Académique Documents
Professionnel Documents
Culture Documents
Rapport SM PDF
Rapport SM PDF
Entreprises:
Simon MUYAL
Mastre SCR, ENSEEIHT
2002-2003
Simon MUYAL
Mastre SCR -1-
Simon MUYAL
Mastre SCR -2-
Remerciements
Simon MUYAL
Mastre SCR -3-
Sommaire
REMERCIEMENTS................................................................................................................ 3
SOMMAIRE ............................................................................................................................. 4
INTRODUCTION.................................................................................................................... 5
6. GLOSSAIRE....................................................................................................................... 36
7. REFERENCES BIBLIOGRAPHIQUES......................................................................... 37
8. ANNEXES........................................................................................................................... 38
Simon MUYAL
Mastre SCR -4-
Introduction
Ce stage, dune dure de six mois, a consist mettre en place des outils
dadministration IPv6 pour le rseau RENATER.
Ce rapport prsente le travail que jai effectu lors de mon stage au sein de CS et du
GIP RENATER. Il sest droul du 1 avril au 16 mai 2003 au NOC RENATER dans
l'entreprise CS et du 19 mai au 30 septembre 2003 au GIP RENATER. Pendant la priode au
NOC RENATER, je me suis familiaris avec un environnement technique et un ensemble
dapplications IPv6. Ceci ma permis ensuite, dans la deuxime partie de mon stage au GIP
RENATER de mettre en place des outils dadministration IPv6.
Le projet ralis sest avr trs intressant et trs enrichissant pour mon exprience
professionnelle. En effet, ma formation sinscrit prcisment dans ce secteur (spcialisation
Systmes de Communications et Rseaux). Grce ce stage, jai travaill sur des projets qui
mont permis dentrevoir en quoi consiste la profession dingnieur dans ce secteur dactivit.
Le but de ce rapport nest pas de faire uniquement une prsentation exhaustive de tous
les aspects techniques que jai pu apprendre ou approfondir, mais aussi, de manire
synthtique et claire, de faire un tour dhorizon des aspects techniques et humains auxquels
jai t confront.
Je vous expose dans ce rapport en premier lieu une prsentation des entreprises.
Ensuite, je vous explique les diffrents aspects de mon travail durant ces quelques mois et
enfin, en conclusion, je rsume les apports de ce stage.
Simon MUYAL
Mastre SCR -5-
1. Prsentation des entreprises
1.1 Prsentation de CS
La vocation du groupe CS est de construire des solutions globales dans le domaine des
tlcommunications, des systmes et services informatiques et de la scurit. CS met au
service de ses clients son intelligence des rseaux, son expertise scientifique et technique et
son savoir-faire industriel.
Son ambition est de s'tablir parmi les leaders europens sur ses marchs grce sa
capacit d'innovation, son potentiel humain et technologique, sa solidit financire et sa
stratgie de croissance dynamique.
Simon MUYAL
Mastre SCR -6-
1.1.1 Historique de CS
1991-1995 CS est marqu par une croissance rsolue dans le domaine des technologies
de l'information, en particulier grce lacquisition des socits SECRE,
RCE, Vrilog et CSTI.
1996-1997 Le Groupe CS mne bien un recentrage dcisif de ses activits sur des
secteurs forte croissance lis aux systmes d'information : dveloppement
dans le domaine du logiciel avec l'acquisition du groupe CISI, renforcement
de la dimension quipement tlcoms et ingnierie de rseau avec
l'acquisition de Philips Communication d'Entreprise, cration du ple
scurit avec l'acquisition de MATRA Scurit, de Ritzenthaler et de sa
filiale Haffner.
Par la mme occasion, il abandonne ses activits CSEE-Transport et CS-
Dfense
Simon MUYAL
Mastre SCR -7-
1.1.2 Organisation et activits de CS
Route, dont la mission est d'intgrer des systmes appliqus au secteur du transport
routier. Elle propose des offres pour les systmes de page et tl page, pour les
rseaux d'appels d'urgence et la gestion et le contrle de trafic.
Simon MUYAL
Mastre SCR -8-
1.1.2.2 Network Services
Cette activit a pour mission de concevoir, dployer, intgrer et maintenir les rseaux
des grandes ou moyennes entreprises de l'ensemble du secteur des services. Ses offres:
Audit
Intgration de Rseaux
Service clients
montique
1.1.2.4 Infogrance
Cette activit a pour mission de grer et faire voluer loutil informatique de ses
clients. Les solutions mises en uvre sont des solutions adaptes aux besoins prcis de chaque
client, elles couvrent tout ou partie du systme dinformation. La direction dactivit
Infogrance possde une comptence dans les activits de linformatique scientifique et
technique, dans les activits de linformatique de gestion portant sur le maintien en condition
oprationnelle des quipements (PC, serveurs, rseau), leur volution, et la production assure
sur les ordinateurs du client ou sur ses moyens propres (plate-forme de traitement). Les
services proposs sont les suivants :
Infogrance de systmes distribus,
Infogrance de production,
Infogrance de rseaux,
Simon MUYAL
Mastre SCR -9-
1.1.3 Prsentation du NOC
Le NOC CS est le centre o sont administrs les rseaux des clients. Ce centre traite
plusieurs contrats Education-Recherche tels que RENATER, GEANT ou 6NET mais aussi
des contrats avec de grandes entreprises telles que Manpower, Kiabi ou Quick. Dans ces
diffrents cas, CS propose une offre complte et modulaire de prestations de services lies la
prise en charge, la conduite et lvolution des composants du Systme dInformation et la
rnovation de leurs rseaux dans le cadre dun contrat dinfogrance globale.
Simon MUYAL
Mastre SCR - 10 -
1.2 Prsentation de RENATER
1.2.1 Le rseau RENATER
Le rseau Renater (Rseau National de Tlcommunications pour la Technologie,
lEnseignement et la Recherche) a t cr dans les annes 1990 dans le but de fdrer et
dorganiser les infrastructures de tlcommunications pour lEducation, la Recherche et
lEnseignement.
Aujourdhui, plus de 600 sites sont raccords ce rseau. Ceci leur permet de
communiquer entre eux, daccder aux centres de recherche publique et prive ainsi quaux
tablissements denseignement du monde entier via lInternet.
Renater est interconnect 2.5 Gbit/s aux autres rseaux de recherche europens via le
rseau europen GEANT. Dautre part, Renater contribue au dveloppement et
loptimisation de lInternet en France. Pour cela, le Groupement dIntrt Public (GIP)
Renater a cr le SFINX, un point dchange entre les oprateurs prsents en France. Le dbit
dinterconnexion entre Renater et le SFINX est de 1 Gbit/s. Enfin, la communication avec
lInternet dans le reste du monde est assure par le raccordement de Renater 2.5 Gbit/s
lpine dorsale Internet OpenTransit de France Tlcom.
Voici un schma dcrivant larchitecture globale du rseau RENATER3:
Simon MUYAL
Mastre SCR - 11 -
1.2.2 RENATER et IPv6
IPv6 est la nouvelle version du protocole IP de lInternet. Ce protocole a t conu
pour saffranchir des limitations dIPv4 (pnurie dadresses IPv4, explosion des tables de
routage), mais aussi pour prendre en compte les avances issues des recherches sur les
rseaux, comme lauto configuration, la mobilit, le multicast ou encore la scurit.
En Europe, les rseaux de la recherche sont trs actifs pour prparer et commencer
cette migration, et proposer un service IPv6 pour les exprimentations des premiers
utilisateurs. Renater est au premier plan de cette volution : dans Renater 3, le service IPv6 est
disponible dans chaque point de prsence rgional de lpine dorsale. Tous les routeurs de
Renater 3 sont dual stack (double pile IPv4 et IPv6). Depuis le 15 Avril 2003, la
connexion de Renater avec GEANT transporte du trafic IPv6 en mode natif.
Un GIP est un organisme but non lucratif, runissant des administrations de l'Etat et
des organismes publics pour une activit dfinie : dans le cas du GIP Renater il s'agit de la
matrise douvrage du rseau Renater.
Simon MUYAL
Mastre SCR - 12 -
2. Etudes des besoins
L'administration des rseaux se dcompose en un ensemble de tches, chacune ayant
une fonction bien particulire. Afin de mieux dfinir les besoins, nous allons d'abord prsenter
brivement l'ensemble de ces tches:
Simon MUYAL
Mastre SCR - 13 -
! Inventaire: L'inventaire permet de recenser l'ensemble des quipements qui
constitue un rseau. Il a aussi pour but de tenir jour la configuration de ces
quipements. Si un inventaire nest pas fait, il se peut, par exemple, que
certains quipements du rseau ne soient pas superviss. Cest pour cela quil
est important de maintenir jour linventaire, en mme temps que le rseau
volue.
Le fait dadministrer des rseaux IPv6 ne signifie pas que les outils employs
transportent linformation en IPv6. En effet, la majorit des quipements sur le rseau tant en
Dual Stack (IPv4 IPv6), laccs aux quipements peut se faire en IPv4 pour rcuprer des
informations sur la supervision IPv6. Cette solution est retenue trs souvent car certaines
applications ne supportent pas encore le transport en IPv6. Cela permet aussi aux NOC
nayant pas encore un plan dadressage de supervision en IPv6, dadministrer des rseaux
aussi bien IPv4 qu IPv6. Gnralement, un pool dadresses est rserv pour ladministration
des quipements. On peut diffrencier les interfaces ddies au trafic des interfaces de
supervision. Ainsi, un plan dadressage est dfini et permet aux NOC daccder aux
quipements.
Cependant, un effort reste faire pour atteindre le mme niveau de supervision qu'en
IPv4. Les rcentes normalisations ralises par les organismes comme lIETF ne sont pas
encore mises en uvre par les constructeurs d'quipements ou les diteurs de logiciels de
supervision. Par exemple, les MIB permettant de mesurer le trafic IPv6 sont pratiquement
inexistantes chez des constructeurs comme Cisco.
D'autre part, des outils de mtrologie sont employs au NOC RENATER. Celui qui est
utilis principalement est MRTG. Il a le grand avantage de gnrer les graphes sur le web et
dtre gratuit. Il se base sur des requtes SNMP collectant les informations de trafic sur
lensemble des interfaces des quipements. De plus, sa configuration est simple : Dtection
des interfaces actives sur un quipement lors de la gnration de la configuration, puis
interrogation par polling SNMP sur lensemble de ces interfaces.
Simon MUYAL
Mastre SCR - 14 -
D'autres outils semblables tels qu'Infovista sont employs pour suivre le trafic de
rseaux tels que GANT. Cette application se base aussi sur des requtes SNMP pour
collecter les informations sur le trafic. Infovista peut gnrer des rapports sur lensemble des
quipements du rseau. Avec ces rapports, il est possible danalyser rapidement le trafic sur
lensemble des liens pour une priode donne (semaine, moi, an). Cependant, il est ncessaire
de configurer lensemble de ces quipements avec les mmes paramtres pour que les
rapports gnrs soient cohrents. Les compteurs utiliss par Infovista sont cods sur 64 bits
(au lieu de 32 bits), ce qui vite la remise zro rgulire, particulirement dans le cas des
interfaces ayant un dbit lev. Cette application demande l'installation de plug-in afin de
consulter les graphes sur le web.
2.1.2.1 SNMP
Le premier outil de mtrologie se base sur un ensemble de programmes crits en C
permettant de collecter les informations sur les MIB des routeurs de RENATER-3 via SNMP.
Ces informations sont stockes dans une base de donnes Mysql et peuvent tre consultes via
le web travers une interface ralise en PHP (consultable par le personnel du GIP). Les
informations collectes sont les champs de la MIB (OID) correspondant au trafic et la
charge CPU des routeurs.
Avec cet outil, le GIP est capable de connatre les sites qui dpassent le dbit autoris.
En effet, dans le contrat dun site raccord RENATER-3, un dbit est spcifi et le site est
tenu de le respecter.
Cet outil permet aussi de mieux dimensionner le rseau. Ainsi lors dune migration, il
est possible dvaluer les liaisons qui se rapprochent de la saturation et qui doivent tre mises
jour (cf. Annexe I). Il est possible aussi de dtecter ou confirmer des attaques de type Dni
de Service (Denial of Service DoS). En effet, lors dune attaque de ce type, on peut observer
soudainement un grand cart entre le trafic entrant et le trafic sortant sur lquipement (cf.
Annexe II). Ceci ne permet pas daffirmer quil sagisse dun dni de service, mais permet de
reprer une anomalie ou de confirmer une attaque de ce type.
2.1.2.2 Netflow
Le rseau RENATER-3 tant constitu dquipements Cisco, le deuxime outil
employ au GIP se base sur la fonctionnalit Netflow que propose le constructeur sur ses
quipements. Netflow permet de caractriser les flux de donnes et d'avoir des statistiques
prcises sur le trafic.
Simon MUYAL
Mastre SCR - 15 -
Un flux est caractris par les adresses IP source et destination, les ports source et
destination ainsi que le protocole, le type de service (Type of Service ToS) et lindex de
linterface. Pour un flux donn, Netflow renvoie les informations suivantes :
Les routeurs envoient rgulirement les informations concernant les flux vers un
collecteur Netflow. Un ensemble de scripts crits en C traite les informations et les stockent
dans une base de donnes Mysql. Connaissant la plage dadresses attribue un site, les
donnes peuvent tre agrges. Des histogrammes sur les flux peuvent tre consults sur le
web travers une interface PHP.
Trames Netflow
(8Mb/s en journe,
protocole UDP)
Programme rsident en C
BD
MySQL
Requtes SQL
Serveur
Apache
(+PHP4)
Avec cet outil, le GIP est capable de caractriser le trafic (FTP, Web, peer to peer)
entre RENATER et les diffrents sites (cf. Annexe III). Ainsi, il est possible de voir la cause
dune congestion, de dfinir une classe de service (Class of Service : CoS) pour un site ou une
application donne ou de reprer des serveurs warez.
Simon MUYAL
Mastre SCR - 16 -
2.2 Etat de lart des MIB IPv6
La croissance rapide des rseaux et la diversit des systmes pendant la dernire
dcennie ont entran le besoin dune gestion globale des infrastructures rseaux. SNMP s'est
avr tre une bonne solution propose et standardise par l'IETF (Internet Engineering Task
Force). Ainsi, le protocole SNMP et les MIB sont devenus les deux lments principaux du
modle de supervision de rseaux.
Par contre, l'volution des MIB est plus complexe. Depuis les spcifications initiales
du protocole IPv6, en 1995, la dfinition de la MIB-2 pour ladministration des rseaux IPv6
a t modifie deux occasions : la premire en 1998 et la deuxime en 2000. Le problme
principal tait de dfinir le type du champ "IP ADDRESS".
En 1996, une premire reprsentation du champ "IP ADDRESS" est dcrite dans la
RFC 1902 o la longueur rserve pour ce champ est de 4 octets. Avec ce champ ne peuvent
tre reprsentes que les adresses IPv4. En effet, les adresses IPv6 ayant une longueur de 128
bits, 16 octets sont ncessaires pour les reprsenter. C'est pourquoi, en 1998, nous trouvons
dans la RFC 2465, la dfinition du champ "Ipv6Address" sur 16 octets.
Ainsi de nombreuses RFCs ont t affectes par ces modifications. Dabord, avec la
premire approche de crer des MIB IPv4 et IPv6 indpendantes, de nouvelles RFC ont vu le
jour. Principalement, les RFCs dcrivant les MIB IPv6 sur transport TCP ou UDP (RFC 2452
Simon MUYAL
Mastre SCR - 17 -
et RFC 2454) ont t publies en 1998. De mme, une MIB concernant le protocole ICMPv6
a t dcrite dans la RFC 2466.
Cependant, cette approche implique une gestion indpendante des protocoles IPv4 et
IPv6. Ainsi, l'IETF a dcid de dfinir une MIB-2 unifie, permettant de superviser les
rseaux IPv4 et IPv6 (RFC 2851 Juin 2000). Cette RFC dfinit le champ "IP ADDRESS"
comme une structure avec deux champs. Le premier champ permet de diffrencier le type
dadresses (IPv4 ou IPv6). Le deuxime champ est une chane de caractres longueur
variable. Ainsi, ce champ peut contenir des valeurs de longueur gale 4 ou 16 octets (IPv4
ou IPv6).
Afin damliorer la description de la RFC 2851 est apparue en mai 2002 la RFC 3291.
Des informations supplmentaires sont dcrites comme le prfixe rseau, le numro de port
utilis par la couche transport ou le numro dAS (Autonomus System) correspondant
ladresse IPv4 ou IPv6. Ainsi la RFC 2851 devient obsolte.
Ensuite, la volont davoir une MIB unifie a entran aussi la mise jour de MIB dj
existantes. Actuellement, lIETF publie des propositions (drafts) de mise jour pour les RFCs
2011, 2012, 2013 et 2096. Les dernires propositions publies sont draft-ietf-ipv6-rfc2011-
update-03.txt (juillet 2003), draft-ietf-ipv6-rfc2012-update-03.txt (juin 2003), draft-ietf-ipv6-
rfc2013-update-03.txt (avril 2003), draft-ietf-ipv6-rfc2096-update-04.txt (juin 2003). Ces
drafts concernent respectivement les MIB IP, TCP, UDP et IP Forwarding table.
En raison de toutes ces modifications, les MIB ne sont pas entirement disponibles
aujourdhui en IPv6. En effet, trs peu de ralisations ont t effectues par les constructeurs.
Juniper a ralis un premier effort en implmentant une MIB propritaire sur ses
routeurs en se basant sur la RFC 2465. Cette MIB permet de faire de la mtrologie sur le
nombre de paquets entrants et sortants. Par contre, elle ne permet pas de rcuprer le nombre
doctets mis et reus.
Cisco a implment sur ses quipements une MIB propritaire (CISCO-IETF-IP-
MIB). Cette MIB permet de rcuprer un certain nombre dinformations IPv6 de base
(interfaces, messages ICMP : cf. Annexe IV). Par contre, malgr les demandes de plusieurs
clients, Cisco na pas encore implant une MIB permettant de diffrencier le trafic sur les
interfaces transportant les deux versions IP le trafic IPv6. Cisco annonce une MIB permettant
davoir des compteurs sur le trafic IPv6 prochainement.
Une autre consquence est que les grandes plate-formes de supervision comme Tivoli
ou InfoVista ne sont pas disponibles en IPv6; HP OpenView propose une version IPv6 en
beta-test.
Simon MUYAL
Mastre SCR - 18 -
2.3 Les outils existants en IPv6
Pour chaque tche de ladministration des rseaux vue prcdemment, il existe un
ensemble doutils IPv6. Voici une liste des quelques outils IPv6 les plus employs
aujourd'hui:
! ASPath-Tree:
Bas sur des captures rgulires de la table BGP IPv6, ASpath-tree gnre
automatiquement un ensemble de pages HTML fournissant une vue graphique des chemins
pour atteindre les autres AS sous forme darbre (Annexe V).
A la base conu pour tre employ par des sites IPv6 impliqus dans
l'exprimentation du protocole BGP l'intrieur du 6Bone, il peut tre aujourd'hui utilis
dans n'importe quel rseau IPv6 oprationnel qui utilise BGP comme protocole de routage.
En plus, il permet la dtection des entres anormales de routes annonces par BGP
(les prfixes interdits ou non agrgs), des numros d'AS errons (rservs ou privs) et
fournit un ensemble d'information complmentaire comme:
le nombre de routes (valid/total/suppressed/damped/history)
le nombre d'AS dans la table (total, originating only, originating/transit, transit only,
private and reserved)
le nombre de voisins actifs BGP (c.--d. annonant des routes)
une analyse de la taille de rseau, en termes de distance inter-AS
le nombre de prfixes circulant dans le rseau (total, 6Bone pTLAs, sTLAs, 6to4,
autres).
! Looking Glass :
Cet outil permet, travers une interface WEB, davoir un accs direct sur les routeurs
ou switchs. Lutilisateur dispose dune liste de commandes qui peuvent tre excutes. Des
scripts CGI permettant la connexion telnet ou SSH (en IPv4 ou IPv6) rcuprent linformation
dsire et laffichent sur une page WEB.
Son grand avantage est quil permet dobtenir des informations directement sur des
quipements rseaux en temps rel sans avoir un compte ddi sur ces quipements.
Cependant, le fait de donner des informations sur les quipements rseaux oblige mettre en
place un certain nombre de mesures de scurit pour prserver la confidentialit des
informations (accs restreint au serveur web).
Simon MUYAL
Mastre SCR - 19 -
! MRTG:
MRTG permet de gnrer des graphes sur le trafic rseau. Une version IPv6 de MRTG
a t dveloppe par luniversit de Rome-3. Elle permet dinterroger les quipements via
SNMP sur un transport IPv6. Dautres outils comme RRDtool, disponible en IPv6 permettent
de faire de la mtrologie.
Loutil est disponible sur http://www.uniroma3.6net.garr.it/mrtg
! Weather map :
Cet outil permet de prsenter une carte topologique du rseau avec son trafic actuel. Il
se base gnralement sur des applications comme MRTG pour pouvoir afficher les graphes de
trafic entre deux liens du rseau. Si nous voulons avoir un weather map reprsentant le trafic
IPv6 uniquement, il est ncessaire que les MIB des routeurs distinguent bien le trafic IPv4 et
IPv6. Or, actuellement, tous les constructeurs ne proposent pas cela. Des rseaux projets o le
trafic est exclusivement IPv6, comme 6NET, peuvent disposer de cartes affichant la charge de
trafic IPv6. En ce qui concerne le transport, il peut tre ralis entirement en IPv6.
! Ethereal :
Ethereal est un analyseur rseau. Il permet danalyser le trafic en temps rel en
distinguant le trafic IPv4 et IPv6 sur une interface.
Loutil est disponible sur http://www.ethereal.com
! Mping :
Mping (Multipoint ping) est un outil qui se base sur les fonctionnalits de ping6. Il
permet de tester la connectivit entre plusieurs interfaces IPv6 et peut raliser des mesures de
performances entre elles. Il ralise une collecte de donnes qui lui permet de gnrer des
rapports et des histogrammes.
Cet outil reste pratique tant que la taille du rseau nest pas trs importante. Lorsque le
rseau grandit, le nombre de requtes est multipli. Ainsi, le trafic ICMP gnr est de plus en
plus important, ce qui peut faire augmenter la CPU des quipements rseaux.
! Multicast beacon :
Multicast beacon est une application client/serveur donnant des matrices de mesures
sur le trafic Multicast en IPv4 et IPv6.
Chaque client possde un dmon beacon. Le dmon envoie un message
priodiquement aux autres membres du groupe multicast pour mesurer les pertes, le dlai, la
gigue, les doublons et le mauvais squencement des paquets. Ces informations sont envoyes
au serveur beacon qui peut afficher ces informations dans une table.
Cette application est ralise en java.
Simon MUYAL
Mastre SCR - 20 -
3. Travaux raliss
3.1 Mise en place d'un looking Glass
3.1.1 Problmatique
L'objectif principal est de mettre en place un outil permettant aux administrateurs de la
communaut Renater d'accder rapidement quelques commandes sur les routeurs du
backbone RENATER 3.
En effet, cela doit permettre aux sites connects en IPv6 RENATER 3 de consulter
des donnes qui les concernent sans intervention de la part du GIP ou du NOC et sans avoir
se connecter aux quipements directement.
Les oprations pouvant tre effectues sur les quipements rseaux sont
principalement des tests de connectivit (ping) ou des consultations sur ltat du routage BGP
en IPv6. Il est possible aussi dobtenir des informations sur les interfaces et le trafic (cf.
Annexe VI).
Ainsi, lorsqu'un site ou un rseau rgional est confront un problme, il peut d'abord
vrifier si la cause provient rellement de RENATER. Ceci reprsente un gain de temps pour
les experts et techniciens du NOC RENATER qui interviennent uniquement en cas de
problme tant de leur ressort.
Cet outil peut tre employ de mme par les personnes du GIP n'ayant pas accs aux
routeurs directement. En effet, pour des raisons d'administration du rseau, un nombre
restreint d'ordinateurs du GIP Renater est autoris accder directement aux routeurs.
Pour la mise en place de cet outil, plusieurs problmes se posent. Le premier est la
scurisation de la connexion entre le serveur WEB o se trouvent les scripts CGI et les
routeurs. En effet, un looking glass avait t mis en place dans un rseau de test au NOC
RENATER, mais la connexion aux routeurs se faisait en telnet. Ceci posait des problmes de
scurit puisque le mot de passe d'accs au routeur ainsi que les donnes transfres taient
non cryptes dans le rseau. Pour pallier ce problme la connexion aux routeurs se fait en
SSH (Secure Shell).
Simon MUYAL
Mastre SCR - 21 -
Un autre problme qui se pose est le nombre de connexions SSH sur les routeurs. En
effet, chaque requte effectue sur l'interface web, une connexion SSH sur le routeur se
produit, ce qui fait augmenter la charge de la CPU (Central Processing Unit) de celui-ci. Si un
ensemble de sites se connecte simultanment sur un routeur de concentration, la CPU risque
d'augmenter, ce qui diminuerait les performances du routeur. Bien que le trafic IP soit pris en
charge par les processeurs des cartes des routeurs, dautres services traits par le processeur
du routeur (accs SSH, SNMP, mise jour des tables de routage) risquent dtre perturbs.
Ceci peut tre plus grave si un pirate envoie une multitude de requtes sur le serveur
web. En effet, cela produirait un dni de service sur le routeur.
Afin d'viter ce type de problmes, le nombre de connexions au serveur web est limit
et un mot de passe est demand pour accder au looking glass.
Le langage utilis pour dvelopper cette application est perl. Ce langage dispose dun
module permettant deffectuer des commandes en SSH. De plus, cest un langage qui est bien
adapt pour la gnration de CGI et permet de traiter avec facilit les chanes et expressions.
Il est vrai que perl, tant un langage interprt, noffre pas des performances aussi leves que
des langages compils tel que le C ou C++, mais il est tout fait adapt nos besoins.
Le serveur WEB utilis est un serveur apache2 supportant la pile IPv6. Ainsi lorsque
le serveur Sun Solaris aura migr, les utilisateurs pourront accder au serveur WEB en IPv6.
Simon MUYAL
Mastre SCR - 22 -
Le type de requte provenant du serveur peut tre une demande GETDATA,
GETUSER ou GETPASS. GETDATA est une requte gnrique de rcupration
dinformation du profil utilisateur.
Lautorisation permet de dterminer quels sont les droits de lutilisateur. Par exemple,
aprs stre logu, lutilisateur peut essayer dutiliser certaines commandes. Lautorisation
dtermine alors si lutilisateur peut ou non les utiliser.
Lors dun accs un service particulier, le routeur ouvre une session dautorisation.
Cette session consiste juste en lchange dune paire de messages : REQUEST/RESPONSE.
La requte dcrit lauthentification pour lutilisateur ou le processus qui demande laccs au
service. La rponse du serveur contient un ensemble dattributs pouvant restreindre ou
modifier les actions du client, plutt quune simple rponse affirmative de type oui/non. Cest
ainsi quil sera possible de limiter les commandes excuter avec le compte du looking glass.
La version 5.X de perl est dj installe sur le serveur web. Un ensemble de modules
perl a t install afin de pouvoir se connecter en SSH sur les quipements du backbone (cf.
Annexe VII). Puisque le module NET::SSH::Perl permet de se connecter uniquement en IPv4,
le module IO::Socket6 a t install et la librairie Perl.pm a t modifie afin de pouvoir
effectuer des connexions SSH en IPv6 (cf. Annexe VIII).
Simon MUYAL
Mastre SCR - 23 -
Tout d'abord un utilisateur (Site client, GIP ou NOC Renater) accde travers son
navigateur Web au serveur o se trouve le looking glass (1). Lutilisateur doit indiquer (cf.
AnnexeX):
! Lquipement sur lequel il veut se connecter (liste droulante)
! La commande quil veut effectuer sur cet quipement.
La liste des quipements est gnre partir dun fichier de configuration contenant
les quipements du backbone ainsi que leurs caractristiques (cf. Annexe XI). Une fois les
choix effectus, un script en perl effectue une connexion SSH vers lquipement choisi (2).
Ce script rcupre les paramtres de connexion sur le mme fichier de configuration. Pour des
raisons de scurit, il ne mest pas possible de dire la version de SSH ainsi que le cipher
utilis pour la connexion aux quipements de RENATER 3.
Ensuite le routeur interroge le serveur tacacs+ afin de vrifier la validit du mot de
passe et de connatre les droits et les commandes que peut effectuer l'utilisateur connect au
routeur (3 et 4).
Une fois, l'identification ralise, le routeur excute la commande et renvoie le rsultat
au serveur (5 et 6). Finalement, le script gnre une page HTML avec le rsultat de la
commande et le serveur Web envoie cette page son tour l'utilisateur (7).
Remarques :
Les scripts CGI prsentent des failles de scurit permettant des utilisateurs
dexcuter des commandes sur le serveur ou se trouvent ces scripts. Afin de se prserver de ce
genre dattaques, le code source a t analys par le CERT Renater.
Le CERT Renater est la structure qui gre les incidents de scurit qui lui sont
rapports.
Simon MUYAL
Mastre SCR - 24 -
3.2 Inventaire des quipements de RENATER-3 :
3.2.1 Contexte
Lorsquun nouveau site fait une demande de raccordement en IPv6 sur RENATER-3,
il est ncessaire dans certains cas d'avoir une interface disponible sur l'un des quipements du
Nud Renater (NR) sur lequel il va tre connect. Gnralement, un NR est compos d'un
routeur Cisco 12400 et d'un switch Cisco ATM 8540. Sur certains NR, un deuxime routeur
est prsent pour pouvoir tablir des tunnels avec les sites. Les tunnels permettent aux sites qui
sont raccords un rseau mtropolitain (MAN) ou rseau rgional nayant pas de
connectivit IPv6 dtre connects Renater en IPv6. Les GSR (Giga Switch Router) de
Cisco tant des quipements de backbone, la fonctionnalit de tunnel nest pas utilise dans le
rseau Renater-3. En effet, ces quipements sont destins transporter de grandes quantits de
trafic et la mise en place de tunnels pourrait entraner des surcharges sur la CPU des GSR.
Cest pour cela que des routeurs daccs ( Cisco 7200 ou 3600 ) sont installs dans certains
NR.
Pour savoir si des interfaces sont disponibles, il n'existe pas un autre moyen
aujourd'hui que de ce connecter directement sur les quipements. Or, comme nous avons vu
dans la partie prcdente, l'accs aux quipements est limit quelques personnes.
Une fois que l'interconnexion physique avec le nouveau site est faite, un peering BGP
est configur entre le routeur de Renater et le routeur du site afin que les paquets puissent tre
routs.
Deux protocoles assurent le bon fonctionnement de BGP : eBGP(external BGP) et
iBGP (internal BGP).
Simon MUYAL
Mastre SCR - 25 -
Le protocole iBGP permet aux routeurs appartenant un mme AS, de propager
lintrieur dun AS les informations reus par eBGP:
Les changes BGP se font sur des connexions TCP afin de rendre fiable le transfert des
donnes.
3.2.2 Objectifs
L'objectif principal tait de raliser une application permettant de dcrire la topologie
du rseau Renater-3. Elle permet de faire:
Ainsi, il est possible davoir rapidement une vue sur larchitecture dun NR, savoir si
une interface est libre ou connatre les peerings IPv6 configurs sur un quipement du
backbone. Ceci reprsente un gain de temps, puisquil nest pas ncessaire de se connecter
aux routeurs pour obtenir ces informations. Cet outil permet donc l'quipe IPv6 de faire un
suivi lorsqu'un site fait une demande de raccordement en IPv6.
Cette application peut tre aussi utilise par le SSO pour consulter ltat des interfaces.
La rcupration des informations sur les routeurs se fait deux fois dans la journe.
Ceci est suffisant car il n'est pas question ici de surveiller l'tat des peerings ou des interfaces
mais d'avoir une vision sur l'architecture d'un nud Renater.
Cette application est consultable travers une interface web, pour que les utilisateurs
du GIP puissent y accder facilement. Les utilisateurs peuvent tre l'quipe IPv6 mais aussi le
SSO (Service de Suivi Oprationnel). Afin d'viter que des personnes extrieures
RENATER accdent cette application, des rgles de scurit sont mises en place.
Simon MUYAL
Mastre SCR - 26 -
3.2.3 Prsentation de l'application
Pour raliser cette application, il est ncessaire de rcuprer sur les quipements du
backbone l'ensemble des interfaces ainsi que les peering BGP. Avant de commencer le
dveloppement de l'application, une tude sur les applications existantes au GIP a t faite;
cela a permis de profiter d'outils dj prsents et viter de refaire des choses existantes.
Ces champs sont rcuprs l'aide des commandes snmpget et snmpwalk qui
permettent d'interroger les MIB.
Simon MUYAL
Mastre SCR - 27 -
3.2.3.3 Interrogation des quipements
La collecte des informations concernant les interfaces se fait par polling SNMP
comme nous l'avons vu prcdemment. Pour la collecte des peerings BGP IPv6, la premire
ide tait d'utiliser aussi le protocole SNMP et la MIB BGP-4 (RFC 1657). Cependant, cette
MIB ne permet pas de rcuprer les peerings BGP IPv6 (uniquement les neighbors IPv4).
La solution choisie est de se connecter directement sur les routeurs et d'effectuer la
commande qui permette de rcuprer les peerings BGP. L'ensemble des routeurs tant des
Cisco, la commande effectue sera "show bgp ipv6 neighbor". Comme pour le looking glass,
SSH est utilis pour la connexion aux routeurs ce qui permet de scuriser les changes de
donnes. De mme, un compte Tacacs permet de faire l'authentification et l'autorisation.
Le serveur utilis pour faire de la collecte SNMP n'est pas autoris ce connecter en
SSH sur les routeurs de Renater-3. Les machines prsentes au GIP tant autorises ce
connecter en SSH sont des PC de travail et non pas des serveurs ddis la supervision. C'est
pour cela que l'interrogation se fera partir d'un serveur du NOC Renater dj autoris
accder en SSH aux routeurs de Renater-3.
Gnralement, une connexion SSH nest pas utilise pour collecter rgulirement des
informations sur des routeurs (augmentation de la charge CPU). Dans notre cas, cette solution
est envisageable car la connexion SSH se fait uniquement deux fois par jour. En effet, le but
de lapplication est de donner une vision du rseau et non pas le superviser. Il ne serait pas
envisageable de se connecter en SSH sur lensemble des routeurs du backbone avec une
frquence de deux minutes pour rcuprer les peering IPv6.
Simon MUYAL
Mastre SCR - 28 -
La table peering contient les informations principales concernant les peerings (adresse
IPv6 de lextrmit, description, tat, le numro dAS). La table AS contient le numro
dAS et le nom de lAS.
Consultation WEB:
L'utilisateur accde travers l'interface web l'application et effectue son choix (1).
Alors le serveur web interroge travers des pages PHP la base de donnes MySql qui renvoie
les informations au serveur web (2,3). Le serveur web est une distribution Linux Debian avec
un serveur WEB apache 2.0 et la version 4 de PHP. Finalement, la page html est gnre puis
envoye l'utilisateur (4).
Collecte SNMP:
Simon MUYAL
Mastre SCR - 29 -
Collecte SSH:
Des scripts crits en perl permettent de se connecter aux routeurs et rcuprer les
peerings BGP IPv6 (1''). Ensuite, ceci est stock dans la base de donnes (2''). Un module perl
permettant d'interagir avec les bases de donnes ainsi que les dpendances ont t installes.
Les modules perl permettant de se connecter en SSH ont t aussi installs sur ce serveur.
Remarque : Le nom de lAS nest pas prsent parmi les informations rcupres sur
le routeur. Afin de complter la table AS, la base RIPE est consulte travers la commande
"whois". RIPE (Rseaux IP Europens) Network Coordination Centre (NCC) est lun des
quatre organismes dans le monde qui fournit des services dattribution et enregistrement en
accord avec lInternet mondial.
Quotidiennement, un script en perl interroge la base RIPE pour rcuprer les noms
dAS manquants dans la table AS. Afin que les noms dAS soient mis jour, une
interrogation de la base RIPE est faite une fois par mois pour tous les numros dAS prsents
dans la table AS.
Simon MUYAL
Mastre SCR - 30 -
En cliquant sur un NR, l'utilisateur peut alors visualiser soit un schma avec les
interfaces, soit les peerings BGP. L'application permet de choisir parmi les quipements
constituant le NR.
Une image au format PNG (Portable Network Graphic) est gnre par type
d'interface. Pour ceci, un module php a t install sur le serveur WEB. Nous pouvons
remarquer que les interfaces libres sont immdiatement aperues et que des couleurs
permettent de distinguer le type de lien. Les interfaces qui sont prcdes d'une toile rouge
sont down.
Simon MUYAL
Mastre SCR - 31 -
! Les switchs: Ils ont un seul type d'interface ce qui simplifie la prsentation.
Uniquement sont diffrencies les interfaces libres des interfaces utilises:
Les peerings sont diviss en deux groupes: les peerings iBGP et eBGP:
Simon MUYAL
Mastre SCR - 32 -
Il est possible de voir l'tat du peering ainsi qu'un ensemble d'information (adresse
IPv6 du voisin, temps depuis lequel le peering est Up ou Down) en cliquant sur le descripteur
du peering.
L'utilisateur peut cliquer sur l'un des quipements afin de voir le dtail des interfaces
ou des peerings comme prcdemment pour un NR.
Bien qu'il soit pratique d'avoir des cartes de ce type, elles prsentent un grand
inconvnient: la mise jour. En effet, des modifications sont effectues frquemment, ce qui
oblige de maintenir les cartes jour afin d'avoir une vision correcte de l'architecture. Ceci
demande un temps considrable alors que la gnration automatique n'exige pas un suivi.
Simon MUYAL
Mastre SCR - 33 -
3.3 Conclusion
La ralisation de ces deux applications ma permis de travailler dans des
environnements techniques diffrents. Jai utilis diffrents systmes dexploitation et divers
langages de programmation selon les besoins. Le fait de travailler avec diffrentes quipes
ma permis de voir que des amliorations pouvaient tre apportes aux applications.
4. Evolutions possibles
4.1 Evolutions court terme
Concernant l'application permettant de faire l'inventaire des interfaces ainsi que celui
des peerings, des volutions peuvent tre apportes.
En effet, nous avons vu pour le NRI de Paris que l'entretien des cartes demandait
beaucoup de temps. Il a donc t envisag de gnraliser l'outil pour le NRI de Paris. Il est
vrai que l'on perd de la visibilit sur l'architecture car il est difficile de voir rapidement les
interconnexions entre chaque quipement. Cependant cet outil est destin des utilisateurs
connaissant globalement larchitecture de Renater. Il est donc prfrable de faire un outil
gnrique qui peut voluer au cours du temps sans avoir faire de mise jour importante.
Une raison supplmentaire pour gnraliser loutil lensemble des NRI, est la migration
prvue sur lIle de France. En effet, larchitecture ATM va tre remplace par une architecture
reposant sur la technologie GigaEthernet. Avec cet outil, un suivi pourra tre fait tout au long
de la migration.
En ce qui concerne les peerings BGP, des complments peuvent tre apports. Lorsque
des problmes de routage sont prsents dans le rseau, il est souvent ncessaire de connatre
les routes reues (received routes) ainsi que les routes annonces (advertised routes) sur un
peering. Pour cela, il faudra faire une capture de la table de routage ce qui en IPv6 est
concevable (500 routes sur les routeurs du backbone). En IPv4 cela n'aurait pas t
envisageable puisque les routeurs du backbone ont environ 120 000 routes. Il est vrai que le
rseau IPv4 mondial est beaucoup plus important que le rseau IPv6, mais nous voyons dj
ici l'intrt de l'agrgation dans l'adressage en IPv6 (tables de routages beaucoup plus petites).
Simon MUYAL
Mastre SCR - 34 -
5. Conclusion
Pendant le droulement de mon stage, j'ai eu l'opportunit de travailler sur diffrents
aspects avec deux quipes diffrentes. Le travail ralis s'est avr trs enrichissant pour mon
exprience professionnelle aussi bien en ce qui concerne le domaine technique que laspect
humain. Le fait de travailler avec deux entits diffrentes (GIP et NOC Renater) m'a permis
d'avoir une vision dtaille de la supervision et de la gestion de rseaux.
Simon MUYAL
Mastre SCR - 35 -
6. Glossaire
AS : Autonomous System
ATM : Asynchronous Transfer Mode
BdC : Boucle des Contenus
BGP : Border Gateway Protocol
CoS: Class of Service
GIP : Groupement dIntrt Public
ICMP : Internet Control Message Protocol
IETF : Internet Engineering Task Force
MIB : Management Information Base
MRTG : Multi Router Traffic Grapher
NOC : Network Operations Center
NR: Nud Renater
NRI : Nud Renater International
PKI : Public Key Infrastructure
RdC : Rseau de Collecte
RIPE : Rseaux IP Europens
SNMP : Simple Network Management Protocol
SSH : Secure Shell
TCP : Transmission Control Protocol
ToS: Type of Service
UDP: User Datagram Protocol
Simon MUYAL
Mastre SCR - 36 -
7. Rfrences bibliographiques
Adresses Web:
http://www.renater.fr
http://tools.6net.net
http://www.sunfreeware.com: Tlchargement des logiciels (UCD-SNMP, )
http://www.perl.com : Documentation sur le langage perl
http://www.perl.com/CPAN-local/modules/by-module: Tlchargement des modules perl
http://www.cisco.fr : Documentation sur les MIB IPv6.
http://www.juniper.net : Documentation
Documentation:
RFC :
RFC 1303-1351-1352-1353: SNMP v1 - Description du modle
RFC 1442 1446 : SNMP v2 - Description du modle
RFC 2271 2273 : SNMP v3 Description du modle
DRAFT :
draft-ietf-ipv6-rfc2011-update-03.txt : draft sur la MIB IP
draft-ietf-ipv6-rfc2012-update-03.txt : draft sur la MIB IP TCP
draft-ietf-ipv6-rfc2013-update-03.txt : draft sur la MIB IP UDP
draft-ietf-ipv6-rfc2096-update-04.txt : draft sur la MIB IP Forwarding Table
Simon MUYAL
Mastre SCR - 37 -
8. Annexes
Annexe I: Liaison Sature
Simon MUYAL
Mastre SCR - 38 -
Annexe III: Rpartition des flux
--
-- Textual Conventions
--
Ipv6AddrIfIdentifier
--
-- Object definitions
--
cIpv6Forwarding OBJECT-TYPE
::= { cIpv6 1 }
cIpv6DefaultHopLimit OBJECT-TYPE
::= { cIpv6 2 }
--
-- IPv6 Interface table
-- cIpv6InterfaceIfIndex OBJECT-TYPE
cIpv6InterfaceTable OBJECT-TYPE ::= { cIpv6InterfaceEntry 1 }
::= { cIpv6 3 } cIpv6InterfaceEffectiveMtu OBJECT-TYPE
cIpv6InterfaceEntry OBJECT-TYPE ::= { cIpv6InterfaceEntry 2 }
::= { cIpv6InterfaceTable 1 } cIpv6InterfaceReasmMaxSize OBJECT-TYPE
CIpv6InterfaceEntry ::= SEQUENCE { ::= { cIpv6InterfaceEntry 3 }
cIpv6InterfaceIfIndex InterfaceIndex, cIpv6InterfaceIdentifier OBJECT-TYPE
cIpv6InterfaceEffectiveMtu Unsigned32, ::= { cIpv6InterfaceEntry 4 }
cIpv6InterfaceReasmMaxSize Unsigned32, cIpv6InterfaceIdentifierLength OBJECT-TYPE
cIpv6InterfaceIdentifier Ipv6AddrIfIdentifier, ::= { cIpv6InterfaceEntry 5 }
cIpv6InterfaceIdentifierLength INTEGER, cIpv6InterfacePhysicalAddress OBJECT-TYPE
cIpv6InterfacePhysicalAddress PhysAddress ::= { cIpv6InterfaceEntry 6 }
}
Simon MUYAL
Mastre SCR - 39 -
Annexe V: ASPath-tree sur le rseau projet de RENATER
Simon MUYAL
Mastre SCR - 40 -
Annexe VI : Liste des commandes du looking glass :
! show BGP ipv6
! show BGP ipv6 neighbors
! show BGP ipv6 summary
! show BGP ipv6 regexp $regexp o $regexp est une expression rgulire
! show BGP ipv6 quote_regexp $regexp
! show BGP ipv6 paths $regexp
! show ipv6 traffic
! show ipv6 interface
! show ipv6 neighbors
! show ipv6 tunnel
! show ipv6 route
! ping ipv6 $adresse - ping $adresse o $adresse est une adresse IPv6 ou IPv4
! traceroute ipv6 $adresse - traceroute $adresse
! show ip bgp sum
! show ip bgp $adresse - sh bgp ipv6 $adresse
! show ip bgp dampening dampened-paths
! show ip mroute summary
! show ip mroute active
! show ip mbgp summary
! show ip mbgp $adresse
Dpendances:
! gmp-4.1.2.tar.gz :Librairie permettant de faire des calculs arithmtiques de prcision
! Math::GMP (1.04 ou plus) (pour SSH1) : Utilis pour le calcul lors du chiffrement
! String::CRC32 (1.2 ou plus) (pour SSH1) : Permet de faire des checksums (utile lors
de lauthentification)
! Digest::MD5 (pour SSH1): partir dun message en entre, cet algorithme produit une
empreinte de 128 bits sur ce message qui permet de vrifier lintgrit des donnes.
! IO::Socket (pour SSH1): Ncessaire pour tablir une communication en IPv4.
! IO::Socket6 (pour SSH1): Ncessaire pour tablir une communication en IPv6.
Simon MUYAL
Mastre SCR - 41 -
Annexe VIII: Modifications principales sur la librairie Perl.pm
#Utilisation de Socket6
use Socket6;
...
# On vrifie si c'est une adresse IPv4 ou IPv6
## Lookup server's IP address.
if ( $raddr = inet_pton(AF_INET6, $ssh->{host}))
{
$version = 6;
}
elsif ($raddr = inet_aton( $ssh->{host}))
{
$version = 4;
}
else { die "unknown remote host: $ssh->{host}\n";}
...
# Cration de la socket en v4 ou v6
my $sock = $ssh->_create_socket;
if ($version == 6)
{
socket($sock, AF_INET6, SOCK_STREAM, $proto) ||
croak "Net::SSH: Can't create socket v6: $!";
}
elsif ($version == 4)
{
socket($sock, AF_INET, SOCK_STREAM, $proto) ||
croak "Net::SSH: Can't create socket v4: $!";
}
# Connexion en IPv6
if ($version == 6)
{
# Connexion en IPv6
connect($sock, sockaddr_in6($rport, $raddr))
or die "Can't connect to $ssh->{host}, port $rport: $!";
}
elsif ($version == 4)
{
# Connexion en IPv4
connect($sock, sockaddr_in($rport, $raddr))
or die "Can't connect to $ssh->{host}, port $rport: $!";
}
Simon MUYAL
Mastre SCR - 42 -
Annexe IX: Configuration de Tacacs+ (serveur et quipements)
key = "la_cle"
user=normal_user{
login = des N75frezREER/LI
}
user=looking_glass
{
login = cleartext mot_de_passe_en_clair
cmd = show
{
permit "bgp ipv6 neigh"
permit "ipv6 traffic"
...
...
}
}
Simon MUYAL
Mastre SCR - 43 -
Annexe X: Interface du Looking Glass IPv6
Simon MUYAL
Mastre SCR - 44 -
Annexe XI: fichier de configuration pour le looking glass
Ceci est un extrait du fichier contenant la liste des quipements du backbone et leurs
caractristiques : Adresse, description, login et mot de passe pour Tacacs
#
# lg.cfg Configuration file for the looking glass.
#
package config;
#
# Common variables.
#
$Company = 'RENATER';
$Logo = Renater.gif';
$Email = 'noc-ipv6@cssi.renater.fr';
#
# List of routers (detailed info below). This is the order they
# will appear in the pull-down menu.
#
@Routers = ( 'besancon','compiegne',', 'toulouse' );
#
# Per-cisco variables.
#
$cfg{besancon} = {
Host => '2001:660:X:X::X',
Login => '***',
Pass => '***',
IXPoint => 'Routeur C12000 ',
};
$cfg{compiegne} = {
Host => '193.X.X.X',
Login => '***',
Pass => '***',
IXPoint => 'Routeur C12000 ',
};
$cfg{toulouse} = {
Host => '2001:660:X:X::X',
Login => '***',
Pass => '***',
IXPoint => 'Routeur C12000 ',
};
Simon MUYAL
Mastre SCR - 45 -