEE 802.3Local Area Networks Standard, 802.3 Carrier Sense Multiple Access. ANSI/IEEE
Standard ; October 1985.
IEEE 802.5Local Area Networks Standard, 802.5 Token Ring Access Method. ANSI/IEEE Standard ; October 1985.
IEEE 802.6Local & Metropolitan Area Networks Standard, 802.6 Distributed Queue Dual Bus
(DQDB) Subnetwork of a Metropolitan Area Network (MAN). ANSI/IEEE Standard ; December 1990.
International Business Machines Corporation. ACF/NCP/VS network control program, system
support programs : general information. GC30-3058.
. Advanced Communications Function for VTAM (ACF/VTAM), general information : introduction. GS27-0462.
. Advanced Communications Function for VTAM, general information : concepts. GS27-0463.
. Dictionary of Computing. SC20-1699-7 ; 1987.
. Local Area Network Technical Reference. SC30-3883.
. Network Problem Determination Application : general information. GC34-2010.
. Synchronous Data Link Control : general information. GA27-3093.
. Systems Network Architecture : concepts and products. GC30-3072.
. Systems Network Architecture : technical overview. GC30-3073-1 ; 1985.
. Token-Ring Network Architecture Reference. SC30-3374.
. Token-Ring Problem Determination Guide. SX27-3710-04 ; 1990.
864
Partie III
Annexes
I
Prsentation de
la technologie multicast IP
Cette annexe a pour objectif de fournir les notions de base relatives au protocole PIM-SM, tudi au
Chapitre 13. Son contenu vient du site Web de Cisco.
Avantages du multicast
Nimporte quelle forme de communication qui implique la transmission dinformations vers
plusieurs destinataires peut tirer parti de lexploitation efficace de la bande passante assure par la
technologie multicast. Des exemples dapplications qui implmentent des communications one-tomany (un seul metteur, plusieurs rcepteurs passifs) ou many-to-many (applications coopratives
et interactives) incluent les diffusions broadcast audio et vido, la vidoconfrence/collaboration, la
diffusion de valeurs cotes en bourse et de news, la rplication de bases de donnes, les
tlchargements de programmes, et la mise en cache de sites Web.
Pour comprendre lefficacit de la technologie multicast, prenons lexemple dun serveur de vido
qui offre un seul canal de contenu vido (voir Figure I.1). Pour une diffusion vido anime en mode
plein cran, un flux vido requiert environ 1,5 Mbit/s de bande passante dans le sens serveur-client.
Dans un environnement unicast, le serveur doit envoyer sur le rseau un flux vido spar pour
chaque client (qui consomme 1,5 n Mbit/s de la bande passante du mdia, o n reprsente le
nombre de clients visionneurs). Avec une interface Ethernet 10 Mbit/s sur le serveur, 6 7 flux
dans le sens serveur-client suffiraient la saturer compltement. Mme dans le cas dune interface
Gigabit Ethernet hautement intelligente, avec un serveur hautement performant, la limite pratique
se situerait entre 250 et 300 flux vido de 1,5 Mbit/s. Par consquent, la capacit de linterface dun
serveur peut reprsenter un goulet dtranglement significatif, ce qui limite le nombre de flux vido
unicast par serveur de vido. Les transmissions unicast rpliques consomment normment de
bande passante sur un rseau, ce qui reprsente une autre limitation de taille. Si le chemin qui relie
un serveur et un client traverse trois sauts de routeur et deux sauts de commutateur, la vido "multiunicast" consomme 1,5 n 3 Mbit/s de bande passante de routeur, plus 1,5 n 2 Mbit/s de
bande passante de commutateur. En admettant que 100 clients soient spars du serveur par deux
sauts de routeur et deux sauts de commutateur (tel quillustr la Figure I.1), un seul canal multicast
866
Partie III
Annexes
consommerait 300 Mbit/s de bande passante de routeur et 300 Mbit/s de bande passante de commutateur. Mme si la bande passante du flux vido tait ramene 100 Kbit/s (ce qui offre une qualit
acceptable dans le cas de laffichage dune fentre plus petite lcran), la vido multi-unicast
consommerait 20 Mbit/s de bande passante de routeur et 20 Mbit/s de bande passante de commutateur.
Figure I.1
Transmission de vido
sur des rseaux
unicast et multicast.
Serveur de vido
Serveur de vido
100 Copies
1 Copie
Commutateur
Commutateur
Routeur
Routeur
34 Copies
33 Copies
1 Copie
Routeur
Routeur
Routeur
Routeur
Routeur
Routeur
Switch
Switch
Switch
Switch
Switch
Switch
33 Clients
33 Clients
34 Clients
33 Clients
33 Clients
34 Clients
Unicast
Multicast
Dans un environnement multicast, le serveur de vido doit transmettre un seul flux vido chaque
groupe multicast, indpendamment du nombre de clients qui le visualiseront. Le flux est donc rpliqu,
lorsque cela est ncessaire, par les routeurs et commutateurs multicast du rseau, afin de permettre un
nombre arbitraire de clients de souscrire une adresse multicast et de recevoir la diffusion. Sur le
rseau de routeurs, la rplication se produit uniquement au niveau des branches de larbre de distribution, cest--dire au niveau du dernier saut de commutateur. Dans le scnario multicast, seulement 1,5 Mbit/s de la bande passante serveur-rseau est utilise ; le reste est disponible pour
dautres utilisations ou canaux de contenu vido. Sur le rseau, la transmission multicast offre une
efficacit analogue ; elle consomme seulement 1/ne de la bande passante de la solution multiunicast (par exemple, 3 Mbit/s de bande passante de routeur et de commutateur, la Figure I.1).
Il apparat de faon vidente que, dans des environnements o les destinataires dune transmission
rplique sont nombreux, la technologie multicast fait la diffrence, aussi bien en termes de charge
de serveur que de charge de rseau, mme sur un rseau simple qui comprend un nombre limit de
Annexe I
867
adressage ;
enregistrement dynamique ;
livraison multicast ;
routage multicast.
Adressage
Une adresse de niveau 3 doit tre utilise afin de pouvoir communiquer avec un groupe de destinataires (au lieu dun seul destinataire). De plus, cette adresse doit pouvoir tre associe aux adresses
multicast de niveau 2 des rseaux physiques sous-jacents. Pour les rseaux IP, des adresses de
classe D ont t dfinies spcifiquement pour ladressage multicast. Une adresse de cette classe
comprend le chiffre binaire 1110 dans les bits de poids le plus fort du premier octet, suivi dune
adresse de groupe de 28 bits non structure. Pour associer des adresses multicast IP des adresses
Ethernet, les 23 bits de poids le plus faible de ladresse de classe D sont appliqus un bloc dadresses Ethernet rserves pour le multicast. Grce cette stratgie dassociation, chaque adresse multicast Ethernet correspond 32 adresses multicast IP. Cela signifie quun hte qui reoit des paquets
multicast peut avoir besoin de refuser les paquets indsirables, envoys dautres groupes avec la
868
Partie III
Annexes
mme adresse multicast MAC. Ces adresses comprennent le chiffre binaire 01 dans le premier octet
de ladresse de destination, afin de permettre linterface de rseau de distinguer facilement les
paquets multicast des paquets unicast.
Enregistrement dynamique
Un mcanisme doit permettre dinformer le rseau quun ordinateur donn est membre dun groupe
multicast particulier. En labsence de cette information, le rseau serait oblig dinonder le trafic,
plutt quenvoyer la transmission en multicast pour chaque groupe. Sur les rseaux IP, le protocole
IGMP (Internet Group Multicast Protocol), qui est un protocole de datagrammes IP utilis entre les
routeurs et les htes, assure la maintenance dynamique de listes de membres de groupes. Lhte
envoie au routeur un rapport dadhsion IGMP (Join) pour rejoindre un groupe multicast. De son
ct, le routeur envoie rgulirement une requte pour savoir quels membres participent toujours
un groupe donn. Si un hte souhaite demeurer membre dun groupe, il rpond en envoyant un
rapport. Sil nenvoie pas de rapport, le routeur limine (Prune) lhte en question de la liste des
membres, ce qui vite une transmission multicast inutile. Avec la version 2 de IGMP, un hte peut
envoyer un message de dpart (Leave) afin dinformer le routeur quil ne souhaite plus participer
un groupe multicast. Cela permet au routeur de rduire la liste de membres, avant dentamer le
processus de requte suivant. Cette mthode rduit ainsi la priode pendant laquelle des transmissions inutiles sont envoyes sur le rseau.
Livraison multicast
La majorit des applications multicast sappuient sur le protocole UDP, qui assure une livraison au
mieux (best-effort delivery) et nutilise pas le mcanisme de fentrage de TCP qui permet dviter
les congestions. Par consquent, les paquets multicast sont plus souvent perdus que les paquets
TCP. Il est peu pratique pour les applications en temps rel de demander des transmissions. Il arrive
donc que les diffusions broadcast audio et vido subissent des dgradations de performances en
raison de pertes de paquets. Avant le dploiement de la qualit de service (QoS, Quality of Service),
le meilleur moyen pour limiter les pertes de paquets sur les rseaux fonds trames tait de fournir
une bande passante suffisante, surtout aux frontires du rseau. La fiabilit des transmissions multicast sera amliore lorsque le protocole de rservation RSVP (Reservation Protocol), le protocole
de transport en temps rel RTP (Real-Time Protocol), le standard 802.1p, et dautres mcanismes de
gestion de priorit de niveau 2, rendront possible la livraison de bout en bout de fonctionnalits
de qualit de service sur un rseau de niveau 2/3.
Routage multicast
Un rseau doit pouvoir crer des arbres de distribution de paquets qui dfinissent un chemin de
transmission unique entre le sous-rseau source et chaque sous-rseau membre dun groupe multicast. Un des principaux objectifs de la construction dun arbre de distribution est de garantir quune
seule copie de chaque paquet sera envoye sur chaque branche de larbre. Pour cela, un arbre recouvrant, dont la racine est le routeur multicast dsign de lhte metteur, assure la connectivit vers
les routeurs multicast dsigns des htes destinataires. Pour le multicast IP, lIETF a propos
plusieurs protocoles de routage multicast, dont DVMRP (Distance Vector Multicast Routing Protocol), MOSPF (Multicast extensions to OSPF), PIM (Protocol-Independant Multicast) et CBT
(Core-Based Tree).
Annexe I
869
Les protocoles de routage multicast construisent des arbres de distribution en examinant la table de
routage dun protocole daccessibilit unicast. Certains protocoles, tels PIM et CBT, utilisent la
table de transmission unicast. Dautres emploient leurs propres tables de routage dinformations
daccessibilit unicast. DVMRP utilise son propre protocole de routage par vecteur de distance, et
OSPF sa propre base de donnes dtats de liens, afin de dterminer comment laborer des arbres de
distribution bass sur la source.
Ces protocoles sont diviss en deux catgories : ceux qui oprent en mode dense (DM, Dense
Mode), et ceux qui oprent en mode clairsem (SP, Sparse Mode). Les protocoles DM supposent
que tous les routeurs sur le rseau auront besoin de distribuer du trafic multicast pour chaque groupe
multicast (par exemple, presque tous les htes du rseau participent chaque groupe multicast). Par
consquent, ils construisent des arbres en inondant initialement le rseau tout entier, puis en liminant le faible de nombre de chemins exempts de destinataires. A linverse, les protocoles SM supposent que relativement peu de routeurs sur le rseau seront impliqus dans chaque multicast. Ils
dbutent donc par un arbre vide, auquel ils ajoutent des branches uniquement lorsquils reoivent
des demandes explicites dadhsion un groupe multicast. Les protocoles DM (MOSPF, DVMRP
et PIM-DM) conviennent mieux dans des environnements LAN avec des groupes de destinataires
denses, tandis que les protocoles SM (CBT et PIM-SM) sont plus appropris dans des environnements WAN. PIM est galement capable de fonctionner en mode dense, en adaptant son comportement
en fonction des caractristiques de chaque groupe de destinataires.
Processus multicast
La Figure I.2 illustre un processus multicast dans lequel un client reoit un flux multicast vido de
la part dun serveur. Ce processus comprend les tapes suivantes :
1. Le client envoie un message dadhsion IGMP (Join) vers son routeur multicast dsign.
Ladresse MAC de destination utilise correspond ladresse de classe D du groupe rejoint, et
non celle du routeur. Le corps du datagramme IGMP inclut galement ladresse de groupe de
classe D.
2. Le routeur enregistre le message dadhsion, et utilise PIM, ou un autre protocole de routage
multicast, afin dajouter ce segment dans larbre de distribution multicast.
3. Le trafic multicast IP mit par le serveur est maintenant distribu sur le sous-rseau du client via
le routeur dsign. Ladresse MAC de destination correspond ladresse de classe D du groupe.
4. Le commutateur reoit le paquet multicast, et examine sa table de transmission. Sil nexiste pas
dentre pour cette adresse MAC, le paquet est transmis sur tous les ports dans le domaine de
broadcast. Lorsquune entre existe dans la table du commutateur, le paquet est transmis uniquement sur les ports dsigns.
5. Avec IGMPv2, le client peut mettre fin son appartenance au groupe en envoyant un message
Leave IGMP au routeur. Avec IGMPv1, le client reste membre du groupe, jusqu ce quil omette
de rpondre la requte du routeur. Les routeurs multicast envoient une requte IGMP priodique
tous les groupes dhtes multicast ou un groupe spcifique sur le rseau, afin de dterminer
ceux qui sont toujours actifs. Chaque hte respecte un court dlai alatoire avant de rpondre la
requte, et rpond seulement si aucun autre hte dans le groupe na encore rpondu. Ce
mcanisme vite une congestion sur le rseau.
870
Partie III
Annexes
Figure I.2
Processus multicast.
Serveur vido
Routeur
Epine dorsale
Routeur
Flux vido
Routage multicast
Commutateur
Client
Les serveurs et les htes clients doivent utiliser une pile de protocoles IP qui supportent le multicast, tel que spcifi dans le RFC 1112. Le support complet de ce RFC (support de niveau 2)
autorise les htes envoyer et recevoir des donnes multicast. Les piles TCP/IP qui supportent
Windows Sockets V1.1 et V2.0 sont prvues pour le multicast.
Les applications excutes par les serveurs et les clients, telles que la diffusion broadcast audio,
la diffusion broadcast vido et la vidoconfrence, doivent supporter le multicast IP. Ces applications imposent parfois des exigences spcifiques au niveau des ressources systme, relatives
par exemple la vitesse du processeur, la taille de la mmoire et, dans certains cas, des cartes
rseau ou cartes dacclration graphique recommandes.
Les cartes rseau de tous les htes destinataires doivent tre configures en vue de surveiller les
paquets multicast, en plus des paquets unicast et broadcast habituels. En fonction de linfrastructure du rseau, les htes destinataires peuvent galement tre dots de cartes rseau intelligentes,
capables de rejeter les paquets multicast de groupes indsirables, ce qui vite que le processeur
de lhte ne soit inutilement interrompu.
Annexe I
871
Une pine dorsale route hautement performante, avec une connexion commute vers lmetteur
et les htes destinataires, reprsente une infrastructure LAN hautement volutive pour le multicast. Le summum de lvolutivit serait atteint au moyen dun rseau commut de couche2/3 de
bout en bout entre lmetteur et le destinataire. Une infrastructure commute est prfrable, car
elle fournit en gnral suffisamment de bande passante pour pouvoir supporter la cohabitation
dapplications unicast et multimdia sur un sous-rseau, sans ncessiter pour autant des
mcanismes particuliers de gestion de priorit ou de rservation de bande passante. Dans le cas
dune bande passante ddie pour chaque ordinateur de bureau, la commutation permet de
rduire considrablement les collisions Ethernet qui peuvent perturber le trafic multimdia en
temps rel ( noter quune bande passante duplex limine compltement ces collisions). Un
rseau mdia partag peut galement tre adopt pour des applications audio de faible bande
passante ou pour des projets pilotes limits.
Les commutateurs ne sont pas tous adapts la transmission multicast. Ceux qui conviennent le
mieux possdent une structure de commutation qui permet la transmission du trafic multicast
vers un grand nombre de membres de groupes directement connects, sans avoir subir une
charge excessive. Le commutateur peut ainsi grer le nombre grandissant dapplications multicast, sans que dautres trafics ne soient affects. Les commutateurs de niveau 2 doivent
galement tre dots de certaines fonctionnalits multicast, afin dviter dinonder tous leurs
ports avec ce trafic. Pour cela, diffrents types de contrles peuvent tre appliqus au trafic
multicast :
Des VLAN peuvent tre dfinis en fonction des limites dun groupe multicast. Bien que cette
approche soit simple, elle ne supporte pas les changements dynamiques dappartenance des
groupes, et ajoute la charge administrative des VLAN unicast.
Des commutateurs de niveau 2 peuvent examiner les requtes et rapports IGMP, afin de connatre les correspondances de ports de membres de groupes multicast, ce qui permet de suivre
dynamiquement les changement dappartenance. Toutefois, lexamen de chaque paquet de
donnes et de contrle multicast peut consommer une grande quantit de ressources processeur, mais galement dgrader les performances de transmission et augmenter la latence.
Le protocole GARP (Generic Attribute Registration Protocol) [IEEE 802.1p] peut tre utilis
afin de permettre un systme terminal de communiquer directement avec le commutateur, de
faon joindre un groupe 802.1p correspondant un groupe multicast. Ainsi, la charge de
configuration de groupes multicast peut, en grande partie, tre transfre de la couche 3 vers
la couche 2, ce qui convient mieux sur de grands rseaux linaires commuts.
Le rle traditionnel du routeur en tant que point de contrle du rseau peut tre prserv en
dfinissant un protocole multicast de communication routeur-commutateur, tel le protocole
CGMP (Cisco Group Multicast Protocol), ce qui permet au routeur de configurer la table de
transmission multicast du commutateur afin de reflter les informations dappartenance
actuelles.
Le large dploiement de la transmission multicast sur des intranets ou sur des rseaux WAN
implique obligatoirement de traverser plusieurs limites de sous-rseaux et sauts de routeur. Les
routeurs intermdiaires et les commutateurs de niveau 3 entre les metteurs et les destinataires
doivent tre configurs pour le multicast IP. Au minimum, les routeurs en entre et en sortie de
872
Partie III
Annexes
lpine dorsale devraient implmenter la transmission multicast IP. Si les routeurs dpine
dorsale ne supportent pas cette fonctionnalit, un tunnel IP (qui encapsule les paquets multicast
dans des paquets unicast) peut tre exploit en tant que solution temporaire, afin de relier des
routeurs multicast. Bien que la plupart des versions rcentes de logiciels de routeurs incluent un
support pour le multicast IP, il nexiste pas encore de protocole de routage multicast reconnu
comme standard de lindustrie et support par tous les fabricants, ce qui entrane un problme
dinteroprabilit sur les pines dorsales qui comprennent des routeurs multifabricants. Le choix
dun protocole de routage multicast (entre DVMRP, MOSPF, PIM et CBT) devrait tre fond sur
les caractristiques de lapplication multicast dploye, ainsi que sur la densit et lemplacement
gographique des htes destinataires.
Annexe I
873
de pouvoir tre visualis la demande. Microsoft prvoit dtendre la couverture vido des vnements de lentreprise tous les sites Microsoft dAmrique du Nord. Il a galement fait savoir que
les rcentes utilisations du rseau NetShow avaient permis de raliser des conomies quotidiennes
de lordre de plusieurs millions de dollars. Par exemple, la diffusion multicast dune runion importante de la socit limine les cots associs la location dune salle et au transport des 5 000
employs du campus. Microsoft a galement ralis des conomies substantielles en matire de
productivit, puisque de nombreux employs exploitent la visualisation la demande, afin de limiter les interruptions de leurs cycles de travail. Un autre bnfice moins vident du rseau multicast
est lamlioration de la qualit des communications, car tous les employs peuvent maintenant tre
pris en compte dans la diffusion des messages importants de lentreprise pour un cot supplmentaire insignifiant.
Pour assurer une utilisation conomique de lespace de stockage sur disque, et maintenir les ressources du rseau, la bande passante des transmissions vido est optimise 110 Kbit/s. Les serveurs
NetShow utiliss pour stocker le contenu multimdia sont situs dans le service informatique central,
en compagnie denviron 2 000 autres serveurs. Le contenu NetShow en temps rel est dlivr partir
du site de campus Microsoft Studios. Lpine dorsale pour le trafic multicast est forme dun
maillage de routeurs de site Cisco 7500 qui excutent PIM et CGMP, interconnects sur un rseau
dpine dorsale de campus LANE ATM. Lun des cinq ELAN de lpine dorsale est ddi au trafic
multicast. La rplication des paquets multicast au niveau des branches de larbre de distribution PIM
est ralise par les commutateurs ATM, avec laide du serveur BUS (Broadcast and Unknown
Server) point-multipoint. La connectivit physique des commutateurs ATM de site sappuie sur
linfrastructure SONET prive de Microsoft. Chaque ordinateur de bureau dispose dune connexion
commute Ethernet 10 Mbit/s ddie, assure par des commutateurs Cisco Catalyst 5000 ou 5500
qui excutent CGMP, situs dans les armoires de cblage. Ces commutateurs sont regroups au
moyen de la technologie Cisco Fast EtherChannel, afin daugmenter leur bande passante.
Index
A
AAL (ATM Adaptation Layer) Voir Couches
dadaptation ATM
Accs
au mdia, scurit 48
commut 31
local, services de rseau 44
RNIS
de base 686, 687
primaire 686
Voir aussi Listes de contrle daccs
Access Control List Voir Liste de contrle daccs
ACF/VTAM (Advanced Communications Function/Virtual Telecommunication Access Method)
200
Acquittement local, DLSw+ 257
Administration rseau
composants du modle dvnement Cisco 462
conception et armoires de cblage 464
configuration
seuils RMON 469
SNMP 480
dtermination du respect de laccord SLA 496
documentations MIB 473
donnes de rfrence 467
collecte rgulire 471
rduction 470
erreurs
CRC 499
dalignement 498
vnements de plates-formes 461
filtrage Syslog 526
876
Adressage
ATM 146
de la couche rseau 666
de nuage DDR 323
de soutien 44
de zone OSPF 85
EIGRP 75, 76
IP, segmentation 793
multicast IP 867
OSPF
priv 87
synthse de routes 84
rsolution LANE 160
synthse de routes 68
Adresses
ATM, structure 146
connues, LECS LANE 168
MAC
code fabricant 21
commutation de niveau 2 21
ADSL (Asymmetric Digital Subscriber Line) 9
Agrgats dadresses, CIDR 133
AIP (ATM Interface Processor), interface du
circuit de commutation 161
Algorithmes
de compression
de la voix 192
de Stacker 363
de routage
DUAL (Diffusing Update Algorithm) 77
HPR (High Performance Routing) 208
ISR (Intermediate Session Routing) 208
par tat de lien 26
par vecteur de distance 26
RAND 363
services de lpine dorsale 26
Spanning Tree et ELAN Voir Arbre recouvrant
Alimentation redondante 53
Annuaire APPN
cache scuris 218
central 219
local 218
AppleTalk
broadcast 832
configuration
dun rseau 582
sur RNIS 701
intgration de EIGRP 582
Index
Index
Architecture
de commutation de paquets 537
pare-feu 763
ARP (Address Resolution Protocol)
dcouverte de routeurs 778
fonctions proxy 46
ASIC, circuit 454
Asymmetric Digital Subscriber Line (ADSL) 9
Asynchronous Transfer Mode Voir ATM
ATM (Asynchronous Transfer Mode) 139-140, 153
adressage 146
AIP (ATM Interface Processor) 161
avec LANE 609
canal virtuel ou circuit virtuel 154
cellules 154
chemin virtuel 154
circuits virtuels
commuts (SVC)
configuration 594
dpannage 597
topologie ATM avec SVC 594
permanents (PVC) 588
conception 589
configuration 590
dpannage 592
topologie ATM avec PVC 589
Classical IP sur ATM 603
commutateurs
daccs multiservice 390, 393
dentreprise 391
groupes de travail et de campus 391
commutation 7
composants LANE 154
connexion VCC 592
couches fonctionnelles 141
ATM 142
dadaptation ATM 143
physique 141
dfinition PNNI 594
formats dadresse 146
identifiant VPI 589
intgration 148
interfaces
AIP 161
NNI 152, 597
UNI 152, 597
877
B
Bande passante
APPN 225
commutation LAN 6
Frame Relay 74
gestion 38
protocoles 73
Base de donnes de transmission 454
BECN (Backward Explicit Congestion Notification) 186
Besoins utilisateur sur un rseau 13
BGP (Border Gateway Protocol) 103
attributs 113
dorigine (Origin) 114
de cheminement (AS_path) 113
de communaut (Community) 123
de poids (Weight) 117
de prfrence
daccs AS (MED) 121
locale (Local Preference) 119
de prochain saut (Next Hop) 114
878
Index
C
CAM (Content-Addressable Memory) 454
Campus
commutateurs ATM 150
Catalyst 5000 61
commutation
LAN 388
niveaux 2 et 3 5
conception et tendances 5
groupe de LAN 4
rseau commut 63
technologies LAN 6
Canaux virtuels, ATM 154
Cartes
daccs jeton 756
de routage, BGP 108
Catalyst, commutateurs
ATM 150
Cisco 453
CCITT (Comit Consultatif International pour la
Tlgraphie et la Tlphonie) 633
CCP (Compression Control Protocol) 363
CDP (Cisco Discovery Protocol) 457
CEF (Cisco Express Forwarding) 553
Cellules ATM 154
CGMP (Cisco Group Management Protocol) 64
Challenge Handshake Authentification Protocol
Voir CHAP
CHAP (Challenge Handshake Authentication
Protocol)
authentification 341
contrle daccs 49
Chemins
alternatifs
gestion du trafic 31
tolrance aux pannes 56
virtuels, groupe de circuits virtuels 154
CIDR (Classless InterDomain Routing) 133
CIP (Channel Interface Processor) 289
chargement du microcode 298
combinaison avec SNA 292
configurations
DLSw+ 297
DLUR/DLUS 297
ESCON CMPC pour APPN HPR 298
exemples 309
Index
configurations
groupe de transmission CMPC 309
PCA, ESCON et MPC 294
RSRB 295
serveur TN3270 297
sous-canux CMPC 308
VTAM 297
VTAM XCA 302
fonctions runies 291
utilis seul 292
CIR (Committed Information Rate) 177
Circuits
DLSw+ 259
pour applications spcifiques 454
virtuels 154
permanents (PVC), sur ATM 588
Cisco
BPX 8600 151
Catalyst 5500 150
implmentation
APPN 210
LANE 161
logiciel de commutation Cisco IOS 394
modle dvnements, administration 462
outils de gestion de rseaux APPN 228
scurit
approche 726
cryptage des mots de passe 722
services 717
techniques
dencapsulation 32
de commutation 537
Classical IP sur ATM (RFC 1577) 603
CMPC (Cisco Multipath Channel)
configurations CIP et VTAM
groupe de transmission CMPC 309
nud
local SNA 308
principal VTAM TRL 307
sous-canaux CMPC 308
Code MFG dadresse MAC 21
Collecte de donnes de rfrence, administration
467
Commandes
access-class 733
access-group 769
879
880
Commandes (suite)
dialer-group 335, 637, 639, 674, 689, 700
dialer-in-band 636
dialer-list 335, 637, 674
dialer-list protocol 659
dialgroup 678
dial-on 678
distance 675
distribute-list out 675
dlsw duplicate-path-bias 273
dlsw explorer-wait-time 276
dlsw icannotreach 273
dlsw icanreach 273
dlsw local-peer 266
dlsw peer-on-demand-defaults tcp 284
dlsw remote-peer 266
dlsw remote-peer frame-relay 280
dlur 306
dlus-backup 306
enable 729
enable last-resort 755
enable use-tacacs 755
encapsulation 678
encapsulation frame-relay 580
encapsulation ppp 689
exec-timeout 733
frame-relay interface-dlci 281, 581
frame-relay map llc2 33 281
framing 688
hostname 703
interface dialer 641, 673
interface loopback 266
interface serial 580
ip address 678, 689
ip alias 735
ip community-list 130
ip route 637, 675, 689, 697
ip unnumbered 672
ipx network 580
ipx route 333
ipx router eigrp 581
ipx routing 580
ipx sap 333
ipx sap-incremental 581, 838
isdn answer1 365
isdn answer2 365
isdn caller 364
Index
Index
881
speed 677
standby authentication 783
standby ip 782
standby preempt 782
standby priority 783
standby timers 783
standby track 785
tacacs-server authenticate enable 755
tacacs-server extended 756
tacacs-server host 755
tacacs-server last-resort 755
test appletalk nbp lookup 339
timers basic 675
tn3270-server 304
username 342, 671, 688, 690, 703
VPDN 370
vrn 307
write terminal 640, 733
Committed Information Rate Voir CIR
Commutateurs 20
administration, tat
de chssis 486
des ressources 482
ATM 148
BPX 8600 151
Catalyst 5500 150
daccs multiservice 393
dentreprise 61, 151, 391
de groupe de travail et de campus 61, 150, 391
modules redondants 170
multiservices 152, 390, 393
avantages 58
Catalyst 453
daccs multiservice 62
de liaisons
DLSw+ 258
WAN 7
EARL, reconnaissance dadresses 454
fonctions RMON 458
introduction 453
LAN 60, 391
LANE 161
mmoire
fonctions RMON 477
journalisation Syslog 478
recommandations, administration 471
882
Commutateurs (suite)
RNIS 351
AT&T 5ESS 352
configuration 687
DMS-100 352
National ISDN-1 352
table de transmission 454
VLAN 62
Commutation
administration
erreurs
CRC 499
dalignement 498
trames runts 499
ATM 387
interface AIP 161
rseaux LAN 7
structure dun rseau 152
CEF 553
avantages 556
quilibrage de charge 556
table
CEF 554
de voisinage 554
chemin dun paquet 455
daccs 31
de liaisons DLSw+ 257
de niveau 2 6, 21
de niveau 3 21
de paquets 171, 537
de rseau de campus 5
et routage 21
Ethernet 7
implications 22
LAN 387
augmentation de bande passante 6
microsegmentation 388
sur rseaux de campus 388
Token Ring 7
liaisons la demande 31
locale 287
multicouche 453
optimale 551
par processus
quilibrage de charge 540
fonctionnement 538
inconvnients 541
Index
Index
883
multipoint 809
semi-duplex Voir Mode semi-duplex
UNI, ATM 152
VCC LANE 157
virtuelles permanentes, Frame Relay 178
Console, scurit daccs 730
Control Point, nuds APPN 201
Contrle
daccs 729
dinstabilit de route 138
de congestion 225
de flux, standard DLSw 260
Contrleurs de cluster
configuration 816, 824
support de connexions point point 821
Convergence 26, 71
EIGRP 77
OSPF 91
Conversion de mdias 287
Corrlation dvnements, administration 462
Correspondances de numrotation DDR 323
CoS (Class of Service)
APPN 28
SNA 200
Couches
ATM 142
centrale 24
couche rseau 666
daccs 25
dadaptation ATM
AAL1 144
AAL2 144
AAL3/4 144
AAL5 144
de distribution 24, 37
OSI 23
physique ATM, sous-couche
de convergence 142
de mdia physique 141
Cots
dinterconnexion, RNIS 349, 370
des rseaux
assistance 15
compromis sur les performances 15
quipements matriels et logiciels 15
expansion 15
improductivit 16
884
Index
Cots (suite)
des rseaux (suite)
installation 15
irrcuprables 16
renonciation une solution 16
CPA (Channel Port Adapter) 289
Cryptage
des donnes du rseau 758
des mots de passe Cisco 722
CSNA (Cisco SNA)
assignation dadresse E/S 300
dfinition de LAN virtuel interne 301
support du serveur TN3270 303
DDDLU VTAM 304
dfinition de PU SNA 304
D
Data Link Switching Plus Voir DLSw+
DDR (Dial-on Demand Routing) 315
adressage de nuage 323
analyse du trafic 319
authentification
CHAP 341
PAP 342
configuration
interface 638
listes daccs 637, 639
paramtres et adresses IP 636
routage 637, 639
dynamique 642
site
central 635, 638, 640, 643, 645, 648
distant 637, 643, 645, 648, 651
sur RNIS 685
correspondances de numrotation 323
DLSw+ 285
encapsulation PPP 340
filtrage dappel
informations SNMP 336
listes ACL 335
NBP dAppleTalk 338
paquets
Banyan VINES, DECnet, et OSI 340
de rpliques NDS 338
IPX 337
keepalive SPX 338
watchdog IPX 338
Index
885
E
EARL (Enhanced Address Recognition Logic),
circuit 454
EIGRP (Enhanced IGRP)
adressage 75
conception de rseaux 75
convergence 77
volutivit du rseau 81
intgration avec AppleTalk 583
mtriques 584
redistribution de routes 585
slection de route 584
intgration avec IPX 572
mtriques 576
redistribution de routes 576
rduction du trafic SAP 579
slection de route 576
masques VLSM 75
mises jour
partielles 81
SAP incrmentielles 835
redistribution de routes 561
scurit 81
slection de route 76
synthse de routes 76
topologie 75
ELAN (Emulated LAN) 154, 156
arbre recouvrant (Spanning-Tree) 164
configuration
de la base LECS 157
des noms de LEC 157
connexions VCC
Configure Direct 157
Control Direct 158
Control Distribute 158
Multicast Forward 159
Multicast Send 159
enregistrement LEC/LES 158
interface ILMI 157
interrogation du LECS 157
recherche du serveur BUS 159
886
Index
Ethernet
commutation LAN 7
configuration de DLSw+ 268
Evnements
administration SNMP 460
modle Cisco 462
moteur de corrlation 462
plates-formes SNMP 461
traitement 461
Evolutivit
APPN 210
dun rseau 72
DLSw+ 261
EIGRP 81
Frame Relay 178
modle multicouche 415
OSPF 91
PIM-SM 444
plates-formes de commutation 390
rseaux hirarchiques 173
RNIS 365
routage DDR 663
Exigences de conception de rseaux 12
F
FECN (Forward Explicit Congestion Notification)
186
FEP (Front End Processor), NCP, gnration 811,
822
Files
broadcast, Frame Relay 185
dattente
de priorit 26
quitables pondres 29
personnalises 28
Filtrage
BGP 125
DDR 334
NBP dAppleTalk 338
paquets
de rpliques NDS 338
IPX 337
keepalive SPX 338
watchdog IPX 338, 340
de lidentifiant dappelant, RNIS 364
de zone et de service, couche de distribution 38
SAP 837
Index
Fonction de rappel
DDR 343
RNIS 692
Formats
dadresses ATM 146
de trames
encapsulation 281
traduction Voir Trames
Forward Explicit Congestion Notification (FECN)
186
Frame Relay
adaptation de trafic 190
bande passante consomme 74
BECN 186
bit DE 187
BNN/BAN (Border Network Node/Border
Access Node) 205
CIR 178
commutation APPN via FRAS BNN/BAN 217
conception hirarchique 178
connexions virtuelles permanentes 178
diffusions broadcast 184
DLCI 178
volutivit 178
FECN 186
files broadcast 185
FRAS BNN et APPN 252
gestion
de trafic multiprotocole 188
des performances 186
interfaces virtuelles 183
mtriques de cot 186
technologie WAN 9
topologies
en toile 182
mailles
hirarchiques 179
hybrides 181
partiellement mailles 182
totalement mailles 182
Voir aussi Voix sur Frame Relay
Frame Relay Access Support Boundary Network
Node Voir Frame Relay
FST (Fast Sequenced Transport), encapsulation
de DLSw+ 279
G
Generic Routing Encapsulation (GRE) 34
Gestion du trafic
accs commut 31
adressage de soutien 44
alimentation redondante 53
broadcast 45
chemins alternatifs 31
contrle
de congestion 225
de flux DLSw 260
dcouverte de routeur 49
distribution stratgique 39
encapsulation 32
quilibrage de charge 30
files dattente
de priorit 26
quitables pondres 29
personnalises 28
filtrage de zone et de service 38
Frame Relay 188
gestion de la bande passante 38
inter-zones OSPF 90
liens redondants 51
limitation du trafic
mises jour 286
SAP 579, 835
listes daccs 765
microsegmentation 58, 388
multicast 45
noms, proxy et cache 46
optimisation de lacheminement 26
pare-feu dexploration 262
redistribution de route 42
rseau APPN
gestion de la bande passante 225
mmoire consomme 228
RNIS 370
scurit
accs au mdia 48
IP 764
segmentation de rseau 45
services de passerelle 40
techniques intraprotocole 27
temps de latence 225
tolrance aux pannes 55
traduction de format de trame 42
vitesse daccs au mdia 225
887
888
Index
H
HDLC (High-level Data Link Control) 280
High Performance Routing, routage APPN 208
Homologues
actifs multiples 278
BGP
groupes 131
routeurs 104
de secours 276
DLSw+ 258
dynamiques 284
groupes 261, 283
interzones 261, 283
Hot Standby Routing Protocol Voir HSRP
HSRP (Hot Standby Routing Protocol) 57, 169,
777
configuration 781
quilibrage de charge 787
groupes de secours Hot Standby 783
interaction avec protocoles routs 789
messages multicast 780
MHSRP 783
proxy ARP 780
routeurs
LANE redondants 165
virtuels 778
schma de priorit 780
suivi dinterface 785
Hub-and-Spoke (topologie) 696
Hubs 20
I
IARP (Inverse Address Resolution Protocol) 189
IBM
techniques dencapsulation 33
units logiques 27
Index
K
Keepalive (messages) 286
L
L2F (Level 2 Forwarding) 368
LAN (Local Area Network)
campus 4
commutateurs 60, 391
commuts, modle multicouche 401
connexion des services PSDN 171
CSNA et LAN interne pour SNA via CIP 301
mulation (LANE) 152
mul (ELAN) Voir ELAN
intgration avec les rseaux tendus 10
interconnects, APPN 200
technologies de rseau de campus 6
LANE (LAN Emulation) 152
client (LEC) 155, 611
composants 154
conception 161
889
connexions
LEC-BUS 619
LEC-LEC 621
LEC-LECS 616
LEC-LES 618
pine dorsale LANE ATM 411
fonctionnement Voir ELAN
HSRP 165
implmentation, commutateurs et routeurs 161
PNNI 162
redondance 164
adresse LECS connue 168
emploi
de HSRP 169
de SSRP 168
partitions de rseau 169
rseaux LANE 1.0 165
rsolution dadresse 160
serveur (LES) 155, 612
serveur de configuration (LECS) 155, 611
SSRP 165
sur ATM 609
Latence 225
LCN (Logical Channel Number) 178
LCP (Link Control Protocol) 361
LDN (Local Directory Number) 353
LEC (LAN Emulation Client), composant LANE
155
LECS (LAN Emulation Configuration Server),
composant LANE 155
LEN (Low Entry Node), nud APPN 201
LES (LAN Emulation Server), composant LANE
155
Level 2 Forwarding (L2F) 368
Liaisons
la demande 31
asynchrones 807
de secours
DDR 331
RNIS 347
DLSw+ 257
loues 9
appuyes par DDR 653
WAN Voir WAN
Lignes Voir Liaisons
Link Control Protocol (LCP) 361
890
Index
M
MAC (Media Access Control)
adresses 21
commutation 21
Masque gnrique, listes ACL 739
Matriel de secours 56
Media Access Control Voir MAC
Mdias
ATM 147
pour rseaux tendus 10
scurit daccs 48
Mmoire
CAM, pont/commutateur 454
exigences APPN 228
protocoles 72
Messages
BIND 208
Join 422
keepalive 286
LOCATE 207
LSA 95
Prune 422
quench 38
Register 435
Register-Stop 436
Syslog, administration 460
Mtriques
de cot, Frame Relay 186
de routage
EIGRP 76
OSPF 90
MHSRP (Multigroup HSRP) Voir HSRP
MIB (Management Information Base)
base de donnes de transmission de pont 492
chssis et environnement 486
documentation 473
erreurs de pont 493
tats de lenvironnement 516
EtherChannel 506
groupes systme et chssis 502
instances, chanes de communaut 478
interceptions SNMP de routeurs 513
interfaces rseau 522
interrogation SNMP 473, 474
modules 489
cartes de lignes 503
objets
surveiller 473
divers 507
MIB-II 500
performances densemble 497
ports 504
de tronons 497
ressources
commutateur 482
processeur 518
RSM 506
statistiques mmoire 518
tampons 520
taux dutilisation des ports 495
topologie Spanning-Tree 491
tronons 505
VLAN 505
Microcode CIP, chargement 298
Microsegmentation 58, 388
Migration
de sous-zone SNA vers APPN 239
stratgies pour rseaux commuts 417
MIP (MultiChannel Interface Processor) 355
Mise en cache, commutation rapide 543
Mises jour
compltes 73
EIGRP 81
Index
IGRP 73
IPX 337
OSPF 92
par inondation 73
partielles 73
rduction 286
SAP
filtrage par listes daccs 837
incrmentielles 835, 838
rduction 835
MLP Voir Multilink PPP
MMP Voir Multichassis Multilink PPP
Modles
dadhsion explicite, PIM-SM 422
dvnements Cisco
administration 460
composants 462
Voir aussi Evnements
de rfrence OSI 23
hirarchiques
avantages 173
conception 172
couche
centrale ou pine dorsale 24
daccs 25
de distribution 24
Modlisation de la charge de travail 16
Modems
agrgation 348
analogique 9
Modes
duplex
ETCD 808
liaisons asynchrones 807
SNA 808
multipoint 809
semi-duplex
ETCD 808
liaisons asynchrones 807
SNA 808
Modules ATM
PLIM 161
redondants 170
Mots cls
accept 693
b8zs 688
bias 263
891
892
Index
N
Name Binding Protocol (NBP) 833
NAS (Network Access Server) 346
NAT (Network Address Translation) 365
NBP (Name Binding Protocol) 833
filtrage DDR 338
fonctions proxy 46
Index
O
ODC (On Demand Circuit) 96
ODR (On-Demand Routing) 101, 286
On Demand Circuit (ODC) 96
On-Demand Routing (ODR) 286
Open Shortest Path First Voir OSPF
Optimisation du routage 26
OSPF (Open Shortest Path First)
adressage
de zone 85
priv 87
conception de rseaux 81
convergence 91
pine dorsale 83
quilibrage de charge 91
volutivit du rseau 91
masques VLSM 86
mises jour 92
ODC (On Demand Circuit)
configuration 97
fonctionnement 96
utilisation 96
redistribution de routes 561
rseau non broadcast, mode
NBMA 98
point-multipoint 98
scurit 92
slection de route 90
synthse de routes 84
annonces
pine dorsale-zone 88
zone-pine dorsale 88
techniques 87
topologie 82
trafic inter-zones 90
zones 84
NSSA 92
annonces LSA Type 7 94
configuration 94
P
Packet Switched Data Network Voir PSDN
Pannes
chemins alternatifs 31
de LECS LANE 165
de LES/BUS LANE 165
893
894
Index
Index
Q
Q.931, RNIS 379
QLLC (Qualified Logical Link Control), configuration de DLSw+ 270
R
Rappel (callback)
DDR 343
RNIS 364
RDP (Router Discovery Protocol) 833
Redistribution de routes 42
BGP
dynamiques 111
statiques 110
EIGRP et OSPF 561
ajout dans une liste de distribution 568
configuration 561
tats de liens 566
vrification 565
Redondance
APPN 220, 221
DDR
interfaces de secours 332
lignes de secours 331, 653
routes statiques flottantes 333
LANE 164
liaisons WAN 51
modle multicouche LAN 404
OSPF 83
routeurs DLSw+ 273
SSRP 168
systmes dalimentation 53
topologies
partiellement mailles 53
totalement mailles 53
Rflecteurs de route, BGP 136
Relais de trames Voir Frame Relay
Rseau de connexion, rduction de liens APPN 211
Rseau Numrique Intgration de Services Voir
RNIS
Rseaux
commutation de paquets Voir PSDN
AppleTalk 832
APPN 199
ATM 139
commuts
broadcast 827
de campus 63
conception
choix dun modle 23
valuation
des besoins utilisateur 13
des cots 15
exigences 12
modle hirarchique 24
modlisation de la charge de travail 16
problmes 12
solutions propritaires ouvertes 14
test de sensibilit du rseau 17
dentreprise commuts 681
DDR 315
volutifs 663
adresses de prochain saut 667
adresses de sous-rseau 666
authentification 666
choix du mdia 664
configuration des routeurs 670, 676
convergence 669
matriel 665
protocoles requis 664
schmas de trafic 664
stratgie de routage 668
de campus 4, 388
de FAI commuts 683
EIGRP 75
quipements 20
tendus Voir WAN
fdrateurs Voir Epine dorsale
Frame Relay 178
guerre de linformation 720
hirarchiques
Frame Relay 178
PSDN 172
intgration 11
interconnexion 3
IP 68
broadcast 828
valuation de ltat de scurit 717
scurit 715
895
896
Rseaux (suite)
LAN commuts
augmentation de la bande passante 408
avantages du modle multicouche 419
composants 390
conception 385, 396
pine dorsale LANE ATM 411
modle
de VLAN de campus 398
hub et routeur 397
multicouche 401
multicast IP 413, 827
organisation de la couche centrale 409
plates-formes de routage 393
pontage dans le modle multicouche 418
positionnement des serveurs 410
problmes dvolutivit 415
scurit du modle multicouche 418
solutions 389
stratgies de migration 417
technologies de conception 387
LANE 157
locaux Voir LAN (Local Area Network)
multiservices 148
Novell 831
Novell IPX et Snapshot 698
OSPF 81
protocoles dadministration 459
RNIS 345
segmentation 45, 388
services
daccs local 44
de distribution 37
de lpine dorsale 25
SNA 200
Token Ring 7
topologies 174
VLAN 394, 455
voix
en paquets 841
sur Frame Relay 190
vulnrabilits 721
RIP (Routing Information Protocol) 50
dcouverte de routeurs 778
RMON
Cisco TrafficDirector 473
contraintes de mmoire 477
Index
Index
dpannage
processus TEI 376
protocoles NCP 384
Q.931 379
SPID 380
encapsulation
de datagrammes 349
PPP 360
volutivit 365
fonctions NAT 365
interface
BRI
configuration 351
contrle du fonctionnement 353
quipements de communication 350
identifiant SPID 352
implmentation 350
LDN 353
types de commutateurs 351
DDR 321
PRI
cartes MIP 355
configuration 355
contrle du fonctionnement 356
limitation des cots 349, 370
analyse du trafic 370
application CEA 373
comptabilit AAA 373
exploitation de SNMP 371
formation des utilisateurs 371
structure de tarification 371
Multichassis Multilink PPP (MMP) 367
NAS (Network Access Server) 346
nuds distants virtuels 365
profils virtuels 367
routage DDR 346, 349
secours par ligne commute 347
scurit
authentification PPP 364
DDR 343
filtrage de lidentifiant dappelant 364
modle 349
rappel de lappelant 364
vrification du numro appel 365
technologie WAN 9
Routage 387
algorithmes 26
897
APPN 202
connexion via FRAS BNN/BAN 217
intermdiaire de session 208
pont RSRB 217
Sysplex 247
via DLSW+ 216
CIDR 133
classe de service APPN 204
contrle dinstabilit de route 138
DDR 315
connexion dynamique 328
dynamique 327
volutivit 663
horizon clat (split horizon) 328
interfaces passives 328
RNIS 346, 349
Snapshot 329
statique 326
via DLSw+ 285
DLSw+ 259
entre succursales, APPN 204
et commutation 21
volutivit du rseau 72
mtriques
EIGRP 76
OSPF 90
monoprotocole 59
multicast IP 868
multiprotocole 59
ODR 101, 286
options de lpine dorsale 59
par ouverture de ligne la demande Voir DDR
redistribution de routes, BGP 110, 111
rduction des mises jour 286
rseaux commuts 393
scurit 74
slection de route 70
snapshot 286
sous-zone et Sysplex 245
sous-zone/APPN et Sysplex 246
synthse de routes 68
EIGRP 76
OSPF 84, 87
technologie de LAN 7
trafic inter-zones 90
Voir aussi Commutation
Voir aussi Convergence
Voir aussi Gestion du trafic
898
Index
S
SAP (Service Advertisement Protocol) 835
Novell IPX
filtrage des mises jour 837
mises jour incrmentielles 838
Index
stratgies 723
cration 725
documentation et analyse 726
vulnrabilits
attaques par dni de service 722
authentification CHAP de Cisco 722
Voir aussi Administration rseau
Scurit IP
accs
aux routeurs 729
par console 730
cryptage des mots de passe 733
dlais dexpiration de session 733
mode non privilgi 730
mode privilgi 730
SNMP 731
mode non privilgi 732
mode privilgi 732
Telnet 731
adresses IP 733
mode non privilgi 731
mode privilgi 731
ports TCP 734
TACACS 755
architecture pare-feu 763
application de listes daccs 768
contrle du flux de trafic 764
listes daccs de pare-feu 765
routeur pare-feu 765
serveur de communication pare-feu 769
assignation de numros de ports 771
contrle daccs aux serveurs 756
niveaux de privilge Cisco 757
notifications dutilisation non autorise 757
scurisation des services non standard 757
suggestions de lecture 774
usurpation dadresse (spoofing) 770
Segmentation 45, 388
dun espace dadresse IP 793
gestion du trafic 45
LAN 388
tolrance aux pannes 55
Slection de route 70, 76, 90
Serveur TN3270
avec DLUR/DLUS 306
899
900
Index
interrogations 472
de performances 475
de seuils 474
de surveillance 474
MIB RNIS 371
plate-forme NMS 472
routeurs 512
scnarios de corrlation dvnements 524
scurit IP 731
SOHO (Small Office/Home Office) 345, 347
Sous-zone SNA
ACF/VTAM 200
migration vers APPN 239
Soutien dadressage 44
SPAN (Switched Port Analyzer), analyseur de
port 457
Spanning Tree Voir Arbre recouvrant
SPID (Service Profile Identifier) 352
Split Horizon, fonction de routage 328
SRB (Source Routing Bridge), configuration
dhtes SNA 811
SS7 (Signaling System 7) 358
SSCP (System Services Control Point), redondance APPN 223
SSP (Switch-to-Switch Protocol) 258
SSRP (Simple Server Replication Protocol)
emploi et configuration 168
partitions de rseau 169
services LANE redondants 165
Stack Group Bidding Protocol Voir SGBP
Standard DLSw 258
Store-and-forward (commutation en mode
diffr) 21
Stratgies de scurit 723
Structure
dadresse ATM 146
de rseau ATM 152
Stub
routeur 101
zones 89
Switched Multimegabit Data Service (SMDS) 9
Switch-to-Switch Protocol (SSP) 258
Synthse de routes
EIGRP 76
OSPF 85
Index
Syslog
administration rseau 460
contraintes de mmoire 478
filtrage des messages 526
journalisation 460
messages
de routeurs 512
lis lenvironnement 516
mise en place de la journalisation 466
Sysplex (System Complex)
APPN et routeurs CIP 244
CMOS 9672 245
routage
APPN 247
de sous-zone 245
de sous-zone/APPN 246
SNA et interrseau multiprocole 248
System Services Control Point (SSCP) 223
Systmes
autonomes, OSPF 81
dalimentation redondants 53
de Signalisation 7 (SS7) 358
T
Tables
CEF, commutation CEF 554
de commutation 21
de hachage, commutation rapide 545
de routage 21
de voisinage, commutation CEF 554
TACACS (Terminal Access Controller Access
Control System) 48, 755
accs
non privilgi 755
privilgi 755
cartes daccs jeton 756
TCP/IP (Transmission Control Protocol/Internet
Protocol), encapsulation 278
TDM (Time Division Multiplexing), file dattente
quitable pondre 29
TDU (Topology Database Update) Voir Nuds
APPN
Technologies
LAN 6
WAN 8
901
Telnet
administration 459
ports
TCP 734, 736
VTY 731
scurit daccs 731
Temporisateurs, linger 277
Temps de latence 225
Terminaison numrique de rseau, RNIS 350
Terminal Access Controller Access Control
System Voir TACACS
Test de sensibilit du rseau 17
Token Ring
commutation LAN 7
configuration de DLSw+ 267
Tolrance aux pannes
DLSw+ 263
fonctions intraprotocoles 56
HSPR 777
matriel de secours et chemins alternatifs 56
problmes de mdia 55
rseaux LANE
protocole par arbre recouvrant 165
routeurs redondants (protocole HSRP) 165
services redondants (protocole SSRP) 165
segmentation 55
Topologies
DDR 317
EIGRP 75
en toile
Frame Relay 182
PSDN 174
mailles
hirarchiques, Frame Relay 179
hybrides, Frame Relay 181
OSPF 82
partiellement mailles
Frame Relay 182
interfaces virtuelles 183
PSDN 175
redondance 53
rduction des mises jour APPN 211
routage 68
totalement mailles
Frame Relay 182
PSDN 175
redondance 53
902
Index
U
UIT-T (Union Internationale des Tlcommunications, secteur normalisation) 633
UNI (User-Network Interface) 152
ATM 597
Unicast, trafic ATM 160
Units logiques IBM
avec CIP 297
dpendantes 209
configuration
de DLUR 249
de DLUS 249
interrseau multiprotocole et SNA 248
gestion de priorit 27
serveur TN3270 306
V
Variable Length Subnet Mask Voir VLSM
VCC (Virtual Channel Connection), ATM 592
Virtual LAN Voir VLAN
Virtual Routing Node (VRN) 213
Vitesse daccs au mdia 225
VLAN (Virtual LAN)
commutateurs et routeurs 62
composition 394
rseau et services 455
VLSM (Variable Length Subnet Mask), adressage
EIGRP 75
OSPF 86
Index
W
WAN (Wide Area Network)
accs commut 31
ADSL 9
ATM 9
bande passante 73
conception et tendances 8
connexions
des services PSDN 171
distantes 9
Frame Relay 9
intgration avec les rseaux locaux 10
liaisons
avec commutateurs 7
loues 9
redondantes 51
secondaires, APPN 220
mdias 10
modems analogiques 9
RNIS 9
SMDS 9
technologies 8
topologies 174
X.25 9
Wide Area Network Voir WAN
X
X.25
LCN 178
QLLC 270
technologie WAN 9
Z
Zones AppleTalk statiques 334
Zones OSPF 84
NSSA (Not-So-Stubby-Area) 92
annonces LSA Type 7 94
configuration 94
903